9
现在准备
即将到来的量子密码破解将会发生;这只是时间问题。当它真的发生时,它将使世界上许多传统的公钥密码术失效,并使其他现有的密码术削弱至少50%。这是一个最好的情况下,不包括任何其他量子进展,可以使解决对称密码和散列更容易。
在前面的章节中,我们讨论了量子力学,量子计算机,网络,以及即将到来的变化,包括可能的密码破解。本章将讨论您和您的组织如何在休息之前从今天开始准备。这一章很可能是你们许多人买这本书的原因。首先,我们将介绍任何后量子减缓项目的四个主要阶段,然后我们将重点介绍项目步骤。
量子期后的四个主要缓解阶段
大多数组织的量子后缓解项目将包括以下四个主要阶段:
第一阶段:强化现有解决方案。
第二阶段:转向抗量子的解决方案。
第三阶段:实施量子混合解决方案。
第四阶段:实现全面的量子解决方案。
图9.1以图形方式显示了每个阶段。每一个项目阶段将在下面的章节中进行更详细的讨论。
第一阶段:强化当前的解决方案
每个组织都应该尽快更新任何弱量子抗加密技术,并在可行的情况下使用现有的量子抗加密技术和密钥大小。使用格罗弗算法的量子计算将现有对称密码和散列的保护能力减半,因此将其密钥和散列输出大小加倍,特别是在容易这样做的地方,是有意义的。例如,任何使用AES-128的系统都应该移动到AES-256或更高版本.如果您有需要保护10年的关键数据,即使它使用的是AES-256,也许您应该将其移动到AES-512,等等。
[插图]
图9.1量子后减缓项目的四个主要阶段
非对称密码的密钥大小应该更新到至少4,096位。大多数公钥密码是2,048位的,还有很多1,024位的。随着量子计算机获得量子比特和能力,它们将能够首先破解较小尺寸的密钥。通过迁移到现有加密的更大密钥大小,您可以降低风险,尽管风险并不像能够立即过渡到真正的抗量子加密那样大。更改组织的策略以规定可接受的最小密钥大小。
尽管如此,对于现有的加密技术来说,并不总是能够使用更大的密钥大小。许多应用程序是硬编码的,而其他许多应用程序只能接受特定的密钥大小(而不是标准中公布的所有密钥大小)。例如,SHA2有224位、256位、384位和512位大小。多年来,微软Windows可以完美地使用SHA2-256(默认SHA2密钥大小),但如果您访问SHA2-,则会在受TLS保护的网站上出现操作问题。512 (这个“bug”几年前就已经修复了)。当你使用Windows的内置软件时,Windows仍然没有默认提供SHA2-224(尽管它是官方标准的一部分)。许多应用程序只接受一个或两个密钥大小。有些人会接受较大的密钥大小,但有意想不到的操作问题。因此,增加键的大小应该总是在彻底测试之后进行,以确保这样做不会导致操作问题。
您还必须意识到,移动到尽可能大的密钥大小可能会导致性能问题。添加到加密密钥中的每一位都会增加使用加密所需的计算量。在许多情况下,例如从RSA 2,048-bit移动到4,096-bit,性能下降是存在的,但在大多数情况下,大多数用户几乎察觉不到。但在一些高事务性的场景中,例如流行的网站或高事务性的数据库,随着流量的增加,这种变化可能会变得明显,并产生不利的影响。
在某些场景中,性能下降甚至对单个用户和低流量都是不可接受的。例如,几年前,我的一个客户将他的公钥基础设施(PerkinElmer)证书颁发机构服务器的数字证书从2,048位移动到16,384位,只因为他希望尽可能安全。位的增加是如此显著,以至于他的大多数计算机都要花一分钟以上的时间才能打开任何加密消息,这些消息最终链接到16 KB的根证书颁发机构数字证书。将其与使用2,048位密钥打开相同消息所需的1-1.5秒进行比较。更大的数字证书是安全的,但可能过于安全,对于正在使用的硬件和应用程序来说肯定太慢了,特别是当使用4096位密钥时,就足够安全和快速了。
是否应该增加非对称密钥的大小?
一些读者可能想知道升级非对称密钥大小是否有任何实际意义,以试图保持领先于预期的量子计算机能力的持续增长。答案并不简单或者不需要,尽管将非对称密钥大小增加到至少4,096位不会有什么坏处,特别是当旧密钥过期时,如果您可以轻松自然地这样做的话。
但是,为了对抗即将到来的量子密码破解,增加非对称密钥的大小,正反两方面都有很好的论据。例如,使用肖尔算法,量子计算机至少需要( 2 × n )+ 3 个稳定的量子比特,其中 n 是要破解的关键比特数。因此,要破解一个2048位的RSA密钥,量子计算机需要4099个稳定量子比特,而要破解一个4096位的RSA密钥,则需要8195个稳定量子比特。因此,如果你把你的非对称密码从2048位移动到4096位,这个策略可以保护你,直到量子计算机达到至少8195个稳定的量子比特(假设使用更少的量子比特不能让较小的量子计算机仍然达到相对更快的速度)。
目前,我们不知道量子计算机还要多久才能达到4099个稳定量子比特,一旦达到,还要多久才能达到8195个。但它可能不会像我们到达前100个量子比特所花的时间那样,或者从100到4099个量子比特所花的时间。一旦社会学会如何大规模地缩放量子比特,增加应该会相当快。
为了增加考虑因素和复杂性,如果一些纠错估计是可信的,每个稳定的量子位目前需要数百到超过100万个纠错量子位,所以我们可以谈论的是需要几十亿个量子位的差异来破解一个2048位的密钥与一个4096位的密钥。如果错误修正的估计是正确的,那么所需的辅助量子位元的数量可能会提供更长时间的保护,这一举措可能是值得的。
与此同时,许多新的量子因式分解算法的开发者声称,他们可以用比Shor所要求的更少的量子位数分解素数方程。如果单个的量子位元变得更稳定,或者需要的纠错量子位元比更高一级的估计所计算的要少得多,那么它就会回到另一个方向。
我分享这些观点并不是为了迷惑您,而只是想说增加非对称密钥的位数并不像增加对称密钥和散列大小那么简单。但总的来说,如果您希望降低传统的易受量子影响的非对称加密的风险,直到您能够迁移到抗量子加密,增加非对称密钥大小不会有什么坏处,特别是如果这样做很容易的话。
密码敏捷性
密码灵活性是指设备、软件或系统能够将其密码更改为另一种密码、方案或密钥大小,而不会造成不必要的负担。最后,所有相关系统的设计都应该使您能够尽可能少地切换相关的加密技术。不幸的是,这是那些系统的开发者必须做的事情。如果开发人员不首先创建底层结构来允许它发生,那么客户和最终用户很难完成。
一些流行的开发者已经为你做了这件事。例如,Microsoft Windows和大多数微软产品将加密技术与使用它的软件和硬件系统分开。为此,微软建议将加密密码和方案表示为离散的、单独的密钥存储提供程序(KSP)模块。(在早期的 Windows 版本中,它们被称为加密服务提供者【 CSP 】),可以与使用它们的应用程序分开安装和卸载。
Windows带有许多内置的KSP,其中包含所有流行的密码和方案标准。第三方和客户可以创建自己的KSP,将一个KSP替换为另一个KSP非常简单,只需安装新的KSP(通常相当小且安装迅速),然后从KSP下拉式选单中选择即可。微软的旗舰证书颁发机构产品Active Directory证书服务允许安装不同的KSP以支持不同类型的加密。
在开源Linux世界中,许多最流行的应用程序和实用程序(如OpenSSL和SSH)都允许交换不同类型的加密。部分抗量子Picnic签名方案团队使用Picnic、LWE-FRODO和SIDH以及OpenSSL和Apache Web服务器来创建有效的TLS 1.2 HTTPS连接(参见Picnic设计文档的第8.2节:https://github.com/Microsoft/Picnic/blob/master/spec/design-v1.0.pdf).OpenSSL和Apache并不需要重大的修改,虽然OpenSSL确实需要一个小的修改,以允许TLS使用由Picnic生成的更大的密钥大小。
