密碼學面臨量子威脅：不要驚慌，但現(xiàn)在就做好準備

北京時間1月18日消息（余予）ISARA Corporation首席技術官和聯(lián)合創(chuàng)始人Mike Brown日前在Forbes發(fā)表觀點性文章。他認為，量子計算對密碼學的安全性構成了重大風險，有可能使整個基礎設施、網(wǎng)絡和應用程序面臨廣泛威脅。但沒有必要恐慌，特別是如果組織現(xiàn)在開始采取行動的話。

并且，雖然量子安全之旅并不簡單，但我們從中得到的教訓是直截了當?shù)?。通過立即采取行動并制定遷移計劃，組織將很好很好的走向通往藍天的道路。

以下為觀點全文：

目前的公鑰密碼學有望在八年后被大型量子計算機破解。毫無疑問，量子計算對密碼學的安全性構成了重大風險，有可能使整個基礎設施、網(wǎng)絡和應用程序面臨廣泛威脅。從零售商到銀行，從關鍵基礎設施到汽車制造商，再到政府——每家現(xiàn)代企業(yè)都依賴加密技術來確保交易和驗證身份。但沒有必要恐慌，特別是，如果組織現(xiàn)在開始采取行動的話。

然而，沒有足夠多的首席信息安全官和首席信息官開始解決量子威脅并開始他們的量子安全之旅。一些人會問，為什么要在如今已經面臨眾多威脅（其中任何一個都可能嚴重破壞任何規(guī)模的商業(yè)運作）的情況下，解決幾年后才出現(xiàn)的問題。許多人不了解危機的嚴重性；所需的時間、資源和預算；或者說量子安全制備的第一步應該是什么。

組織有足夠的時間和能力來高效、無縫地過渡到量子安全密碼學，而不會造成任何傷害。通過熟悉新的加密算法、對資產進行分類并進行影響分析，組織可以開始優(yōu)先考慮遷移高價值資產。

以下是組織現(xiàn)在可以做的七件事，為向量子安全的遷移做準備：

1. 從現(xiàn)在開始保護通信不被獲取和解密，這樣它們從現(xiàn)在起10年后就會受到保護。

2. 開始識別和盤點可能容易受到量子攻擊的關鍵業(yè)務系統(tǒng)、應用程序和信息。

3. 將加密技術的可見性擴展到所有相關的未來RFP以及當前的供應商、承包商、原始設備制造商、第三方和合作伙伴。堅持讓這些供應商制定量子安全路線圖，并要求他們分享他們的計劃。

4. 開始構建您向量子安全安全計劃的整體遷移，并了解過渡過程可能需要數(shù)年時間。任何類型的大規(guī)模加密轉換都是一個大型 IT 項目。管理密碼學非常復雜，過去的經驗告訴我們，這些遷移是復雜的工作。

5. 開始制定您的身份和訪問管理 (IAM) 遷移計劃。大型公鑰基礎設施 (PKI) 的過渡將非常困難。。

6. 您的軟件和固件更新安全嗎？確保您的計劃包括保護無線軟件更新。

7. 查看美國國家標準與技術研究院 (NIST) 的最新建議，了解后量子密碼學 (PQC) 標準的時間表。美國國土安全部(DHS)等政府部門也在提供指導。

事實上，國土安全部部長Alejandro N. Mayorkas主張：“現(xiàn)在是組織評估和減輕相關風險敞口的時候了。在我們繼續(xù)應對緊迫的網(wǎng)絡挑戰(zhàn)之際，我們還必須通過專注于戰(zhàn)略和長期目標，保持領先地位。這一新的路線圖將有助于保護我們的關鍵基礎設施并提高全國的網(wǎng)絡安全彈性。

您現(xiàn)在制定的計劃不應受制于大型量子計算機何時能夠破解經典加密的預計。他們應該以NIST何時開始發(fā)布其第一個PQC標準為指導，PQC標準預計最早在2022年末發(fā)布。您的組織需要制定計劃來轉向這些新標準。采取上述步驟是一個很好的起點。

德勤政府洞察中心警告稱，“等待量子技術成熟可能意味著組織變革發(fā)生得太晚了。”在準備好并將您的加密基礎設施遷移到量子安全的基礎設施時，不要拖延，也不要像“Chicken Little”一樣恐慌。相反，你可以從《三只小豬》中的砌磚豬身上得到一些啟發(fā)。及早計劃和準備將有助于降低風險。

雖然量子安全之旅并不簡單，但我們從中得到的教訓是直截了當?shù)模?/p>

• 向新加密標準的遷移是不可避免的，而且現(xiàn)在已經安排妥當。

• 必須優(yōu)先考慮密碼的發(fā)現(xiàn)和管理。

• 實施量子安全技術和政策是關鍵。

通過立即采取行動并制定遷移計劃，您的組織將很好的走向通往藍天的道路。

生成海報

免責聲明：本網(wǎng)站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時，應及時向本網(wǎng)站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。