By Dan O'Shea postat 02 augusti 2022
Nästan en månad efter att National Institute of Standards and Technology avtäckte sin första post-kvantkryptografi (PQC), börjar det se mycket mer ut som att NIST-meddelandet var början på en lång process snarare än kulmen på en.
Den långa processen det startade är en bedömning. Medan många företagsorganisationer och statliga myndigheter de senaste månaderna har börjat få en känsla av brådska när det gäller att skydda sig mot kvanthot, kommer deras migrationer till PQC inte att ske över en natt, enligt Johannes Lintzen, vd för Cryptomathic. Företaget har stor erfarenhet av den här typen av migrationer, efter att ha grundats för 37 år sedan i Aarhus, Danmark.
Organisationer som skyndar på sina PQC-migreringar riskerar att missförstå deras PQC-behov, såväl som potentialen att anta standarder som fortfarande inte är helt färdiga, sa Lintzen.
Lintzen noterade att i kölvattnet av NIST-meddelandet har organisationer tre alternativ, varav det första är att inte göra någonting alls. "Bara att ignorera det är förmodligen det värsta du kan göra," sa han.
Det andra alternativet är att snabbt gå in i att migrera till ny säkerhet. "Man kan säga," Ja, det har tillkännagivits, så vi kommer att implementera det nu," sa han. "Jag tror att det är ett giltigt tillvägagångssätt, men det kan leda till ytterligare en omimplementering på vägen, bara på grund av hur dessa kryptografiska system utvecklas över tiden. Tills det är helt standardiserat kommer vi att se ytterligare en, du vet, kanske två års period av korrektur och ytterligare försök att hitta svagheter.”
Det tredje alternativet, det som Cryptomathic rekommenderar och som ett växande antal cybersäkerhetsföretag verkar stödja, är att påbörja en organisationsomfattande bedömning och städning – ta reda på vilka algoritmer och skyddssystem som används nu, vilka enheter, system och data behöver bättre skydd, vilket bland dessa är de mest kritiska, och planering av en migrering som i sig kommer att innebära steg med ytterligare utvärdering och testning utöver implementering.
Att göra allt detta först kommer att göra en organisation mer "kryptosagil", vilket i slutändan kan vara viktigare än att lägga till PQC så snabbt som möjligt.
"Ta ett steg tillbaka, analysera, gör dina system redo," sa Lintzen. "Få kryptoagilt så mycket som möjligt. Prioritera med säkerhet områden inom din organisation som är under mer granskning än andra. Identifiera de användningsfall som är viktiga. Gör en åtgärdslista för de kommande tre till fem åren om hur du ska migrera alla dina system.”
Att ha kryptoagilitet kommer att göra det möjligt för organisationer att vara bättre förberedda för vad som än kommer härnäst – inte bara de initiala NIST-standarderna, utan även potentiella framtida standarder, eftersom det kan komma fler. Det kommer också att hjälpa dessa gruppers IT-personal att reagera bättre på förändringar, såsom att vissa algoritmer bryts och det växande behovet av att hantera allt mer komplexa säkerhetsmiljöer.
Även om det kommer att ta tid för användarorganisationer att få ordning på sina hus, kan det också ta tid för cybersäkerhetsekosystemet att organisera sig för att stödja massiva migrationer över flera branscher. Medan många PQC-specialister har startat upp under de senaste åren för att ta hand om migreringen, tillsammans med långvariga företag som Cryptomathic, sa Lintzen att många av dessa programvarufokuserade företag är beroende av tillverkarna av hårdvarusäkerhetsmoduler (HSM) för att kunna stöder PQC-lösningar, och dessa HSM-leverantörer har sina egna produkttidslinjer.
Ändå sa Lintzen att det är uppmuntrande att se att så många företag och branscher börjar ta säkerhet mycket mer på allvar efter decennier under vilka det inte ansågs vara en prioriterad fråga.
"Det har utvecklats mycket under åren från att kryptografi, kryptering och nyckelhantering bara är en riktigt nischsak som ingen riktigt pratade om och som bara drevs av efterlevnad och det inte nödvändigtvis," sa Lintzen. "Jag tror att det som verkligen har förändrats är att kryptografiska operationer nu är grunden för i stort sett all kommunikation som pågår online. Du har megatrenderna med digitalisering och molnifiering, där organisationer som banker börjar driva in mycket känsliga verksamheter i en tjänstebaserad miljö eftersom de drivs att göra det av verkligheten på marknaden. Medlen för att skydda digitala tillgångar... det är en kombination av kryptografi och matematik. Det återspeglas naturligtvis i vårt namn. För oss är dessa teknologier helt klart limmet som håller ihop den grunden."
