Оперативность, качество, доступные цены!
info@smart-sps.ru

Москва, ул. 6-я Радиальная, д.9​

Как защитить свои цифровые системы от квантового апокалипсиса

Не позволяйте потенциально катастрофическому натиску квантовых вычислений застать вас и ваши системы врасплох. Выполните эти шаги, чтобы перейти на квантово-безопасную инфраструктуру PKI и перейти к автоматизированному управлению сертификатами.

Как бы это страшно не звучало, но грядет квантовый апокалипсис. Несмотря на то, что у развития квантовых вычислений есть много преимуществ, они также создают невероятный и потенциально серьезный риск для наших цифровых систем. Национальный институт стандартов и технологий (NIST), крупные технологические компании, такие как IBM и Google, правительства и известные программисты - все они вносят свой вклад в развитие протоколов и инфраструктуры, необходимых для квантовых вычислений.

Квантовые вычисления представляют собой гораздо больше, чем более быструю обработку. Квантовые компьютеры будут обрабатывать огромные объемы данных с невероятной скоростью, настоящим прорывом является то, что они используют принципиально иной подход к вычислениям. Такой подход позволяет квантовым компьютерам решать определенные типы задач, которые в настоящее время занимают тысячи лет, всего за секунды.

Две проблемы, которые квантовые компьютеры решат очень быстро, - это решение основных математических задач, которые обеспечивают безопасность алгоритмов шифрования Ривеста – Шамира – Адлемана (RSA) и криптографии на основе эллиптических кривых (ECC). Системы инфраструктуры открытого ключа (PKI) основаны на этих алгоритмах шифрования.

Квантовые вычисления уже здесь, хотя и на экспериментальной стадии. Эти системы быстро развиваются, и, по оценкам, они начнут устранять существующие в мире криптографические основы в ближайшие пять-десять лет.

Квантовые компьютеры положили конец сегодняшней криптографии с открытым ключом

На каком-то этапе своего развития квантовые компьютеры будут достаточно быстрыми, чтобы взломать наши текущие алгоритмы шифрования ECC и RSA. Алгоритмы являются основой систем PKI, которые мы используем для аутентификации и защиты личности почти каждого пользователя, системы и устройства. Как правило, каждый раз, когда вы используете цифровой сертификат, у вас есть шифрование RSA и ECC, которые сегодня являются безопасными.

Однако вскоре атаки с использованием сложного квантового компьютера будут очень эффективны при решении конкретных проблем, таких как факторизация простых чисел, которая лежит в основе того, что делает шифрование RSA безопасным. Квантовые вычисления смогут легко взломать эти алгоритмы шифрования за секунды и сделать уровни безопасности устаревшими. Этот неизбежный "прорыв" может быть настолько разрушительным для общества, что сектор безопасности сочтет его «квантовым криптографическим апокалипсисом».

Шумиха небезосновательна. Алгоритмы RSA и ECC используются для защиты каждого источника данных и системы в различных отраслях: фабрики, фермы данных, коммунальные услуги, электронная коммерция, банковские системы, транспорт, сети связи и многое другое.

Прямо сейчас темная сторона квантовых вычислений является спекулятивной и реализуется в основном хорошо финансируемыми злоумышленниками и изгоями-национальными государствами. Но, как и все технологии, со временем квантовые вычисления станут более доступными и распространенными. Крайне важно, чтобы ваша организация была подготовлена к тому моменту, когда квантовые вычисления станут доступными.

Многие злоумышленники готовятся к надвигающемуся квантовому апокалипсису, записывая личную или конфиденциальную информацию о транзакциях по кредитным картам и медицинскую информацию для доступа к картам и удостоверениям личности, которые, как они знают, могут скомпрометировать в ближайшем будущем.

Важно отметить, что не все алгоритмы шифрования становятся небезопасными из-за атак с использованием квантовых вычислений. Например, шифрование AES (Advanced Encryption Standard) защищено от атак квантовых вычислений. Шифрование AES, хотя и является важной частью решений безопасности, не является алгоритмом асимметричного шифрования и не может использоваться для реализации решений PKI.

Планируйте устойчивость с помощью квантовой криптографии

К счастью, исследователи опережают эту неминуемую угрозу.

NIST находится в процессе создания новых алгоритмов шифрования, основанных на различных математических методах, которые могут быть выполнены на традиционных компьютерах, но не могут быть легко взломаны квантовыми компьютерами. Они определили ряд алгоритмов-кандидатов для защиты от атак квантового компьютера и рассчитывают объявить о первом наборе стандартных алгоритмов уже в 2022 году.

Переход на квантово-безопасные криптоалгоритмы требует продуманного планирования и достаточного времени для обновления систем. Эта проблема требует неотложного решения, и специалисты по безопасности настоятельно рекомендуют приступить к планированию прямо сейчас. Квантовый апокалипсис может наступить уже в 2026 году, и на обновление ваших систем и устройств уйдет как минимум столько же времени.

Количество систем и решений, использующих традиционные алгоритмы шифрования, огромно: каждый веб-сайт, машину, систему управления внутренними данными и коммуникации, а также все сторонние приложения, серверы и системы необходимо будет обновить. Даже устройства IoT, которые создаются сегодня, со временем должны иметь возможность для нового шифрования.

Ниже приведены меры, которые вы можете предпринять, чтобы подготовить свою IT инфраструктуру.

Какой метод предпочтительней: прямой или гибридной миграции?

Для крупных предприятий эти меры станут серьезным мероприятием. Прямой подход «скопировать и заменить» к обновлению своих систем шифрования просто неприменим для многих компаний. К счастью, все системы не нужно обновлять одновременно. Подготовка может включать постепенный переход систем на эти новые криптоалгоритмы с низким уровнем риска, чтобы избежать необходимости обновлять и тестировать все системы одновременно.

