近日,網(wǎng)絡(luò)安全負(fù)責(zé)人表示,為英國各組織準(zhǔn)備應(yīng)對(duì)后量子計(jì)算所帶來的威脅所需的轉(zhuǎn)型,將使得 2020 年曾對(duì)計(jì)算機(jī)系統(tǒng)構(gòu)成威脅的千年蟲問題顯得輕而易舉。
英國國家網(wǎng)絡(luò)安全中心 ( NCSC ) 首席技術(shù)官 Ollie Whitehouse 表示,籌備后量子密碼學(xué) ( PQC ) 將需要一項(xiàng)復(fù)雜的變革計(jì)劃,這將是一項(xiàng)巨大的任務(wù)。
這項(xiàng)為期十年的全英國后量子密碼學(xué)計(jì)劃要求各組織識(shí)別所有加密代碼實(shí)例,評(píng)估其是否易受到量子計(jì)算機(jī)攻擊,并制定應(yīng)對(duì)風(fēng)險(xiǎn)的計(jì)劃。
這與英國政府和各公司在 2000 年第一天,由于程序員計(jì)算日期方法不當(dāng)而導(dǎo)致軟件可能故障時(shí)所進(jìn)行的大規(guī)模修復(fù)工作相似。
如今的風(fēng)險(xiǎn)在于,未來大規(guī)模量子計(jì)算機(jī)的發(fā)展有可能危及廣泛使用的加密認(rèn)證技術(shù),這些技術(shù)用于保護(hù)銀行及其他交易安全,并驗(yàn)證網(wǎng)絡(luò)用戶身份。
各國政府還擔(dān)心敵對(duì)國家可能攔截、收集并存儲(chǔ)敏感通信,以期未來開發(fā)出能夠解密其加密數(shù)據(jù)的量子計(jì)算機(jī)。
雖然難以預(yù)測(cè)首臺(tái)能夠破解當(dāng)今加密算法的量子計(jì)算機(jī)何時(shí)問世,但科技供應(yīng)商普遍認(rèn)同,實(shí)用型量子計(jì)算機(jī)最早可能在 2030 年代出現(xiàn)。
作為 GCHQ 一部分的 NCSC 于三月發(fā)布了指南,提出了英國分階段遷移至后量子密碼學(xué)(利用不易被量子計(jì)算機(jī)破解的加密技術(shù))的時(shí)間表,目標(biāo)是 2035 年前完成。
涉及敏感工作的英國政府部門已開始部署后量子密碼學(xué)標(biāo)準(zhǔn),而大公司,如 Google,已在其云服務(wù)中開始應(yīng)用該技術(shù)。
NCSC 今天宣布了一項(xiàng)咨詢計(jì)劃,將為希望在其產(chǎn)品或網(wǎng)絡(luò)中部署后量子密碼學(xué)的組織提供幫助和專業(yè)意見。NCSC 建議各組織識(shí)別需要升級(jí)的加密服務(wù),并在 2028 年前制定遷移計(jì)劃。
隨后,在 2028 年至 2031 年期間執(zhí)行高優(yōu)先級(jí)升級(jí),直至 2035 年實(shí)現(xiàn)所有加密技術(shù)完全遷移至 PQC。
安全官員表示,此舉目的不是引發(fā)恐慌,而是確保在這十年內(nèi)平穩(wěn)過渡到后量子密碼學(xué)。中小企業(yè)可通過托管服務(wù)提供商獲得 PQC 升級(jí)支持,但對(duì)于大型組織及關(guān)鍵行業(yè)來說,實(shí)現(xiàn) PQC 轉(zhuǎn)型將需要廣泛的規(guī)劃和投資。
NCSC 推出這些指南,部分是為了為關(guān)鍵行業(yè)的信息安全主管提供支持材料,以便他們向公司董事會(huì)陳述申請(qǐng)資金、推動(dòng)后量子密碼學(xué)轉(zhuǎn)型的理由。
這些指南還旨在遏制過于熱情的供應(yīng)商向負(fù)責(zé)關(guān)鍵國家基礎(chǔ)設(shè)施的組織施壓,要求它們升級(jí)到尚未完全成熟或不適合其需求的后量子密碼學(xué)產(chǎn)品。
人工智能為公司帶來了另一個(gè)挑戰(zhàn),令它們?cè)谛扪a(bǔ)系統(tǒng)以防范新安全漏洞被自動(dòng)化網(wǎng)絡(luò)攻擊利用前,所剩時(shí)間更少。
Whitehouse 表示,各組織必須更好地管理其 “technical debt”,這一概念用于衡量因軟件匆忙發(fā)布而導(dǎo)致未完全成熟或不夠安全所需更新的成本。
與此同時(shí),科技供應(yīng)商需要設(shè)計(jì)和維護(hù)產(chǎn)品與服務(wù),以增強(qiáng)其對(duì)網(wǎng)絡(luò)攻擊的抗風(fēng)險(xiǎn)能力。
Whitehouse 表示,不這樣做就有可能重蹈自互聯(lián)網(wǎng)興起以來可被避免的安全失誤覆轍。
他補(bǔ)充道,“如果我們不對(duì)已經(jīng)顯現(xiàn)的根本性市場(chǎng)失靈進(jìn)行激進(jìn)而持續(xù)的干預(yù),我們確實(shí)有重演過去 30 年的風(fēng)險(xiǎn),但后果將更加嚴(yán)重。”