加密專家警告，5至10年之內(nèi)，可行解密算法將成現(xiàn)實(shí)威脅。

[[266455]]

很少有企業(yè)會(huì)做5或10年的戰(zhàn)略規(guī)劃，但事關(guān)加密，CISO卻必須擴(kuò)展自己的視野。這是因?yàn)?，雖然今天的加密算法能夠抵擋現(xiàn)代計(jì)算機(jī)的攻擊，但當(dāng)加密計(jì)算機(jī)變得足以穩(wěn)定執(zhí)行解密任務(wù)時(shí)，這些方法就毫無(wú)用處了。

而且，等到量子計(jì)算機(jī)成為現(xiàn)實(shí)的時(shí)候才采取行動(dòng)是毫無(wú)意義的，因?yàn)橐坏┛捎?，公司今天產(chǎn)生的所有加密數(shù)據(jù)都將無(wú)所遁形。

量子解密系統(tǒng)投入實(shí)用的時(shí)間表可能比你想象的更短，足夠穩(wěn)定的量子計(jì)算機(jī)將在5到10年之內(nèi)出現(xiàn)。

量子計(jì)算的成功是CISO的夢(mèng)魘

最近幾年，量子計(jì)算機(jī)以極快的速度從研究階段邁向商業(yè)實(shí)用。量子計(jì)算機(jī)引入了全新的計(jì)算架構(gòu)，能夠在幾毫秒或數(shù)分鐘之內(nèi)就破解掉當(dāng)今最健壯的非對(duì)稱密鑰加密。

IBM已通過(guò)其 IBM Q 服務(wù)提供量子計(jì)算機(jī)即服務(wù)訪問(wèn)業(yè)務(wù)。澳大利亞政府將南威爾士大學(xué)量子技術(shù)研究員 Michelle Simmons 教授評(píng)為2018澳大利亞年度人物，彰顯澳大利亞研究人員在商業(yè)化量子計(jì)算機(jī)方面的全球領(lǐng)先水平。

量子計(jì)算提供的強(qiáng)大算力，是復(fù)雜數(shù)據(jù)集快速建模、分子間相互作用探索、新藥研發(fā)和復(fù)雜工程問(wèn)題毫秒級(jí)解決的重要支撐。

但其強(qiáng)大能力伴隨著信息安全代價(jià)。信息安全如今很大程度上基于大數(shù)因數(shù)分解的復(fù)雜性——此處的大數(shù)是加密時(shí)通過(guò)兩個(gè)大素?cái)?shù)相乘而產(chǎn)生的。

傳統(tǒng)電子計(jì)算機(jī)需要幾百萬(wàn)年的時(shí)間才能從數(shù)萬(wàn)萬(wàn)億可能組合中暴力猜解出正確的那對(duì)因數(shù)，而量子計(jì)算機(jī)的迥異設(shè)計(jì)——如數(shù)學(xué)家 Peter Shor 于1994年時(shí)證明的那樣，在眨眼間就能完成因數(shù)分解問(wèn)題，突破復(fù)雜RSA加密。

數(shù)據(jù)比加密方法更長(zhǎng)壽

對(duì)大多數(shù)人來(lái)說(shuō)，量子計(jì)算機(jī)制或許遙不可及。但安全人員卻能切身體會(huì)到敏感數(shù)據(jù)可被惡意黑客解密的深遠(yuǎn)后果。

量子計(jì)算猛然突破我們的大量防御措施，就好像這世上的罪犯突然間手握每個(gè)保險(xiǎn)箱的鑰匙一樣。

量子計(jì)算對(duì)安全的影響非常巨大，而大型公司企業(yè)做出改變需要時(shí)間，所以安全團(tuán)隊(duì)必須盡快著手能做的預(yù)防工作。

量子解密攻擊不太可能是普通黑客能做的事兒，攻擊者極有可能是國(guó)家支持的黑客團(tuán)隊(duì)，他們的目標(biāo)明確指向敏感國(guó)家安全、金融或基礎(chǔ)設(shè)施資產(chǎn)。

CISO面臨特別嚴(yán)重的威脅，因?yàn)閭€(gè)人可識(shí)別信息(PII)的保護(hù)是伴隨信息所有者終生的。

信用卡如果被黑還可以換個(gè)卡號(hào)，但僅僅因?yàn)閾?dān)心量子計(jì)算機(jī)就讓人修改他們的生日和性別卻是不現(xiàn)實(shí)的。

