ISARA Corporation首席技术官和联合创始人Mike Brown日前在Forbes发表观点性文章。他认为,量子计算对密码学的安全性构成了重大风险,有可能使整个基础设施、网络和应用程序面临广泛威胁。但没有必要恐慌,特别是如果组织现在开始采取行动的话。
并且,虽然量子安全之旅并不简单,但我们从中得到的教训是直截了当的。通过立即采取行动并制定迁移计划,组织将很好很好的走向通往蓝天的道路。
以下为观点全文
目前的公钥密码学有望在八年后被大型量子计算机破解。毫无疑问,量子计算对密码学的安全性构成了重大风险,有可能使整个基础设施、网络和应用程序面临广泛威胁。从零售商到银行,从关键基础设施到汽车制造商,再到政府——每家现代企业都依赖加密技术来确保交易和验证身份。但没有必要恐慌,特别是,如果组织现在开始采取行动的话。
然而,没有足够多的首席信息安全官和首席信息官开始解决量子威胁并开始他们的量子安全之旅。一些人会问,为什么要在如今已经面临众多威胁(其中任何一个都可能严重破坏任何规模的商业运作)的情况下,解决几年后才出现的问题。许多人不了解危机的严重性;所需的时间、资源和预算;或者说量子安全制备的第一步应该是什么。
组织有足够的时间和能力来高效、无缝地过渡到量子安全密码学,而不会造成任何伤害。通过熟悉新的加密算法、对资产进行分类并进行影响分析,组织可以开始优先考虑迁移高价值资产。
以下是组织现在可以做的七件事,为向量子安全的迁移做准备:
1.从现在开始保护通信不被获取和解密,这样它们从现在起10年后就会受到保护。
2.开始识别和盘点可能容易受到量子攻击的关键业务系统、应用程序和信息。
3.将加密技术的可见性扩展到所有相关的未来RFP以及当前的供应商、承包商、原始设备制造商、第三方和合作伙伴。坚持让这些供应商制定量子安全路线图,并要求他们分享他们的计划。
4.开始构建您向量子安全安全计划的整体迁移,并了解过渡过程可能需要数年时间。任何类型的大规模加密转换都是一个大型IT项目。管理密码学非常复杂,过去的经验告诉我们,这些迁移是复杂的工作。
5.开始制定您的身份和访问管理(IAM)迁移计划。大型公钥基础设施(PKI)的过渡将非常困难。
6.您的软件和固件更新安全吗?确保您的计划包括保护无线软件更新。
7.查看美国国家标准与技术研究院(NIST)的最新建议,了解后量子密码学(PQC)标准的时间表。美国国土安全部(DHS)等政府部门也在提供指导。
事实上,国土安全部部长Alejandro N.Mayorkas主张:“现在是组织评估和减轻相关风险敞口的时候了。在我们继续应对紧迫的网络挑战之际,我们还必须通过专注于战略和长期目标,保持领先地位。这一新的路线图将有助于保护我们的关键基础设施并提高全国的网络安全弹性。
您现在制定的计划不应受制于大型量子计算机何时能够破解经典加密的预计。他们应该以NIST何时开始发布其第一个PQC标准为指导,PQC标准预计最早在2022年末发布。您的组织需要制定计划来转向这些新标准。采取上述步骤是一个很好的起点。
德勤政府洞察中心警告称,“等待量子技术成熟可能意味着组织变革发生得太晚了。”在准备好并将您的加密基础设施迁移到量子安全的基础设施时,不要拖延,也不要像“Chicken Little”一样恐慌。相反,你可以从《三只小猪》中的砌砖猪身上得到一些启发。及早计划和准备将有助于降低风险。
虽然量子安全之旅并不简单,但我们从中得到的教训是直截了当的:
•向新加密标准的迁移是不可避免的,而且现在已经安排妥当。
•必须优先考虑密码的发现和管理。
•实施量子安全技术和政策是关键。
通过立即采取行动并制定迁移计划,您的组织将很好的走向通往蓝天的道路。