Home / Resources / ISACA Journal / Issues / 2020 / Volume 6 / How to Start Your Quantum Migration Journey

如何开启量子迁移之旅

How to start your quantum migration journey
Author: Paul Lucier
Date Published: 3 November 2020
English

如果将量子迁移比作一列火车,那么它将是一列以 量子就绪为目的地的加密敏捷性列车。所有人都需 要尽快上车!

在不远的将来,量子计算机即将面世,它们将能够 破解基础的公钥密码学和公钥基础设施 (PKI),而这 些基础设施是目前每一次安全信息交换和交易的核 心。这将对澳门赌场官方下载和个人最敏感的信息造成威胁。想 象一下,在 Amazon 上的每一次商品购买,从美国 国防部 (DoD) 发送的每一封机密邮件,以及对银行 账户的每一次密码验证,都会在后台进行身份认证 和验证。

拥有适当机器的情报威胁方有可能破解 RSA 加密系统,解密机密数据并伪造数字 签名。在所有网络以及这些网络上的所有 应用(无论是公共还是私有)当中使用易 受攻击的加密技术,都将面临危险。

“拥有适当机器的情报威胁方有可能破解 RSA 加密系统,解密机密数据并伪造数字 签名。在所有网络以及这些网络上的所有 应用(无论是公共还是私有)当中使用易 受攻击的加密技术,都将面临危险。” 1

当量子技术出现时,当前脆弱的系统将面临指数级 的更大风险。想一想这将对核电站、自动驾驶汽车 或嵌入式心脏起搏器造成的影响。正如 IBM 的一名 研究人员所警告的那样,“任何想要给予自己的数 据 10 年以上保护的人士,现在都应该寻求其他加密 形式。” 2

密码学和加密:前方警灯已亮起

量子计算机给澳门赌场官方下载目前信任的加密和身份认证过程 带来了前所未有的难题。密码学是数字信任的基 础,对密码学的威胁就是对这一信任的严重威胁。 在当今日益互联的生态系统中,加密系统的破解可 能导致敏感信息遭受未经授权的访问、对连接的设 备失去控制,并且可能带来巨大的潜在危险。

 

Figure 1

想象有一座金字塔,该金字塔的每一层都进行了加 密,就像胶水一样把所有东西粘在一起(图 1)。当 前的攻击通常发生在顶层:由于用户和管理员的疏 忽行为所导致,当然,也可能由威胁实施者造成。 随着量子计算的出现,最受信任的元素——作为身 份/信任基础设施基础的 PKI 加密变得更容易受到攻 击。多年来,这一基础一直是安全的,几乎不需要 做出太多改变。PKI 是值得信任的,没有必要监控其 完整性。但量子计算使得这个可信的元素第一次变 得脆弱,带来了前所未有的威胁。这可能会对政 府、军事、能源、航空、金融服务和汽车等各个行 业和部门的信任基础设施造成严重破坏。

若等待大规模量子计算机的发展和量子技术的成 熟,这就意味着组织变革已晚了一步,尤其是涉及 到政府机构和国家安全的时候。“这种革命性的计 算方法为军事和科学领域带来了一系列全新的可能 性,同时也带来了诸多挑战。” 3

我们已经实现这一技术了吗?

美国国家标准与技术研究所 (NIST),4 美国国家标准 协会 (ANSI) 及其他行业专家估计,到 2030 年,量子 技术将有能力破解当前的加密技术。包括 IBM Research 在内的行业巨头推测,量子技术将更早问 世——也许只需五年多一点的时间。5

当量子技术出现时,当前脆 弱的系统将面临指数级的更大 风险。

为了能够未雨绸缪,澳门赌场官方下载必须采取积极的措施来保 护自己的数据和系统。目标是在不损害数据和系统 安全性的情况下实现量子技术的全部优势。NIST 的 国家网络安全卓越中心 (NCCoE) 已经开展了几项实 践,“便于从当前的公钥加密算法迁移到能够抵抗 基于量子计算机的攻击的替代算法” 6

 

NIST 目前正在进行后量子加密项目的“遴选”,他 们将从中选择一套后量子算法进行标准化。7 在花费 了三年多8 的时间研究新的加密和数据保护方法之 后,NIST 已经从最初收到的 69 份意见书中选出最终 的 15 份,它们将进入新一轮筛选,并最终形成第一 个后量子加密标准的核心。

现在,澳门赌场官方下载可以采取哪些措施来加强加密基础设 施,并保证它们未来不会过时?答案在于加密敏捷 性。量子计算的准备工作不仅仅是简单的迁移。事 实上,迁移本身将需要数年的规划,特别是对于具 有大型、复杂的 PKI 和关键任务信息的澳门赌场官方下载,如美国 国防部和 Amazon 这样的大型澳门赌场官方下载。若要弥补当前 安全保障与量子安全保障之间的差距,需要采取一 种新的方法。许多澳门赌场官方下载希望在不影响现有系统、标 准和最终用户的情况下采取加密敏捷的安全态势。

目前有一种加密敏捷方法可用于创建 X.509 加强版数 字证书,该证书同时包含两组加密主体公钥和发布 者签名。9 X.509 加强版证书符合行业标准,使澳门赌场官方下载 能够分阶段且无缝地将基础设施和系统过渡到量子 安全状态,同时完全保持与旧版系统的向后兼容 性。澳门赌场官方下载可以通过分阶段升级最关键、风险最大的 资产来实现逐步迁移。