個(gè)人數(shù)據(jù)伴隨終生，平均大約還有60年壽命。只要能在這有生之年解密這些數(shù)據(jù)，量子計(jì)算機(jī)的威脅對(duì)人來(lái)說(shuō)就是永恒的。

如果能在未來(lái)5至10年內(nèi)訪問(wèn)這些加密數(shù)據(jù)，黑客就能連點(diǎn)成線，造成比現(xiàn)今的攻擊者更加嚴(yán)重的危害。

備戰(zhàn)后量子時(shí)代

DigiCert是推動(dòng)建立抗量子加密標(biāo)準(zhǔn)的先行者?；ヂ?lián)網(wǎng)信任完全基于加密數(shù)字證書，出于對(duì)即將到來(lái)的量子時(shí)代可能摧毀該互聯(lián)網(wǎng)信任生態(tài)系統(tǒng)的考慮，該公司在2017年年中買下了賽門鐵克的網(wǎng)站安全與公鑰基礎(chǔ)設(shè)施業(yè)務(wù)。

該公司最近與加密巨頭Gemalto和量子安全公司 ISARA Corp 合作開發(fā)抗量子數(shù)字證書，并積極參與美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)局(NIST)主導(dǎo)的后量子加密(PQC)標(biāo)準(zhǔn)化工作。

PQC項(xiàng)目最近提名了26個(gè)備選算法作為今年晚些時(shí)候?qū)⒐嫉恼綐?biāo)準(zhǔn)的 “半決賽入圍選手”。

不過(guò)，DigiCert已經(jīng)推出了PQC合規(guī)算法，并且開發(fā)了能夠配合傳統(tǒng)加密算法使用的混合加密方法。該技術(shù)為現(xiàn)有數(shù)據(jù)資產(chǎn)提供了適應(yīng)未來(lái)的一種方式，并且現(xiàn)在就可供客戶部署。

面對(duì)遷移挑戰(zhàn)

即便PQC標(biāo)準(zhǔn)即將最終敲定，CISO仍面臨著一個(gè)更大的問(wèn)題：如何讓公司高層支持對(duì)當(dāng)今數(shù)據(jù)保護(hù)中位于核心地位的現(xiàn)有加密生態(tài)系統(tǒng)的完全顛覆?

如果解決方案可用且已經(jīng)通過(guò)了測(cè)試，為什么不現(xiàn)在就部署呢?這是因?yàn)?，由于軟件開發(fā)上的延遲，即便MD5散列算法早已告破且被宣告不適用于加密，業(yè)界仍然難以停止使用該老舊算法。

盡管PQC實(shí)現(xiàn)從技術(shù)上看早已萬(wàn)事俱備，但很多CISO仍缺公司管理層的支持這一東風(fēng)——有些公司高層只愿拿出僅夠應(yīng)付當(dāng)前安全需求的資源，對(duì)可支持未來(lái)景氣周期的投入嚴(yán)重不足。

有些高管甚至認(rèn)為量子計(jì)算根本不能成真。讓這些高管了解量子計(jì)算技術(shù)相關(guān)風(fēng)險(xiǎn)，爭(zhēng)取他們的支持，是CISO面臨的一大挑戰(zhàn)。

另外還有來(lái)自第三方的風(fēng)險(xiǎn)——很多公司如今在業(yè)務(wù)職能和技術(shù)服務(wù)交付上都依賴第三方。與其他安全風(fēng)險(xiǎn)類似，后量子時(shí)代的真正彈性，需要供應(yīng)鏈每個(gè)成員都做出同樣的遷移，而這需要時(shí)間。

需對(duì)即將到來(lái)的風(fēng)險(xiǎn)做好規(guī)劃，公司董事會(huì)和員工都需要安全團(tuán)隊(duì)知會(huì)量子計(jì)算即將帶來(lái)的風(fēng)險(xiǎn)。

公司企業(yè)應(yīng)先用混合數(shù)字證書進(jìn)行概念驗(yàn)證，在傳統(tǒng)設(shè)備和物聯(lián)網(wǎng)設(shè)備等新型裝置上探索它們的使用。

從攻擊者的角度出發(fā)，已經(jīng)在嘗試PQC解決方案的銀行、保險(xiǎn)公司或IT公司就可以從目標(biāo)列表中劃去了，因?yàn)楣粽咧肋@類公司的CISO早已將量子計(jì)算機(jī)視作重大安全威脅了。

【本文是51CTO專欄作者“李少鵬”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過(guò)安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文