将简单多功能性(即,加密灵活性)与大多数应用程序的硬编码加密进行比较,硬编码加密不能在不更新程序中的密码编码、重新编译和重新安装整个程序的情况下被替换。
努力让你的所有供应商(和你自己开发的软件)都是密码敏捷的。这样,当下一个强制加密迁移事件发生时,转换将更容易。现在就开始量子加密迁移项目的这一阶段。让加密敏捷成为IT团队中每个人都知道、理解和请求的一个词。
第二阶段:转向抗量子化解决方案
如前所述,大多数组织在其国家标准机构(如国家标准与技术研究所【 NIST 】或欧盟网络和信息安全局)宣布官方的后量子密码标准之前,无法转向新的抗量子密码技术。但是对于许多组织,特别是那些拥有使用加密技术的开发人员和内部应用程序的组织,开始试验是有意义的。
许多量子编码库、API、模拟器和软件开发工具包(SDK)可帮助组织迁移到抗量子加密。许多组织都拥有软件、工具、资源和知识渊博的人员来帮助您完成抗量子加密转换。他们可能拥有您的组织开始量子加密迁移所需的一切,包括经验丰富的量子开发人员和测试人员。看看这些:
开放量子安全计划(https://openquantumsafe.org/)
GitHub上的开源量子软件项目(https://github.com/qosf/os_quantum_software)
开源和商业量子软件项目和在线量子门户(https://github.com/qosf/os_quantum_software)
当然,量子供应商,如微软,IBM和剑桥量子计算有许多资源和工具。与您现有的供应商合作。即使你所做的只是进行一个小的示范项目,这也会让你在竞争中占据优势。如果量子密码的破解比你的计划预计的要早,那么投入到任何测试项目中的时间、精力和资源都将是物有所值的。测试项目是关于让公交车和公交车上的人朝着正确的方向前进。
当国家机构批准了官方的抗量子标准,你就应该尽快开始向抗量子密码学发展。同样的操作和性能注意事项适用于更新传统加密的密钥大小(性能和操作问题),但任何选定的标准都可能是性能和可用性的良好组合。通常在标准被批准的时候,大量的现实世界的资源和软件库正在等待帮助开发人员和实现者。一旦标准公布,整个国家(或世界)将开始朝着同一个方向前进。确保你是这场运动的一部分。你不需要在流血的边缘,但靠近边缘是一个伟大的地方。
您的迁移项目的这一阶段可能从选定国家抗量子标准之时起至少持续两年。NIST声称,美国国家标准将在2022年至2024年之间选定,这意味着大多数美国项目的这一阶段可能需要3-7年才能完成。当然,如果有人突然宣布量子密码突破,这个项目阶段可能会提前。
注:完成第二阶段,转移到抗量子解决方案,将导致风险的大幅降低,至少在另一项技术突破发生之前,以减轻所提供的抗量子密码的强度。接下来的两个阶段将继续降低风险,但降低的幅度可能不会那么大。完成第二阶段很可能是项目的最高里程碑。
保护PKI / 珀金埃尔默
珀金埃尔默使互联网和企业运行的大部分。即将到来的量子密码打破专门打破每一个现有的PerkinElmer,因为它们运行在量子敏感的密码(Rivest-Shamir-Adleman,Diffie-Hellman,数字签名算法,椭圆曲线数字签名算法等)。如前所述,微软和其他研究人员已经能够初步表明,至少一些现有的PKI、数字签名和硬件安全模块(HSM)可以运行在防量子密码上,并且只要稍加调整,这些数字证书就可以在互联网上使用TLS。还有许多其他的PerkinElmer软件程序和供应商,但是当他们转移到抗量子密码的时候,大多数可能会被移植到这样做。
第6章所述的任何NIST第2轮数字签名方案候选人(晶体您可以在这里找到一份关于PerkinElmer加密敏捷性的白皮书:www.isara.com/wp-content/uploads/2018/05/ISARA_Corp_PKI_Migration_WhitePaper_FINAL.pdf https://tools.ietf.org/html/draft-irtf-cfrg-xmss-hash-based-signatures-11.
莱格-米卡利签名(LMS)和XMSS(扩展的Merkle签名方案)的变体也在讨论中,但是因为它们是有状态的,所以它们没有作为NIST的正式候选方案。据称,NIST仍在考虑它们的一个子项目。XMSS的多树变体称为XMSS-MT或XMSS-MTS(Merkle树签名),以及LMS的多树变体称为HSS。这两份文件都以征求意见(RFC)的形式提交给了互联网工程任务组(IETF),这是审批过程的最后一步。您可以阅读更多关于xmss和lms的信息。https://eprint.iacr.org/2017/349.pdf如果你有兴趣。了解XMSS和LMS进展的一个好地方是https://www.isara.com/standards/,您可以在这里找到一份关于XMSS的白皮书:https://tools.ietf.org/html/draft-irtf-cfrg-xmss-hash-based-signatures-11.
给你最强烈的后量子PerkinElmer注意从CA/浏览器论坛(https://cabforum.org/)特别是他们的PerkinElmer标准(称为基线要求)(https://cabforum.org/baseline-requirements/).这个小组由一些最大的PerkinElmer供应商和实现者组成。他们的要求通常控制了所有“公共”CA供应商所遵循的,并间接地控制了大多数私有公司最终所遵循的。他们控制在公共CA中使用的密码学和最佳实践,以及与PerkinElmer操作相关的大多数因素。他们成功地迫使大多数CA从SHA1迁移到SHA2的团队;这一举措得到了重视,并以一种深思熟虑的、成功的方式引导了其他加密迁移。
CA/浏览器论坛讨论并关注即将到来的量子变化于2019年3月(https://cabforum.org/2019/05/03/minutes-for-ca-browser-forum-f2f-meeting-46-cupertino-12-14-march-2019/#Quantum-Cryptography-problem-need-solutions-and-timeframe---assign-ForumSCWG-liaisons). 如果您有PerkinElmer,请遵循CA/浏览器论坛的更新和要求。
有关PerkinElmer和X.509数字证书在后量子世界的更多信息,请查看https://eprint.iacr.org/2018/063.pdf和https://eprint.iacr.org/2017/349.pdf.
获取其他量子设备和服务
这也是开始考虑使用基于量子的(可认证的)随机数发生器(RNG)和量子密钥分发设备(如第7章所述)的时候了。这两种设备都相对便宜,已经使用了近20年,并且可以用于改进您的密码学,不管是否涉及其他量子密码学或设备。
注意:基于量子的随机数生成器已经存在很久了,但是“可认证的”随机数生成器在2019年才开始出现。这是第一个可用的商业版本:https://cambridgequantum.com/cqc-unveils-the-worlds-first-commercially-ready-certifiable-quantum-cryptographic-device/.