以汽车、飞机、卫星和输电网络为例。这些耐用的 关键设备极易受到攻击,因为它们拥有很长的现场 使用寿命。它们需要更新软件和证书来了解下一代 量子安全加密。想象一下,如果一个由国家资助的 攻击者侵入了某个卫星系统,欺骗它接受自己的恶 意代码,来取代原本可靠的更新,这将带来什么样 的后果?使用寿命较长的设备需要变得敏捷,并且 能够应对出现的任何加密变革。安全措施从现在开 始就需要面向未来,要经得起未来的考验。

澳门赌场官方下载最脆弱的地方来源于未知。澳门赌场官方下载需要知道哪些 地方存在风险,威胁潜伏于哪些方面。当涉及到量 子准备时,对于组织而言良好的开端是盘点现有系 统,找到并确定使用了哪种类型的加密方式、加密 技术部署在哪些地方以及它们是否容易受到未来的 威胁等等。

量子迁移的紧迫性

为了确定量子迁移的紧迫性,有必要提出以下问题:

  • 设备需要多少年的安全保护?
  • 这些信息需要保密多久?

如果其中一个问题的答案是七年或七年以上(例 如,喷气发动机、起搏器、汽车),那么就有必要 立即启动量子迁移准备。如果澳门赌场官方下载管理的设备需要 具备关键任务安全性,包括 PKI 和数字证书、硬件安 全模块 (HSM) 或以物理方式嵌入的可信根,那么也 有必要尽快开启量子迁移的准备工作。

“现在就必须开始规划使用公钥算法的硬件、软件 及服务的替换工作,这样才能保护信息免受未来的 攻击。" 10, 11 例如,以下部门具有高风险安全需求:

  • 关键基础设施,包括能源和卫星
  • 军事
  • 汽车工业
  • 航空业
  • 金融服务

由于量子计算带来的实际风险(尽管风险到来时间 并不确定),许多首席信息官 (CIO) 和首席信息安全 官 (CISO) 已经指派他们的信息系统 (IS) 团队、IT 团 队或加密技术团队着手调查威胁并提出迁移策略。

使用寿命较长的设备需要变 得敏捷,并且能够应对任何加 密变革。

如何开启量子迁移之旅

澳门赌场官方下载应采取以下六个步骤,为量子迁移之旅构建好 IT 生态系统:

  1. 研究—开展研究,确定大规模量子计算将对公钥 密码学和澳门赌场官方下载会产生哪些影响。
  2. 编制目录—执行搜索,确定加密位置以及该密码 学在澳门赌场官方下载中的使用情况。
  3. 确定优先级—确定要迁移的高价值资产并对其进 行优先排序。
  4. 制定策略—与内部团队协作,制定策略并创建迁 移计划。
  5. 寻找伙伴—寻找工具和合作伙伴。与关键供应商 共享澳门赌场官方下载需求,确保目标保持一致。
  6. 计划—留出足够的时间来计划一项策略和准备一 次攻击。尽早开始有助于降低风险。

随着标准机构、政府机构和研究中心开始权衡量子 计算对加密的威胁,澳门赌场官方下载最好的选择是开始规划未 来的加密敏捷解决方案,并为其做好充分的准备。

尾注

1 Lindsay, J. R.; “Surviving the Quantum Cryptocalypse,” Strategic Studies Quarterly, Summer 2020, p. 49–73, http://www.airuniversity.af.edu/Portals/10/SSQ/documents/Volume-14_Issue-2/Lindsay.pdf
2 Foremski, T.; “IBM Warns of Instant Breaking of Encryption by Quantum Computers: ‘Move Your Data Today,’” ZDNet, 18 May 2018, http://www.zdnet.com/article/ibm-warns-of-instant-breaking-of-encryption-by-quantum-computers-move-your-data-today/
3 Routh, A.; J. Mariani; A. Keyal; S. Buchholz; “Preparing for the Coming Quantum World (Pragmatically),” Nextgov, 12 June 2020, http://www.nextgov.com/ideas/2020/06/preparing-coming-quantum-world-pragmatically/166089/
4 Chen, L.; S. Jordan; Y-K Liu; D. Moody; R. Peralta; R. Perlner; D. Smith-Tone; Report on Post-Quantum Cryptography, National Institute of Standards and Technology (NIST), USA, April 2016, http://nvlpubs.nist.gov/nistpubs/ir/2016/nist.ir.8105.pdf
5 Op cit Foremski
6 National Cybersecurity Center of Excellence (NCCoE), “Crypto Agility: Considerations for Migrating to Post-Quantum Cryptographic Algorithms,” National Institute of Standards and Technology, USA, http://www.nccoe.nist.gov/projects/building-blocks/post-quantum-cryptography
7 National Institute of Standards and Technology (NIST), “NIST’s Post-Quantum Cryptography Program Enters ‘Selection Round,‘” USA, 22 July 2020, http://www.nist.gov/news-events/news/2020/07/nists-post-quantum-cryptography-program-enters-selection-round
8 National Institute of Standards and Technology, “NIST Asks Public to Help Future-Proof Electronic Information,” USA, 20 December 2016, http://www.nist.gov/news-events/news/2016/12/nist-asks-public-help-future-proof-electronic-information
9 ISARA, “Managing Cryptographic and Quantum Risk”
10 Op cit NIST
11 Lucier, P.; “Six Steps to Start Readying for Quantum,” ISACA, 10 August 2020, http://ox02.myxiwei.com/resources/news-and-trends/industry-news/2020/six-steps-to-start-readying-for-quantum

Paul Lucier

SARA Corporation 销 售、业务开发及营销 副总裁。他在信息和 通信技术领域工作长 达 20 多年,在非洲、 欧洲、中东、北美和 俄罗斯开拓了新的全 球市场,同时精简业 务运作、管理团队、 指导销售和业务发展。 他的专长是与美国政 府,尤其是美国国防 部建立关系网并成功 引导销售。