เจาะลึกแผนงานการเข้ารหัสหลังควอนตัมของ CISA

พูดตามจริงแล้ว คอมพิวเตอร์ควอนตัมยังอยู่อีกหลายปี แต่หน่วยงานความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานของสหรัฐฯ ยังคงแนะนำให้องค์กรต่างๆ เริ่มเตรียมการสำหรับ การโยกย้ายไปยังมาตรฐานการเข้ารหัสหลังควอนตัม.

คอมพิวเตอร์ควอนตัมใช้ควอนตัมบิต (qubits) เพื่อส่งมอบพลังและความเร็วการประมวลผลที่สูงขึ้น และคาดว่าจะสามารถทำลายอัลกอริธึมการเข้ารหัสที่มีอยู่ เช่น RSA และการเข้ารหัสแบบโค้งวงรี สิ่งนี้จะส่งผลกระทบต่อความปลอดภัยของการสื่อสารออนไลน์ทั้งหมด ตลอดจนการรักษาความลับและความสมบูรณ์ของข้อมูล ผู้เชี่ยวชาญด้านความปลอดภัยเตือนว่าคอมพิวเตอร์ควอนตัมที่ใช้งานได้จริงอาจเกิดขึ้นได้ภายในเวลาไม่ถึงสิบปี

สถาบันมาตรฐานและเทคโนโลยีแห่งชาติ ประกาศอัลกอริธึมต้านทานควอนตัมสี่ตัวแรก ซึ่งจะกลายเป็นส่วนหนึ่งของมาตรฐานหลังการเข้ารหัสด้วยควอนตัมในเดือนกรกฎาคม แต่คาดว่ามาตรฐานขั้นสุดท้ายจะไม่เกิดขึ้นจนกว่าจะถึงปี 2024 ถึงกระนั้น CISA ก็สนับสนุนให้ผู้ให้บริการโครงสร้างพื้นฐานที่สำคัญเริ่มเตรียมการล่วงหน้า

“ในขณะที่เทคโนโลยีควอนตัมคอมพิวติ้งที่สามารถทำลายอัลกอริธึมการเข้ารหัสคีย์สาธารณะในมาตรฐานปัจจุบันยังไม่มีอยู่ รัฐบาลและหน่วยงานโครงสร้างพื้นฐานที่สำคัญ รวมทั้งองค์กรภาครัฐและเอกชน จะต้องทำงานร่วมกันเพื่อเตรียมพร้อมสำหรับมาตรฐานการเข้ารหัสหลังควอนตัมใหม่เพื่อป้องกัน ภัยคุกคามในอนาคต” CISA กล่าว

เพื่อช่วยองค์กรในการวางแผน NIST และ Department of Homeland Security ได้พัฒนา แผนงานการเข้ารหัสหลังควอนตัม. ขั้นตอนแรกควรสร้างระบบโครงสร้างพื้นฐานที่สำคัญที่มีช่องโหว่ CISA กล่าว

องค์กรควรระบุว่ามีการใช้การเข้ารหัสลับคีย์สาธารณะที่ใดและเพื่อวัตถุประสงค์ใด และทำเครื่องหมายว่าระบบเหล่านั้นมีช่องโหว่เชิงควอนตัม ซึ่งรวมถึงการสร้างคลังชุดข้อมูลที่ละเอียดอ่อนและสำคัญที่สุดซึ่งต้องได้รับการรักษาความปลอดภัยเป็นระยะเวลานาน และระบบทั้งหมดที่ใช้เทคโนโลยีการเข้ารหัส การมีรายชื่อระบบทั้งหมดจะช่วยให้การเปลี่ยนแปลงง่ายขึ้นเมื่อถึงเวลาต้องเปลี่ยน

องค์กรจะต้องประเมินระดับความสำคัญของแต่ละระบบด้วย เมื่อใช้ข้อมูลสินค้าคงคลังและการจัดลำดับความสำคัญ องค์กรสามารถพัฒนาแผนการเปลี่ยนระบบได้เมื่อมีการเผยแพร่มาตรฐานใหม่

