By IQT nyheter postat 12 oktober 2022
(Av Team Post-Quantum) Kvantdatorer är det största existentiella hotet mot världens informationssäkerhet. När en tillräckligt kraftfull maskin dyker upp kommer standarderna för public key cryptography (PKC) som för närvarande skyddar den digitala världen att vara föråldrade på ett ögonblick, vilket medför omätbara skador på hela industrier – från nationell säkerhet, till bankväsendet, till elnät.
Även om det exakta datumet när PKC kommer att brytas är okänt, är hotet om att motståndare samlar in data nu i syfte att dekryptera den när en tillräckligt kraftfull maskin dyker upp (även känd som Harvest Now, Decrypt Later), verkligt och händer idag.
Med tanke på att frågan är omedelbar har regeringar och tillsynsorgan börjat agera, särskilt i USA (USA). Men vad betyder dessa åtgärder i praktiken, och vilka åtgärder kan de organisationer som är mest utsatta göra för att komma vidare?
Regeringar kräver åtgärder
2022 har varit en viktig milstolpe i framtiden för postkvantsäkerhet.
Efter mer än sex års överläggningar National Institute of Standards and Technology (NIST) presenterade sina rekommendationer för standardisering av ny kvantresistent algoritm i juli. KRISTALLER-Kyber valdes för allmän kryptering, och KRISTALLER-Dilitium, FALKoch SPHINCS+ valdes ut för digitala signaturer.
NIST har också avancerat fyra andra kandidater för ytterligare granskning, varav en är Classic McEliece, en gemensam inlämning från vårt team på Post-Quantum. Tysklands nationella cybersäkerhetsorgan känd som BSI, Och den holländsk motsvarighet, rekommenderar redan att företag använder och distribuerar Classic McEliece på grund av dess oöverträffade säkerhetsuppgifter.
När europeiska regeringar börjar vidta åtgärder, har också USA gjort det. I maj utfärdade Biden-administrationen National Security Memorandum 10. Promemorian angav bland annat riktningen amerikanska regeringsorgan måste ta för att migrera sårbara kryptografiska system till kvantresistenta kryptografi.
Några månader senare antogs Quantum Computing Cybersecurity Preparedness Act i kammaren efter dess införande i april 2022. På samma sätt som Bidens memo syftar lagförslaget till att ta itu med migreringen av verkställande organs informationssystem till postkvantkryptering (PQC). Den kräver att federala myndigheter kommer att behöva förbereda en inventering av artiklar för övergången till de nya standarderna, och OBM (Office of Budget & Management) skulle få ett år på sig att förbereda en budget och en strategi för övergången från nuvarande kryptografiska standarder. Byråer skulle också behöva uppdatera dessa system årligen, och kongressen skulle få en årlig statusinformation.
Efter detta publicerade Cybersecurity and Infrastructure Security Agency (CISA) en uppsättning riktlinjer för kritiska infrastrukturorganisationer som strävar efter en smidig övergång. Även om NIST:s slutliga standard sannolikt inte kommer att bekräftas före 2024, släppte CISA ett dokument - 'Förbereder kritisk infrastruktur för postkvantkryptering' – betonar behovet av kritisk infrastruktur för att börja migrera nu för att minska riskerna för kvantberäkningar och HNDL-attacker.
Viktigt är att CISA inte är ensam i ansträngningarna att betona fördelen med att börja migration nu. Department of Homeland Security (DHS) publicerade sin egen "Färdkarta för postkvantkrypteringbetonar behovet av att börja lägga grunden omedelbart, och Cloud Security Alliance (CSA) har satt en deadline till april 2030 inom vilken alla företag ska ha implementerat postkvantinfrastruktur.
Nästa steg för federala myndigheter och vidare
När regeringar och tillsynsmyndigheter börjar kräva åtgärder, särskilt när det gäller att migrera statliga myndigheter och industrier med hög insats, ökar kostnaderna för passivitet.
Men utöver färdplanerna och det tydliga initiala behovet av att inventera var PKC används idag, vad mer bör du tänka på?
- Prioritera krypto-agilitet, interoperabilitet och bakåtkompatibilitet
När du tänker på övergången är det viktigt att ha följande tre koncept i åtanke för att säkerställa att du balanserar säkerhet med smidighet.
- Använda interoperabla lösningar: så att du kan upprätta säker kommunikation med partners oavsett vilka krypteringsalgoritmer de använder.
- Säkerställ bakåtkompatibilitet: så kvantsäker kryptering kan införas sömlöst i dina befintliga IT-system.
- Öva krypto-agility: så att du kan använda valfri kombination av NIST:s postkvantalgoritmer eller traditionell kryptering
- Introducera produkter som återspeglar dessa koncept för att få en högre nivå av flexibilitet
När en lösningsleverantör väl har valts är det viktigt att överväga om produkterna de erbjuder har dessa pelare inbakade i designen.
Ett exempel på ett inledande steg i post-kvantmigrering är att välja ett kvantsäkert virtuellt privat nätverk (VPN) för att säkra datakommunikationsflöden genom det offentliga internetnätverket. Post-Quantum'sHybrid Post-Quantum VPN' testades nyligen framgångsrikt av NATO och kombinerade nya kvantsäkra och traditionella krypteringsalgoritmer för att upprätthålla ett interoperabelt system.
- Försumma inte identiteten – du borde faktiskt börja med den
Du kan säkra all din andra kryptering, men om någon kan komma åt ditt identitetssystem spelar det ingen roll vad du gör – dina system kommer att tro att de är rätt person, så att de kan få "legitim" åtkomst till dina system och infrastruktur.
Det vill säga, det finns ingen mening med att säkra hela din infrastruktur om du inte också har funderat på identitet, och att börja vid fronten av informationssäkerhetsekosystemet gör att du också kan ta itu med ett av de mest historiskt utmanande systemen för en organisation att uppgradera eller byt ut.
I framtiden kommer vi att behöva all vår digitala infrastruktur vara kvantsäker från slut till ände, men om du är osäker på var du ska börja, borde identitet vara den viktigaste faktorn nu eftersom det är nyckeln till slottet.
SPONSRAT
Post-Quantum är Diamond Sponsor vid kommande IQT Quantum Cybersecurity-event i NYC, 25–27 oktober 2022. VD Andersen Chang kommer att hålla den inledande keynoten.
