本月,零信国际SSL证书战略合作伙伴Sectigo在其官网博客专栏发布了2024年数字安全领域的六大**,笔者利用周末时间对这六大**进行了翻译和解读。
今天的解读**2:后量子密码学将成为明年的热门话题。
后量子密码学一直是国内研究热点,北京雁栖湖国际后量子密码论坛已成功举办三届国际后量子密码标准化与应用研讨会。 2024年第9期《信息安全与通信保密》发布了《后量子密码学发展综述》一文,还是比较全面的,推荐给感兴趣的读者。
今年,国际组织PKI联盟(PKIC)成立了后量子密码工作组(PQC WG),讨论与后量子密码相关的技术、产品和法规相关课题,并负责维护PQC能力矩阵(PQCCM),这是软件应用程序、库和硬件支持的PQC能力列表,以便您了解哪些供应商的产品正在支持或已经支持世界各地的后量子密码学。PKI联盟正在积极推动后量子密码学的采用,维护PQC能力矩阵是PKI联盟的关键任务之一。 零信科技非常重视后量子密码学的研究,于今年2月正式成为国际PKI联盟的成员,也是首批加入后量子密码学工作组的成员之一。
PKI联盟于今年11月7-8日在荷兰阿姆斯特丹成功举办了第二届混合后量子密码工作会议,为期两天的工作会议讨论了非常丰富的话题,笔者在此推荐三位作者认为非常精彩的演讲ppt,感兴趣的读者可以**学习习。 第一个是美国国家标准与技术研究院 (NIST) 的 Bill Newhouse 先生和 Dustin Moody 博士撰写的“NIST PQC 相关标准更新”,它提供了 PQC 标准的全面更新、对当前标准化状态的解释,以及从量子敏感公钥密码学到抗量子公钥密码的简化迁移实践的发展。 第二个是Cloudflare研究工程师Bas Westerbaan的“后量子互联网的诞生”,其中浏览器正准备默认启用后量子加密,以应对“解密前存储密文”的威胁。 加密只是故事的一半,后量子证书的部署更具挑战性。 第三部分是 Entrust 全球销售副总裁 Robert Hann 的“如何通过与零信任之旅相结合来销售后量子加密就绪性”,从销售角度讨论了如何利用零信任安全的热点优势为 PQC 提供引人注目的应用程序,并分享了一些关于如何规划和执行与零信任安全一致的成功 PQC 过渡的最佳实践和技巧。
鉴于笔者对后量子密码学的研究很少,相关知识也非常有限,这个解读只能为感兴趣的读者提供一点与后量子密码学相关的信息,希望也能有所帮助。
翻译>
后量子密码学和密码学敏捷性不再只是流行语,明年将成为相关企业高管关注的重点。 美国国家标准与技术研究院(NIST)的发展支持了这一转变,以对抗量子密码学及其针对量子解密威胁的有影响力的教育活动。 量子威胁不再只是一个理论上的讨论,而是成为主流的焦点。
随着 2024 年新年的临近,一个关键的转变即将到来,它将把后量子密码学从 IT 首席信息安全官的小众关注点提升到董事会层面的讨论。 过渡到抗量子密码学的需求不再属于技术团队和安全专家的职权范围,它将成为跨行业高管对话的主导因素。 明年,组织实施网络安全战略的方式将发生范式转变。
这种转变的催化剂可以追溯到美国国家标准与技术研究院,它是国际密码学标准领域的关键参与者。 为了应对量子计算对传统加密方法日益增长的威胁,NIST率先开发了抗量子加密算法。 曾经关于当前加密模型漏洞的理论讨论现在已经转化为切实的关键行动。
在接下来的 12 个月里,组织将不再将抗量子密码学视为一个流行语或可以顺便讨论的话题。 相反,如何实现加密敏捷性将是最高管理层的关键战略重点。 这种紧迫性源于这样一个事实,即量子计算机处理能力的指数级增长有可能使当前的密码系统过时。 从本质上讲,数字安全的基础正在受到威胁。
在整个 2023 年,人们越来越意识到量子计算对传统解密方法构成了迫在眉睫的威胁。 曾经的利基领域和理论讨论现在正在成为主流商业焦点。 量子计算被认为比今天的计算机快 158亿次,所以真正的问题不应该是“为什么最高管理层要谈论量子”,而是“为什么他们还没有谈论量子?”
这种紧迫性背后的主要驱动力之一是量子计算机能够在多项式时间内破解广泛使用的加密算法,如RSA和ECC,这意味着曾经被认为是安全的机密数据可以毫不费力地被破解。 随着企业努力应对这种量子威胁的影响,采用抗量子密码学的需求不仅是一个谨慎的问题,也是在数字时代的生存问题。
遭受SSL证书中断的企业报告了从每分钟几百美元到每小时100万到600万美元的财务损失。 如果这是短时间离线的代价,那么不难想象,当敏感数据在几秒钟内容易受到未经授权的访问时,企业和**会发生什么,而且风险从未如此之高。
企业领导者需要重新评估他们当前的加密基础设施,并制定抗量子解决方案的路线图。 这种转变并非没有挑战,因为实施新的加密协议需要仔细规划、资源分配和对不断变化的威胁形势的敏锐理解。 积极采用抗量子密码学的组织不仅可以加强其网络安全态势,还可以在日益数字化和互联化的世界中获得竞争优势。 利益相关者(包括客户、投资者和监管机构)可能会积极看待此类主动措施,从而建立对组织保护敏感信息的承诺的信任和信心。
Sectigo认为,后量子密码学的兴起将成为2024年董事会讨论的主流话题,这不仅是对潜在威胁的回应,也是确保数字通信未来的积极立场。 NIST在塑造这一叙事方面发挥的关键作用凸显了对抗量子密码学复杂性所需的协作努力。 随着企业为量子挑战做准备,明年有望成为网络安全持续发展的转折点,适应性和远见将成为在不断变化的数字环境中取得成功的关键。