现在是IT安全决定何时需要这些类型的系统的时候了,但在实施抗量子加密的时候,他们将是必需的。如果你不需要或不想拥有这种类型的系统,它是有意义的,至少利用自己的服务之一。随着量子计算机开始获得访问权限,可以考虑购买量子计算机或基于量子的服务。当世界开始量子化时,不要被困在一个纯粹的二元世界里。
第三阶段:实施量子混合解决方案
大多数早期的量子网络和系统将使用量子和经典的二进制计算设备的组合来执行它们的工作。例如,量子密钥分配(QKD)设备通常通过经典的二进制网络信道传输量子衍生的密钥。大多数基于量子的RNG生成令人难以置信的随机数,然后在经典的基于二进制的系统中使用。可信中继器可以安全地共享基于量子的密码密钥,在经典网络中这样做。所有现有的抗量子密码都在二进制世界中工作,并且使用经典的、基于二进制的散列。等等。你将使用的许多早期量子系统和设备将是量子和经典特性的混合体。这应该是预期的,特别是在我们能够去完全基于量子的网络和设备从长远来看。
重要的一点是,要弄清楚什么时候从经典的二进制世界转移到量子混合模型在安全和财政上是有意义的。当量子混合模型可用时,并不总是一个具有成本效益的解决方案。转移到基于量子的解决方案的全部原因是为了得到量子力学的内在保护。当它与经典世界混合在一起时,就像在混合模型中一样,那么最大的安全保护就是最容易被破解的技术(即经典技术)。传统的依赖可以在很大程度上否定使用量子混合模型的安全原因,而且通常会付出更大的代价。
有时,一个纯粹的经典解决方案将在所需的时间段内提供所有必要的安全性。由每个项目团队来决定迁移的正确时间和迁移到哪种类型的技术。转移到量子混合系统比转移到所有的量子抗密码需要更长的时间,也许从你的项目开始持续长达10年。
第四阶段:实施全量子解决方案
最后,最终的目标,多年以后的道路(希望)是完全量子加密和网络设备。或者您的组织的安全需求需要尽快完全基于量子的系统。量子力学使任何使用量子密码学和力学的东西本质上更安全。抗量子加密技术将消除来自量子加密攻击的大部分风险,但基于量子的加密技术和设备才是最终的保护措施。
例如,关于你的网络设备,从今天开始,确保你所有的网络设备都使用现有传统加密的抗量子密钥大小。随着国家标准的批准,将它们转移到真正的抗量子密码学上。然后转移到经典/量子解决方案,比如可信中继器,然后到全量子解决方案,比如量子中继器。并为您的所有数据保护系统做这样的工作。从量子迁移项目开始算起,第4阶段可能会持续长达20年。
这四个阶段不一定要按顺序发生。很可能有几个平行的轨道在不同的时间进行,涉及不同的系统。例如,您可能希望停留在第一阶段,在可预见的将来为许多系统实现更大的现有加密标准,同时为其他系统探索其他阶段。您可能会决定为某些项目购买量子RNG,并将其用于混合解决方案。当一些供应商以合理的成本提出完全基于量子的解决方案时,您可能仍在参与将一堆项目过渡到抗量子加密。除第一阶段外,这些阶段在某些情况下可能依次发生,在另一些情况下可能平行发生,视情况而定。这是意料之中的。
量子后六大减缓项目步骤
随着即将到来的量子密码破解,每个想要保护数字秘密的组织都需要有一个计划。这本书的这一部分描述了那个计划。主要的一般项目阶段如下:
好好教育。
制定计划。
收集数据。
分析一下。
采取行动/补救。
根据需要进行审查和改进。
图9.2总结了整个量子迁移项目生命周期阶段。
[插图]
图9.2:量子迁移后项目生命周期各阶段
附注:本章中提出的方案已经过多次测试和使用,尽管是针对一种不同类型的加密迁移。在2014年到2017年期间,我已经帮助了几十家(如果没有超过一百家的话)不同的公司执行SHA1到SHA2的迁移。虽然目标不同,但计划和步骤却非常相似。
本章的其余部分致力于更详细地讨论计划的每一个步骤。
第一步:教育
因为你在读这本书,你已经在计划的第一步。您需要让自己、团队、管理层和其他所有终端用户了解即将到来的量子密码破解,以及您的组织计划如何应对。您特别希望培训参与软件和硬件的决策制定和购买的开发人员和利益相关者。
对于您自己,请使用本书及其推荐的所有其他参考资料,继续您的量子计算教育之旅。您面临的一个关键挑战是跟上量子计算进展的最新变化,以及它们将如何影响您的量子计算准备计划。当您在一般媒体新闻文章中看到量子这个词时,只需多加注意即可,但订阅特定的量子计算邮件列表和博客也是了解最新信息的好方法。
量子计算邮件列表和博客网站
下面是一些可能的量子计算邮件列表和博客,你可以加入或关注:
https://quantiki.org
www.scottaaronson.com/blog/
www.scottaaronson.com/博客/
www.quantiki.org/wiki/mailing-lists
维基/邮件列表
https://golem.ph.utexas.edu/category/2010/12/quantum_foundations_mailing_li.html
https://accounts.eclipse.org/mailing-list/quantum-computing-wg
https://hepsoftwarefoundation.org/workinggroups/quantumcomputing.html
https://dabacon.org/pontiff/
https://quantumcomputingreport.com/news/
https://quantumcomputing.stackexchange.com (great for technical questions)
https://quantumcomputing.stackexchange.com(适用于技术问题)
https://geekforge.io
It can't hurt to follow my articles (www.csoonline.com/author/Roger-A.-Grimes/), Twitter (@rogeragrimes), or LinkedIn (www.linkedin.com/in/rogeragrimes/) postings, although they deal with a broad range of computer security topics and not just quantum.
关注我的文章(www.csoonline.com/author/Roger-A.-Grimes/)、Twitter(@rogeragrimes)或LinkedIn也没什么坏处(www.linkedin.com/in/rogeragrimes/)的帖子,尽管它们涉及广泛的计算机安全主题,而不仅仅是量子。
本章后面的附录将列出更多的资源。我很抱歉,如果我错过了你最喜欢的量子邮件列表,博客,或网站。
尽可能地理解量子力学和量子计算。作为一个为即将到来的量子密码破解做准备的倡导者,你可能会被期望对量子有相当好的理解。希望这本书能让你对量子和量子计算有一个很好的概括性理解,但如果你想阅读更多的资源,我也能理解。作者花了二十多年的经验,阅读了数百篇关于量子力学和计算机的不同文章,才能像我今天这样理解它。
下面是一个处理量子理论和量子计算的在线课程列表:https://quantumcomputingreport.com/resources/education/以及另一个类似的网站:https://hackernoon.com/16-best-resources-to-learn-quantum-computing-in-2019-e5d8b797aeb6.
幻灯片演示
所有IT成员都应该熟悉基本的技术问题和挑战。如果即将发生的变化会影响到最终用户的生活(例如软件更新和数据保护标准的变化),则尽量让所有最终用户参与进来。
向其他人介绍量子力学、计算和即将到来的密码破解的一个好方法是用幻灯片演示来介绍这个主题。多年来,我一直在做一个一小时的幻灯片演示,并取得了很大的成功,我欢迎读者下载和重用我自己的介绍幻灯片。图9.3显示了示例幻灯片。幻灯片演示包括量子力学,量子计算机,密码学,量子霸权,量子突破,以及如何准备。观众至少需要一点一般的密码知识才能从演示中获得最大的好处。
[插图]
图9.3演示文稿中的示例幻灯片
一般介绍,在微软PowerPoint和Adobe PDF格式,可在www.wiley.com/go/cryptography天启。您可以随意从演示文稿中借用任何您喜欢的内容,并为您的观众定制。
管理双页简报
高级管理人员很忙。有一个很好的机会,他们没有听到,或没有听到很多关于即将到来的量子密码挑战。你应该让高级管理层意识到这个问题及其重要性。创建一个简短的,一到两页的简报文件,连同一个简短的幻灯片(可能是5到10张幻灯片),涵盖了基本知识,这可能是有意义的,你可以给高级管理人员。一到两页的简报文档通常是一个简短的介绍备忘录,后面是一些常见问题(FAQ)及其答案。你可以在www.wiley.com/go/cryptography天启下载一个例子和/或在这里阅读:
致:相关人员
来自:《你》
日期:《日期》
关于:为即将到来的量子密码破解做准备
创建本文档是为了帮助向一个名为“抗量子数据保护”的新的、不断发展的项目介绍管理,并分享一般细节和预计时间表。
基于量子力学的计算机正在成熟到一个地步,它们严重威胁到当今许多现有的传统密码技术,包括HTTPS、Wi-Fi网络、登录身份验证、智能卡、多因素身份验证和公钥基础设施(PerkinElmer)。没有人确切地知道量子计算机何时会成熟到对大多数组织构成真正威胁的地步,但估计从几年到不到10年不等。2016年,美国国家标准与技术研究所(NIST)和国家安全局(NSA)建议所有组织开始为即将到来的密码破解做准备。我们的准备工作已经晚了【 X 】年。
作为遵循这些建议的一部分,并且由于量子计算的不断改进,我们正在通过创建一个特殊的项目团队来解决这个问题。我们将做一个数据保护清单(以确定我们的关键数字资产需要长期保护以防止未经授权的访问),并创建一个计划,以确保关键数据受到适当的抗量子加密和其他缓解措施的保护。
项目的第一个主要阶段,以及我们新成立的项目小组的工作,将在未来几周内开始,预计将持续数年,直到威胁被完全补救。我们的目标是在量子密码破解发生之前,将我们的量子敏感密码升级到量子抵抗形式。
它可能会影响我们现有的许多数据保护实现,我们现在开始这个项目的原因是为了尽量减少将来的业务中断和成本。在完成数据保护盘存和分析任务之前,无法充分估计整个项目的费用、资源和时间表,预计这些任务将在今后12至24个月内完成。我们将尽可能遵循和使用行业指南和方法。
我将很高兴回答您的任何问题和/或为您提供更多的细节和教育。
真诚的,
<你的姓名和头衔>
第2页—常见问题解答
什么是量子力学
量子力学/物理学是一门长期被证明的物理科学,它描述了非常小的粒子的行为和性质。宇宙中的一切事物都是以量子力学为基础的。世界就是这样。使用量子粒子和量子特性的计算机和软件正在被创造出来。在几年内,如果不是现在,我们将有量子计算机能够做非量子计算机不能做的事情,包括打破许多形式的传统密码和创造新的,牢不可破的密码形式。
量子计算机出现多久了?
