Kryptomodernisoinnin aikajana alkaa muotoutua – Semiwiki

Post-quantum cryptography (PQC) saattaa olla alhaisempi prioriteetti monille organisaatioille, koska kvanttipohjaisen krakkauksen haamu näyttää olevan kaukana. Valtion virastot ovat täysin herkkiä murtumisriskeille ja niiden lieventämiseen tarvittaville investoinneille, ja ne laativat 10 vuoden suunnitelmia siirtyäkseen kvanttiturvalliseen salaukseen. Miksi niin rohkea askel, kun otetaan huomioon, että asiantuntijat eivät vieläkään osaa sanoa tarkasti, milloin kvanttiuhat ilmaantuvat? PQShield on julkaissut ensimmäisen osuutensa PQC:tä ja krypton modernisointia käsittelevästä e-kirjasta, jonka alaotsikko on "Missä on kryptografiasi?" hahmotellaan muotoutumassa oleva aikajana ja esitetään, että yksityisen sektorin yrityksillä on enemmän näkyvyyttä kuin ne saattavat ymmärtää, ja niiden pitäisi nyt lähteä liikkeelle.

Kymmenen kryptovuotta ei ole paljoa aikaa

Ihmiset, jotka selvisivät vuosi 2-rynnäkköstä, saattavat muistaa, että se oli kaukana eikä luultavasti ollut niin suuri ongelma kuin kaikki hype ennusti. Jälkikäteen tarkasteltuna se päätyi ei-tapahtumaksi, jossa ei ollut melkein mitään katastrofaalisia epäonnistumisia – mutta vain siksi, että organisaatiot ottivat sen vakavasti, auditoivat alustansa, toimittajansa ja kehitystyönsä ja tekivät ennakoivasti korjauksia ennen määräaikaa.

PQC:llä on joitain samoja fiiliksiä kahta poikkeusta lukuun ottamatta. Ei ole tarkkaa kalenteripäivää, jolloin ongelmat alkavat, jos niitä ei lievennetä. Monissa nykypäivän alustoissa kryptotekniikka on syvälle upotettu, eikä julkisen avaimen algoritmeihin ole olemassa korjauksia kvanttiuhkiin PQC:n uudelleensuunnittelun lisäksi. On reilua sanoa, että jos organisaatio ei nimenomaisesti ymmärrä, mihin alustoihin on upotettu PQC, kaikki alustat ilman sitä on katsottava haavoittuviksi. On myös reilua sanoa, että pysyvien vahinkojen mahdollisuus on suuri, jos ongelma alkaa ennen kuin suunnitelma on valmis.

Tämä tekee NSA:n neuvonnasta Commercial National Security Algorithm Suite 2.0:sta (CNSA Suite 2.0) huomionarvoisen. Se julkaistiin syyskuussa 2022, ja se määrittelee salauksen modernisoinnin aikajanan kuudelle järjestelmäluokalle tavoitteena saada kaikki järjestelmät PQC-käyttöön vuoteen 2033 mennessä.

Nämä aiemmat virstanpylväät joidenkin järjestelmäluokkien osalta vuonna 2025 alkavalla aikajanalla yhdistettynä siihen, että uusi, täysin mukautettu sovelluskehitys edellyttää PQC:n sisällyttämistä, lyhentävät kymmenen vuoden horisonttia. PQShield esittää sen näin e-kirjassaan:

"Viesti [julkisen ja yksityisen sektorin] organisaatioille on sekä selkeä että kiireellinen: nyt on aika alkaa valmistautua siirtymään PQC:hen, ja valmistautuminen edellyttää salausta käyttävien järjestelmien luettelon arvioimista ja priorisointia, jotka ovat ehdokkaita siirtymään. ”

Mistä aloittaa krypton modernisointi

Monet veteraanit, jotka ohjasivat organisaatioita vuoden 2 aikana, ovat jääneet eläkkeelle – mutta jättäneet taakseen pelikirjan, jota tiimit voivat käyttää nykyään krypton modernisointiin. Alkuvaiheisiin kuuluu riskinarviointi, jossa tarkastellaan sisäisesti kehitettyjä ja toimittajan toimittamia järjestelmiä. Lieventämisstrategiat vaihtelevat tiettyjen näkökohtien mukaan, mukaan lukien kuinka arkaluonteisia järjestelmän käsittelemät tiedot ovat, kuinka kauan tiedot mahdollisesti elävät ja onko järjestelmä julkista.

PQShield esittää tässä kaksi tärkeää asiaa. Ensinnäkin, etenkään myyjän toimittamissa järjestelmissä, ei ehkä ole mahdollista tehdä välitöntä vaihtoa. Yritysluokan järjestelmien vaihdot vaativat huolellista pilotointia, jotta ne eivät häiritse toimintaa. Hyvä uutinen on useimmille kaupallisille sovelluksille ja järjestelmätoimittajille, että PQC ei ole yllätysvaatimus.

Toinen kohta on, että hybridiratkaisut voivat olla päällekkäisiä sekä PQC:n että kvanttia edeltävän salauksen kanssa, ja vanhojen järjestelmien suojastrategia on käytössä. Tämä päällekkäisyys voi koskea infrastruktuuria, jossa investointi koskee koko yritystä ja ensisijainen tavoite voi olla julkisten alustojen suojaaminen PQC:llä ensin.

Siirrymme alakohtaiseen keskusteluun PQC:stä

Keskusteltuaan infrastruktuurikysymyksistä yksityiskohtaisesti, PQShield omistaa noin puolet tästä e-kirjan erästä PQC:n toimialakohtaisiin näkökohtiin. Niissä hahmotellaan kymmenen toimialaa – terveydenhuolto, lääkkeet, rahoituspalvelut, sääntelyteknologia, valmistus, puolustus, vähittäiskauppa, televiestintä, logistiikka ja media – korostaen erityistä huomiota vaativia aloja. Käsiteltyjen alueiden laajuus osoittaa, kuinka monet järjestelmät, joita pidämme itsestäänselvyytenä nykyään, käyttävät kryptografiaa ja tulevat pian haavoittuviksi.

Salauksen modernisointi on monimutkainen aihe, jota tekee enemmän salausominaisuuksien yleisyys monissa toimittajan toimittamissa järjestelmissä, joita organisaatiot eivät suoraan hallitse. Tietoisuus paikoillaan olevista aikajanoista sekä paikoista, joissa haavoittuvuuksia etsitään, on mielekästä keskustelua.

Voit ladata kopion e-kirjasta käymällä PQShield-verkkosivustolla:

Kryptografian modernisointi Osa 1: Missä on kryptografiasi?

Jaa tämä viesti:

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• EVM Finance. Hajautetun rahoituksen yhtenäinen käyttöliittymä. Pääsy tästä.
• Quantum Media Group. IR/PR vahvistettu. Pääsy tästä.
• PlatoAiStream. Web3 Data Intelligence. Tietoa laajennettu. Pääsy tästä.
• Lähde: https://semiwiki.com/security/pqshield/330362-crypto-modernization-timeline-starting-to-take-shape/