By Дэн О'Ши опубликовано 02 авг 2022 г.
Спустя почти месяц после того, как Национальный институт стандартов и технологий представил свою первоначальную постквантовую криптографию (PQC), это начинает выглядеть так, как будто объявление NIST было началом длительного процесса, а не его кульминацией.
Долгий процесс, который он запустил, — это процесс оценки. По словам Йоханнеса Линцена, управляющего директора Cryptomathic, хотя многие корпоративные организации и правительственные учреждения в последние месяцы начали осознавать необходимость срочной защиты от квантовых угроз, их переход на PQC не произойдет в одночасье. Компания, основанная 37 лет назад в Орхусе, Дания, имеет большой опыт подобных миграций.
По словам Линцена, организации, которые торопятся с миграцией PQC, рискуют неправильно понять свои потребности в PQC, а также могут принять стандарты, которые еще не полностью готовы.
Линцен отметил, что после объявления NIST у организаций есть три варианта, первый из которых — вообще ничего не делать. «Просто игнорировать это, вероятно, худшее, что вы можете сделать», — сказал он.
Второй вариант — быстро перейти к переходу на новую систему безопасности. «Вы могли бы сказать: «Ну, это было объявлено, поэтому мы сейчас это реализуем», — сказал он. «Я думаю, что это правильный подход, но он может привести к еще одной повторной реализации в будущем просто из-за природы того, как эти криптографические системы развиваются с течением времени. Пока он не будет полностью стандартизирован, мы увидим еще один, может быть, двухлетний период проверки и дополнительные попытки найти слабые места».
Третий вариант, который рекомендует Cryptomatic и который, по-видимому, поддерживает все большее число фирм, занимающихся кибербезопасностью, заключается в том, чтобы начать оценку и чистку в масштабах всей организации, выяснив, какие алгоритмы и схемы защиты используются сейчас, какие устройства, системы и данные нуждаются в лучшей защите, которые являются наиболее важными, и планирование миграции, которая сама по себе будет включать этапы дальнейшей оценки и тестирования в дополнение к реализации.
Выполнение всего этого в первую очередь сделает организацию более «криптогибкой», что в конечном итоге может быть важнее, чем как можно быстрее добавить PQC.
«Сделайте шаг назад, проанализируйте, подготовьте свои системы», — сказал Линцен. «Стань крипто-гибким настолько, насколько это возможно. Определенно расставьте приоритеты в областях вашей организации, которые находятся под более пристальным вниманием, чем другие. Определите те варианты использования, которые важны. Составьте список действий на следующие три-пять лет о том, как вы собираетесь мигрировать все свои системы».
Обладание криптографической гибкостью позволит организациям быть лучше подготовленными ко всему, что будет дальше — не только к первоначальным стандартам NIST, но и к потенциальным будущим стандартам, поскольку их может быть больше. Это также поможет ИТ-персоналу этих групп лучше реагировать на изменения, такие как взлом определенных алгоритмов и растущую потребность в управлении все более сложными средами безопасности.
В то время как пользовательским организациям потребуется время, чтобы привести свои дома в порядок, экосистеме кибербезопасности также может потребоваться время, чтобы организовать себя для поддержки массовых миграций в нескольких отраслях. В то время как за последние несколько лет многие специалисты PQC начали заниматься миграцией, наряду с давними фирмами, такими как Cryptomatic, Линцен сказал, что многие из этих компаний, ориентированных на программное обеспечение, зависят от производителей аппаратных модулей безопасности (HSM), чтобы иметь возможность поддерживают решения PQC, и у этих поставщиков HSM есть свои собственные сроки выпуска продуктов.
Тем не менее, Линтцен сказал, что отрадно видеть, что многие компании и отрасли начинают гораздо более серьезно относиться к безопасности после десятилетий, в течение которых она не считалась приоритетной.
«За прошедшие годы криптография, шифрование и управление ключами сильно развились, превратившись в действительно нишевые вещи, о которых никто толком не говорил и которые были просто обусловлены соответствием, а не необходимостью», — сказал Линцен. «Я думаю, что на самом деле изменилось то, что криптографические операции теперь являются основой почти всех коммуникаций, которые происходят в Интернете. У вас есть мегатенденции цифровизации и облачности, когда такие организации, как банки, начинают переносить очень важные операции в сервисную среду, потому что они вынуждены делать это в соответствии с рыночными реалиями. Средства защиты цифровых активов… это сочетание криптографии и математики. Это, конечно же, отражено в нашем названии. Для нас эти технологии явно являются клеем, который скрепляет эту основу».