第一台可以工作的量子计算机诞生于1998年。今天有一百多台量子计算机和几十种不同类型的量子设备。所有已知的量子计算机仍然相对较弱,处于实验室和实验阶段,但预计到2019年底或之后不久,量子计算机将变得比传统计算机更强。全世界的政府和企业每年花费数百亿美元来建造量子超级计算机和网络。量子计算机供应商包括世界上最大的公司,如谷歌、IBM、英特尔、微软和阿里巴巴。
量子计算如何能够威胁到传统的密码学?
特定类型的量子计算机,配备了一种被称为肖尔算法的数学算法,可以快速分解涉及大素数的数学方程。包含大素数的方程赋予了大多数传统公钥密码术的保护功能。传统的基于二进制的计算机不容易分解大素数方程。拥有足够“量子比特”的量子计算机可以在很短的时间内分解大型素数方程,测量时间从几分钟到几小时不等。
量子计算机何时会打破传统的公钥密码术?
没有人知道确切的答案,尽管一旦量子计算机获得4000个左右的“稳定”量子位元,人们相信传统的2048位或更短的公钥将很快被破解。世界上大多数现有的公共密码学都依赖于这样的密钥。量子计算机能够去除其他类型密码学一半的保护能力。一般估计量子计算机能够破解传统公共密码的时间从几年到不到10年不等。不管是哪种方式,大多数专家都认为现在是开始准备的时候了。如果中断发生得比人们预期的更早,那么我们就有更好的准备作出适当的反应。
我们在干什么?
我们正在组建一个新的项目团队,称为量子抗性数据保护项目组,以查看我们的关键数据保护可能受到影响的所有地方,以及可能需要减轻的风险。近期的缓解措施可能包括增加现有的加密密钥大小,隔离关键数据,并转向抗量子加密。长期的缓解,许多年后,包括迁移到基于量子的密码和设备。
你能帮上什么忙?
我们需要一个或多个高级管理利益相关者批准这个项目,并给予支持。该干系人需要参加第一次项目会议,可能还要参加更多的会议,并回答其他高级经理的问题。
请随意使用和修改本文档以任何您喜欢的方式。本文件的在线版本(www.wiley.com/go/cryptographyapocalse)可能会在未来进行更新和改进。
第二步:创建计划
创建项目计划涉及许多子组件,包括创建项目团队、项目计划和时间线。
创建项目组
减轻量子计算机的威胁可能需要许多人数年时间才能完成。如果曾经有一个IT项目需要一个项目团队,这就是它。如果你没有扎实的项目管理技能,请为你的团队指派一位优秀的项目经理,或者自己学习必要的技能。其他团队成员应包括以下内容:
高级管理层赞助人
项目负责人,精通量子计算和其他相关主题(这应该是你)
IT安全经理
需要的其他IT员工
密码学主题专家
最终用户代表
通信专家
会计/预算/采购员
库存经理/专家
在小公司中,许多这样的角色可能由一个人来代表。在一个非常小的公司里,所有这些角色都可以由一个人来代表。
虽然在早期不需要,但在后期与受影响系统的供应商合作将是至关重要的。他们需要了解你的担忧,并能够向你反馈他们的公司正在做什么来解决你的量子中断问题。理想情况下,您希望他们协助缓解解决方案。您可能需要在项目的数据收集阶段或之后立即让供应商参与进来。
沟通专家是必不可少的。如果一切按计划进行,并且所有的缓解措施都在量子密码破解发生之前到位,那么通信专家可以在项目顺利完成时帮助将项目传达给组织。然而,如果量子密码破解发生在所有问题得到缓解之前,则必须制定紧急加速计划和时间表。可能需要将受影响的关键资产脱机。可能会有业务中断的问题。您将需要一个事件响应计划。让管理层和沟通专家知道,加速时间表方案发生的可能性较低,但你想做好准备,以防万一。
它也可能是明智的发起与其他人在你的行业,贸易组织,甚至竞争对手的讨论。每个组织都将处理某种类型的量子抵抗项目,尽管有不同的时间表和目标。尽管如此,每个人都将有类似的总体目标(即,迁移到抗量子密码),并可以分享什么行动对他们有用,什么行动没用。打电话,开会,在行业会议和大会上提出这个话题。这是一项规模最大的重大工程。我们都在一起。我们需要彼此。这不是创造竞争优势的问题,而是生存的问题。
创建项目计划
每个项目负责人都需要创建一个详细的项目计划,可能使用一些项目软件,如微软的Project(https://products.office.com/en-us/project/project-and-portfolio-management-software)或其他竞争产品中的任何一种(关于建议,请参见www.pcmag.com/roundup/260751/the-best-project-management-software). 找出并记录关键任务和关键路径是至关重要的。越详细和估计的时间表越好。总体而言,任何项目管理计划都应包括前面列出的四个主要量化后减缓项目阶段和本节概述的六个项目步骤。
创建时间线
最终目标是在量子突破对您的组织构成现实威胁之前,将所有易受量子影响的加密技术和保护敏感关键数据的系统转移到抗量子加密技术。当量子密码破解发生时,并不是所有的组织和行业都会立即成为目标。在早期,大多数有针对性的攻击可能是由民族国家针对军事和政府目标实施的,其次是非常大的组织。这些实体供应链中的任何组织也将成为一级目标。但是一旦中断,您就无法预测什么时候量子计算机资源将被用于对付您的组织。
为了做好准备,你需要尽可能地猜测量子密码破解需要多长时间(使用第四章,“量子密码何时破解?”以帮助您的猜测),并准备一个时间表,说明您的组织用抗量子加密技术保护所有关键敏感数据所需的时间。
让莫斯卡不等式成为你的指南让Mosca不等式成为您规划时间表的初始指南。第四章首先介绍,它指出,我们需要开始担心量子计算机的影响,当我们希望我们的数据是安全的时间量加上我们的计算机系统从经典过渡到后量子所需的时间大于量子计算机开始打破现有的量子敏感加密协议(见图9.4)当这种情况发生时,您将没有足够的时间在量子计算机突破当前的量子敏感数据保护之前充分保护您的数据。例如,如果您需要您的关键数据在未来10年内是安全的,而您将需要5年的时间来过渡,那么您需要在15年前从后量子世界开始迁移到后量子系统。
[插图]
图9.4莫斯卡不等式
这个等式最难的部分是,没有人知道量子密码破解将在什么时候发生。大多数见多识广的专家认为这是不到10年的路程,一小部分,像这位作者,认为它可能是早在2—3年的路程。一个相对安全的赌注是假设它是5年后。大多数人都希望保护自己最关键的敏感数据不被窃听5到10年,所以把7年作为一个安全的中间值。
莫斯卡不等式定理表明,如果你想让你的数据在整个7年内得到安全保护,包括5年的迁移,你应该在量子密码破解前12年开始进行量子后迁移。从本质上讲,如果你还没有开始你的准备有足够的时间,有一个很好的机会,你已经落后于开始你的量子抵抗项目。
密钥关闭后量子密码学标准选择
对于大多数组织来说,转向抗量子密码学最终将需要关闭各自民族国家的后量子密码学的官方选择。很少有组织会在正式的国家标准之前选择一个非标准的加密标准来在其生产环境中实现。一个组织可以选择一个非标准的密码或方案在生产环境中使用,但这样做通常需要大量的独立理由。非标准的密码和方案通常不太经过测试和信任,即使它们看起来或实际上更强大和更安全。选择密码学标准化,在数字和等待标准被选择的过程中是安全的。
葱一根 - one sat
npub1n9…v4ptv
2023-11-27 02:30:54
Author Public Key
npub1n9mrac8x3pk62ct3p4j5h7s5kpk9kdx34h99yhuuz63urwka2kfsuv4ptvSeen on
wss://relay.damus.ioPublished at
2023-11-27 02:30:54Event JSON
{
"id": "77d1cd240771d38e0512afdd84c48805e96e629b4a46eb980e93ab88c612ae99",
"pubkey": "99763ee0e6886da561710d654bfa14b06c5b34d1adca525f9c16a3c1badd5593",
"created_at": 1701052254,
"kind": 1,
"tags": [],
