By Dan O'Shea postitatud 02. augustil 2022
Peaaegu kuu aega pärast seda, kui Riiklik Standardite ja Tehnoloogia Instituut avalikustas oma esialgse postkvantkrüptograafia (PQC), hakkab see palju rohkem välja nägema, et NIST-i teade oli pigem pika protsessi algus kui selle kulminatsioon.
See pikk protsess, mille see käivitas, on hindamine. Kuigi paljud ettevõtteorganisatsioonid ja valitsusasutused on viimastel kuudel hakanud omandama kiireloomulisuse tunnet end kvantohtude eest kaitsta, ei toimu Cryptomathicu tegevdirektori Johannes Lintzeni sõnul nende migratsioon PQC-le üleöö. Ettevõttel on seda tüüpi migratsioonidega palju kogemusi, kuna see asutati 37 aastat tagasi Taanis Aarhusis.
Lintzen ütles, et organisatsioonid, kes kiirustavad oma PQC-migratsiooni, võivad oma PQC-vajadustest valesti aru saada, samuti potentsiaali võtta vastu standardeid, mis pole veel täielikult välja töötatud.
Lintzen märkis, et pärast NIST-i teadaannet on organisatsioonidel kolm võimalust, millest esimene on mitte midagi teha. "Lihtsalt selle ignoreerimine on ilmselt halvim asi, mida saate teha," ütles ta.
Teine võimalus on kiiresti liikuda uuele turvalisusele. "Võib öelda:" Noh, see on välja kuulutatud, nii et me rakendame seda kohe, " ütles ta. "Ma arvan, et see on õige lähenemine, kuid see võib viia uue uuesti juurutamiseni, kuna need krüptograafilised süsteemid aja jooksul arenevad. Kuni see on täielikult standarditud, näeme veel ühte, teate, võib-olla kaheaastast kontrolliperioodi ja täiendavaid katseid nõrkuste leidmiseks.
Kolmas võimalus, mida Cryptomathic soovitab ja mida näib toetavat üha suurem hulk küberturvafirmasid, on alustada kogu organisatsiooni hõlmavat hindamist ja maja puhastamist – selgitada välja, millised algoritmid ja kaitseskeemid on praegu kasutusel, millised seadmed, süsteemid ja andmed vajavad paremat kaitset, mis on nende hulgas kõige kriitilisemad, ning migratsiooni planeerimine, mis iseenesest hõlmab lisaks rakendamisele ka edasise hindamise ja testimise samme.
Seda kõike tehes muutub organisatsioon krüptoagiilsemaks, mis võib lõppkokkuvõttes olla olulisem kui PQC võimalikult kiire lisamine.
"Astuge samm tagasi, analüüsige ja seadke oma süsteemid valmis, " ütles Lintzen. "Ole krüpto-agiilne nii palju kui võimalik. Seadistage oma organisatsioonis kindlalt prioriteediks valdkonnad, mis on teistest rohkem tähelepanu all. Määrake olulised kasutusjuhud. Koostage järgmiseks kolmeks kuni viieks aastaks tegevusloend selle kohta, kuidas kavatsete kõik oma süsteemid üle viia.
Krüptoagiilsuse omamine võimaldab organisatsioonidel olla paremini ette valmistatud kõigeks järgmiseks – mitte ainult esialgseteks NIST-i standarditeks, vaid ka potentsiaalseteks tulevasteks standarditeks, kuna neid võib veel tulla. Samuti aitab see nende rühmade IT-töötajatel paremini reageerida muutustele, nagu teatud algoritmide purunemine ja kasvav vajadus hallata järjest keerukamaid turbekeskkondi.
Kuigi kasutajaorganisatsioonidel kulub aega oma majade kordategemiseks, võib kuluda aega ka küberjulgeoleku ökosüsteemi organiseerumine, et toetada massilist migratsiooni mitmes tööstusharus. Kuigi viimastel aastatel on migratsiooniga tegelema asunud arvukalt PQC spetsialiste ja pikaajalisi ettevõtteid, nagu Cryptomathic, ütles Lintzen, et paljud neist tarkvarale keskendunud ettevõtetest sõltuvad riistvara turvamoodulite (HSM) tootjatest. toetavad PQC lahendusi ja neil HSM-i müüjatel on oma toodete ajakava.
Sellegipoolest ütles Lintzen, et on julgustav näha, et nii paljud ettevõtted ja tööstusharud hakkavad pärast aastakümneid, mil seda ei peetud oluliseks prioriteediks, võtma turvalisust palju tõsisemalt.
"See on aastate jooksul palju arenenud, eemal sellest, et krüptograafia, krüpteerimine ja võtmehaldus oleks lihtsalt tõeliselt nišš, millest keegi tegelikult ei rääkinud ja mida ajendas lihtsalt vastavus, mitte vajadus," ütles Lintzen. "Ma arvan, et tegelikult on muutunud see, et krüptograafilised toimingud on nüüd peaaegu kogu võrgus toimuva suhtluse aluseks. Teil on digitaliseerimise ja pilvestamise megatrendid, kus organisatsioonid, nagu pangad, hakkavad väga tundlikke toiminguid teenusepõhisesse keskkonda suruma, kuna neid sunnib seda tegema turu tegelikkus. Vahendid digitaalsete varade kaitsmiseks… see on kombinatsioon krüptograafiast ja matemaatikast. See kajastub muidugi ka meie nimes. Meie jaoks on need tehnoloogiad selgelt liim, mis seda vundamenti koos hoiab.
