利用加密货币敏捷性应对后量子威胁

1輩吇筷楽

无论是否准备好，量子计算技术正在迅速发展，其新功能将比大多数人预期的更快地成为现实。量子技术有可能彻底改变材料科学、药物发现、金融交易甚至气候变化研究等应用领域。然而，这些革命性的进步也给数字信任和加密带来了巨大的挑战。一些专家预测，在十年或更短的时间内，后量子计算技术将强大到足以破解领先的密码安全算法。

组织正认真对待后量子计算技术的潜在风险，但他们的准备状态仍然不稳定。根据Ponemon研究所最近的一份报告，41%的人认为他们的组织有不到五年的时间来为新挑战做好准备。然而，只有23%的参与者表示他们已经有安全策略在实施中，只有30%的人说他们的组织正在为后量子准备分配预算。

主动采取行动永远不嫌早

为什么组织没有更好地准备面对可能影响其最关键业务流程的新发展？在与客户的非正式交谈中，我们了解到许多人更加关注像人工智能这样短期内的技术挑战。直到能够破解加密的实际运作良好的量子解决方案出现之前，组织更倾向于专注于国家行为者和其他近期IT优先事项这样的直接安全威胁。

然而，尽管当前技术还不能破解当今的加密方案，许多组织担心攻击者可能现在就在捕获加密的数据包，并计划在新的计算能力可用时进行破解。根据Ponemon研究所的数据，74%的调查参与者担心攻击者可能会进行“先收集后解密”的攻击。

即使组织还没有准备好直接应对即将到来的量子计算挑战，它们仍然可以采取步骤评估并准备好快速部署新的加密算法。这需要一个具备加密灵活性的组织。加密灵活性是指能够发现完整的密钥、证书、算法、库和协议清单，并能迅速切换到不同的加密机制的能力。它要求了解组织内部如何使用密码学，并拥有快速更新所需的文化和工具。

向加密灵活性迈进

政府和行业领袖已经采取了一些初步措施来帮助组织应对即将到来的后量子挑战。国家标准与技术研究院（NIST）已经选择了四种旨在抵御量子计算机攻击的算法，并且正在对这些算法进行标准化。预计三种新的签名算法将在2024年投入使用，而具有加密灵活性实现的组织将最好地准备采用这些算法。

进行清点

组织今天可以采取哪些步骤来提高加密灵活性？获取可见性是基础。很多时候，IT和安全人员对他们基础设施和业务过程中如何以及在哪里使用密码学仅有有限的认识。

为了了解哪些区域需要注意，应采取措施开始全面清点。对目前正在使用公钥密码学的应用程序和系统进行全面扫描。一个信誉良好的证书发现服务可以提供您的证书环境的最新快照。

组织还应该将清点范围扩展到证书之外，检查通信和硬件系统中的组件。诸如硬件安全模块（HSMs）和可信平台模块（TPMs）之类的元素通常持有密码资产。在DevOps环境中，代码签名过程也可能容易受到新的高级攻击。为了保持见解完整和最新，组织应该频繁执行发现任务。

自动化以提高效率

在获得潜在风险区域的深入可见性之后，下一步是确保组织能够快速大规模地替换过时的密码资产。这些资产包括任何使用密码学的文档、服务器、流程、用户和设备。自动化可以在短时间内响应新挑战方面发挥重要作用。单独管理密码资产容易出错、劳动密集且耗时。

对于拥有成千上万种密码资产（如证书）的大企业来说，手动更新密码是不切实际的。简化证书生命周期管理的最简单方法是使用带有自动化管理器的PKI即服务，这可以使组织在几分钟内向云或本地环境推出大量证书。

测试准备情况

密码元素往往跨越各种应用程序和环境，因此互操作性测试是提高加密灵活性的另一个重要步骤。许多组织，例如DevOps团队，通常会在开发周期中作为例行工作的一部分进行测试，所以测试不需要重大改变，而是对现有流程的改进。

当需要更新密码算法时，首先在大规模迁移之前检查您的基础设施和应用程序的互操作性。

解决当前挑战，为未来做准备

虽然任何战略举措都可能看起来令人望而生畏，但今天采取一些加强加密灵活性的步骤可以让关键决策者放心，他们的组织已为即将到来的挑战做好了充分准备。根据Ponemon报告，被调查认为表现优秀的组织对其使用必要密码技术实现安全后量子计算未来的能力更为乐观。凭借正确的文化、沟通、工具和技术合作伙伴，组织今天就可以走上通往加密灵活性的快车道。

对于希望了解更多关于如何做好量子准备的组织和个人，或者还在犹豫何时开始制定量子策略的组织和个人，DigiCert创建了世界量子准备日，该活动将于2024年9月26日举行。此活动旨在提高人们对量子影响的认识，并提供大量的信息，说明公司今天可以做什么。

作者简介

Avesta Hojjati博士是DigiCert的工程副总裁。在加入DigiCert之前，Hojjati博士曾在赛门铁克和雅虎等大型企业担任多种职务，并且是渗透测试公司Security7 Inc.的创始人兼首席执行官。在DigiCert，Hojjati博士领导了一套网络安全产品的先进开发，包括嵌入式/物联网设备安全和后量子密码学（PQC）解决方案，并结合并购战略影响更广泛的产品路线图。

Hojjati博士在伊利诺伊大学厄巴纳-香槟分校获得了计算机科学硕士和博士学位，在德克萨斯理工大学获得了计算机科学学士学位。他发表了超过20篇期刊/会议论文，并且是30项美国专利的发明人，其中既有已授予也有待批准的。