很少有企業(yè)會(huì)做5或10年的戰(zhàn)略規(guī)劃��,但事關(guān)數(shù)據(jù)加密��,CISO卻必須擴(kuò)展自己的視野�����。
這是因?yàn)?�,雖然今天的加密算法能夠抵擋現(xiàn)代計(jì)算機(jī)的攻擊�����。
等到量子計(jì)算機(jī)成為現(xiàn)實(shí)的時(shí)候才采取行動(dòng)是毫無意義的���。
量子解密系統(tǒng)投入實(shí)用的時(shí)間表可能比你想象的更短,足夠穩(wěn)定的量子計(jì)算機(jī)將在5到10年之內(nèi)出現(xiàn)���。
量子計(jì)算的成功是CISO的夢(mèng)魘最近幾年�����,量子計(jì)算機(jī)以極快的速度從研究階段邁向商業(yè)實(shí)用�����。
量子計(jì)算機(jī)引入了全新的計(jì)算架構(gòu)��,能夠在幾毫秒或數(shù)分鐘之內(nèi)就破解掉當(dāng)今最健壯的非對(duì)稱密鑰加密�。
IBM已通過其 IBM Q 服務(wù)提供量子計(jì)算機(jī)即服務(wù)訪問業(yè)務(wù)�����。
澳大利亞政府將南威爾士大學(xué)量子技術(shù)研究員 Michelle Simmons 教授評(píng)為2018澳大利亞年度人物�����,彰顯澳大利亞研究人員在商業(yè)化量子計(jì)算機(jī)方面的全球領(lǐng)先水平��。
量子計(jì)算提供的強(qiáng)大算力��,是復(fù)雜數(shù)據(jù)集快速建模、分子間相互作用探索��、新藥研發(fā)和復(fù)雜工程問題毫秒級(jí)解決的重要支撐����。
但其強(qiáng)大能力伴隨著信息安全代價(jià)。
信息安全如今很大程度上基于大數(shù)因數(shù)分解的復(fù)雜性——此處的大數(shù)是加密時(shí)通過兩個(gè)大素?cái)?shù)相乘而產(chǎn)生的��。
傳統(tǒng)電子計(jì)算機(jī)需要幾百萬年的時(shí)間才能從數(shù)萬萬億可能組合中暴力猜解出正確的那對(duì)因數(shù)�����,而量子計(jì)算機(jī)的迥異設(shè)計(jì)——如數(shù)學(xué)家 Peter Shor 于1994年時(shí)證明的那樣���,在眨眼間就能完成因數(shù)分解問題���,突破復(fù)雜RSA加密。
我們甚至無需用到量子計(jì)算機(jī)就能證明量子計(jì)算能夠突破RSA加密���。
秀爾算法(Shor)已經(jīng)證明了只要擁有足夠穩(wěn)定的量子計(jì)算機(jī)�����,就能破解RSA加密���。
數(shù)據(jù)比加密方法更長(zhǎng)壽對(duì)大多數(shù)人來說,量子計(jì)算機(jī)制或許遙不可及�。
但安全人員卻能切身體會(huì)到敏感數(shù)據(jù)可被惡意黑客解密的深遠(yuǎn)后果。
量子計(jì)算猛然突破我們的大量防御措施�,就好像這世上的罪犯突然間手握每個(gè)保險(xiǎn)箱的鑰匙一樣。
量子計(jì)算對(duì)安全的影響非常巨大���,而大型公司企業(yè)做出改變需要時(shí)間���,所以安全團(tuán)隊(duì)必須盡快著手能做的預(yù)防工作。
量子解密攻擊不太可能是普通黑客能做的事兒�����,攻擊者極有可能是國(guó)家支持的黑客團(tuán)隊(duì)��,他們的目標(biāo)明確指向敏感國(guó)家安全��、金融或基礎(chǔ)設(shè)施資產(chǎn)��。
CISO面臨特別嚴(yán)重的威脅��,因?yàn)閭€(gè)人可識(shí)別信息(PII)的保護(hù)是伴隨信息所有者終生的。
信用卡如果被黑還可以換個(gè)卡號(hào)�,但僅僅因?yàn)閾?dān)心量子計(jì)算機(jī)就讓人修改他們的生日和性別卻是不現(xiàn)實(shí)的。
個(gè)人數(shù)據(jù)伴隨終生��,平均大約還有60年壽命����。