"content": "9\n现在准备\n\n即将到来的量子密码破解将会发生;这只是时间问题。当它真的发生时,它将使世界上许多传统的公钥密码术失效,并使其他现有的密码术削弱至少50%。这是一个最好的情况下,不包括任何其他量子进展,可以使解决对称密码和散列更容易。\n在前面的章节中,我们讨论了量子力学,量子计算机,网络,以及即将到来的变化,包括可能的密码破解。本章将讨论您和您的组织如何在休息之前从今天开始准备。这一章很可能是你们许多人买这本书的原因。首先,我们将介绍任何后量子减缓项目的四个主要阶段,然后我们将重点介绍项目步骤。\n\n量子期后的四个主要缓解阶段\n\n大多数组织的量子后缓解项目将包括以下四个主要阶段:\n第一阶段:强化现有解决方案。\n第二阶段:转向抗量子的解决方案。\n第三阶段:实施量子混合解决方案。\n第四阶段:实现全面的量子解决方案。\n图9.1以图形方式显示了每个阶段。每一个项目阶段将在下面的章节中进行更详细的讨论。\n\n第一阶段:强化当前的解决方案\n\n每个组织都应该尽快更新任何弱量子抗加密技术,并在可行的情况下使用现有的量子抗加密技术和密钥大小。使用格罗弗算法的量子计算将现有对称密码和散列的保护能力减半,因此将其密钥和散列输出大小加倍,特别是在容易这样做的地方,是有意义的。例如,任何使用AES-128的系统都应该移动到AES-256或更高版本.如果您有需要保护10年的关键数据,即使它使用的是AES-256,也许您应该将其移动到AES-512,等等。\n[插图]\n图9.1量子后减缓项目的四个主要阶段\n非对称密码的密钥大小应该更新到至少4,096位。大多数公钥密码是2,048位的,还有很多1,024位的。随着量子计算机获得量子比特和能力,它们将能够首先破解较小尺寸的密钥。通过迁移到现有加密的更大密钥大小,您可以降低风险,尽管风险并不像能够立即过渡到真正的抗量子加密那样大。更改组织的策略以规定可接受的最小密钥大小。\n尽管如此,对于现有的加密技术来说,并不总是能够使用更大的密钥大小。许多应用程序是硬编码的,而其他许多应用程序只能接受特定的密钥大小(而不是标准中公布的所有密钥大小)。例如,SHA2有224位、256位、384位和512位大小。多年来,微软Windows可以完美地使用SHA2-256(默认SHA2密钥大小),但如果您访问SHA2-,则会在受TLS保护的网站上出现操作问题。512 (这个“bug”几年前就已经修复了)。当你使用Windows的内置软件时,Windows仍然没有默认提供SHA2-224(尽管它是官方标准的一部分)。许多应用程序只接受一个或两个密钥大小。有些人会接受较大的密钥大小,但有意想不到的操作问题。因此,增加键的大小应该总是在彻底测试之后进行,以确保这样做不会导致操作问题。\n您还必须意识到,移动到尽可能大的密钥大小可能会导致性能问题。添加到加密密钥中的每一位都会增加使用加密所需的计算量。在许多情况下,例如从RSA 2,048-bit移动到4,096-bit,性能下降是存在的,但在大多数情况下,大多数用户几乎察觉不到。但在一些高事务性的场景中,例如流行的网站或高事务性的数据库,随着流量的增加,这种变化可能会变得明显,并产生不利的影响。\n在某些场景中,性能下降甚至对单个用户和低流量都是不可接受的。例如,几年前,我的一个客户将他的公钥基础设施(PerkinElmer)证书颁发机构服务器的数字证书从2,048位移动到16,384位,只因为他希望尽可能安全。位的增加是如此显著,以至于他的大多数计算机都要花一分钟以上的时间才能打开任何加密消息,这些消息最终链接到16 KB的根证书颁发机构数字证书。将其与使用2,048位密钥打开相同消息所需的1-1.5秒进行比较。更大的数字证书是安全的,但可能过于安全,对于正在使用的硬件和应用程序来说肯定太慢了,特别是当使用4096位密钥时,就足够安全和快速了。\n是否应该增加非对称密钥的大小?\n一些读者可能想知道升级非对称密钥大小是否有任何实际意义,以试图保持领先于预期的量子计算机能力的持续增长。答案并不简单或者不需要,尽管将非对称密钥大小增加到至少4,096位不会有什么坏处,特别是当旧密钥过期时,如果您可以轻松自然地这样做的话。\n但是,为了对抗即将到来的量子密码破解,增加非对称密钥的大小,正反两方面都有很好的论据。例如,使用肖尔算法,量子计算机至少需要( 2 × n )+ 3 个稳定的量子比特,其中 n 是要破解的关键比特数。因此,要破解一个2048位的RSA密钥,量子计算机需要4099个稳定量子比特,而要破解一个4096位的RSA密钥,则需要8195个稳定量子比特。因此,如果你把你的非对称密码从2048位移动到4096位,这个策略可以保护你,直到量子计算机达到至少8195个稳定的量子比特(假设使用更少的量子比特不能让较小的量子计算机仍然达到相对更快的速度)。\n目前,我们不知道量子计算机还要多久才能达到4099个稳定量子比特,一旦达到,还要多久才能达到8195个。但它可能不会像我们到达前100个量子比特所花的时间那样,或者从100到4099个量子比特所花的时间。一旦社会学会如何大规模地缩放量子比特,增加应该会相当快。\n为了增加考虑因素和复杂性,如果一些纠错估计是可信的,每个稳定的量子位目前需要数百到超过100万个纠错量子位,所以我们可以谈论的是需要几十亿个量子位的差异来破解一个2048位的密钥与一个4096位的密钥。如果错误修正的估计是正确的,那么所需的辅助量子位元的数量可能会提供更长时间的保护,这一举措可能是值得的。\n与此同时,许多新的量子因式分解算法的开发者声称,他们可以用比Shor所要求的更少的量子位数分解素数方程。如果单个的量子位元变得更稳定,或者需要的纠错量子位元比更高一级的估计所计算的要少得多,那么它就会回到另一个方向。\n我分享这些观点并不是为了迷惑您,而只是想说增加非对称密钥的位数并不像增加对称密钥和散列大小那么简单。但总的来说,如果您希望降低传统的易受量子影响的非对称加密的风险,直到您能够迁移到抗量子加密,增加非对称密钥大小不会有什么坏处,特别是如果这样做很容易的话。\n\n密码敏捷性\n\n密码灵活性是指设备、软件或系统能够将其密码更改为另一种密码、方案或密钥大小,而不会造成不必要的负担。最后,所有相关系统的设计都应该使您能够尽可能少地切换相关的加密技术。不幸的是,这是那些系统的开发者必须做的事情。如果开发人员不首先创建底层结构来允许它发生,那么客户和最终用户很难完成。\n一些流行的开发者已经为你做了这件事。例如,Microsoft Windows和大多数微软产品将加密技术与使用它的软件和硬件系统分开。为此,微软建议将加密密码和方案表示为离散的、单独的密钥存储提供程序(KSP)模块。(在早期的 Windows 版本中,它们被称为加密服务提供者【 CSP 】),可以与使用它们的应用程序分开安装和卸载。\nWindows带有许多内置的KSP,其中包含所有流行的密码和方案标准。第三方和客户可以创建自己的KSP,将一个KSP替换为另一个KSP非常简单,只需安装新的KSP(通常相当小且安装迅速),然后从KSP下拉式选单中选择即可。微软的旗舰证书颁发机构产品Active Directory证书服务允许安装不同的KSP以支持不同类型的加密。\n在开源Linux世界中,许多最流行的应用程序和实用程序(如OpenSSL和SSH)都允许交换不同类型的加密。部分抗量子Picnic签名方案团队使用Picnic、LWE-FRODO和SIDH以及OpenSSL和Apache Web服务器来创建有效的TLS 1.2 HTTPS连接(参见Picnic设计文档的第8.2节:https://github.com/Microsoft/Picnic/blob/master/spec/design-v1.0.pdf).OpenSSL和Apache并不需要重大的修改,虽然OpenSSL确实需要一个小的修改,以允许TLS使用由Picnic生成的更大的密钥大小。\n将简单多功能性(即,加密灵活性)与大多数应用程序的硬编码加密进行比较,硬编码加密不能在不更新程序中的密码编码、重新编译和重新安装整个程序的情况下被替换。\n努力让你的所有供应商(和你自己开发的软件)都是密码敏捷的。这样,当下一个强制加密迁移事件发生时,转换将更容易。现在就开始量子加密迁移项目的这一阶段。让加密敏捷成为IT团队中每个人都知道、理解和请求的一个词。\n\n第二阶段:转向抗量子化解决方案\n\n如前所述,大多数组织在其国家标准机构(如国家标准与技术研究所【 NIST 】或欧盟网络和信息安全局)宣布官方的后量子密码标准之前,无法转向新的抗量子密码技术。但是对于许多组织,特别是那些拥有使用加密技术的开发人员和内部应用程序的组织,开始试验是有意义的。\n许多量子编码库、API、模拟器和软件开发工具包(SDK)可帮助组织迁移到抗量子加密。许多组织都拥有软件、工具、资源和知识渊博的人员来帮助您完成抗量子加密转换。