นอกจากนี้ ผู้เชี่ยวชาญด้านความปลอดภัยยังได้รับการสนับสนุนให้ระบุมาตรฐานการได้มา ความปลอดภัยทางไซเบอร์ และความปลอดภัยของข้อมูลที่จะต้องได้รับการอัปเดตเพื่อสะท้อนถึงข้อกำหนดภายหลังควอนตัม CISA ส่งเสริมการมีส่วนร่วมที่เพิ่มขึ้นกับองค์กรที่พัฒนามาตรฐานหลังควอนตัม

หน่วยงานให้ความสำคัญกับสินค้าคงคลังสะท้อนคำแนะนำที่ทำโดย Wells Fargo ในการประชุม RSA เมื่อต้นปีนี้ ในเซสชั่นที่พูดคุยเกี่ยวกับการเดินทางของควอนตัมของยักษ์ใหญ่ทางการเงิน Richard Toohey นักวิเคราะห์เทคโนโลยีของ Wells Fargo แนะนำให้องค์กรต่างๆ เริ่มคลัง crypto ของตน

“ค้นหาว่าคุณมีอินสแตนซ์ของอัลกอริทึมบางประเภทหรือการเข้ารหัสบางประเภทจากที่ใด เพราะมีกี่คน ใช้ Log4j และไม่มีความคิด เพราะมันถูกฝังลึกขนาดนั้น?” ทูเฮย์กล่าวว่า “นั่นเป็นคำถามที่ยิ่งใหญ่ หากต้องการทราบการเข้ารหัสทุกประเภทที่ใช้ในธุรกิจของคุณกับบุคคลที่สามทั้งหมด — นั่นไม่ใช่เรื่องเล็กน้อย นั่นเป็นงานจำนวนมากและจะต้องเริ่มเดี๋ยวนี้”

Wells Fargo มี “เป้าหมายเชิงรุกอย่างมาก” เพื่อพร้อมสำหรับรันการเข้ารหัสหลังควอนตัมในอีก XNUMX ปี จากข้อมูลของ Dale Miller หัวหน้าสถาปนิกด้านสถาปัตยกรรมความปลอดภัยของข้อมูลของ Wells Fargo

การย้ายระบบควบคุมอุตสาหกรรม (ICS) ไปยังการเข้ารหัสภายหลังควอนตัมจะเป็นความท้าทายที่สำคัญสำหรับผู้ประกอบการโครงสร้างพื้นฐานที่สำคัญ เนื่องจากอุปกรณ์มักจะกระจายตัวไปตามพื้นที่ทางภูมิศาสตร์ CISA กล่าวในการแจ้งเตือน ถึงกระนั้น CISA ก็กระตุ้นให้องค์กรโครงสร้างพื้นฐานที่สำคัญรวมไว้ในกลยุทธ์ของพวกเขา การดำเนินการที่จำเป็นเพื่อจัดการกับความเสี่ยงจากความสามารถด้านคอมพิวเตอร์ควอนตัม

CISA ไม่ใช่คนเดียวที่ส่งสัญญาณเตือนเกี่ยวกับการเริ่มต้นใช้งาน ในเดือนมีนาคม Quantum-Safe Working Group ของ Cloud Security Alliance (CSA) ได้กำหนดเส้นตายในวันที่ 14 เมษายน 2030 โดยบริษัทควรมีโครงสร้างพื้นฐานหลังควอนตัม

“อย่ารอจนกว่าคอมพิวเตอร์ควอนตัมจะถูกใช้งานโดยศัตรูของเราเพื่อดำเนินการ การเตรียมการแต่เนิ่นๆ จะช่วยให้มั่นใจได้ว่าการโยกย้ายไปยังมาตรฐานการเข้ารหัสภายหลังควอนตัมจะราบรื่นเมื่อพร้อมใช้งาน” CISA กล่าว