Kuantum hesaplamanın ticari kullanılabilirlikten yıllar uzakta olmasına rağmen, iş liderleri, CIO’lar ve CISO’ların, teknolojinin RSA şifreli verileri kırma konusundaki kaçınılmaz yeteneğine hazırlanmak için şimdi harekete geçmeleri gerekiyor. Önemli teknik kriptografi uzmanlarından Çarşamba günü yapılan sert bir uyarıya göre, kuantum sonrası kriptografi (PQC) stratejisini benimsemeye başlamamak, mevcut tüm şifrelenmiş veri varlıklarını açığa çıkma riskine sokacak.
PQC’ye geçiş için teknik bir yol haritası tehdidini kronikleştiren hakemli bir makale Çarşamba günü yayınlandı. Doğabilim ve teknoloji toplulukları için önde gelen bir dergi.
” başlıklı makaleyi yazan siber güvenlik uzmanlarıKuruluşların kuantum sonrası kriptografiye geçişi,” büyük ve hataya dayanıklı (LFT) kuantum bilgisayarlar kullanıma sunulduğunda, saldırganların bunları RSA ve eliptik eğri kriptografisi (ECC) dahil olmak üzere mevcut ortak anahtar şifreleme sistemlerinin çoğunu kırmak için kullanabileceklerinin altını çizdi.
SNDL Tehdidi
Makale, yazarların kuruluşların ele alması gerektiğini iddia ettiği üç kritik konuya işaret ediyor. Birincisi, şimdi depola, sonra şifresini çöz (SNDL) adı verilen aktif ve kritik bir tehdidin varlığıdır; bu uygulama, saldırganların hassas verileri çaldığı ve kuantum hesaplama kullanılabilir hale geldiğinde şifresini çözmek amacıyla bu verileri elinde tuttuğu bir uygulamadır.
İkincisi, yazarlar, kuantum bilgisayarların imza oluşturmak için en yaygın olarak kullanılan RSA ve ECC’yi kırabileceği konusunda uyarıyorlar. Yazarlara göre bu, diğer şeylerin yanı sıra tüm SSL tabanlı web sitelerini, sıfır güven mimarilerini ve kripto para birimlerini riske atacaktır.
Üçüncüsü, Ulusal Standartlar ve Teknoloji Enstitüsü’nün (NIST) standart olarak önereceği bir dizi PQC adayını seçmeye nasıl hazır olduğunu vurgularlar. Makale Çarşamba günkü yayından aylar önce yazılmış olmasına rağmen, NIST adayları birkaç hafta içinde ve potansiyel olarak daha erken açıklamaya hazırlanıyor.
NIST matematikçisi Dustin Moody, PQC algoritma adaylarının yakında duyurulacağını doğruladı. Siber güvenlik standartları arasında NIST’in en büyük standartlarından biridir. teşebbüsler
Gelişmiş Şifreleme Standardı’nı (AES) geliştirdiğinden beri ve Güvenli Karma Algoritma-3 (SHA-3). Moody, Dark Reading’e verdiği demeçte, yeni PQC standardının muhtemelen birden fazla algoritma içereceğini söyledi.
Moody, “Güvenlik açısından tüm yumurtalarımızı tek sepete koymadığımızdan emin olmak istiyoruz” diyor. Moody, NIST’in açık anahtarlı dijital imzaların yanı sıra şifreleme veya eşdeğer anahtar oluşturmayı da değerlendirdiğini ekliyor: “Bunların her biri için en az bir tane olacak.”
NIST’in bekleyen duyurusu, geçen hafta Biden yönetiminden PQC’yi tanımayı ve ele almayı amaçlayan iki direktif tarafından önceden duyuruldu.
Mevcut Veri Varlıkları Üzerindeki Etki
Kağıt, PQC sorunlarının ayrıntılı bir teknik dökümünü sunarken, aynı zamanda kuantum hesaplamanın mevcut bilgi varlıkları üzerindeki etkileri konusunda farkındalık yaratmayı ve bir plan geliştirme ihtiyacını vurgulamayı hedefliyor.
Bildiri, “PQC’yi sistemlerine entegre etmeye başlamamış veya hatta bunun için planlama yapmaya başlamamış olan kuruluşlar için, çabalarına şimdi başlamalarını şiddetle tavsiye ediyoruz” diye uyarıyor. “Zaman değeri beş yılı aşan hassas verilere sahip olan kuruluşlar ve kuruluşlar, PQC’yi derhal değerlendirmelidir.”
