量子解密意味著現在的加密數據十年之內面臨裸奔
加密專家警告,5至10年之內,可行解密算法將成現實威脅。
很少有企業會做5或10年的戰略規劃,但事關加密,CISO卻必須擴展自己的視野。這是因為,雖然今天的加密算法能夠抵擋現代計算機的攻擊,但當加密計算機變得足以穩定執行解密任務時,這些方法就毫無用處了。
而且,等到量子計算機成為現實的時候才采取行動是毫無意義的,因為一旦可用,公司今天產生的所有加密數據都將無所遁形。
量子解密系統投入實用的時間表可能比你想象的更短,足夠穩定的量子計算機將在5到10年之內出現。
量子計算的成功是CISO的夢魘
最近幾年,量子計算機以極快的速度從研究階段邁向商業實用。量子計算機引入了全新的計算架構,能夠在幾毫秒或數分鐘之內就破解掉當今最健壯的非對稱密鑰加密。
IBM已通過其 IBM Q 服務提供量子計算機即服務訪問業務。澳大利亞政府將南威爾士大學量子技術研究員 Michelle Simmons 教授評為2018澳大利亞年度人物,彰顯澳大利亞研究人員在商業化量子計算機方面的全球領先水平。
量子計算提供的強大算力,是復雜數據集快速建模、分子間相互作用探索、新藥研發和復雜工程問題毫秒級解決的重要支撐。
但其強大能力伴隨著信息安全代價。信息安全如今很大程度上基于大數因數分解的復雜性——此處的大數是加密時通過兩個大素數相乘而產生的。
傳統電子計算機需要幾百萬年的時間才能從數萬萬億可能組合中暴力猜解出正確的那對因數,而量子計算機的迥異設計——如數學家 Peter Shor 于1994年時證明的那樣,在眨眼間就能完成因數分解問題,突破復雜RSA加密。
| 我們甚至無需用到量子計算機就能證明量子計算能夠突破RSA加密。秀爾算法(Shor)已經證明了只要擁有足夠穩定的量子計算機,就能破解RSA加密。 |
數據比加密方法更長壽
對大多數人來說,量子計算機制或許遙不可及。但安全人員卻能切身體會到敏感數據可被惡意黑客解密的深遠后果。
量子計算猛然突破我們的大量防御措施,就好像這世上的罪犯突然間手握每個保險箱的鑰匙一樣。
量子計算對安全的影響非常巨大,而大型公司企業做出改變需要時間,所以安全團隊必須盡快著手能做的預防工作。
量子解密攻擊不太可能是普通黑客能做的事兒,攻擊者極有可能是國家支持的黑客團隊,他們的目標明確指向敏感國家安全、金融或基礎設施資產。
CISO面臨特別嚴重的威脅,因為個人可識別信息(PII)的保護是伴隨信息所有者終生的。
信用卡如果被黑還可以換個卡號,但僅僅因為擔心量子計算機就讓人修改他們的生日和性別卻是不現實的。
個人數據伴隨終生,平均大約還有60年壽命。只要能在這有生之年解密這些數據,量子計算機的威脅對人來說就是永恒的。
如果能在未來5至10年內訪問這些加密數據,黑客就能連點成線,造成比現今的攻擊者更加嚴重的危害。
備戰后量子時代
DigiCert是推動建立抗量子加密標準的先行者。互聯網信任完全基于加密數字證書,出于對即將到來的量子時代可能摧毀該互聯網信任生態系統的考慮,該公司在2017年年中買下了賽門鐵克的網站安全與公鑰基礎設施業務。
該公司最近與加密巨頭Gemalto和量子安全公司 ISARA Corp 合作開發抗量子數字證書,并積極參與美國國家標準與技術局(NIST)主導的后量子加密(PQC)標準化工作。
PQC項目最近提名了26個備選算法作為今年晚些時候將公布的正式標準的 “半決賽入圍選手”。
不過,DigiCert已經推出了PQC合規算法,并且開發了能夠配合傳統加密算法使用的混合加密方法。該技術為現有數據資產提供了適應未來的一種方式,并且現在就可供客戶部署。
面對遷移挑戰
即便PQC標準即將最終敲定,CISO仍面臨著一個更大的問題:如何讓公司高層支持對當今數據保護中位于核心地位的現有加密生態系統的完全顛覆?
如果解決方案可用且已經通過了測試,為什么不現在就部署呢?這是因為,由于軟件開發上的延遲,即便MD5散列算法早已告破且被宣告不適用于加密,業界仍然難以停止使用該老舊算法。
盡管PQC實現從技術上看早已萬事俱備,但很多CISO仍缺公司管理層的支持這一東風——有些公司高層只愿拿出僅夠應付當前安全需求的資源,對可支持未來景氣周期的投入嚴重不足。
有些高管甚至認為量子計算根本不能成真。讓這些高管了解量子計算技術相關風險,爭取他們的支持,是CISO面臨的一大挑戰。
另外還有來自第三方的風險——很多公司如今在業務職能和技術服務交付上都依賴第三方。與其他安全風險類似,后量子時代的真正彈性,需要供應鏈每個成員都做出同樣的遷移,而這需要時間。
需對即將到來的風險做好規劃,公司董事會和員工都需要安全團隊知會量子計算即將帶來的風險。
公司企業應先用混合數字證書進行概念驗證,在傳統設備和物聯網設備等新型裝置上探索它們的使用。
從攻擊者的角度出發,已經在嘗試PQC解決方案的銀行、保險公司或IT公司就可以從目標列表中劃去了,因為攻擊者知道這類公司的CISO早已將量子計算機視作重大安全威脅了。
【本文是51CTO專欄作者“李少鵬”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
