PKI er først og fremst avhengig av to standardiserte algoritmer, Rivest-Shamir-Adleman (RSA) og elliptisk kurvekryptografi (ECC), som fungerer som de “digitale tillitsstemplene” for å verifisere de enorme mengder menneskelige og maskinelle identiteter som får tilgang til data hvert sekund. Imidlertid vil disse algoritmene snart bli lett brutt av kvantedatamaskiner. Hvis en gjennomsnittlig datamaskin i dag prøvde å bryte en melding ved hjelp av standard kryptering, ville det tatt rundt 300 billioner år. En kvantedatamaskin vil kunne gjøre det samme om en uke. Den potensielle virkningen av kvantedatabehandling er så alvorlig at den noen ganger er kjent som The Quantum Apocalypse.
Forberedelsene er godt i gang. De siste seks årene har US National Institute of Standards and Technology (NIST) gjennomført et konkurransedyktig søk etter post-kvantekrypteringsalgoritmer. I en milepæl kunngjøring i julilanserte NIST sine vinnervalg: CRYSTALS-Kyber for generell kryptering og CRYSTALS-Dilithium, FALCON og SPHINCS+ for digitale signaturer.
Det er fortsatt mye arbeid som gjenstår for å standardisere disse algoritmene (som ikke forventes å være fullført før i 2024), og en kvantedatamaskin som er i stand til å bryte dagens kryptering er ennå ikke laget. Imidlertid må bedrifter – både offentlig og privat industri – begynne å planlegge nå for rask, effektiv og feilfri distribusjon til nye kryptografiske standarder. Faktisk ga Cybersecurity and Infrastructure Security Agency nylig ut en bulletin liste opp nøkkelhandlinger som IT kan begynne å jobbe med med en gang. Her er fem ting IT-team kan gjøre i dag for å beskytte bedriftene sine mot kvantebaserte brudd:
- Ta inventar. Stedet å begynne er ved å ta en oversikt over alle krypterte systemer og utarbeide en strategi for distribusjon av den nye kryptografien. Fra grunnen av, forstå hvor de viktigste systemene er, hva risikoene er, hva brukssakene er, hvem som er involvert i denne overgangen, og hvilke systemer som sannsynligvis vil bli påvirket av kvanteberegning. Det ukjente blir en sårbarhet.
- Test de nye post-kvantekryptografiske algoritmene. Det er ikke mulig å utstede et offentlig sertifikat med disse nye algoritmene ennå fordi de ikke er standardiserte, og gjeldende programvare vil ikke støtte dem. Leverandører, programvare, OS og tjenesteleverandører begynner nå å ruste opp for å støtte disse primitivene, og inntil det skjer, kan ikke bedrifter bruke dem i produksjon. Det er imidlertid mulig å begynne å teste algoritmene i laboratoriemiljøer. IT-fagfolk bør teste den nye kryptografien i kontrollerte miljøer, mens standardarbeidet pågår. Alle må forstå hvordan man bruker nye sertifikattyper som hybridsertifikater og hvordan private Certificate Authority (CA) programvare som er i stand til å bruke post-kvantealgoritmer ser ut. Sectigo Quantum Labs tilbyr et gratis hybrid sertifikatverktøysett for sikkerhetseksperter for å evaluere sine postkvantealternativer.
-
Lag en plan for overgang av systemer. Hvert bruksområde for post-kvantekryptografi vil sannsynligvis innebære en rekke gjensidig avhengige teknologier. Bedrifter må forstå de intrikate systemene på plass og ha en plan for å overføre dem til post-kvantekryptografi.
Noen systemer vil ikke være i stand til å konsumere de nye typene kvantesikre sertifikater, som reiser det viktige spørsmålet: Hvor mye risiko er forbundet med det gamle systemet? Hvis svaret er «for mye», må IT-ledere avgjøre om det kan tas ut av drift. Det eneste andre alternativet er å la systemene kjøre mens de er sårbare for angrep fra kvantedatamaskiner. Avhengig av arten og sensitiviteten til dataene og operasjonene som er involvert, vil ledere måtte ta pragmatiske valg om de beste veiene videre.
- Arbeid med leverandører. Det er på tide å jobbe hånd i hånd med leverandørfellesskapet. For nesten alle bedrifter i verden må det store flertallet av implementeringen av post-kvantekryptografi gjøres av leverandører. Maskinvare-, programvare- og tjenesteleverandører vil levere produkter til bedrifter. Så er det IT-lederens jobb å implementere disse nye post-kvanteklare løsningene og integrere dem intelligent. I dag burde IT-ledere allerede finne ut hvordan teknologileverandørene deres planlegger å støtte de nye post-kvantekryptografiske algoritmene.
-
Utdan arbeidsstyrken din. Den gjennomsnittlige sysadmin, med rette, tenker for øyeblikket ikke på en post-kvanteverden på en meningsfull måte. Tross alt er han eller hun oppslukt av å holde lysene på i dag. To år kan virke som en lang tid unna, men teknologiteam anbefales å begynne i dag med å gjøre inventar og forstå virkningen av denne databehandlingsfremgangen.
I tillegg til å teste algoritmer i sandkasser, snakke med leverandører og bestemme hvordan post-kvanteinfrastrukturen deres skal se ut, kan de ta en oversikt over de i organisasjonene deres som vil bli berørt og gi opplæring i hvordan de kan samhandle med de nye systemene.
Bedrifter kan ikke vente. Vær proaktiv og begynn å forberede deg nå, for det kommer til å ta tid å bytte til kvantesikker kryptografi. Last ned nummer én ressurs for kvante-PKI-løsninger på www.sectigo.com/quantum-labs.
*** Dette er en Security Bloggers Network-syndikert blogg fra sectigo forfattet av Tim Callan. Les originalinnlegget på: https://sectigo.com/resource-library/5-ways-to-prepare-now-for-quantum-computing