他们可能拥有您的组织开始量子加密迁移所需的一切,包括经验丰富的量子开发人员和测试人员。看看这些:\n开放量子安全计划(https://openquantumsafe.org/)\nGitHub上的开源量子软件项目(https://github.com/qosf/os_quantum_software)\n开源和商业量子软件项目和在线量子门户(https://github.com/qosf/os_quantum_software)\n当然,量子供应商,如微软,IBM和剑桥量子计算有许多资源和工具。与您现有的供应商合作。即使你所做的只是进行一个小的示范项目,这也会让你在竞争中占据优势。如果量子密码的破解比你的计划预计的要早,那么投入到任何测试项目中的时间、精力和资源都将是物有所值的。测试项目是关于让公交车和公交车上的人朝着正确的方向前进。\n当国家机构批准了官方的抗量子标准,你就应该尽快开始向抗量子密码学发展。同样的操作和性能注意事项适用于更新传统加密的密钥大小(性能和操作问题),但任何选定的标准都可能是性能和可用性的良好组合。通常在标准被批准的时候,大量的现实世界的资源和软件库正在等待帮助开发人员和实现者。一旦标准公布,整个国家(或世界)将开始朝着同一个方向前进。确保你是这场运动的一部分。你不需要在流血的边缘,但靠近边缘是一个伟大的地方。\n您的迁移项目的这一阶段可能从选定国家抗量子标准之时起至少持续两年。NIST声称,美国国家标准将在2022年至2024年之间选定,这意味着大多数美国项目的这一阶段可能需要3-7年才能完成。当然,如果有人突然宣布量子密码突破,这个项目阶段可能会提前。\n注:完成第二阶段,转移到抗量子解决方案,将导致风险的大幅降低,至少在另一项技术突破发生之前,以减轻所提供的抗量子密码的强度。接下来的两个阶段将继续降低风险,但降低的幅度可能不会那么大。完成第二阶段很可能是项目的最高里程碑。\n\n保护PKI / 珀金埃尔默\n\n珀金埃尔默使互联网和企业运行的大部分。即将到来的量子密码打破专门打破每一个现有的PerkinElmer,因为它们运行在量子敏感的密码(Rivest-Shamir-Adleman,Diffie-Hellman,数字签名算法,椭圆曲线数字签名算法等)。如前所述,微软和其他研究人员已经能够初步表明,至少一些现有的PKI、数字签名和硬件安全模块(HSM)可以运行在防量子密码上,并且只要稍加调整,这些数字证书就可以在互联网上使用TLS。还有许多其他的PerkinElmer软件程序和供应商,但是当他们转移到抗量子密码的时候,大多数可能会被移植到这样做。\n第6章所述的任何NIST第2轮数字签名方案候选人(晶体您可以在这里找到一份关于PerkinElmer加密敏捷性的白皮书:www.isara.com/wp-content/uploads/2018/05/ISARA_Corp_PKI_Migration_WhitePaper_FINAL.pdf https://tools.ietf.org/html/draft-irtf-cfrg-xmss-hash-based-signatures-11.\n莱格-米卡利签名(LMS)和XMSS(扩展的Merkle签名方案)的变体也在讨论中,但是因为它们是有状态的,所以它们没有作为NIST的正式候选方案。据称,NIST仍在考虑它们的一个子项目。XMSS的多树变体称为XMSS-MT或XMSS-MTS(Merkle树签名),以及LMS的多树变体称为HSS。这两份文件都以征求意见(RFC)的形式提交给了互联网工程任务组(IETF),这是审批过程的最后一步。您可以阅读更多关于xmss和lms的信息。https://eprint.iacr.org/2017/349.pdf如果你有兴趣。了解XMSS和LMS进展的一个好地方是https://www.isara.com/standards/,您可以在这里找到一份关于XMSS的白皮书:https://tools.ietf.org/html/draft-irtf-cfrg-xmss-hash-based-signatures-11.\n给你最强烈的后量子PerkinElmer注意从CA/浏览器论坛(https://cabforum.org/)特别是他们的PerkinElmer标准(称为基线要求)(https://cabforum.org/baseline-requirements/).这个小组由一些最大的PerkinElmer供应商和实现者组成。他们的要求通常控制了所有“公共”CA供应商所遵循的,并间接地控制了大多数私有公司最终所遵循的。他们控制在公共CA中使用的密码学和最佳实践,以及与PerkinElmer操作相关的大多数因素。他们成功地迫使大多数CA从SHA1迁移到SHA2的团队;这一举措得到了重视,并以一种深思熟虑的、成功的方式引导了其他加密迁移。\nCA/浏览器论坛讨论并关注即将到来的量子变化于2019年3月(https://cabforum.org/2019/05/03/minutes-for-ca-browser-forum-f2f-meeting-46-cupertino-12-14-march-2019/#Quantum-Cryptography-problem-need-solutions-and-timeframe---assign-ForumSCWG-liaisons). 如果您有PerkinElmer,请遵循CA/浏览器论坛的更新和要求。\n有关PerkinElmer和X.509数字证书在后量子世界的更多信息,请查看https://eprint.iacr.org/2018/063.pdf和https://eprint.iacr.org/2017/349.pdf.\n\n获取其他量子设备和服务\n\n这也是开始考虑使用基于量子的(可认证的)随机数发生器(RNG)和量子密钥分发设备(如第7章所述)的时候了。这两种设备都相对便宜,已经使用了近20年,并且可以用于改进您的密码学,不管是否涉及其他量子密码学或设备。\n注意:基于量子的随机数生成器已经存在很久了,但是“可认证的”随机数生成器在2019年才开始出现。这是第一个可用的商业版本:https://cambridgequantum.com/cqc-unveils-the-worlds-first-commercially-ready-certifiable-quantum-cryptographic-device/.\n现在是IT安全决定何时需要这些类型的系统的时候了,但在实施抗量子加密的时候,他们将是必需的。如果你不需要或不想拥有这种类型的系统,它是有意义的,至少利用自己的服务之一。随着量子计算机开始获得访问权限,可以考虑购买量子计算机或基于量子的服务。当世界开始量子化时,不要被困在一个纯粹的二元世界里。\n\n第三阶段:实施量子混合解决方案\n\n大多数早期的量子网络和系统将使用量子和经典的二进制计算设备的组合来执行它们的工作。例如,量子密钥分配(QKD)设备通常通过经典的二进制网络信道传输量子衍生的密钥。大多数基于量子的RNG生成令人难以置信的随机数,然后在经典的基于二进制的系统中使用。可信中继器可以安全地共享基于量子的密码密钥,在经典网络中这样做。所有现有的抗量子密码都在二进制世界中工作,并且使用经典的、基于二进制的散列。等等。你将使用的许多早期量子系统和设备将是量子和经典特性的混合体。这应该是预期的,特别是在我们能够去完全基于量子的网络和设备从长远来看。\n重要的一点是,要弄清楚什么时候从经典的二进制世界转移到量子混合模型在安全和财政上是有意义的。当量子混合模型可用时,并不总是一个具有成本效益的解决方案。转移到基于量子的解决方案的全部原因是为了得到量子力学的内在保护。当它与经典世界混合在一起时,就像在混合模型中一样,那么最大的安全保护就是最容易被破解的技术(即经典技术)。传统的依赖可以在很大程度上否定使用量子混合模型的安全原因,而且通常会付出更大的代价。\n有时,一个纯粹的经典解决方案将在所需的时间段内提供所有必要的安全性。由每个项目团队来决定迁移的正确时间和迁移到哪种类型的技术。转移到量子混合系统比转移到所有的量子抗密码需要更长的时间,也许从你的项目开始持续长达10年。\n\n第四阶段:实施全量子解决方案\n\n最后,最终的目标,多年以后的道路(希望)是完全量子加密和网络设备。或者您的组织的安全需求需要尽快完全基于量子的系统。量子力学使任何使用量子密码学和力学的东西本质上更安全。