量子天启要来了。听起来很恐怖?是啊,那很好。如果您有需要保护安全和隐私的信息、系统和设备,您的组织需要做好准备。
专家估计,在未来6-10年内,加密算法,这是现在的安全技术的基石,我们用它来保护几乎每一个方面的今天美国的互联工业应用,可能会被下一代量子计算机轻易击败。
量子计算使RSA和ECC加密算法过时的不可避免的一天可能会对社会造成严重的损害,以至于安全部门将其视为量子密码启示录。这种炒作不是没有根据的。RSA和ECC加密用于保护各行各业的每一个数据源和系统:工厂、数据农场、公共事业、电子商务和银行系统、交通、通信网络等等。
没错,量子计算机是庞大、庞大、复杂、昂贵的系统,最初只有国际主要技术组织才能负担得起。然而,它们的使用可能会蔓延到各个民族国家,并最终蔓延到网络罪犯和黑客手中。
好消息是,制造业和科技行业现在可以采取一些措施了。
分阶段迁移到量子安全加密
迁移到量子安全加密算法将需要规划和更新多个系统。最终,这将包括制造业中使用的机器和装配线上推出的产品。他们都需要被保护。此外,该公司的内部数据管理和通信系统,以及第三方应用程序、服务器和系统需要更新。
工程师和开发团队必须立即开始计划迁移到量子安全加密。对于工厂和大型企业来说,这些措施将是一项重大任务。
幸运的是,没有必要同时更新所有系统。
通过使用混合证书(具有传统RSA或ECC密钥和新量子安全密钥的安全证书),制造商和开发者可以进行渐进但安全的迁移。混合证书将使尚不支持量子安全加密的设备能够与支持量子安全加密的新系统一起工作。因此支持密钥系统逐步迁移到量子安全加密。
为了完成迁移,一旦所有系统都升级到支持量子安全加密,您可以放弃混合证书,而使用纯量子安全证书。然而,有许多方法可以考虑这种演变。
有些公司可能会选择直接从传统加密过渡到量子安全加密,没有混合证书的过渡期。
对于所有系统可以同时升级到纯量子安全证书的工业和企业环境,可以跳过混合证书的过渡期。然而,这种更快的直接迁移会带来更大的风险。如果任何系统没有正确更新,它将无法再与其他系统通信。
或直接或混合迁移计划的步骤。
直接或混合迁移计划需要以下六个步骤。
(无论是直接升级还是使用混合证书,组织成功迁移到量子安全加密都需要六个步骤。
量子安全的PKI安全基础设施升级
迁移到量子安全加密的第一步是升级公钥基础设施(PKI),包括认证机构,以便利用量子安全加密算法。与其试图升级内部的PKI系统,这可能是该公司迁移到商业认证机构(CA)的理想时机,例如Sectigo,它可以为量子安全加密算法提供商业支持。
无论是迁移到内部PKI系统,还是调整商业供应商的解决方案,CA都必须提供对量子安全加密算法和量子安全证书颁发的支持。如果IT安全团队选择使用混合证书,就必须选择同时支持混合证书和纯量子安全证书的CA。
升级现有CA或选择新CA后,CA必须颁发新的quantum security根证书和中间证书。
更新服务器应用程序以识别和使用新的加密算法。
迁移到量子安全加密需要更新服务器应用程序使用的加密库,以支持新的加密算法和新的量子安全证书格式,包括混合证书(如果使用)。如果使用混合证书,服务器应用将需要识别和处理传统的RSA/ECC证书和包含量子安全加密密钥的混合证书。这要求服务器应用程序区分两种不同的证书类型,并使用该证书类型的正确加密算法来处理每种证书类型。
更新客户端加密算法
接下来,IT和开发团队需要更新各种客户端应用程序,以使用量子安全加密算法。完成安全升级后,管理员可以停止在客户端应用程序中使用传统的RSA/ECC密钥/证书,而使用新的quantum security等效物。
此策略的例外是客户端应用程序与多个服务器应用程序通信,这些应用程序可能不会同时升级到quantum security encryption。在这种情况下,混合证书将允许客户端使用支持传统RSA/ECC加密的服务器,同时,量子安全算法将用于支持这些新算法的服务器。
在所有系统上安装quantum security root
每个使用PKI的安全系统都有一个可信的根存储。这个根存储包含根CA和在PKI系统中颁发证书的中间CA的证书。在系统更新到支持量子安全加密算法后,这些根存储也必须更新,以添加新的根证书和中间证书。
向连接的设备和应用颁发新的量子安全证书。
IT团队更新公司所有系统支持量子安全加密后,必须颁发新证书,并安装在所有端点上。完成后,每个设备都可以开始使用量子安全加密算法,由新证书启用。
最后一步——摆脱旧的
迁移到量子安全加密的最后一步是放弃传统的加密算法,让它们不再被使用。这可以在迁移到新算法的应用程序和系统上逐步完成。迁移所有系统后,应撤销根ECC和RSA证书,以确保它们不被任何系统使用。
转向自动化证书管理的好时机
迁移到新的加密算法和PKI系统将需要颁发大量新证书,因为每个设备/应用程序都需要新证书。对于尚不支持自动证书管理的组织来说,现在是考虑实施自动化工具的最佳时机。
现在一些简单易用的证书管理平台,不仅支持证书自动发现和更新,保证系统不会因为证书过期而失效,还减轻了在设备和系统上安装新证书的管理负担。对于考虑新PKI解决方案的安全团队来说,对自动化工具的支持应该是重中之重。
审计郭婷
