By IQT Haberleri 12 Ekim 2022'de yayınlandı
(Kuantum Sonrası Ekip Tarafından) Kuantum bilgisayarlar dünyanın bilgi güvenliğine yönelik en büyük varoluşsal tehdittir. Yeterince güçlü bir makine ortaya çıktığında, şu anda dijital dünyayı koruyan genel anahtar şifreleme (PKC) standartları bir anda geçerliliğini yitirecek ve ulusal güvenlikten bankacılığa, kamu hizmetleri ağlarına kadar tüm sektörlere ölçülemez hasarlar getirecek.
PKC'nin kırılacağı kesin tarih bilinmemekle birlikte, yeterince güçlü bir makine ortaya çıktığında (aynı zamanda Şimdi Harvest, Daha Sonra Şifresini Çöz olarak da bilinir) şifreyi çözmek amacıyla veri toplayan düşmanların tehdidi günümüzde gerçektir ve gerçekleşmektedir.
Sorunun aciliyeti göz önüne alındığında, özellikle Amerika Birleşik Devletleri'nde (ABD) hükümetler ve düzenleyici kurumlar harekete geçmeye başladı. Peki bu eylemler pratikte ne anlama geliyor ve en çok risk altındaki kuruluşlar ilerlemek için hangi adımları atabilir?
Hükümetler eylem emri veriyor
2022, kuantum sonrası güvenliğin geleceği açısından önemli bir dönüm noktası oldu.
Altı yıldan fazla süren müzakerelerin ardından, Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) Temmuz ayında yeni kuantum dirençli algoritmanın standardizasyonuna yönelik önerilerini açıkladı. KRİSTALLER-Kyber genel şifreleme için seçildi ve KRİSTALLER-Dilityum, FALCON, ve SPHINCS + dijital imzalar için seçildi.
NIST ayrıca ek inceleme için dört aday daha öne sürdü; bunlardan biri Post-Quantum'daki ekibimizin ortak sunumu olan Classic McEliece'dir. Almanya'nın ulusal siber güvenlik kurumu olarak bilinen BSI, Ve Hollandaca eşdeğeri, benzersiz güvenlik kimlik bilgileri nedeniyle işletmelerin Classic McEliece'i kullanmasını ve dağıtmasını zaten tavsiye ediyor.
Avrupa hükümetleri harekete geçmeye başladıkça ABD de harekete geçti. Mayıs ayında, Biden Yönetimi Ulusal Güvenlik Memorandumu 10'u yayınladı. Diğer hususların yanı sıra, notta ABD Hükümeti kurumlarının savunmasız kriptografik sistemleri kuantum dirençli sistemlere taşımak için izlemeleri gereken yön de belirtildi. kriptografi.
Birkaç ay sonra, Kuantum Bilişim Siber Güvenliğe Hazırlık Yasası, Nisan 2022'de yürürlüğe girmesinin ardından Meclis'ten geçti. Biden'ın notuna benzer şekilde, tasarı, yürütme kurumlarının bilgi sistemlerinin kuantum sonrası kriptografiye (PQC) geçişini ele almayı amaçlıyor. Federal kurumların yeni standartlara geçiş için bir öğe envanteri hazırlaması gerekeceğini ve OBM'ye (Bütçe ve Yönetim Ofisi) mevcut kriptografiden uzaklaşmaya yönelik bir bütçe ve strateji hazırlaması için bir yıl süre verileceğini zorunlu kılıyor. standartlar. Ajansların ayrıca bu sistemleri yıllık olarak güncellemeleri gerekecek ve Kongre'ye yıllık bir durum brifingi verilecek.
Bunu takiben Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), sorunsuz bir geçiş hedefleyen kritik altyapı kuruluşları için bir dizi kılavuz yayınladı. NIST'in nihai standardının 2024'ten önce onaylanması pek mümkün olmasa da CISA bir belge yayınladı: 'Kuantum Sonrası Kriptografi İçin Kritik Altyapının Hazırlanması' – kuantum hesaplama ve HNDL saldırılarının risklerini azaltmak için kritik altyapının geçişe hemen başlaması gerektiğini vurguladı.
