量子计算机:如何为对信息安全的巨大威胁做好准备
来源:新浪 2020-11-11 10:15:29
建造世界上第一台可靠且真正有用的量子计算机的竞赛正在进行中,终点线比您想像的要近得多-我们甚至可以在十年内实现这一目标。这是一个令人兴奋的前景,特别是因为这些超强大的机器为从药物开发到电动汽车电池设计的几乎每个行业都提供了巨大的潜力。
但是量子计算机也带来了很大的安全问题。通过成倍提高的处理能力,它们将能够突破当今广泛使用的公钥加密标准,从而威胁到所有数字信息和通信的安全性。
尽管它很诱人地将其刷在地毯上作为“明天的问题”,但现实更加迫切。这是因为量子计算机不仅会对明天的敏感信息构成威胁:它们将能够解密过去加密的数据,现在加密的数据,以及将来将加密的数据(如果量子计算机不使用抗性算法)。
这就是为什么国家安全局(NSA)早在2015年就警告我们“必须立即采取行动”消除威胁的原因,也是为什么美国国家标准技术研究院(NIST)竞相标准化新的后量子密码解决方案,以便企业可以在威胁发生之前,获得可信赖的安全网。
从航空到制药:处于危险之中的行业
严酷的现实是,没有人能幸免于量子威胁。无论是安全服务,制药公司还是核电站,任何拥有敏感信息或知识产权的组织都需要长期加以保护,因此必须认真对待这一问题。
赌注很高。对于政府而言,量子攻击可能意味着敌对国家获得了敏感信息的访问权,从而损害了国家安全或泄露了破坏政治稳定的秘密。另一方面,对于制药公司而言,量子计算机可以使竞争对手获得有价值的知识产权,从而劫持了开发成本高昂的药物。(正如我们在争夺COVID-19疫苗的竞赛中看到的那样,该IP有时可能具有重大的地缘政治重要性。)
硬件和软件也容易受到攻击。在航空业这样的行业中,具有量子能力的黑客将能够伪造软件更新的签名,将该更新推送到特定的引擎部件,然后使用它来更改飞机的运行。诸如起搏器之类的医疗设备将容易受到同类攻击的侵害,其联网软件的软件会定期从云中更新。
尽管情景的清单还在继续,但是好消息是,公司可以使用当今可用的技术为量子威胁做好准备。就是这样:
1.尽早开始对话
首先,在您的企业内提高量子素养,以确保执行团队了解安全威胁的严重性和及时性。面对相互竞争的优先事项,他们可能否则很难理解为什么这个问题值得立即关注和投资。
确保他们了解自己面临的挑战是您的工作。确定可能对您的企业和行业产生的特定风险–量子攻击将是什么样子,如果要解密敏感信息,您将面临什么后果?
生动描绘可能的方案,并计算每个方案对您的业务造成的成本,以便每个人都知道风险所在。这样,您将开始建立一个引人注目的业务案例来升级组织的信息安全性,而不是假设这将立即变得显而易见。
2.算出您拥有的以及仍然需要的东西
对您使用加密技术的企业中的每个位置进行全面审核,并确保您理解为什么这样做。出乎意料的是,许多公司都不知道他们目前已经采用的所有加密技术或为什么采用这种加密技术,因为多年以来,保护层是孤立地建立起来的。
您今天依赖什么加密标准?您在保护什么数据,在哪里?尝试指出您可能容易受到攻击的地方。例如,如果您将敏感信息存储在基于云的协作软件中,则该信息可能依赖于公钥加密,因此不会是量子安全的。
作为此审核的一部分,请不要忘记标识数据传输的位置。无论您的数据受到什么保护,从一处转移到另一处时,它都容易受到攻击。确保您了解数据在企业内部的流动方式以及往返的方式,因此您可以制定解决这些弱点的计划。
考虑到需要遵守哪些行业法规或标准,以及这些法规在整个业务领域中的作用,这也至关重要。例如,对于医疗保健或金融等行业,在信息安全方面要增加一层法规,而如果您持有与欧洲或加利福尼亚州公民有关的个人信息,则将适用GDPR和CCPA等隐私法律。
3.建立增强安全性的长期策略
一旦掌握了所持有的敏感数据的全貌,就可以开始计划向量子就绪架构的迁移。您当前的安全基础架构有多灵活?您的加密解决方案的加密敏捷性如何?为了迁移到新技术,您是否需要重写所有内容,还是可以进行一些直接的切换?
NIST将在下一年半完成最终量子加密标准,但是该过程已经在进行中,并且行进方向也越来越清晰。现在已经公布了决赛入围者的算法,企业无需等待获取量子安全性,他们只需确保自己设计安全性基础架构即可与NIST当前考虑标准化的任何入围方法一起使用。
部署混合解决方案(将现有解决方案与一种称为NIST最终解决方案的量子后方案配对),可以成为在您的安全体系结构中建立弹性和灵活性的好方法。这样,您就可以遵守宣布的新行业标准,并在此期间保持充分的保护,免受当前和未来的威胁。
无论您做出什么决定,请记住,迁移可能会花费一些时间-特别是如果您的业务已经建立在一个复杂的基础架构上,将很难取消和重建。在开始之前,请制定一个可靠的计划,并考虑与该领域的专家合作以加快流程。
我们看不到的风险
仅仅因为尚未出现风险,并不意味着就没有必要为此做准备(考虑到所有情况,这种思想本来可以为冠状病毒大流行派上用场)。
量子威胁是严重的,而且非常紧急。幸运的是,我们已经具备了建立安全网的所有要素,并且由于强大的数学基础,我们可以确信,NIST标准化的算法将保护企业免受最强大计算机的攻击。