Организации могут использовать гибридные сертификаты для постепенного, но безопасного перехода. Гибридные сертификаты - это сертификаты X.509 с традиционными ключами RSA или ECC и новыми квантово-безопасными ключами. Гибридные сертификаты позволяют устройствам, которые еще не поддерживают квантово-безопасное шифрование, работать с новыми системами, которые поддерживают квантово-безопасное шифрование, тем самым поддерживая постепенный переход критически важных систем к квантово-безопасному шифрованию.

После того, как все системы будут обновлены для поддержки квантово-безопасного шифрования, для завершения миграции, от гибридных сертификатов можно будет отказаться в пользу чисто квантово-безопасных сертификатов. Однако есть несколько несколько методик для этой модернизации.

Некоторые организации могут выбрать переход непосредственно от традиционной криптографии к квантово-безопасной без перехода на гибридный сертификат. Однако эта более быстрая прямая миграция сопряжена с гораздо большим риском. Если какая-либо система обновлена неправильно, она больше не сможет взаимодействовать с другими системами.

Шесть шагов для перехода на квантово-безопасную криптографию

Жизненно важно, чтобы вы были проинформированы и готовы перейти на новые криптографические стандарты, как только они станут доступны. Чтобы успешно перейти на квантово-безопасную криптографию, необходимо выполнить шесть шагов - будь то обновление напрямую или с использованием гибридных сертификатов (см. Рисунок).

Шаг 1. Переход на квантово-безопасную инфраструктуру безопасности PKI

Первым шагом к переходу на квантово-безопасную криптографию является обновление PKI, включая центр сертификации (CA), для использования квантово-безопасных криптографических алгоритмов. Независимо от того, используется ли внутренняя PKI-система или адаптируется решение от общедоступного доверенного центра сертификации, очень важно, чтобы центр сертификации обеспечивал поддержку квантово-безопасных криптоалгоритмов и квантово-безопасного выпуска сертификатов. Если ваша группа ИТ-безопасности решит использовать гибридные сертификаты, они должны выбрать CA, который поддерживает как гибридные сертификаты, так и чисто квантово-безопасные сертификаты.

Шаг 2. Обновите серверные приложения для идентификации и использования новых алгоритмов шифрования

Переход на квантово-безопасное шифрование требует обновления криптографических библиотек, используемых серверными приложениями, для поддержки как новых криптоалгоритмов, так и новых квантово-безопасных форматов сертификатов. Если используются гибридные сертификаты, серверные приложения должны будут распознавать и обрабатывать как традиционные сертификаты RSA / ECC, так и гибридные сертификаты, содержащие квантово-безопасные криптографические ключи. Для этого серверные приложения должны различать два разных типа сертификатов и обрабатывать каждый с помощью соответствующего алгоритма шифрования для этого типа сертификата.

Шаг 3. Обновите клиентские криптоалгоритмы

Затем ИТ-отделам и командам разработчиков потребуется обновить широкий спектр клиентских приложений для использования квантово-безопасных криптоалгоритмов. После полного и безопасного обновления администраторы могут прекратить использование традиционных ключей / сертификатов RSA / ECC в клиентских приложениях и вместо этого использовать новые квантово-безопасные эквиваленты.

Исключением является ситуация, когда клиентское приложение взаимодействует с несколькими серверными приложениями, которые не могут быть одновременно обновлены до квантово-безопасного шифрования. В этом случае гибридные сертификаты позволят клиенту работать с серверами, поддерживающими традиционное шифрование RSA / ECC, и в то же время использовать квантово-безопасные алгоритмы с серверами, которые поддерживают эти новые алгоритмы.

Шаг 4. Установите квантово-безопасные корни на все системы

Каждая система, использующая PKI, имеет доверенное корневое хранилище. Это корневое хранилище содержит сертификаты для корневого и промежуточного центров сертификации, которые выдают сертификаты в системе PKI. После обновления систем для поддержки квантово-безопасных криптоалгоритмов эти корневые хранилища также необходимо обновить, чтобы добавить новые.

Шаг 5. Выпустите новые квантово-безопасные сертификаты для подключенных устройств и приложений

После обновления систем вашей компании для поддержки квантово-безопасного шифрования следующим шагом будет выпуск новых сертификатов и их установка на всех конечных точках. Это позволит устройству начать использовать квантово-безопасные криптоалгоритмы, как это предусмотрено новыми сертификатами.

Шаг 6: Избавьтесь от старого

Последний шаг в переходе на квантово-безопасную криптовалюту - отказаться от традиционных алгоритмов шифрования, чтобы они больше не использовались. Это можно делать постепенно по мере перехода приложений и систем на новые алгоритмы. После переноса всех систем необходимо отозвать корневые сертификаты ECC и RSA, чтобы убедиться, что они не используются никакими системами.

Защитите свое квантовое будущее

Пришло время сделать первый шаг по обновлению до квантово-безопасной инфраструктуры безопасности PKI и перейти к автоматизированному управлению сертификатами. Переход на новые криптоалгоритмы и системы PKI требует выпуска большого количества новых сертификатов, поскольку для каждого устройства / приложения потребуется новый сертификат.

Квантовые компьютеры - это большие, сложные и дорогие системы, которые поначалу будут доступны только крупным международным технологическим организациям. Однако затем их использование может распространиться на различные государства и, в конечном итоге, на киберпреступников и хакеров.

Однако, если принять меры по миграции сертификата, вы можете снизить риски и снизить уязвимость к атакам с использованием квантовых компьютеров.

Источник: www.electronicdesign.com