Makalenin ortak yazarlarından biri, karmaşık işleme sorunlarını çözmek için kuantum hesaplama ve yapay zeka teknolojisini bir araya getirmeye odaklanan bir hizmet olarak yazılım (SaaS) sağlayıcısı olan Sandbox AQ’nun kurucusu ve CEO’su Jack Hidary’dir. Ana işleme konusu, şifrelenmiş kritik veri varlıklarını belirleyerek ve bunları gelecek PQC algoritmalarıyla korumak için bir strateji geliştirerek kuruluşların kuantum hesaplama riskini anlamalarına yardımcı olmaktır.
Şirketlerin yapması gereken ilk şey, tüm verilerinin, özellikle de şifrelenmiş bilgilerin değerini belirlemek için bir keşif sürecinden geçmektir. Örneğin, büyük bir ilaç şirketi, gelir ve telif ücreti olarak yılda milyarlarca dolar değerindeki patentli ilaçlar için fikri mülkiyet hakkına sahip olabilir. Hidary, bu verilerin yanlış ellere geçmesi durumunda, bu IP’yi değersiz hale getirebileceği konusunda uyarıyor.
Hidary, Dark Reading’e verdiği demeçte, “CISO’lara, mühendislik ekiplerine ve C-suite’deki diğer liderlere bu geçişin nasıl gerçekleşeceğine dair bağlam vermek için bir teknik incelemenin gerekli olduğunu fark ettik.” “Ve bu makalenin motivasyonu bu.”
Hidary, SNDL ile devlet destekli ve bağımsız saldırganların RSA şifreli verileri sızdırmaya başladığını vurguluyor. “Şu anda oluyor – bu bilgiyi depoluyorlar, daha sonra birkaç yıl içinde ek bilgi işlem gücüne sahip olduklarında gelecekte şifresini çözecekler” dedi. “Endişe bu.”
PQC Güçlü Arkadaşları Çekiyor
Sandbox AQ, gizli moddan yeni çıktığı için bugün iyi bilinen bir şirket olmayabilir. Ancak, Google ana Alfabesi tarafından kuluçkaya yatırılan iyi sermayeli bir girişimdir. dışarı fırladı Sandbox AQ Mart ayında bağımsız bir şirket olarak.
Şirketin, Google’ın eski başkanı ve CEO’su Eric Schmidt, eski ABD Savunma Bakanı Ashton Carter, Ulusal İstihbarat’ın eski genel müdür yardımcısı Susan Gordon ve eski ABD Siber Komutanlığı Komutanı emekli Amiral Mike Rogers’dan oluşan seçkin bir danışma kurulu var. Ulusal Güvenlik Ajansı’nın bir zamanlar direktörü.
Ernst & Young Americas siber güvenlik lideri David Burg, Ocak ayında Hidary ile görüşmeden önce, PQC’nin, şirketinin sonunda müşterileriyle ele almak zorunda kalacağı bir sorun olduğunu bildiğini söyledi. Ancak Burg, EY’nin bu konu üzerinde hemen şirketlerle birlikte çalışması gerektiği konusunda hazırlıksız yakalandığını kabul ediyor.
Burg, “Bunun aslında Amerika Birleşik Devletleri’ndeki ve dünyadaki müşterilerimizin düşündüğümüzden daha kısa sürede ilgilenmesi gereken bir sorun olduğunu fark ederek bu toplantıdan ayrıldık” diyor. İki şirket, sorunu birlikte çözmek için bir ortaklık kurdu.
Sina Dağı’nda Sağlık Bilgilerinin Korunması
EY’nin birlikte çalıştığı müşterilerden biri, Sina Dağı Sağlık SistemiNew York City bölgesindeki sekiz hastane kampüsünde 43.000 çalışanı olan . Mount Sinai’nin CIO’su ve tıp fakültesinin teknoloji dekanı olan Kristin Myers, siber güvenliğin 1 numaralı önceliği olduğunu söylüyor.
Myers, “Kuantum hesaplama ile ilgili olarak, gerçek şu ki, bu yenilik nedeniyle, şu anda şifrelenmiş olan verilerin şifresini gelecekte çözmek mümkün olacak” diyor. “Ve sağlık hizmetleri için tahmin edebileceğiniz gibi, hassas PHI’nın yetkisiz bir şekilde ifşa edilmesi [personal health information] Şimdi, beş yıl sonra veya daha sonra olsun, hastaları gerçekten etkileyecektir.”
Myers, Mount Sinai’yi Sandbox AQ ile kaydettirdiğini ve şu anda kullanımda olan tüm şifreleme yöntemlerinin bir incelemesini ve envanterini yürütmeye başlayacağını söyledi. Sandbox AQ daha sonra nasıl ilerleyeceğiniz konusunda önerilerde bulunacaktır.
“Onlarla birlikte uygulamamız gereken bazı ürünlerle ilgili bir fizibilite çalışması yapacağız” diyor. “Bu, onlar için çok yıllı bir yolculuk olacak, ancak sadece başlayabilmek bizim için önemli olacak.”