只要能在這有生之年解密這些數(shù)據(jù),量子計(jì)算機(jī)的威脅對(duì)人來說就是永恒的�。
如果能在未來5至10年內(nèi)訪問這些加密數(shù)據(jù),黑客就能連點(diǎn)成線����,造成比現(xiàn)今的攻擊者更加嚴(yán)重的危害。
備戰(zhàn)后量子時(shí)代DigiCert是推動(dòng)建立抗量子加密標(biāo)準(zhǔn)的先行者���。
互聯(lián)網(wǎng)信任完全基于加密數(shù)字證書����,出于對(duì)即將到來的量子時(shí)代可能摧毀該互聯(lián)網(wǎng)信任生態(tài)系統(tǒng)的考慮�,該公司在2017年年中買下了賽門鐵克的網(wǎng)站安全與公鑰基礎(chǔ)設(shè)施業(yè)務(wù)。
該公司最近與加密巨頭Gemalto和量子安全公司 ISARA Corp 合作開發(fā)抗量子數(shù)字證書��,并積極參與美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)局(NIST)主導(dǎo)的后量子加密(PQC)標(biāo)準(zhǔn)化工作����。
PQC項(xiàng)目最近提名了26個(gè)備選算法作為今年晚些時(shí)候?qū)⒐嫉恼綐?biāo)準(zhǔn)的 “半決賽入圍選手”�����。
不過�,DigiCert已經(jīng)推出了PQC合規(guī)算法�����,并且開發(fā)了能夠配合傳統(tǒng)加密算法使用的混合加密方法��。
該技術(shù)為現(xiàn)有數(shù)據(jù)資產(chǎn)提供了適應(yīng)未來的一種方式��,并且現(xiàn)在就可供客戶部署�����。
面對(duì)遷移挑戰(zhàn)即便PQC標(biāo)準(zhǔn)即將最終敲定����,CISO仍面臨著一個(gè)更大的問題:如何讓公司高層支持對(duì)當(dāng)今數(shù)據(jù)保護(hù)中位于核心地位的現(xiàn)有加密生態(tài)系統(tǒng)的完全顛覆?如果解決方案可用且已經(jīng)通過了測(cè)試,為什么不現(xiàn)在就部署呢?這是因?yàn)?�,由于軟件開發(fā)上的延遲��,即便MD5散列算法早已告破且被宣告不適用于加密��,業(yè)界仍然難以停止使用該老舊算法����。
盡管PQC實(shí)現(xiàn)從技術(shù)上看早已萬事俱備,但很多CISO仍缺公司管理層的支持這一東風(fēng)——有些公司高層只愿拿出僅夠應(yīng)付當(dāng)前安全需求的資源�����,對(duì)可支持未來景氣周期的投入嚴(yán)重不足��。
有些高管甚至認(rèn)為量子計(jì)算根本不能成真�。
讓這些高管了解量子計(jì)算技術(shù)相關(guān)風(fēng)險(xiǎn),爭(zhēng)取他們的支持��,是CISO面臨的一大挑戰(zhàn)����。
另外還有來自第三方的風(fēng)險(xiǎn)——很多公司如今在業(yè)務(wù)職能和技術(shù)服務(wù)交付上都依賴第三方。
與其他安全風(fēng)險(xiǎn)類似���,后量子時(shí)代的真正彈性�,需要供應(yīng)鏈每個(gè)成員都做出同樣的遷移����,而這需要時(shí)間�����。
需對(duì)即將到來的風(fēng)險(xiǎn)做好規(guī)劃���,公司董事會(huì)和員工都需要安全團(tuán)隊(duì)知會(huì)量子計(jì)算即將帶來的風(fēng)險(xiǎn)。
公司企業(yè)應(yīng)先用混合數(shù)字證書進(jìn)行概念驗(yàn)證���,在傳統(tǒng)設(shè)備和物聯(lián)網(wǎng)設(shè)備等新型裝置上探索它們的使用�����。
從攻擊者的角度出發(fā),已經(jīng)在嘗試PQC解決方案的銀行����、保險(xiǎn)公司或IT公司就可以從目標(biāo)列表中劃去了,因?yàn)楣粽咧肋@類公司的CISO早已將量子計(jì)算機(jī)視作重大安全威脅了���。
