By Dan O'Shea đăng ngày 28 tháng 2022 năm XNUMX
Trong những tháng gần đây, ở Hoa Kỳ ngày càng có nhiều cảm giác cấp bách về tiền mã hóa hậu lượng tử (PQC), với việc Nhà Trắng Biden và các nhóm như Cơ quan An ninh Quốc gia (NSA) và Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng (CISA) thúc giục chính phủ các cơ quan và tổ chức khác chuẩn bị để tự bảo vệ mình khỏi các mối đe dọa bảo mật do máy tính lượng tử gây ra.
Trong môi trường đó, NSA gần đây đã đưa ra một lời khuyên, Thuật toán an ninh quốc gia thương mại 2.0 (CNSA 2.0), điều đó thoạt đầu có vẻ giống như một trò chơi vò đầu bứt tai. Nó bao gồm, trong số các yêu cầu chuẩn bị khác, một mốc thời gian để hoàn thành quá trình chuyển đổi sang PQC cho “các hệ thống an ninh quốc gia (NSS) và các tài sản liên quan” vào năm 2035. Việc đặt ra một thời hạn hơn 12 năm có vẻ như trái ngược với tính cấp bách (và ban đầu, một số người theo dõi ngành đã bày tỏ sự ngạc nhiên của họ với IQT về chi tiết cụ thể này). Tuy nhiên, trong những tuần kể từ thông báo của NSA vào đầu tháng XNUMX, IQT đã nói chuyện với các chuyên gia bảo mật tại một số công ty, những người này chỉ ra rằng mốc thời gian là hoàn toàn phù hợp, với khối lượng công việc phía trước để chuyển đổi thích hợp từ mã hóa kế thừa và đưa ra điều đó mới. triển khai công nghệ của các cơ quan chính phủ hiếm khi di chuyển nhanh chóng.
“Có thể hiểu rằng chính phủ Hoa Kỳ đã thiết lập các mốc thời gian dài như vậy chuyển sang PQC vì đây là một trong những quy trình lớn nhất và phức tạp nhất các tổ chức trên thế giới với các quy trình phức tạp để xác định chiến lược của họ, Jen Sovada, Chủ tịch Khu vực Công tại SandboxAQ, đồng thời là Đại tá Không quân Hoa Kỳ đã nghỉ hưu cho biết. “Họ cũng có một số mạng lưới toàn cầu liên kết và phức tạp nhất phải luôn sẵn sàng. Cho dù thời gian áp dụng kéo dài, chính phủ Hoa Kỳ đang bắt đầu chuyển đổi ngay bây giờ cho PQC để chống lại các chiến dịch bắt và khai thác, còn được gọi là lưu trữ ngay bây giờ giải mã các cuộc tấn công sau này, để các máy tính lượng tử có khả năng chịu lỗi và sửa lỗi xuất hiện, họ sẽ được bảo vệ.”
Cô ấy nói thêm rằng tài liệu NSA CSNA 2.0 đã không làm chậm các cơ quan trong chính phủ liên bang đã làm việc để sớm áp dụng PQC. “Chúng tôi đã làm việc với nhiều người dùng đầu tiên đồng thời giúp giáo dục những người chưa quen với công nghệ. Nếu bất cứ điều gì, dòng thời gian đã giúp sắp xếp các ưu tiên của chúng tôi và thúc đẩy việc áp dụng sớm
Các chiến lược di cư PQC trên toàn chính phủ liên bang.”
Duncan Jones, Trưởng bộ phận An ninh mạng tại Quantinuum, đồng ý và nói: “Không có bất ngờ lớn nào ở đây. Nhìn chung, hướng dẫn này hợp lý và phù hợp với hướng dẫn tương tự của CISA và các tổ chức liên quan. Thời hạn 2035 của NSA phù hợp với các yêu cầu trong bản ghi nhớ an ninh quốc gia được ban hành đầu năm nay.”
Jones nói thêm rằng ngay cả khi năm 2035 nghe có vẻ còn rất xa, các tài sản quan trọng nhất của NSS sẽ có ưu tiên cao nhất khi các nỗ lực di chuyển bắt đầu. “Mười ba năm nghe có vẻ dài nhưng sẽ đến rất nhanh. Quá trình di chuyển không thể xảy ra cùng một lúc, vì vậy các hệ thống quan trọng nên được di chuyển trước ngày đó. Nói tóm lại, thời hạn 2035 sẽ không làm chậm quá trình áp dụng.”
Thay vào đó, tài liệu CNSA 2.0 và mốc thời gian đã nêu của nó sẽ tập trung hơn vào toàn bộ nỗ lực chuyển các hệ thống của chính phủ sang PQC và nêu bật nhu cầu cấp thiết đối với nó. Skip Sanzeri, Người sáng lập, Chủ tịch, Giám đốc điều hành và Giám đốc Doanh thu tại QuSecure, cho biết: “Việc NSA đã tuyên bố ngày này có nghĩa là họ đã cân bằng giữa một việc rất quan trọng cần phải hoàn thành và khả năng tuân thủ của các cơ quan liên bang. .”
Anh ấy giải thích, “Ý tôi là có thể mất 10 năm để nhiều cơ quan trong số này hoàn thành việc nâng cấp, vì vậy chúng tôi chắc chắn rằng NSA sẽ muốn thúc đẩy mọi thứ nhanh hơn, nhưng nếu một cơ quan không có khả năng nâng cấp nhanh hơn thì đây là điều tốt nhất có thể làm được.” Samzeri cho biết NSA về cơ bản đã bắt buộc PQC và tuyên bố rằng việc di chuyển nên được tiếp cận với tinh thần cấp bách, nhưng với sự hiểu biết rằng nó phải được hoàn thành “chậm nhất là vào năm 2035. Mật mã rất phức tạp và nhiều cơ quan không có tài khoản toàn diện về tất cả các mật mã mà họ đang sử dụng. Mười năm là thời gian tối thiểu để một cơ quan chính phủ lớn nâng cấp. Vì vậy, một lần nữa, NSA thực sự không thể buộc các cơ quan liên bang hành động nhanh hơn ngay cả khi họ muốn.”