抗量子加密技术将消除来自量子加密攻击的大部分风险,但基于量子的加密技术和设备才是最终的保护措施。\n例如,关于你的网络设备,从今天开始,确保你所有的网络设备都使用现有传统加密的抗量子密钥大小。随着国家标准的批准,将它们转移到真正的抗量子密码学上。然后转移到经典/量子解决方案,比如可信中继器,然后到全量子解决方案,比如量子中继器。并为您的所有数据保护系统做这样的工作。从量子迁移项目开始算起,第4阶段可能会持续长达20年。\n这四个阶段不一定要按顺序发生。很可能有几个平行的轨道在不同的时间进行,涉及不同的系统。例如,您可能希望停留在第一阶段,在可预见的将来为许多系统实现更大的现有加密标准,同时为其他系统探索其他阶段。您可能会决定为某些项目购买量子RNG,并将其用于混合解决方案。当一些供应商以合理的成本提出完全基于量子的解决方案时,您可能仍在参与将一堆项目过渡到抗量子加密。除第一阶段外,这些阶段在某些情况下可能依次发生,在另一些情况下可能平行发生,视情况而定。这是意料之中的。\n\n量子后六大减缓项目步骤\n\n随着即将到来的量子密码破解,每个想要保护数字秘密的组织都需要有一个计划。这本书的这一部分描述了那个计划。主要的一般项目阶段如下:\n好好教育。\n制定计划。\n收集数据。\n分析一下。\n采取行动/补救。\n根据需要进行审查和改进。\n图9.2总结了整个量子迁移项目生命周期阶段。\n[插图]\n图9.2:量子迁移后项目生命周期各阶段\n附注:本章中提出的方案已经过多次测试和使用,尽管是针对一种不同类型的加密迁移。在2014年到2017年期间,我已经帮助了几十家(如果没有超过一百家的话)不同的公司执行SHA1到SHA2的迁移。虽然目标不同,但计划和步骤却非常相似。\n本章的其余部分致力于更详细地讨论计划的每一个步骤。\n\n第一步:教育\n\n因为你在读这本书,你已经在计划的第一步。您需要让自己、团队、管理层和其他所有终端用户了解即将到来的量子密码破解,以及您的组织计划如何应对。您特别希望培训参与软件和硬件的决策制定和购买的开发人员和利益相关者。\n对于您自己,请使用本书及其推荐的所有其他参考资料,继续您的量子计算教育之旅。您面临的一个关键挑战是跟上量子计算进展的最新变化,以及它们将如何影响您的量子计算准备计划。当您在一般媒体新闻文章中看到量子这个词时,只需多加注意即可,但订阅特定的量子计算邮件列表和博客也是了解最新信息的好方法。\n\n量子计算邮件列表和博客网站\n\n下面是一些可能的量子计算邮件列表和博客,你可以加入或关注:\nhttps://quantiki.org\nwww.scottaaronson.com/blog/\nwww.scottaaronson.com/博客/\nwww.quantiki.org/wiki/mailing-lists\n维基/邮件列表\nhttps://golem.ph.utexas.edu/category/2010/12/quantum_foundations_mailing_li.html\nhttps://accounts.eclipse.org/mailing-list/quantum-computing-wg\nhttps://hepsoftwarefoundation.org/workinggroups/quantumcomputing.html\nhttps://dabacon.org/pontiff/\nhttps://quantumcomputingreport.com/news/\nhttps://quantumcomputing.stackexchange.com (great for technical questions)\nhttps://quantumcomputing.stackexchange.com(适用于技术问题)\nhttps://geekforge.io\nIt can't hurt to follow my articles (www.csoonline.com/author/Roger-A.-Grimes/), Twitter (@rogeragrimes), or LinkedIn (www.linkedin.com/in/rogeragrimes/) postings, although they deal with a broad range of computer security topics and not just quantum.\n关注我的文章(www.csoonline.com/author/Roger-A.-Grimes/)、Twitter(@rogeragrimes)或LinkedIn也没什么坏处(www.linkedin.com/in/rogeragrimes/)的帖子,尽管它们涉及广泛的计算机安全主题,而不仅仅是量子。\n本章后面的附录将列出更多的资源。我很抱歉,如果我错过了你最喜欢的量子邮件列表,博客,或网站。\n尽可能地理解量子力学和量子计算。作为一个为即将到来的量子密码破解做准备的倡导者,你可能会被期望对量子有相当好的理解。希望这本书能让你对量子和量子计算有一个很好的概括性理解,但如果你想阅读更多的资源,我也能理解。作者花了二十多年的经验,阅读了数百篇关于量子力学和计算机的不同文章,才能像我今天这样理解它。\n下面是一个处理量子理论和量子计算的在线课程列表:https://quantumcomputingreport.com/resources/education/以及另一个类似的网站:https://hackernoon.com/16-best-resources-to-learn-quantum-computing-in-2019-e5d8b797aeb6.\n幻灯片演示\n所有IT成员都应该熟悉基本的技术问题和挑战。如果即将发生的变化会影响到最终用户的生活(例如软件更新和数据保护标准的变化),则尽量让所有最终用户参与进来。\n向其他人介绍量子力学、计算和即将到来的密码破解的一个好方法是用幻灯片演示来介绍这个主题。多年来,我一直在做一个一小时的幻灯片演示,并取得了很大的成功,我欢迎读者下载和重用我自己的介绍幻灯片。图9.3显示了示例幻灯片。幻灯片演示包括量子力学,量子计算机,密码学,量子霸权,量子突破,以及如何准备。观众至少需要一点一般的密码知识才能从演示中获得最大的好处。\n[插图]\n图9.3演示文稿中的示例幻灯片\n一般介绍,在微软PowerPoint和Adobe PDF格式,可在www.wiley.com/go/cryptography天启。您可以随意从演示文稿中借用任何您喜欢的内容,并为您的观众定制。\n管理双页简报\n高级管理人员很忙。有一个很好的机会,他们没有听到,或没有听到很多关于即将到来的量子密码挑战。你应该让高级管理层意识到这个问题及其重要性。创建一个简短的,一到两页的简报文件,连同一个简短的幻灯片(可能是5到10张幻灯片),涵盖了基本知识,这可能是有意义的,你可以给高级管理人员。一到两页的简报文档通常是一个简短的介绍备忘录,后面是一些常见问题(FAQ)及其答案。你可以在www.wiley.com/go/cryptography天启下载一个例子和/或在这里阅读:\n致:相关人员\n来自:《你》\n日期:《日期》\n关于:为即将到来的量子密码破解做准备\n创建本文档是为了帮助向一个名为“抗量子数据保护”的新的、不断发展的项目介绍管理,并分享一般细节和预计时间表。\n基于量子力学的计算机正在成熟到一个地步,它们严重威胁到当今许多现有的传统密码技术,包括HTTPS、Wi-Fi网络、登录身份验证、智能卡、多因素身份验证和公钥基础设施(PerkinElmer)。没有人确切地知道量子计算机何时会成熟到对大多数组织构成真正威胁的地步,但估计从几年到不到10年不等。2016年,美国国家标准与技术研究所(NIST)和国家安全局(NSA)建议所有组织开始为即将到来的密码破解做准备。我们的准备工作已经晚了【 X 】年。\n作为遵循这些建议的一部分,并且由于量子计算的不断改进,我们正在通过创建一个特殊的项目团队来解决这个问题。我们将做一个数据保护清单(以确定我们的关键数字资产需要长期保护以防止未经授权的访问),并创建一个计划,以确保关键数据受到适当的抗量子加密和其他缓解措施的保护。\n项目的第一个主要阶段,以及我们新成立的项目小组的工作,将在未来几周内开始,预计将持续数年,直到威胁被完全补救。我们的目标是在量子密码破解发生之前,将我们的量子敏感密码升级到量子抵抗形式。