本月,零信國際SSL證書戰略合作夥伴Sectigo在其官網部落格專欄發布了2024年數字安全領域的六大**,筆者利用週末時間對這六大**進行了翻譯和解讀。
今天的解讀**2:後量子密碼學將成為明年的熱門話題。
後量子密碼學一直是國內研究熱點,北京雁栖湖國際後量子密碼論壇已成功舉辦三屆國際後量子密碼標準化與應用研討會。 2024年第9期《資訊保安與通訊保密》發布了《後量子密碼學發展綜述》一文,還是比較全面的,推薦給感興趣的讀者。
今年,國際組織PKI聯盟(PKIC)成立了後量子密碼工作組(PQC WG),討論與後量子密碼相關的技術、產品和法規相關課題,並負責維護PQC能力矩陣(PQCCM),這是軟體應用程式、庫和硬體支援的PQC能力列表,以便您了解哪些供應商的產品正在支援或已經支援世界各地的後量子密碼學。PKI聯盟正在積極推動後量子密碼學的採用,維護PQC能力矩陣是PKI聯盟的關鍵任務之一。 零信科技非常重視後量子密碼學的研究,於今年2月正式成為國際PKI聯盟的成員,也是首批加入後量子密碼學工作組的成員之一。
PKI聯盟於今年11月7-8日在荷蘭阿姆斯特丹成功舉辦了第二屆混合後量子密碼工作會議,為期兩天的工作會議討論了非常豐富的話題,筆者在此推薦三位作者認為非常精彩的演講ppt,感興趣的讀者可以**學習習。 第乙個是美國國家標準與技術研究院 (NIST) 的 Bill Newhouse 先生和 Dustin Moody 博士撰寫的“NIST PQC 相關標準更新”,它提供了 PQC 標準的全面更新、對當前標準化狀態的解釋,以及從量子敏感公鑰密碼學到抗量子公鑰密碼的簡化遷移實踐的發展。 第二個是Cloudflare研究工程師Bas Westerbaan的“後量子網際網絡的誕生”,其中瀏覽器正準備預設啟用後量子加密,以應對“解密前儲存密文”的威脅。 加密只是故事的一半,後量子證書的部署更具挑戰性。 第三部分是 Entrust 全球銷售副總裁 Robert Hann 的“如何通過與零信任之旅相結合來銷售後量子加密就緒性”,從銷售角度討論了如何利用零信任安全的熱點優勢為 PQC 提供引人注目的應用程式,並分享了一些關於如何規劃和執行與零信任安全一致的成功 PQC 過渡的最佳實踐和技巧。
鑑於筆者對後量子密碼學的研究很少,相關知識也非常有限,這個解讀只能為感興趣的讀者提供一點與後量子密碼學相關的資訊,希望也能有所幫助。
翻譯>
後量子密碼學和密碼學敏捷性不再只是流行語,明年將成為相關企業高管關注的重點。 美國國家標準與技術研究院(NIST)的發展支援了這一轉變,以對抗量子密碼學及其針對量子解密威脅的有影響力的教育活動。 量子威脅不再只是乙個理論上的討論,而是成為主流的焦點。
隨著 2024 年新年的臨近,乙個關鍵的轉變即將到來,它將把後量子密碼學從 IT 首席資訊保安官的小眾關注點提公升到董事會層面的討論。 過渡到抗量子密碼學的需求不再屬於技術團隊和安全專家的職權範圍,它將成為跨行業高管對話的主導因素。 明年,組織實施網路安全戰略的方式將發生正規化轉變。
這種轉變的催化劑可以追溯到美國國家標準與技術研究院,它是國際密碼學標準領域的關鍵參與者。 為了應對量子計算對傳統加密方法日益增長的威脅,NIST率先開發了抗量子加密演算法。 曾經關於當前加密模型漏洞的理論討論現在已經轉化為切實的關鍵行動。
在接下來的 12 個月裡,組織將不再將抗量子密碼學視為乙個流行語或可以順便討論的話題。 相反,如何實現加密敏捷性將是最高管理層的關鍵戰略重點。 這種緊迫性源於這樣乙個事實,即量子計算機處理能力的指數級增長有可能使當前的密碼系統過時。 從本質上講,數字安全的基礎正在受到威脅。
在整個 2023 年,人們越來越意識到量子計算對傳統解密方法構成了迫在眉睫的威脅。 曾經的利基領域和理論討論現在正在成為主流商業焦點。 量子計算被認為比今天的計算機快 158億次,所以真正的問題不應該是“為什麼最高管理層要談論量子”,而是“為什麼他們還沒有談論量子?”
這種緊迫性背後的主要驅動力之一是量子計算機能夠在多項式時間內破解廣泛使用的加密演算法,如RSA和ECC,這意味著曾經被認為是安全的機密資料可以毫不費力地被破解。 隨著企業努力應對這種量子威脅的影響,採用抗量子密碼學的需求不僅是乙個謹慎的問題,也是在數字時代的生存問題。
遭受SSL證書中斷的企業報告了從每分鐘幾百美元到每小時100萬到600萬美元的財務損失。 如果這是短時間離線的代價,那麼不難想象,當敏感資料在幾秒鐘內容易受到未經授權的訪問時,企業和**會發生什麼,而且風險從未如此之高。
企業領導者需要重新評估他們當前的加密基礎設施,並制定抗量子解決方案的路線圖。 這種轉變並非沒有挑戰,因為實施新的加密協議需要仔細規劃、資源分配和對不斷變化的威脅形勢的敏銳理解。 積極採用抗量子密碼學的組織不僅可以加強其網路安全態勢,還可以在日益數位化和互聯化的世界中獲得競爭優勢。 利益相關者(包括客戶、投資者和監管機構)可能會積極看待此類主動措施,從而建立對組織保護敏感資訊的承諾的信任和信心。
Sectigo認為,後量子密碼學的興起將成為2024年董事會討論的主流話題,這不僅是對潛在威脅的回應,也是確保數字通訊未來的積極立場。 NIST在塑造這一敘事方面發揮的關鍵作用凸顯了對抗量子密碼學複雜性所需的協作努力。 隨著企業為量子挑戰做準備,明年有望成為網路安全持續發展的轉折點,適應性和遠見將成為在不斷變化的數字環境中取得成功的關鍵。