By 丹·奥谢 02 年 2022 月 XNUMX 日发布
在美国国家标准与技术研究院公布其最初的后量子密码学 (PQC) 将近一个月后,它开始看起来更像是 NIST 的公告是一个漫长过程的开始,而不是一个过程的高潮。
它启动的漫长过程是评估之一。 Cryptomathic 董事总经理 Johannes Lintzen 表示,虽然近几个月来许多企业组织和政府机构已经开始获得保护自己免受量子威胁的紧迫感,但他们向 PQC 的迁移不会在一夜之间发生。 该公司 37 年前在丹麦奥胡斯成立,在此类迁移方面拥有丰富的经验。
Lintzen 说,急于进行 PQC 迁移的组织可能会误解他们的 PQC 需求,并且可能会采用尚未完全成熟的标准。
Lintzen 指出,在 NIST 宣布之后,组织有三种选择,第一种是什么都不做。 “忽视它可能是你能做的最糟糕的事情,”他说。
第二种选择是快速迁移到新的安全性。 “你可以说,‘好吧,它已经宣布了,所以我们现在就实施它,’”他说。 “我认为这是一种有效的方法,但它可能会导致未来的另一种重新实现,只是因为这些密码系统随着时间的推移而演变的性质。 在它完全标准化之前,我们将看到另一个,你知道的,可能是两年的验证期和寻找弱点的额外尝试。”
第三种选择是 Cryptomathic 推荐的并且越来越多的网络安全公司似乎正在支持这种选择,即开始组织范围内的评估和内部清理——弄清楚现在正在使用什么算法和保护方案,什么设备,系统和数据需要更好的保护,这是最关键的,并且规划迁移本身将涉及除实施之外的进一步评估和测试步骤。
首先完成所有这些将使组织更加“加密敏捷”,这最终可能比尽快添加 PQC 更重要。
“退后一步,分析,准备好你的系统,”林岑说。 “尽可能获得加密敏捷。 优先考虑组织内比其他领域受到更多审查的确定领域。 确定那些重要的用例。 制定未来三到五年的行动清单,说明您将如何迁移所有系统。”
拥有加密敏捷性将使组织能够更好地为接下来发生的一切做好准备——不仅是最初的 NIST 标准,还有潜在的未来标准,因为未来可能还会有更多标准。 它还将帮助这些团队的 IT 员工更好地应对变化,例如某些算法的破坏以及管理日益复杂的安全环境的需求不断增长。
虽然用户组织需要时间来整顿他们的房子,但网络安全生态系统也可能需要时间来自我组织以支持跨多个行业的大规模迁移。 尽管过去几年许多 PQC 专家以及 Cryptomathic 等老牌公司开始参与迁移,但 Lintzen 表示,许多以软件为中心的公司都依赖于硬件安全模块 (HSM) 的制造商,以便能够支持 PQC 解决方案,而那些 HSM 供应商有自己的产品时间表。
不过,Lintzen 表示,看到如此多的公司和行业开始更加认真地对待安全问题,几十年来安全问题并未被视为重中之重,这令人鼓舞。
“多年来,它已经发展了很多,密码学、加密和密钥管理只是一个非常小众的东西,没有人真正谈论它,只是由合规性驱动,而不是必要的,”Lintzen 说。 “我认为真正发生变化的是加密操作现在是几乎所有在线通信的基础。 您拥有数字化和云化的大趋势,银行等组织开始将非常敏感的操作推入基于服务的环境中,因为它们是受市场现实的驱使这样做的。 保护数字资产的手段……是密码学和数学的结合。 这当然反映在我们的名字中。 对我们来说,这些技术显然是将这个基础凝聚在一起的粘合剂。”
