45SSL证书

掌控加密资产以便为PQC做好准备

即将到来的量子计算揭示了密码学专家的预言:加密无处不在。几乎所有实现现代安全实践的东西都依赖于加密和公钥基础设施(PKI)来实现数字信任。

为什么通用加密如此重要?答案是:与加密相关的量子计算机(CRQC),它足够强大,可以破解传统的非对称算法,如RSA和ECC。

但这是后量子加密(PQC)可以解决的威胁,NIST于2023年8月发布了PQC标准的第一稿,使世界离量子安全的未来又近了一步。

采用PQC意味着组织必须通过创建加密资产列表来识别其数字足迹。美国联邦政府机构首先启动了这项工作,根据要求,这些机构必须在2023年5月之前提交他们最重要的加密系统清单。然而,很多机构发现很难在这个截止日期之前完成工作,所以直到12月,整个政府机构的非对称加密清单才最终完成。

联邦政府提出的挑战凸显了创建加密资产清单的复杂性,特别是当一些组织拥有他们甚至可能不知道的资产时。我们将这一过程分为四个步骤,以帮助您开始规划这一过渡。

开始过渡到PQC的4个步骤
DigiCert与波耐蒙研究所合作进行了一项调查和研究,以了解世界对量子计算的准备情况。在这项调查中,我们了解到大多数IT领导者都担心他们的公司还远远没有准备好。如果您的组织也处理加密资产,并且尚未开始向PQC过渡,则可以参考以下信息,了解如何开始过渡。

  1. 计算您的加密资产
    第一步是开始计算证书、算法和其他加密资产,并根据它们的重要性对它们进行优先级排序。基于此,您可以确定需要升级或替换的内容,以确保在量子计算成为现实时贵公司的系统保持安全。

在整个计算过程中,你需要回答几个重要的问题:

您的证书目前使用的是什么算法?
谁颁发的证书?
证书什么时候到期?
哪些域名受证书保护?
什么密钥用于为您的软件签名?
进行彻底的盘点并不仅限于此。您还需要回答以下问题:

您的软件包或设备是否自动下载更新?
它是否连接到后端服务器?
它是否与网站或门户网站相关联?
该网站或门户是否由第三方或云提供商运营?
如果答案是肯定的,那么您需要联系每个提供者以了解他们依赖谁——了解您的提供者使用哪些软件包,了解提供者的后端提供者是谁,等等。

正如我们所说,这是一个复杂的过程。但这也是我们现在需要采取行动的原因——而不是在量子计算开始暴露(并利用)贵公司的漏洞之后。

  1. 优先考虑需要长期信任的加密
    要替换的第一个加密算法是能够生成需要长期信任的签名的加密算法。想想长期使用的设备的信任根和固件。是的,这意味着要对软件、设备及其加密进行详细的盘点。

为什么?攻击者正在打一场持久战,他们采用“先窃取,后解密”的攻击策略,记录加密数据是他们的任务之一。将来,当网络犯罪分子能够获得量子计算时,他们将解密这些数据——保护您免受此类攻击的唯一可靠方法是优先考虑您的公司将长期依赖的任何加密方法。

  1. 探索和测试在贵公司采用PQC算法的方法
    NIST仍在努力标准化和记录安全实现、测试和部署新的加密安全算法的方法。但密码库和安全软件的运营商现在需要开始将算法集成到他们的产品中。适应所选的PQC算法需要一些努力,因此您的公司可以通过探索如何将其合并到您的加密库中来保持领先地位。
  2. 实现加密灵活性
    完成上述步骤并非易事。然而,当量子计算开始破解算法时,现在计算你公司的加密资产将带来回报——尽管我们不知道这何时会发生,但我们知道这只是时间问题,而不是是否会发生。

盘点完成后,PQC转换的下一阶段是实现加密敏捷性,这涉及到资产可见性,为d建立方法

当前页面是本站的「Google AMP」版。查看和发表评论请点击:完整版 »