CISA警示关键基础设施应为大规模后量子密码系统迁移做准备

随着公共和私人技术实体开始探索量子计算如何帮助和破坏他们的行业，美国网络安全和基础设施安全局(CISA)正在建议关键基础设施组织准备保护他们的系统免受强大的量子解密算法的影响。当地那时间8月24日，CISA发布了题为《关键苊设施应为后量子密码时代做好准备》的Insights文件，指出将 ICS(工业控制系统)升级到后量子密码系统将面临重大挑战，因为部署的依赖于密码学的 ICS 硬件成本高昂，而且相关设备通常在地理上分散。 虽然目前尚不存在能够破解公钥加密算法的量子计算技术，但政府和关键基础设施实体——包括公共和私人组织——必须共同努力，为新的后量子密码标准做准备，以防御未来的威胁。

“但是，组织应该为迁移到后量子密码学做必要的准备，”该机构在其最新的 CISA Insights 文件中说。它“敦促ICS组织确保他们的硬件更换周期和网络安全风险管理策略考虑到解决量子计算能力风险的行动。” 

CISA文件概述了关键基础设施利益相关者应采取的行动，明确提出他们应该为未来迁移到美国国家标准与技术研究院(NIST)将于2024年发布的后量子加密标准做准备。 

该文件指出，民族国家和私营公司正在积极追求量子计算机的能力。虽然目前尚不存在能够破解当前标准中公钥加密算法的量子计算技术，但政府和公共和私人组织中的关键基础设施实体必须共同努力，为新的后量子密码标准做准备，以抵御未来的威胁。  

CISA文件称，为了帮助关键基础设施合作伙伴为采用后量子密码学做准备，CISA 分析了55个NCF(国家关键功能)中的每一个如何容易受到量子计算能力的影响。CISA 还检查了NCF特定系统在迁移到后量子密码学时面临的挑战。该分析的结果确定了最重要的紧急漏洞和NCF，首先要解决这些漏洞，以便成功迁移到后量子密码学。 

该文件称，CISA根据其对量子计算对国家关键基础设施的预期影响的脆弱性分析了每个NCF。该机构根据每个NCF对当前加密标准的依赖的紧迫性、需要更新的组织和系统的范围和规模，以及组织升级到新加密系统的相对成本，将每个NCF列为高、中或低优先级标准。CISA还将影响每个NCF迁移的因素列为加剧、中性或缓解。这些因素包括人力资本的可用性和移民准备的状况。

CISA文件包括由国土安全运营分析中心(HSOAC)开发的评估，该中心是由RAND 公司运营的联邦政府资助的研发中心，其中确定了美国政府和私营企业应优先考虑的三个NCF领域。 

几个NCF将使大多数功能能够迁移到后量子密码学。成功提供这种支持将降低大多数用户的风险。由于ICS硬件的更换生命周期长和设备的广泛地理分布，对ICS的依赖是一个集中脆弱的领域。最后，具有较长保密生命周期的NCF将需要大量支持，以确保国家最敏感的数据保持安全。 

虽然可以承载量子计算的可行机器仍未广泛使用，但专家指出，一旦量子计算机成功运行，其算法将能够破解经典计算机使用的标准公钥加密。CISA强调，这对国家关键功能或有助于国家安全、生产线和公共卫生等基础设施的系统尤其有害。 

专家承认，抗量子技术的更新是艰巨的。NIST的数学家Dustin Moody说，由于昂贵的新专用硬件以及潜在的软件更新来保护存储在各种网络上的数据，加密升级将是一项艰巨的任务。

“这可能是一个更棘手的过渡，但它也将是一个必要的过渡，”Moody告诉Nextgov。“因此，我们[NIST研究人员] 鼓励人们现在就开始计划、准备和发现，而不是等待。” 

Insight文件称，CISA还将继续就量子计算能力如何影响NCF的发展提供见解。 

几个NCF将通过提供集成新加密标准的产品、补丁和其他软件和固件更新，直接支持关键基础设施社区向后量子加密的迁移。大多数NCF及其支持的关键基础设施依赖于这些支持功能来成功执行迁移并保护其敏感信息。 

CISA表示，可能对支持成功迁移最重要的四个NCF包括提供基于Internet的内容、信息和通信服务、身份管理和相关的信任支持服务、IT产品和服务以及保护敏感信息。 

“CISA建议负责这些NCF的利益相关者与NIST、DHS和其他政府机构密切合作，以确保他们不仅做好自我迁移的准备，而且还支持跨其他NCF的数字通信迁移，”该文件称。“所有NCF的利益相关者都需要采取行动，但只有在这四家公司创造出能够进行进一步更新的产品和服务之后。”

NIST个月选择了最初的一组加密工具，旨在抵御未来量子计算机的攻击，这可能会破解用于保护数字系统隐私的安全性。四种选定的加密算法将成为NIST后量子密码标准的一部分，预计将在大约两年内完成。

去年10月，美国国土安全部(DHS)和NIST制定了路线图，以帮助组织保护其数据和系统，并降低与量子计算技术进步相关的风险。该计划旨在提高认识并指导联邦、州、地方、部落和地区合作伙伴、关键基础设施所有者和运营商以及私营部门的其他人。这些措施将帮助组织保护他们的数据和系统，并降低与量子计算技术进步相关的风险。

国土安全部部长Alejandro N. Mayorkas 也在去年3月概述了他对网络安全弹性的愿景，并将向后量子加密的过渡确定为优先事项。因此，政府和关键基础设施组织现在必须采取协调一致的准备行动，以确保顺利迁移到NIST将于2024年发布的新的后量子密码标准。

参考资源：

1.https://industrialcyber.co/cisa/upgrading-ics-to-post-quantum-cryptography-will-be-demanding-as-cisa-outlines-plans-for-critical-infrastructure/

2.https://www.nextgov.com/cybersecurity/2022/08/cisa-warns-critical-infrastructure-prepare-mass-post-quantum-systems-migration/376301/

3.https://www.cisa.gov/sites/default/files/publications/cisa_insight_post_quantum_cryptography_508.pdf

原文来源：网空闲话

“投稿联系方式：孙中豪 010-82992251   [email protected]”

原文始发于微信公众号（关键基础设施安全应急响应中心）：CISA警示关键基础设施应为大规模后量子密码系统迁移做准备