量子计算不断创新,企业要着手防御新型网络安全威胁
近几年,量子计算领域发展迅速,特别是2020年取得了突破性的成果。创新不断驱动着这一革命性的技术商业化。刚刚过去的2020年,该领域取得了以下里程碑式的突破:
7月,IBM与日本顶尖院校达成合作,将量子计算机引入工作场所,应用于商业、金融和材料开发。
8月,芝加哥大学研究人员宣布,发现了一种可以使量子系统的运行时间延长10000倍的技术。
9月,谷歌AI研究团队首次成功用量子计算模拟化学反应,揭示了通往量子化学系统逼真模拟的路径。
虽然量子技术离成熟还要一定时间,但从业者已经开始考虑该技术对网络安全和加密算法的影响。ETSI最近发布了量子安全方案迁移的策略和指导性建议。认证标准委员会(ASC X9)发布了针对数字签名公钥加密技术的新标准。
量子领域进步巨大,未来可期
很明显,2020年是量子计算大规模应用的分水岭,之后创新速度会不断加快。用不了多久,就会有一家大型科技公司宣布,它已经应用量子计算成功解决了传统超算无法解决的问题。
目前,我们还没到ECC或RSA等算法面临风险的地步,因为破解这些高级保护措施需要大规模的量子计算能力。然而,技术突破是一个重要信号,它会吸引资本涌入量子技术领域,并形成良性循环以推动行业更快发展。
这些技术突破对企业和OEM(初级设备制造商)意味着什么?根据最近的一项调查,71%的IT专家认为,量子计算将在不久的将来带来重大安全威胁。
网络安全战略的转变耗时很长,有时甚至需要几十年。这意味着企业如果想在量子计算领域占一杯羹,现在就必须开始准备。企业和制造商如果没有立马跟进,就有可能在未来几年被抛在后面。
制定一个四年规划
虽然2020年量子计算取得了很多进展,但仍然无法预测量子计算技术成熟的准确日期。要想走在前面,最好在2025年之前做好网络安全准备工作。对于一些关键系统,提早做好防御措施很重要。
为什么2025年是一个重要的时间节点?美国国家标准与技术研究所(NIST)最近启动了一项关于选择量子安全算法的评估,预计在2024年前完成。对于OEM厂商和负责产品、解决方案和嵌入式安全的机构来说,这是一个需要时刻关注的重要时间节点。
持有金融数据、军事机密、医疗保健记录等长效数据的企业,很容易遭受“收割和解密”攻击。企业需要现在就做好准备,以确保风险数据安全。
此外,现行的设备在量子计算到来时仍然存在,需要有一个适当的计划,比如远程安全更新,将它们更新为量子安全框架。由于这些框架还没有标准化,一些产品将需要两次更新才能保证安全:一次是为接入安全框架做准备,另一次是在量子技术更成熟后。
此外,拥有关键开发节点、生命周期长、维修召回成本高的产品或解决方案的公司,需要采取积极的措施。这类企业应该开始测试、概念验证和基础设施升级,以确保在量子计算成为风险威胁前做好准备。这类产品的全面转型应该在2025年之前完成。鉴于标准尚未形成,企业可以遵从NIST联邦信息处理标准(FIPS)部署混合加密的解决方案。
立刻行动
企业现在可以开始初步行动,以下是关于安全防卫设备部署的一些初步规划,但要提前想清楚设备是否需要强安全性,例如:公钥基础设施(PKI)和电子证书、硬件安全模块硬件、物理信任根基。
一款设备完全安全化需要多少年?如果答案是7年或更长时间,那就需要从今天开始着手。
这些资料需要保密多久?如果上述时间一样,那也需要现在开始准备。
企业在为技术转型做准备时,需要花时间了解问题,并找到解决问题的技术,找到企业中所有的算法并开始制定替换计划。
当企业着手部署转型计划时,要联系第三方供应商替换不能升级的产品和服务。并对该转型计划来一次实测,以确保计划有效。然后,积极采取行动,推出量子安全的PKI解决方案,以支持以后的升级和持续部署。
虽然量子计算可能需要10年或更长时间才能成为主流,但企业不能输在起跑线上,因为安全和合规的风险会以往任何时候都高。但是,如果尽快实施计划,企业可以在量子计算革命到来之前保持领先优势。
文章来源:https://www.freebuf.com/articles/web/264905.html