RSA KONFERANSI 2022 — San Francisco’daki 2022 RSA Konferansı’ndaki geleceğe yönelik paneller bile geçmişin derslerine dayanıyor. Kuantum sonrası şifreleme açılış konuşması “Wells Fargo PQC Programı: The Five Ws”de moderatör, Electronic Frontier Foundation ve Distributed.net’ten bir ekibin bir günden kısa bir sürede Veri Şifreleme Standardını (DES) kırdığı RSAC 1999’daki değişimi hatırlattı. .
Wells Fargo’da bilgi güvenliği mimarisinin baş mimarı olan moderatör Sam Phillips, eliptik eğri ve RSA algoritması gibi klasik şifreleme teknikleri kaçınılmaz olarak kuantum şifre çözmeye düştüğünde “karıştırmadan kaçınmaya çalışıyoruz” dedi. Ve genellikle yüksek bahisli şifreleme savaşlarını kurdu: “Tüm DES’ler nerede uygulandı? İpucu: ATM makineleri.”
“Nerede kullandığımızı görmek için ekipler kurmamız gerekiyordu. [DES]ve ardından risk temelli bir yaklaşım kullanarak geçiş planını oluşturun” diyen Phillips, “Gerçekten oyunun önüne geçmeye çalışarak ve bu durumda biraz planlama yaparak bundan kaçınmaya çalışıyoruz.”
Phillips’e sahnede Wells Fargo’da bilgi güvenliği mimarisi baş mimarı Dale Miller ve Wells Fargo’da teknoloji analisti Richard Toohey katıldı.
Kuantum Hesaplamanın Kısa Bir Açıklaması
Cornell Üniversitesi’nde doktora adayı olan Toohey, panel sırasında kuantum hesaplamanın teknik yönlerinin çoğunu ele aldı. “Çoğu problem için, bir kuantum hesap makineniz ve normal bir hesap makineniz varsa, sayıları da toplayabilirler. Klasik olarak çok zor olan çok küçük bir problem alt kümesi vardır, ancak bir kuantum bilgisayar için çok fazla çözebilirler. verimli.”
Kuantum bilgisayarların geleneksel bilgisayarlardan daha iyi ele aldığı bu problemlere np-zor problemler denir. “Özellikle asimetrik kriptografide birçok kriptografi, bu np-zor tipi problemlere dayanır – eliptik eğri kriptografisi gibi şeyler; ünlü RSA algoritması – ve kuantum bilgisayarlar yeterince geliştirildiğinde, kaba kuvvetlerini uygulayabilecekler. bunların üzerinden geçmenin yolu,” diye açıkladı Toohey. “Yani bu, modern klasik kriptografimizin çoğunu bozuyor.”
IBM ve diğerlerinin çığır açan tekliflerine rağmen bugün kripto para kıran kuantum bilgisayarlara sahip olmamamızın nedeni, bu güç düzeyine ulaşacak teknolojinin henüz tamamlanmamış olmasıdır. Toohey, “Kriptografik olarak ilgili bir kuantum bilgisayar olmak için, bir kuantum bilgisayarın yaklaşık 1-10 milyon mantıksal kübite sahip olması gerekir ve bu mantıksal kübitlerin hepsinin yaklaşık 1.000 fiziksel kübitten oluşması gerekir. Bugün, şu anda, en büyük kuantum bilgisayarlar 120 fiziksel kübit civarında bir yerdedir.” İlk mantıksal kübiti toplamanın bile üç yıl süreceğini tahmin etti ve oradan sonra “bir milyona yakın mantıksal kübite kadar ölçeklenmesi gerekiyor. Yani daha birkaç yıl var.”
Bu güçlü kuantum bilgisayarları almadan önce çözülmesi gereken teknik zorluklardan bir diğeri, ihtiyaç duydukları soğutma sistemleridir. Toohey’nin dediği gibi, “Qubitler inanılmaz derecede hassastır; çoğunun çok düşük, kriyojenik sıcaklıklarda tutulması gerekir. Bu nedenle, kuantum hesaplama mimarisi şu anda inanılmaz derecede pahalı.” Diğer sorunlar arasında uyumsuzluk ve hata düzeltme yer alır. Panel, bu sorunların kombinasyonunun, kripto kırma kuantum bilgisayarlarının 8-10 yıl uzakta olduğu anlamına geldiği konusunda hemfikirdi. Ancak bu, PQC’yi ele almak için on yılımız olduğu anlamına gelmez.
Şimdi zamanı
Panel, w ile başlayan beş sorudan oluşan gazetecilik modeline göre seçildi, ancak bu, izleyicilerin Soru-Cevap bölümünün geç saatlerine kadar gelmedi. Miller, “Sam ne, kim, neden, nerede ve ne zaman diye soruyordu. Sanırım bunu buradaki konuşmalarımızda ele aldık.”
Başlıklı soruların çoğu biraz belirsiz ve bir yargı meselesiydi. Bununla birlikte, kuantum sonrası geleceği planlamaya ne zaman başlamanız gerektiği konusunda tam bir anlaşma vardı: şimdi. Miller, “Sürece şimdi başlamalısınız ve bir kuantum bilgisayar ortaya çıktığında hazır olmak için kendinizi ilerletmelisiniz” dedi.
