ציר הזמן של מודרניזציה קריפטו מתחיל לקבל צורה - Semiwiki

הועלה מחדש על ידי אפלטון

עוקב: 0

קריפטוגרפיה פוסט-קוונטית (PQC) עשויה להיות בעדיפות נמוכה יותר עבור ארגונים רבים, כאשר הספקטרום של פיצוח מבוסס קוונטי נראה רחוק. סוכנויות ממשלתיות רגישות לחלוטין לסיכוני הפיצוח ולהשקעות הדרושות כדי להפחית אותם ועסוקות בהנחת תוכניות 10 שנים להגירה להצפנה בטוחה בקוונטים. מדוע צעד כה נועז, בהתחשב בכך שמומחים עדיין לא יכולים לומר מתי בדיוק יופיעו איומים קוונטיים? PQShield הוציאה את הפרק הראשון שלה של ספר אלקטרוני על PQC ומודרניזציה של קריפטו שכותרתו "איפה הקריפטוגרפיה שלך?" מתאר את ציר הזמן המתגבש והופך את המקרה שלחברות במגזר הפרטי יש יותר חשיפה ממה שהן עשויות להבין וצריכות להתקדם עכשיו.

עשר שנות קריפטו זה לא כל כך הרבה זמן

אנשים ששרדו את ההמולה של Y2K אולי זוכרים שחשבו שזה רחוק וכנראה לא בעיה גדולה כמו כל ההייפ שחודר. בדיעבד, זה בסופו של דבר היה לא אירוע כמעט ללא כשלים קטסטרופליים - אלא רק בגלל שארגונים לקחו אותו ברצינות, בחנו את הפלטפורמות, הספקים ומאמצי הפיתוח שלהם, וביצעו תיקונים באופן יזום לפני המועד האחרון.

ל-PQC יש כמה מאותם ויברציות, למעט שני חריגים. אין תאריך לוח שנה קבוע עבור מתי הבעיות יתחילו אם לא יטופלו. לרבות מהפלטפורמות של היום יש טכנולוגיית קריפטו מוטמעת עמוק, ואין תיקונים לאיומים קוונטיים על אלגוריתמים של מפתח ציבורי, מלבד עיצוב מחדש של PQC. זה הוגן לומר שאם ארגון לא מבין במפורש היכן פלטפורמות משובצות PQC, כל הפלטפורמות בלעדיה חייבות להיחשב כפגיעות. זה גם הוגן לומר שהפוטנציאל לנזק מתמשך גבוה אם בעיה מתחילה לפני שהתוכנית הוקמה.

זה הופך את הייעוץ של ה-NSA לגבי ה-Commercial Security Algorithm Suite 2.0 (CNSA Suite 2.0) ראוי לציון. שוחרר בספטמבר 2022, הוא מזהה ציר זמן של מודרניזציה של קריפטו עבור שש מחלקות של מערכות עם מטרה לאפשר את כל המערכות PQC עד 2033.

CNSA Suite 2.0 ציר הזמן

אבני הדרך המוקדמות יותר עבור כמה מחלקות מערכות בציר הזמן החל משנת 2025, בשילוב עם דרישה לפיתוח יישומים חדש בהתאמה אישית לשילוב PQC, מקצרים את האופק של עשר שנים. PQShield מנסח זאת כך בספר האלקטרוני שלהם:

"המסר לארגונים [במגזר הציבורי והפרטי] הוא ברור ודחוף כאחד: הזמן להתחיל להתכונן להגירה ל-PQC הוא עכשיו, וההכנה הזו כוללת הערכה ותעדוף מלאי של מערכות המשתמשות בקריפטוגרפיה, והן מועמדות להגירה. ”

היכן להתחיל עם מודרניזציה של קריפטו

ותיקים רבים שהדריכו ארגונים במהלך Y2K פרשו - אך השאירו מאחור ספר הפעלה שצוותים יכולים להשתמש בו היום למודרניזציה של קריפטו. השלבים הראשוניים כוללים הערכת סיכונים תוך התבוננות במערכות שפותחו באופן פנימי וסופקו על ידי הספק. אסטרטגיות הפחתה ישתנו, עם כמה שיקולים הכוללים כמה רגישים הנתונים שבהם המערכת מטפלת, כמה זמן נתונים אלה עשויים לחיות, ואם המערכת פונה לציבור.

סקירה כללית של הערכת PQC

PQShield מעלה כאן שתי נקודות חיוניות. ראשית, ייתכן שלא יהיה אפשרי, במיוחד עבור מערכות שסופקו על ידי הספק, לבצע החלפה מיידית. החלפת מערכות ברמה ארגונית מצריכה פיילוט זהיר כדי לא לשבש את הפעילות. החדשות הטובות הן שעבור רוב ספקי היישומים והמערכות המסחריים, PQC לא תהיה דרישה מפתיעה.

הנקודה השנייה היא שפתרונות היברידיים עשויים לחפוף הן ל-PQC והן לריצת קריפטו מדור קודם-קוונטי, עם אסטרטגיית בלימה למערכות מדור קודם. חפיפה זו עשויה להיות המקרה עבור תשתית, שבה ההשקעה תהיה כלל-ארגונית, והעדיפות עשויה להיות הגנה על פלטפורמות הפונות לציבור עם PQC תחילה.

עוברים לדיון ספציפי לתעשייה עבור PQC

לאחר שדנו בפירוט בדאגות התשתית, PQShield מקדיש כמחצית מתשלום הספר האלקטרוני הזה לשיקולים ספציפיים לתעשייה עבור PQC. הם מתארים עשר תעשיות - בריאות, תרופות, שירותים פיננסיים, טכנולוגיה רגולטורית, ייצור, ביטחון, קמעונאות, טלקומוניקציה, לוגיסטיקה ומדיה - המדגישים תחומים הדורשים תשומת לב ספציפית. רוחב התחומים הנידונים מראה כמה מערכות שאנו רואים כמובנות מאליהן כיום משתמשות בקריפטוגרפיה וייפול פגיעות בקרוב.

מודרניזציה של קריפטו היא נושא מורכב, המוגבר על ידי השכיחות של תכונות קריפטו בארגוני מערכות רבים שסופקו על ידי ספקים שאינם שולטים ישירות. מודעות לקווי הזמן במקום, יחד עם מקומות לחפש פגיעות, היא דיון משמעותי.

כדי להוריד עותק של הספר האלקטרוני, בקר באתר PQShield:

מודרניזציה של קריפטוגרפיה חלק 1: איפה הקריפטוגרפיה שלך?

שתף את הפוסט הזה באמצעות: