PQC(后量子加密) 12-19-2023

掌控加密资产以便为PQC做好准备

Timothy Hollebeek
PQC Blog Hero Image

即将到来的量子计算让密码学专家的预测得以显现:加密无处不在。几乎所有实施现代化安全实践的事物都依赖于加密和公钥基础设施(PKI)以实现数字信任

为什么普遍加密非常重要?答案是:与加密相关的量子计算机(CRQC),这种计算机性能足够强大,能够破解RSAECC传统的非对称算法

但这是后量子加密(PQC)可以解决的威胁,NIST在2023年8月发布了第一版PQC标准草案,这让世界离量子安全的未来又近了一步。

采用PQC意味着组织必须通过创建加密资产清单来识别其数字足迹。美国联邦政府机构首先启动了这项工作,根据要求这些机构要在2023年5月前提交其最重要的加密系统清单。然而许多机构很难在这一最后期限前完成工作,因此直到12月整个政府机构的非对称加密清单才最终完成。

联邦政府的挑战展现出了创建加密资产清单的复杂性,尤其是有些组织拥有可能他们自己都不知道的资产。我们将此流程分解为四个步骤,以帮助您启动对这一过渡的规划。

开始向PQC过渡的4个步骤

DigiCert与Ponemon Institute合作开展调查研究,以了解世界对量子计算的准备程度,在此次调查研究中,我们了解到大多数IT负责人担心他们的公司还远远没有做好准备。如果您所在的组织也处理加密资产并且还没有开始向PQC过渡,那么您可以参见以下如何开始进行过渡的相关信息。

1.清点您的加密资产

第一步是开始清点证书、算法和其他加密资产,并根据其重要程度进行优先级排序。以此为基础,您可以确定什么需要升级或替换,以确保当量子计算成为现实之际贵企业的系统仍然安全。

在整个清点过程中,您需要回答几个重要问题:

  • 目前您的证书使用哪些算法?
  • 谁颁发了证书?
  • 证书何时到期?
  • 证书保护哪些域名?
  • 哪些密钥为您的软件签名

进行彻底的清点并不止于此。您还需要回答以下问题:

  • 您的软件包或设备是否自动下载更新?
  • 它是否连接到后端服务器?
  • 它是否与网站或门户网站相关联?
  • 此网站或门户网站是否由第三方或云提供商运营?

如果答案是肯定的,那么您需要联系每家提供商,了解他们依赖谁——了解您的提供商使用哪些软件包,了解提供商的后端提供商是谁等等。

正如我们所说,这是一个复杂的过程。但这也正是现在就要开始行动——而不是在量子计算开始暴露(和利用)贵企业的漏洞之后才开始行动的原因。

2.优先考虑需要被长期信任的加密

首先要替换的加密算法是能生成需要被长期信任的签名的加密算法。想想信任根和长寿命设备的固件。是的,这意味着要对软件和设备及其加密进行详细清点。

为什么?攻击者在打持久战,他们采用“先窃取、后解密”的攻击策略,而记录加密数据是其中的一项工作。未来当网络犯罪分子能获得量子计算时,他们就会解密这些数据——而能让您免受这种攻击的唯一可靠方法就是优先考虑贵企业将长期依赖的任何加密方法。

3.探索并测试贵企业采用PQC算法的方法

NIST仍在努力对安全地实施、测试和部署新型加密安全算法的方法进行标准化和记录。但是密码库和安全软件的实操者现在就需要开始将算法集成到其产品之中。适应选定的PQC算法需要一些努力,因此贵企业可以通过探索如何将其纳入您的加密库来保持领先地位。

4.实现加密敏捷性

完成上述步骤绝非易事。但是,现在清点贵企业的加密资产会在量子计算开始破解算法时带来回报——虽然我们不知道这种情况究竟会在何时出现,但我们知道这只是一个时间问题,而不是会不会出现的问题。

清点完成后,PQC过渡的下一阶段是实现加密敏捷性,这涉及资产可见性、部署加密技术的既定方法,以及在出现安全问题时快速响应的能力。

DigiCert®Trust Lifecycle Manager这样的解决方案利用发现、自动化和集中式证书管理来助您掌控证书库存,并能在不对系统的基础设施造成重大干扰的情况下替换过时的加密资产。

向后量子加密过渡是一项重要任务。但通过识别和管理您的加密资产,贵企业能够为安全且受信任的数字未来奠定基础。

数字信任的最新进展

想了解有关后量子加密、证书管理和数字信任等话题的更多信息吗?请订阅DigiCert博客,以确保您永远不会错过任何信息。

WeChat: 掌控加密资产以便为PQC做好准备