Az Egyesült Királyság kiberbiztonsági ügynöksége, a Nemzeti Kiberbiztonsági Központ (NCSC) új útmutatót tett közzé, hogy segítse a nemzetet a kvantum-számítástechnika új fenyegetéseire való felkészülésben és védekezésben.
A GCHQ részét képező Nemzeti Kiberbiztonsági Központ (NCSC) által kiadott útmutató kiemeli a posztkvantum-kriptográfia (PQC) kritikus szerepét – egy következő generációs titkosítási módszert, amelynek célja az érzékeny adatok védelme a kvantumszámítógépek által jelentett jövőbeli kockázatokkal szemben.
A jelenlegi titkosítási módszerek olyan összetett matematikai problémákra támaszkodnak, amelyeket a hagyományos számítógépek nehezen tudnak megoldani. A kvantumszámítógépek azonban képesek sokkal gyorsabban feltörni ezeket a kódokat, ami sebezhetővé teszi a mai titkosítást.
Ahhoz, hogy megelőzzék ezt a fenyegetést, a szervezeteknek el kell kezdeniük az átállást a PQC-re, kvantumrezisztens algoritmusokat kell alkalmazniuk, mielőtt a támadók kihasználhatnák a gyengeségeket.
Az új útmutató arra ösztönzi a vállalkozásokat, hogy már most kezdjék meg a felkészülést a zökkenőmentes és ellenőrzött migrációra, minimalizálva a sietős telepítésekkel járó kockázatokat.
Fázisos átmeneti tervet vázol fel:
- 2028-ig – Azonosítsa a frissítést igénylő kriptográfiai szolgáltatásokat, és dolgozzon ki egy migrációs stratégiát.
- 2028–2031 – Priorizálja és hajtsa végre a kritikus frissítéseket, miközben finomítja a terveket a PQC technológia fejlődésével.
- 2031–2035 – Befejezze az átállást, biztosítva, hogy minden rendszer, szolgáltatás és termék PQC-t használjon.
Ollie Whitehouse, az NCSC műszaki igazgatója kijelentette:
A kvantumszámítástechnika átalakítja a technológiát, de veszélyezteti a jelenlegi titkosítási módszereket is. A posztkvantum kriptográfiáról szóló új útmutatónk egyértelmű ütemtervet kínál az érzékeny adatok jövőbeli kockázatokkal szembeni védelmére, biztosítva, hogy a mai bizalmas információk biztonságban maradjanak. A kvantumtechnológia fejlődésével a kollektív biztonságunk megerősítése nemcsak fontos, hanem elengedhetetlen is.
Sok kis- és középvállalkozás számára a PQC bevezetése zökkenőmentes lesz, mivel a technológiai szolgáltatók integrálják azt a rendszeres frissítéseikbe. A nagyobb szervezeteknek azonban részletes tervezésre és jelentős beruházásokra lehet szükségük.
Háttér
A jövő nagyméretű, hibatűrő kvantumszámítógépei által a kriptográfiára leselkedő fenyegetés ma már jól ismert.
A kvantumszámítógépek képesek lesznek hatékonyan megoldani azokat a nehéz matematikai problémákat, amelyekre az aszimmetrikus nyilvános kulcsú kriptográfia (PKC) támaszkodik hálózataink védelme érdekében.
A kockázat elsődleges enyhítése a posztkvantum kriptográfiára (PQC) való áttérés; ez a kriptográfia olyan matematikai problémákon alapul, amelyeket a kvantumszámítógépek nem tudnak hatékonyan megoldani.
2023 novemberében az NCSC közzétett egy tanulmányt „A posztkvantum kriptográfiára való felkészülés következő lépései” címmel, amelyet 2024 augusztusában kisebb frissítésekkel frissítettek, hogy tükrözzék a NIST 3 algoritmusszabvány-közzétét. A tanulmány egyik fő jelzése az volt, hogy a szervezeteknek most kell megkezdeniük vagy folytatniuk a PQC-re való átállásra való felkészülést. Ez a leghatékonyabban a kiberbiztonság szélesebb körű fejlesztésének részeként fog megtörténni, ahogy a rendszerek lecserélődnek.
Egy „Post-Quantum Cryptography, What Come On The Trace?” című támogató bejegyzésben az NCSC felvázolta prioritásait:
- szabályozott szektorok támogatása
- a központi kormányzat támogatása
- annak biztosítása, hogy az Egyesült Királyság hozzáférjen a megfelelő készségekhez a jövőbeli migráció lehetővé tételéhez
A PQC-re való migráció globális szintű változás az IT és az operatív technológiai (OT) rendszerekben, és jellemzően olyan tevékenységet foglal magában, amely a legtöbb nagy szervezetben több vezetési cikluson átível. Mint minden nagyobb IT vagy OT frissítésnél, a PQC migráció teljes pénzügyi költsége jelentős lehet, ezért elengedhetetlen, hogy a szervezetek ennek megfelelően tervezzenek költségvetést, beleértve az előkészítő tevékenységeket és a tényleges migrációt is.
Az útmutatóról
- meghatározza a PQC migrációhoz szükséges lépéseket
- leírja, hogy az előkészítő munka hogyan változhat a különböző ágazatokban
- tanácsot ad a PQC-hez vezető hosszú út kulcsfontosságú tevékenységeinek ütemtervével kapcsolatban
Elsősorban a nagy szervezetek technikai döntéshozóinak és kockázatfelelőseinek, a kritikus nemzeti infrastruktúra (CNI) rendszerek, beleértve az ipari vezérlőrendszereket (ICS) üzemeltetőinek, valamint az egyedi IT-vel (például saját fejlesztésű kommunikációs rendszerekkel) rendelkező vállalatoknak szól.
A kis- és középvállalkozások (kkv-k) gyakran főként alap informatikai eszközöket használnak, például szabványos böngészőket, operációs rendszereket és mobileszközöket. Az ilyen kkv-k számára a PQC-re való átállás egyszerűbb lesz, és zökkenőmentesen kell történnie, mivel a szolgáltatásokat a szállítóik frissítik. Egyedi vagy speciális szoftverek használata esetén PQC-kompatibilis frissítéseket vagy cseréket kell azonosítani és telepíteni; ennek ugyanazt az ütemtervet kell követnie, mint a nagyobb szervezetek esetében.
A mostani cselekvéssel az Egyesült Királyság megerősítheti digitális infrastruktúráját, biztosítva a kvantum-számítástechnika változó környezetével szembeni ellenálló képességet.