Önemli olan, CISA'nın göçe şimdi başlamanın avantajını vurgulama çabalarında yalnız olmamasıdır. İç Güvenlik Bakanlığı (DHS) kendi 'Kuantum Sonrası Kriptografi Yol Haritasıtemellerin bir an önce atılmaya başlanması gerektiğini vurgulayarak, Bulut Güvenliği İttifakı (CSA) tüm işletmelerin kuantum sonrası altyapıyı uygulamaya geçirmesi gereken Nisan 2030 tarihini belirledi.
Federal Kurumlar ve Ötesi İçin Sonraki Adımlar
Hükümetler ve düzenleyiciler, özellikle de yüksek riskli devlet kurumlarının ve endüstrilerin taşınması söz konusu olduğunda eylem talep etmeye başladıkça, eylemsizliğin maliyeti artıyor.
Ancak yol haritalarının ve PKC'nin bugün nerede kullanıldığına ilişkin başlangıçtaki net değerlendirme ihtiyacının ötesinde, başka neleri dikkate almalısınız?
- Kripto çevikliğine, birlikte çalışabilirliğe ve geriye dönük uyumluluğa öncelik verin
Geçişi düşünürken güvenliği çeviklikle dengelediğinizden emin olmak için aşağıdaki üç kavramı akılda tutmak önemlidir.
- Birlikte Çalışabilir çözümleri kullanma: böylece ortaklarınızla, kullandıkları şifreleme algoritmalarından bağımsız olarak güvenli iletişim kurabilirsiniz.
- Geriye dönük uyumluluğun sağlanması: böylece kuantum güvenli şifreleme mevcut BT sistemlerinize sorunsuz bir şekilde uygulanabilir.
- Kripto çevikliğini uygulamak: böylece NIST'in kuantum sonrası algoritmalarının veya geleneksel şifrelemenin herhangi bir kombinasyonunu kullanabilirsiniz
- Daha fazla esneklik elde etmek için bu kavramları yansıtan ürünleri tanıtın
Bir çözüm sağlayıcı seçildiğinde, sundukları ürünlerin tasarımında bu temellerin yer alıp almadığının dikkate alınması önemlidir.
Kuantum sonrası geçişte giriş adımına bir örnek, genel internet ağı üzerinden veri iletişim akışlarını güvence altına almak için kuantum açısından güvenli bir Sanal Özel Ağ (VPN) seçmektir. Kuantum sonrası 'Hibrit Kuantum Sonrası VPN' yakın zamanda NATO tarafından başarıyla denendi ve birlikte çalışabilir bir sistemi sürdürmek için yeni kuantum güvenli ve geleneksel şifreleme algoritmalarını birleştirdi.
- Kimliği ihmal etmeyin; aslında onunla başlamalısınız
Diğer tüm şifrelemenizi güvence altına alabilirsiniz, ancak birisi kimlik sisteminize erişebiliyorsa, o zaman başka ne yaptığınız önemli değildir; sistemleriniz onun doğru kişi olduğunu düşünecek ve böylece sistemlerinize 'yasal' erişim elde edebilecektir. ve altyapı.
Yani, kimliği de dikkate almadıysanız tüm altyapınızı güvence altına almanın pek bir anlamı yoktur ve bilgi güvenliği ekosisteminin ön ucundan başlamak aynı zamanda bir kuruluşun yükseltmesi için tarihsel olarak en zorlu sistemlerden biriyle başa çıkmanıza da olanak tanır. veya değiştirin.
Gelecekte, tüm dijital altyapımızın uçtan uca kuantum geçirmez olmasına ihtiyacımız olacak, ancak nereden başlayacağınızdan emin değilseniz, kalenin anahtarı olduğundan kimlik şu anda en önemli husus olmalıdır.
SPONSOR
Post-Quantum önümüzdeki fuarın Elmas Sponsoru olacak New York'taki IQT Quantum Siber Güvenlik etkinliği, 25-27 Ekim 2022. CEO Andersen Chang açılış konuşmasını yapacak.
