PrimiHub一款由密碼學專家團隊打造的開源隱私計算平臺,專注於分享資料安全、密碼學、聯邦學習、同態加密等隱私計算領域的技術和內容。
只有加密有效,企業資料才是安全的,但企業中的加密通常被認為是理所當然的,很少進行評估或檢查。
隨著數字領域的不斷髮展和量子計算時代的臨近,組織對強化加密解決方案的需求變得比以往任何時候都更加重要。隨著數學和計算的不斷進步,對公鑰加密 (PKE) 的長期依賴可能已接近尾聲,從而在傳統加密方法中留下固有的漏洞。
但是,儘管現有密碼系統處於支離破碎的狀態,但許多決策者在企業密碼方面卻視而不見。 美國證券交易委員會 (SEC) 最近的規定要求組織披露任何重大網路安全事件,這可能會促進急需的觀念轉變,並促使企業採取更積極主動的行動,透過採用更具前瞻性的實踐和政策來管理加密風險。
量子時代的來臨
即使人們無視量子威脅,現代密碼學也會遇到日常弱點,例如人為錯誤、安裝不當的庫以及缺乏金鑰輪換。這樣的事件還在不斷繼續。但考慮到量子時代即將到來,更換傳統加密技術是不可避免的。
簡而言之,組織必須應對現代攻擊帶來的複雜性,美國證券交易委員會的規定只是美國政府為後量子世界準備國家基礎設施而採取的的一部分。
當然,當商用量子計算機真正到來時,它將改變商業和社會,帶來今天難以想象的新的醫學突破、工程壯舉和技術進步。
但這並不意味著組織可以安於現狀並等待那一天的到來。攻擊者已經在大規模利用複雜的工具並採用量子技術來破壞系統、網路和資料。
以美國為例,政府已開始為這些不確定的量子時代做好準備,《國家安全備忘錄 8》和《國家安全備忘錄10》等指令以及《量子計算網路安全準備法案》( HR 7535 ) 的透過已經要求美國所有聯邦機構採用抗量子演算法。
政府供應商和合作夥伴很快就會面臨滿足這些要求的壓力。但伴隨著這樣的承諾而來的是巨大的安全挑戰。
量子計算機將有能力打破當今的加密標準,對國家、全球經濟和數字基礎設施的安全造成前所未有的威脅。使這個問題變得複雜的是有多少組織仍然不知道他們正在使用什麼型別的加密。
首先,隨著企業進行充滿挑戰的過渡,美國國家標準與技術研究所 (NIST) 支援的後量子密碼學 (PQC) 取代易受量子攻擊的 PKE,這在未來幾年將變得至關重要。擁有現有加密系統和流程的完整可見性現在已成為現代企業為面向未來的安全立場做好準備的一個不容妥協的條件。
從問題的嚴重性來看,PKE 使超過 45 億網際網路使用者能夠安全地訪問 2 億個網站,並每年參與價值 3 萬億美元的零售電子商務。
瞭解安全標準
NIST 贊助了後量子密碼學( PQC )專案,以確定增強並最終取代非對稱金鑰加密方法所需的標準和遷移指南。
歷史表明,過去的加密轉型非常困難,可能需要數年時間才能完成。
例如,高階加密標準 (AES) 在 2002 年被選為聯邦政府標準,花了 20 多年的時間才完全取代了資料加密標準 (DES) 和 3DES,後者一直是黃金標準,就像 RSA 一樣。
PQC 遷移將是一項重大任務,需要計算歷史上最大規模的全球密碼轉換。NIST 警告稱,最終標準釋出後(預計 2024 年)還需要 5 到 15 年才能完成全面過渡。
這意味著現在不開始採取行動的組織可能會將其關鍵系統和長期資料置於受到損害的風險中。
為量子未來奠定基礎
Gartner 強調了董事會在擴大產品線、轉變工作方式和進入新市場方面願意接受更大的風險。但正如美國證券交易委員會的規定所明確的那樣,在網路防禦方面忽視信託義務現在可能會產生更加重大和公開的後果。
我們生活在一個企業安全從未如此複雜的時代。在每次成為頭條新聞的違規行為之後,政府加強了對資料安全標準的執行,要求報告網路安全風險和事件。
公司治理應包括加密風險管理和量子準備,作為資料安全和風險緩解的組成部分。管理人員和董事需要採取積極主動的措施來降低當前加密漏洞和量子加密攻擊的風險。原因如下:
-
密碼學每天都會遭受單點故障的困擾,即錯誤、金鑰洩露、熵源較弱。
-
在 PQC 標準最終確定並全面實施之前,量子計算機可能已經可用。無法保證所選的加密標準不會被對手破壞或容易出現實施錯誤。必須做更多的工作,作為加強網路安全的主動措施。
-
所有基於數學的加密標準都受到數學和計算能力進步的影響,這些進步最終將削弱或徹底破解密碼。
-
除了密碼演算法本身之外,密碼學還存在重大風險,即實施錯誤、弱密碼、不良的安全習慣、技能短缺等。
-
重大網路安全漏洞可能會對企業產生持久且往往是嚴重的影響,表現為收入、品牌聲譽、客戶忠誠度和股票價值損失。
從根本上說,向量子安全加密的過渡為組織提供了一個機會,透過重新思考其治理方法來實現其加密基礎設施的現代化,特別是在政府要求不斷變化的情況下。現在是建立一個密碼學研究中心的時候了,該中心能夠透過政策持續推動整個企業的密碼學發現、評估和驗證。
從內在的焦點開始
董事會官員和董事在幫助組織規劃量子準備並確保採取行動並實現里程碑方面發揮著巨大作用。量子承諾將改變公司開展業務的方式,但改變是緩慢的。現在是時候發現密碼風險並確定其優先順序,瞭解量子計算機的安全影響並做出相應的計劃。
以下是一些建議,旨在為領導層提供討論、辯論並最終執行量子準備所需的見解:
-
大型遺留系統充滿了陳舊且過時的加密標準,這些標準在被認為效率低下多年後仍在使用。必須優先考慮進行廣泛的內部審計,以識別這些弱點以及弱簽名或過期的證書。
-
安全團隊必須實踐加密敏捷性,並透過多樣化和採用量子安全加密技術在其基礎設施中注入大量冗餘。
-
組織需要透過實施候選 PQC 演算法,將當今經過驗證和認證的演算法與未來的量子安全加密相結合。
-
使用量子增強金鑰保護關鍵的長期資料,以避免收集攻擊。
-
瞭解並理解您合作伙伴的加密風險管理和量子加密策略,以確保他們做好量子時代準備。
-
別等了,組織必須專注於風險補救、保持合規性、執行策略,並透過主動的加密風險評估和策略控制來改善整體安全狀況。
幸運的是,現在有一些經過第三方驗證、技術獨立、與供應商無關的良好解決方案,可以與現有的加密基礎設施和投資配合使用,使其立即實現量子安全。
當然,量子威脅是非常真實的。但仍然令人擔憂的是,由於缺乏意識、規劃、董事會監督和問責制,現有密碼學正在被削弱。但隨著組織感受到不斷變化的監管環境帶來的壓力,開始投資保護其最有價值的資產免受數學和計算持續進步帶來的風險,這種情況將會發生變化。
原文作者:APRIL H. BURGHARDT
翻譯 & 整理:開放隱私計算 & PrimiHub