Phillips, “Şu anda ticari olarak uygun bir kuantum bilgisayar yok, ancak onu ilerletmek için oradaki çalışmaya harcanan para ve çaba miktarı var, çünkü insanlar oradaki faydaları biliyor ve biz riski kabul ediyoruz. Bunun bir ihtimal olduğunu düşünüyoruz, tam zamanı bilmiyoruz ve ne zaman olacağını bilmiyoruz.”
Toohey, hazırlıklarınıza bir kripto envanteriyle başlamanızı önerdi – yine, şimdi. “Belirli algoritmaların veya belirli kriptografi türlerinin örneklerinin nerede olduğunu keşfedin, çünkü kaç kişi Log4j kullanıyordu ve çok derine gömüldüğü için hiçbir fikri yoktu?” dedi. “İşiniz boyunca tüm üçüncü taraflarla birlikte kullanılan her tür şifrelemeyi bilmek büyük bir soru – bu önemsiz değil. Bu çok fazla iş ve bunun şimdi başlatılması gerekecek.”
Miller, “Şu anda yapmaya çalıştığımız şey, kendimizi bir hedefe doğru sürmektir: Wells Fargo, kuantum sonrası kriptografiyi çalıştırmaya hazır olana kadar beş yıl.” “Önemli olan şudur: büyük şirket, beş yıl, çok agresif bir hedeftir. Dolayısıyla, şimdi başlama zamanıdır ve bu, bu bir araya gelmenin en önemli kazanımlarından biridir.”
Kripto Çevikliği Sizi Kuantum Esnekliğine Getirir
Döndürme, panel için çevikliğin önemli bir göstergesidir ve çeviklik, yalnızca kuantum tehditlerine değil, ardından gelen her şeye tepki verebilmek için hayati önem taşır. Miller, “Buradaki hedef, işletmeniz genelinde algoritmalarınızı oldukça hızlı bir şekilde değiştirebileceğiniz ve kuantum tabanlı bir saldırıya karşı koyabileceğiniz kripto çevikliği olmalıdır.” Dedi. “Ve gerçekten de kuantum bilgisayarının buraya ne zaman geleceğini günlük olarak düşünmüyorum. Bizim için bu daha çok organizasyon için kuantum esnekliği için bir yol ve iz oluşturmakla ilgili.”
Toomey, çevikliğin önemi konusunda hemfikirdi. “İster bir kuantum bilgisayar, isterse klasik hesaplamadaki yeni gelişmeler olsun, herhangi bir kriptografik geçiş yapmamızın 10 yıl alacağı bir konuma getirilmek istemiyoruz. Dönebilmek ve uyum sağlayabilmek istiyoruz. pazara yeni tehditler ortaya çıktıkça.”
Mevcut şifreleme tekniklerini kırabilecek bilgisayarlar olacağından, kuruluşların kuantum kaba kuvvet saldırılarına karşı dayanıklı yeni şifreleme yöntemleri geliştirmeleri gerekiyor. Ama bu sadece yarısı. Phillips, “Sadece algoritmalara odaklanmayın. Verilerinize bakmaya başlayın. Hangi verileri ileri geri aktarıyorsunuz? Ve bu verilerin değerini düşürmeye bakın. Bu gizli bilgilere nerede sahip olmanız gerekiyor ve ne yapabilirsiniz? Sadece kripto çabalarında değil, aynı zamanda verilere kimin erişimi olduğu ve neden erişime sahip olmaları gerektiği konusunda da çok yardımcı olacaktır.”
Standartlara Sahip Olmalısınız
Tartışmada açık bir soru belirdi: NIST, kuantum sonrası kriptografi için geliştireceği yeni standartlar için seçimlerini ne zaman açıklayacak? Cevap: henüz değil.
Miller, kesinlik eksikliğinin eylemsizlik için bir neden olmadığını söyledi. “Dolayısıyla NIST, diğer satıcılar ve diğer şirketler ve araştırma gruplarıyla daha uzaktaki algoritmalara bakmak için çalışmaya devam edecek. Bizim işimiz, bu algoritmaların işi aksatmadan çok düzenli bir şekilde hızlı bir şekilde devreye girmesine izin vermektir. veya iş süreçlerinizi kırmak ve işlerin yolunda gitmesini sağlamak.”
Phillips kabul etti. “Tak ve çalıştır yöntemini zorlamamızın nedenlerinden biri de bu. Çünkü ortaya çıkan ilk algoritma grubunun uzun vadeli ihtiyacı karşılamayabileceğini biliyoruz ve birileri her gittiğinde bu çemberlerin üzerinden atlamak istemiyoruz. içinden.”
Toohey, standartlar sorusunu tekrar hazırlama kavramına bağladı şimdi: “Bu şekilde, NIST nihayet önerilerini yayınlamayı bitirdiğinde ve önümüzdeki yıllarda standartlar geliştirildiğinde, endüstri olarak bunu alıp üstesinden gelebilmek için hazırız.”
“Bu, kripto çevikliğine geri dönüyor ve takıp çalıştırabilmemiz gereken bu zihniyet, yeni ve gelişen tehditlere karşı çok hızlı bir şekilde bir endüstri olarak dönebilmemiz gerekiyor” diye ekledi.