Trong khi đó, Helena Handschuh, Thành viên Công nghệ Bảo mật, giải thích việc tập trung quá nhiều vào thời hạn 2035 mà bỏ qua những gì thực sự sẽ xảy ra trong quá trình chuyển đổi. Ngay từ đầu, có khả năng sẽ có các cách tiếp cận kết hợp – “một thuật toán thông thường kết hợp với một thuật toán PQC,” cô ấy nói, điều này làm cho các hệ thống nhanh nhẹn hơn và giúp chúng có thể chuyển đổi các thuật toán mà chúng sử dụng khi cần.
Trong vòng 3-5 năm tới, khi NIST hoàn thành công việc trên các tiêu chuẩn chữ ký số và mã hóa PQC ban đầu được công bố vào tháng XNUMXHandschuh cho biết, trọng tâm sẽ là chọn giải pháp PQC và bắt đầu quá trình di chuyển. “Đối với phần cứng, điều này có nghĩa là hãy bắt đầu xem xét lựa chọn và tích hợp IP ngay bây giờ vì có thể mất vài năm để phần cứng mới được chế tạo và tung ra thị trường. Điều quan trọng là phải có chiến lược ngừng sử dụng các thuật toán thông thường trong 5-7 năm kể từ bây giờ, đồng thời chuyển đổi và loại bỏ hoàn toàn các thuật toán khóa công khai hiện nay trong 7-10 năm tới trong tương lai. NSA có lịch trình như vậy và các cơ quan khác trên khắp châu Âu và châu Á cũng có cách tiếp cận và lịch trình tương tự.”
Cô ấy kết luận rằng mốc thời gian này đặt ra “thời điểm loại bỏ các thuật toán khóa công khai ngày nay… ở đâu đó giữa năm 2030 và 2035.”
Có thể hiểu được nếu các cơ quan chính phủ và doanh nghiệp doanh nghiệp vẫn không chắc chắn về việc tiến hành áp dụng PQC nhanh như thế nào, vì vẫn chưa có nhiều mô hình vai trò nổi tiếng và nghiên cứu điển hình về việc triển khai PQC thành công. Trên thực tế, lịch sử chuyển đổi công nghệ bảo mật cho thấy chúng có thể mất hàng thập kỷ và vẫn có ít hơn tổng số lần chuyển đổi. Ngoài ra, NIST vẫn sẽ hoàn thiện các tiêu chuẩn được chọn gần đây trong khoảng một năm rưỡi đến hai năm nữa, vì vậy vẫn có thể có những thay đổi hoặc cập nhật đối với các thuật toán đó.
Johannes Lintzen, giám đốc điều hành tại Cryptomathic, lưu ý: “Nói chung, việc vội vã trở thành người dùng sớm có những rủi ro của nó. Nhưng không hành động cũng vậy. Nhiều tổ chức đang tìm thấy chính mình ở ngã tư đầy thách thức này. Đầu tiên, các thuật toán đã chọn sẽ mất thêm 24 tháng nữa để được triển khai đầy đủ và có sẵn trong các ứng dụng thương mại rộng rãi.”
Anh ấy nói thêm, “Hơn nữa, việc đánh giá và phân tích cộng đồng về các hệ thống mật mã được chọn đang diễn ra và hoàn toàn có khả năng trong thời gian cần thiết để hoàn thiện quy trình tiêu chuẩn hóa, các phương pháp phá vỡ thuật toán ứng cử viên khác sẽ được các nhà nghiên cứu tìm ra và xuất bản. Hãy nhớ rằng các bản cập nhật và thay đổi đối với thuật toán cũng như cách chúng được triển khai và sử dụng đã diễn ra trong một thời gian dài. Lấy các thay đổi đối với các thuật toán đối xứng làm ví dụ. Theo thời gian, ngành công nghiệp đã chuyển từ DES sang 3DES và cuối cùng là AES. Có những ví dụ khác trong thuật toán băm cũng như thuật toán bất đối xứng. Các tổ chức trong lĩnh vực giải pháp mật mã có sẵn trên thị trường từ lâu đã có thể cung cấp các công cụ để quản lý quá trình liên tục nâng cấp và quản lý các diễn biến trong thay đổi thuật toán mật mã–thuật ngữ được sử dụng rộng rãi là 'sự linh hoạt của mật mã'. Cách tiếp cận này sẽ giúp các tổ chức cân bằng nhu cầu thực hiện hành động sớm với khả năng duy trì tính linh hoạt đối với các thay đổi khi chúng xảy ra.”
Mặc dù NSA đã đề cập đến thời hạn di chuyển PQC kéo dài hơn nhiều năm, nhưng có vẻ như đó sẽ là khoảng thời gian 12 năm bận rộn và đầy sự kiện sắp tới.
Để biết thêm bình luận từ những nguồn này và những nguồn khác về các vấn đề chính liên quan đến quá trình chuyển đổi PQC, hãy theo dõi phần tiếp theo của tôi IQT chuyên nghiệp câu chuyện vào giữa tháng mười.
Dan O'Shea đã nghiên cứu về viễn thông và các chủ đề liên quan bao gồm chất bán dẫn, cảm biến, hệ thống bán lẻ, thanh toán kỹ thuật số và điện toán/công nghệ lượng tử trong hơn 25 năm
