By Notícias IQT publicado em 12 de outubro de 2022
(Pela equipe Pós-Quantum) Os computadores quânticos são a maior ameaça existencial à segurança da informação mundial. Assim que surgir uma máquina suficientemente poderosa, os padrões de criptografia de chave pública (PKC) que actualmente protegem o mundo digital ficarão obsoletos num instante, trazendo danos imensuráveis a indústrias inteiras – desde a segurança nacional, à banca, às redes de serviços públicos.
Embora a data precisa em que o PKC será quebrado seja desconhecida, a ameaça de adversários recolherem dados agora com vista a desencriptá-los quando surgir uma máquina suficientemente poderosa (também conhecida como Harvest Now, Decrypt Later), é real e está a acontecer hoje.
Dada a urgência da questão, governos e órgãos reguladores começaram a agir, especialmente nos Estados Unidos (EUA). Mas o que significam estas ações na prática e que medidas podem as organizações em maior risco tomar para progredir?
Os governos estão exigindo ações
2022 foi um marco importante no futuro da segurança pós-quântica.
Depois de mais de seis anos de deliberações, o Instituto Nacional de Padrões e Tecnologia (NIST) revelou suas recomendações para a padronização do novo algoritmo resistente a quantum em julho. CRISTAIS-Kyber foi selecionado para criptografia geral, e CRISTAIS-Dilitio, FALCON e SPHINCS + foram selecionados para assinaturas digitais.
O NIST também apresentou quatro outros candidatos para análise adicional, um dos quais é Classic McEliece, uma apresentação conjunta da nossa equipe da Post-Quantum. O órgão nacional de segurança cibernética da Alemanha, conhecido como BSI, e as equivalente holandês, já recomendam que as empresas usem e implementem o Classic McEliece devido às suas credenciais de segurança incomparáveis.
À medida que os governos europeus começam a agir, os EUA também o fazem. Em maio, a administração Biden emitiu o Memorando de Segurança Nacional 10. Entre outras coisas, o memorando estabeleceu a direção que as agências governamentais dos EUA precisam tomar para migrar sistemas criptográficos vulneráveis para resistentes a quantum. criptografia.
Poucos meses depois, a Lei de Preparação para Cibersegurança da Computação Quântica foi aprovada na Câmara após a sua introdução em abril de 2022. À semelhança do memorando de Biden, o projeto de lei procura abordar a migração dos sistemas de informação das agências executivas para a criptografia pós-quântica (PQC). Ele determina que as agências federais precisarão preparar um inventário de itens para a transição para os novos padrões, e o OBM (Escritório de Orçamento e Gestão) teria um ano para preparar um orçamento e uma estratégia para a transição da atual criptografia. padrões. As agências também seriam obrigadas a atualizar esses sistemas anualmente, e o Congresso receberia um briefing anual sobre a situação.
Em seguida, a Agência de Cibersegurança e Segurança de Infraestruturas (CISA) publicou um conjunto de diretrizes para organizações de infraestruturas críticas que visam uma transição suave. Embora seja improvável que o padrão final do NIST seja confirmado antes de 2024, a CISA divulgou um documento – 'Preparando infraestrutura crítica para criptografia pós-quântica' – enfatizando a necessidade de infraestrutura crítica iniciar a migração agora para mitigar os riscos da computação quântica e dos ataques HNDL.
É importante ressaltar que a CISA não está sozinha nos esforços para enfatizar a vantagem de iniciar a migração agora. O Departamento de Segurança Interna (DHS) publicou seu próprio 'Roteiro de criptografia pós-quântica', sublinhando a necessidade de começar a lançar as bases imediatamente, e a Aliança de segurança em nuvem (CSA) estabeleceu o prazo de abril de 2030, no qual todas as empresas deveriam ter implementado infraestrutura pós-quântica.
Próximas etapas para agências federais e além
À medida que os governos e os reguladores começam a exigir medidas, especialmente quando se trata de migrar agências governamentais e indústrias de alto risco, o custo da inacção está a aumentar.
Mas, além dos roteiros e da clara necessidade inicial de avaliar onde o PKC é usado hoje, o que mais você deveria considerar?
- Priorize a criptoagilidade, a interoperabilidade e a compatibilidade com versões anteriores
Ao pensar na transição, é importante ter em mente os três conceitos a seguir para garantir que você esteja equilibrando segurança com agilidade.
- Usando soluções interoperáveis: para que você possa estabelecer comunicações seguras com parceiros, independentemente dos algoritmos de criptografia que eles usam.
- Garantindo compatibilidade com versões anteriores: para que a criptografia quântica segura possa ser introduzida perfeitamente em seus sistemas de TI existentes.
- Praticando criptoagilidade: então você pode usar qualquer combinação de algoritmos pós-quânticos do NIST ou criptografia tradicional
- Introduzir produtos que reflitam esses conceitos para obter um maior nível de flexibilidade
Depois que um fornecedor de soluções for selecionado, é importante considerar se os produtos que ele oferece têm esses pilares incorporados ao design.
Um exemplo de etapa introdutória na migração pós-quântica é a seleção de uma rede privada virtual (VPN) segura para quânticos para proteger os fluxos de comunicação de dados através da rede pública de Internet. Pós-Quantum 'VPN Híbrida Pós-Quantum' foi recentemente testado com sucesso pela OTAN e combinou novos algoritmos de criptografia tradicionais e seguros quânticos para manter um sistema interoperável.
- Não negligencie a identidade – na verdade, você deve começar com ela
Você poderia proteger todas as suas outras criptografias, mas se alguém puder acessar seu sistema de identidade, não importa o que mais você faça – seus sistemas pensarão que essa pessoa é a pessoa certa, para que possam obter acesso “legítimo” aos seus sistemas. e infraestrutura.
Ou seja, não faz muito sentido proteger toda a sua infraestrutura se você também não considerar a identidade, e começar no front-end do ecossistema de segurança da informação também permitirá que você enfrente um dos sistemas historicamente mais desafiadores para uma organização atualizar. ou substitua.
No futuro, precisaremos que toda a nossa infraestrutura digital seja à prova de quantum, de ponta a ponta, mas, se não tiver certeza por onde começar, a identidade deve ser a consideração mais importante agora, pois é a chave do castelo.
PATROCINADAS
Post-Quantum é o Patrocinador Diamante no próximo Evento IQT Quantum Cybersecurity em Nova York, 25 a 27 de outubro de 2022. O CEO Andersen Chang fará a palestra de abertura.