\n它可能会影响我们现有的许多数据保护实现,我们现在开始这个项目的原因是为了尽量减少将来的业务中断和成本。在完成数据保护盘存和分析任务之前,无法充分估计整个项目的费用、资源和时间表,预计这些任务将在今后12至24个月内完成。我们将尽可能遵循和使用行业指南和方法。\n我将很高兴回答您的任何问题和/或为您提供更多的细节和教育。\n真诚的,\n\u003c你的姓名和头衔\u003e\n第2页—常见问题解答\n什么是量子力学\n量子力学/物理学是一门长期被证明的物理科学,它描述了非常小的粒子的行为和性质。宇宙中的一切事物都是以量子力学为基础的。世界就是这样。使用量子粒子和量子特性的计算机和软件正在被创造出来。在几年内,如果不是现在,我们将有量子计算机能够做非量子计算机不能做的事情,包括打破许多形式的传统密码和创造新的,牢不可破的密码形式。\n量子计算机出现多久了?\n第一台可以工作的量子计算机诞生于1998年。今天有一百多台量子计算机和几十种不同类型的量子设备。所有已知的量子计算机仍然相对较弱,处于实验室和实验阶段,但预计到2019年底或之后不久,量子计算机将变得比传统计算机更强。全世界的政府和企业每年花费数百亿美元来建造量子超级计算机和网络。量子计算机供应商包括世界上最大的公司,如谷歌、IBM、英特尔、微软和阿里巴巴。\n量子计算如何能够威胁到传统的密码学?\n特定类型的量子计算机,配备了一种被称为肖尔算法的数学算法,可以快速分解涉及大素数的数学方程。包含大素数的方程赋予了大多数传统公钥密码术的保护功能。传统的基于二进制的计算机不容易分解大素数方程。拥有足够“量子比特”的量子计算机可以在很短的时间内分解大型素数方程,测量时间从几分钟到几小时不等。\n量子计算机何时会打破传统的公钥密码术?\n没有人知道确切的答案,尽管一旦量子计算机获得4000个左右的“稳定”量子位元,人们相信传统的2048位或更短的公钥将很快被破解。世界上大多数现有的公共密码学都依赖于这样的密钥。量子计算机能够去除其他类型密码学一半的保护能力。一般估计量子计算机能够破解传统公共密码的时间从几年到不到10年不等。不管是哪种方式,大多数专家都认为现在是开始准备的时候了。如果中断发生得比人们预期的更早,那么我们就有更好的准备作出适当的反应。\n我们在干什么?\n我们正在组建一个新的项目团队,称为量子抗性数据保护项目组,以查看我们的关键数据保护可能受到影响的所有地方,以及可能需要减轻的风险。近期的缓解措施可能包括增加现有的加密密钥大小,隔离关键数据,并转向抗量子加密。长期的缓解,许多年后,包括迁移到基于量子的密码和设备。\n你能帮上什么忙?\n我们需要一个或多个高级管理利益相关者批准这个项目,并给予支持。该干系人需要参加第一次项目会议,可能还要参加更多的会议,并回答其他高级经理的问题。\n请随意使用和修改本文档以任何您喜欢的方式。本文件的在线版本(www.wiley.com/go/cryptographyapocalse)可能会在未来进行更新和改进。\n\n第二步:创建计划\n\n创建项目计划涉及许多子组件,包括创建项目团队、项目计划和时间线。\n\n创建项目组\n\n减轻量子计算机的威胁可能需要许多人数年时间才能完成。如果曾经有一个IT项目需要一个项目团队,这就是它。如果你没有扎实的项目管理技能,请为你的团队指派一位优秀的项目经理,或者自己学习必要的技能。其他团队成员应包括以下内容:\n高级管理层赞助人\n项目负责人,精通量子计算和其他相关主题(这应该是你)\nIT安全经理\n需要的其他IT员工\n密码学主题专家\n最终用户代表\n通信专家\n会计/预算/采购员\n库存经理/专家\n在小公司中,许多这样的角色可能由一个人来代表。在一个非常小的公司里,所有这些角色都可以由一个人来代表。\n虽然在早期不需要,但在后期与受影响系统的供应商合作将是至关重要的。他们需要了解你的担忧,并能够向你反馈他们的公司正在做什么来解决你的量子中断问题。理想情况下,您希望他们协助缓解解决方案。您可能需要在项目的数据收集阶段或之后立即让供应商参与进来。\n沟通专家是必不可少的。如果一切按计划进行,并且所有的缓解措施都在量子密码破解发生之前到位,那么通信专家可以在项目顺利完成时帮助将项目传达给组织。然而,如果量子密码破解发生在所有问题得到缓解之前,则必须制定紧急加速计划和时间表。可能需要将受影响的关键资产脱机。可能会有业务中断的问题。您将需要一个事件响应计划。让管理层和沟通专家知道,加速时间表方案发生的可能性较低,但你想做好准备,以防万一。\n它也可能是明智的发起与其他人在你的行业,贸易组织,甚至竞争对手的讨论。每个组织都将处理某种类型的量子抵抗项目,尽管有不同的时间表和目标。尽管如此,每个人都将有类似的总体目标(即,迁移到抗量子密码),并可以分享什么行动对他们有用,什么行动没用。打电话,开会,在行业会议和大会上提出这个话题。这是一项规模最大的重大工程。我们都在一起。我们需要彼此。这不是创造竞争优势的问题,而是生存的问题。\n\n创建项目计划\n\n每个项目负责人都需要创建一个详细的项目计划,可能使用一些项目软件,如微软的Project(https://products.office.com/en-us/project/project-and-portfolio-management-software)或其他竞争产品中的任何一种(关于建议,请参见www.pcmag.com/roundup/260751/the-best-project-management-software). 找出并记录关键任务和关键路径是至关重要的。越详细和估计的时间表越好。总体而言,任何项目管理计划都应包括前面列出的四个主要量化后减缓项目阶段和本节概述的六个项目步骤。\n\n\n创建时间线\n\n最终目标是在量子突破对您的组织构成现实威胁之前,将所有易受量子影响的加密技术和保护敏感关键数据的系统转移到抗量子加密技术。当量子密码破解发生时,并不是所有的组织和行业都会立即成为目标。在早期,大多数有针对性的攻击可能是由民族国家针对军事和政府目标实施的,其次是非常大的组织。这些实体供应链中的任何组织也将成为一级目标。但是一旦中断,您就无法预测什么时候量子计算机资源将被用于对付您的组织。\n为了做好准备,你需要尽可能地猜测量子密码破解需要多长时间(使用第四章,“量子密码何时破解?”以帮助您的猜测),并准备一个时间表,说明您的组织用抗量子加密技术保护所有关键敏感数据所需的时间。\n让莫斯卡不等式成为你的指南让Mosca不等式成为您规划时间表的初始指南。第四章首先介绍,它指出,我们需要开始担心量子计算机的影响,当我们希望我们的数据是安全的时间量加上我们的计算机系统从经典过渡到后量子所需的时间大于量子计算机开始打破现有的量子敏感加密协议(见图9.4)当这种情况发生时,您将没有足够的时间在量子计算机突破当前的量子敏感数据保护之前充分保护您的数据。例如,如果您需要您的关键数据在未来10年内是安全的,而您将需要5年的时间来过渡,那么您需要在15年前从后量子世界开始迁移到后量子系统。\n[插图]\n图9.4莫斯卡不等式\n这个等式最难的部分是,没有人知道量子密码破解将在什么时候发生。大多数见多识广的专家认为这是不到10年的路程,一小部分,像这位作者,认为它可能是早在2—3年的路程。一个相对安全的赌注是假设它是5年后。大多数人都希望保护自己最关键的敏感数据不被窃听5到10年,所以把7年作为一个安全的中间值。\n莫斯卡不等式定理表明,如果你想让你的数据在整个7年内得到安全保护,包括5年的迁移,你应该在量子密码破解前12年开始进行量子后迁移。从本质上讲,如果你还没有开始你的准备有足够的时间,有一个很好的机会,你已经落后于开始你的量子抵抗项目。\n\n密钥关闭后量子密码学标准选择\n\n对于大多数组织来说,转向抗量子密码学最终将需要关闭各自民族国家的后量子密码学的官方选择。很少有组织会在正式的国家标准之前选择一个非标准的加密标准来在其生产环境中实现。一个组织可以选择一个非标准的密码或方案在生产环境中使用,但这样做通常需要大量的独立理由。非标准的密码和方案通常不太经过测试和信任,即使它们看起来或实际上更强大和更安全。选择密码学标准化,在数字和等待标准被选择的过程中是安全的。\n",
"sig": "d76e2a960ad0767698fb0e0aafaa7b38fd11835a3335bb5f60efe0d5b3cd90550d2e497e4c4fa0159b38b49c01c1121e126069e74fab66e27e6ebff9539551ad"
}