Практично кажучи, до квантових комп’ютерів ще багато років, але Агентство з кібербезпеки та інфраструктури США все ще рекомендує організаціям розпочати підготовку до перехід на постквантовий криптографічний стандарт.
Квантові комп’ютери використовують квантові біти (кубіти), щоб забезпечити більш високу обчислювальну потужність і швидкість, і очікується, що вони зможуть зламати існуючі криптографічні алгоритми, такі як RSA та криптографія на основі еліптичних кривих. Це вплине на безпеку всіх онлайн-комунікацій, а також на конфіденційність і цілісність даних. Експерти з безпеки попередили, що практичні квантові комп’ютери можуть стати можливими менш ніж через десять років.
Національний інститут стандартів і технологій анонсував перші чотири квантово-стійкі алгоритми який стане частиною постквантового криптографічного стандарту в липні, але остаточний стандарт очікується не раніше 2024 року. Незважаючи на це, CISA заохочує операторів критичної інфраструктури розпочати підготовку заздалегідь.
«Хоча технологія квантових обчислень, здатна зламати алгоритми шифрування з відкритим ключем у поточних стандартах, поки що не існує, держава та суб’єкти критичної інфраструктури, включаючи державні та приватні організації, повинні працювати разом, щоб підготуватися до нового постквантового криптографічного стандарту для захисту від майбутні загрози», – каже CISA.
Щоб допомогти організаціям з їхніми планами, NIST і Департамент внутрішньої безпеки розробили Дорожня карта постквантової криптографії. Першим кроком має бути створення списку вразливих систем критичної інфраструктури, заявили в CISA.
Організації повинні визначити, де та з якою метою використовується криптографія з відкритим ключем, і позначити ці системи як квантово вразливі. Це включає створення списку найбільш конфіденційних і критичних наборів даних, які повинні бути захищені протягом тривалого періоду часу, і всіх систем, що використовують криптографічні технології. Наявність списку всіх систем полегшить перехід, коли настане час для переходу.
Організаціям також потрібно буде оцінити рівень пріоритету для кожної системи. Використовуючи інвентаризацію та інформацію про пріоритети, організації можуть розробити план переходу системи на момент публікації нового стандарту.
Фахівцям із безпеки також пропонується визначити стандарти збору даних, кібербезпеки та безпеки даних, які потрібно буде оновити, щоб відображати постквантові вимоги. CISA заохочує розширення взаємодії з організаціями, які розробляють постквантові стандарти.
Зосередженість агентства на інвентаризації повторює рекомендації, зроблені Wells Fargo на конференції RSA на початку цього року. Під час сесії, присвяченої обговоренню квантової подорожі фінансового гіганта, Річард Тухі, технологічний аналітик Wells Fargo, запропонував організаціям розпочати інвентаризацію криптовалют.
«Дізнайтеся, де у вас є екземпляри певних алгоритмів або певних типів криптографії, тому що скільки людей використовуючи Log4j і поняття не мав тому що він був похований так глибоко?» - сказав Тухі. «Це велике питання, знати кожен тип криптографії, який використовується у вашому бізнесі з усіма третіми сторонами — це не тривіально. Це дуже багато роботи, і починати її потрібно зараз».
За словами Дейла Міллера, головного архітектора архітектури інформаційної безпеки в Wells Fargo, Wells Fargo має «дуже агресивну мету» бути готовою до запуску постквантової криптографії через п’ять років.
Перехід промислових систем управління (ICS) на постквантову криптографію стане серйозною проблемою для операторів критичної інфраструктури, головним чином через те, що обладнання часто географічно розосереджено, йдеться в повідомленні CISA. Незважаючи на це, CISA закликала організації критичної інфраструктури включити у свої стратегії дії, необхідні для усунення ризиків, пов’язаних із можливостями квантових обчислень.
CISA не єдиний, хто б’є на сполох щодо початку роботи. У березні Робоча група Quantum-Safe Альянсу хмарної безпеки (CSA) встановила кінцевий термін до 14 квітня 2030 року, до якого компанії повинні створити свою постквантову інфраструктуру.
«Не чекайте, поки квантові комп’ютери будуть використовуватися нашими противниками, щоб діяти. Рання підготовка забезпечить плавний перехід на постквантовий стандарт криптографії, коли він стане доступним», – заявили в CISA.
