尽管能进行大规模密码攻击的量子计算机尚未出现,但近期进展表明这一威胁五年内可能从理论转向现实。安全专家在Infosecurity Europe会议上敦促安全从业者尽早向后量子密码(PQC)过渡,并特别关注供应链风险。因为足够强大的量子计算机将破解当前非对称加密,危及金融交易、敏感数据及通信安全。为此,专家呼吁首席信息安全官(CISO)要求供应商和合作伙伴提供明确的PQC准备路线图。
为“Q-Day”做准备
Infosecurity欧洲信息安全小组认为,金融、关键基础设施、医疗保健和电信等行业,尤其是处理长期机密的组织面临的量子计算威胁风险最大。
提供量子弹性网络安全产品的Lastwall公司创始人兼CEO Karl Holmqvist表示:“Q-Day不会事先宣布,企业需要面对日益增长的威胁立即采取行动。有序过渡的成本将低于紧急应对计划,这就像Y2K问题,但没有一个确切的日期。”
像RSA和ECC这样的加密方法对于经典计算机而言被认为是牢不可破的,因为破解它们依赖于对大质数乘积进行因式分解或类似任务。然而,量子计算机基于与经典计算机根本不同的计算架构,能够解决即使是最强大的超级计算机也难以处理的问题,例如破解广泛使用的加密方法。这种威胁推动了抗量子密码算法的发展。
美国国家标准与技术研究院(NIST)去年批准了三个抗量子密码(PQC)标准,用于数字签名和密钥交换等应用。组织需要更新其密码系统、库和硬件(如硬件安全模块HSM)以支持新标准。
英国国家网络安全中心(NCSC)发布了到2035年分阶段迁移至量子安全系统的指南。早期采用的例子包括谷歌在Cloud KMS(密钥管理服务)中采用的量子安全数字签名,以及Cloudflare承诺将新的PQC标准集成到其服务中,但大部分工作仍在进行中。
IETF正在修订和标准化关键的互联网协议(如TLS、SSH和VPN)以支持PQC算法,这些算法通常具有更长的密钥长度和更严苛的性能特征。
一些安全厂商也正在引入混合公钥基础设施(PKI)解决方案,以确保向后兼容性并平滑迁移到PQC。
Holmqvist建议:“CISO需要开始询问供应商是否已准备好支持PQC”。
桑坦德银行全球网络安全研究主管Daniel Cuthbert认为,量子技术的进步正迫使组织审视密码学的应用位置和方式,这是一项经常被忽视的任务。Cuthbert建议,量子威胁可以作为推动力,帮助安全专业人员获得授权在其组织内进行密码资产盘点。
作为第一步,组织可以准备一份密码物料清单(cryptographic bill of materials),以审计其组织对加密技术的使用情况。
无需“整体更换式升级”
IBM EMEA云风险和控制负责人Anne Leslie 表示:“企业和人们认为PQC过渡很困难,但实现系统现代化并为PQC做好准备的任务可分解为多个部分逐步完成。企业必须像合作伙伴和供应商一样快速发展。”
Forrester的高级分析师Madelein van der Hout 认为,虽然企业有许多优先事项需要平衡,但企业也应该在五年内开始为PQC做准备,因此采用的节奏应与其风险承受能力、内部业务目标和更广泛的战略保持一致。
结语
为应对量子威胁,企业应尽快制定计划,优先推动供应商协同与加密审计,分步实施抗量子加密系统更新,确保安全过渡与业务韧性。
参考链接:
https://www.csoonline.com/article/4002749/cisos-urged-to-push-vendors-for-roadmaps-on-post-quantum-cryptography-readiness.html
END
✦
原文始发于微信公众号(安全419):安全专家敦促应五年内启动后量子密码迁移
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论