НАЗАД К НОВОСТЯМ
Срочные новостиВысокий

Постквантовая криптография: почему предприятия должны готовиться уже сейчас

3 мин чтенияИсточник: The Hacker News

Эксперты предупреждают о необходимости срочной подготовки к постквантовой криптографии (PQC), так как квантовые компьютеры угрожают сделать современные стандарты шифрования устаревшими уже в следующем десятилетии.

Постквантовая криптография: подготовка не терпит отлагательств

Эксперты по кибербезопасности призывают организации немедленно начать подготовку к постквантовой криптографии (PQC), поскольку прогресс в области квантовых вычислений угрожает сделать современные стандарты шифрования устаревшими уже в течение следующего десятилетия. Срочность обусловлена моделью угрозы «укради сейчас, расшифруй позже», при которой злоумышленники собирают зашифрованные данные сегодня, чтобы расшифровать их, как только квантовые компьютеры достигнут достаточной вычислительной мощности.

Квантовая угроза для шифрования

Современные алгоритмы шифрования, такие как RSA и ECC (Elliptic Curve Cryptography), основаны на вычислительной сложности разложения больших чисел на множители или решения задачи дискретного логарифмирования — проблем, которые квантовые компьютеры могут решать экспоненциально быстрее с помощью алгоритма Шора. Хотя крупномасштабные отказоустойчивые квантовые компьютеры появятся ещё не скоро, сроки миграции на PQC сокращаются из-за:

  • Долгосрочной чувствительности данных: зашифрованные данные с требованиями конфиденциальности на несколько десятилетий (например, государственные секреты, финансовые записи, медицинские данные) уже могут быть целью для будущей расшифровки.
  • Жизненного цикла устаревших систем: многие критически важные системы имеют срок эксплуатации более 10 лет, что требует интеграции PQC задолго до материализации квантовых угроз.
  • Задержек стандартизации: процесс стандартизации PQC в NIST, начавшийся в 2016 году, только в 2022 году выбрал первые алгоритмы (CRYSTALS-Kyber, CRYSTALS-Dilithium, SPHINCS+), а окончательные стандарты ожидаются в 2024 году.

Преимущество криминальной экосистемы в квантовой эпохе

Развитие ransomware-as-a-service (RaaS) и киберопераций, спонсируемых государствами, создало хорошо финансируемую экосистему злоумышленников, способных:

  • Собирать зашифрованные данные в больших масштабах через атаки на цепочки поставок, инсайдерские угрозы или сетевые вторжения.
  • Инвестировать в квантовые исследования и разработки для получения преимущества в области расшифровки.
  • Эксплуатировать гибридные криптографические системы в переходный период, когда PQC и классические алгоритмы сосуществуют.

«Эра облачных технологий демократизировала доступ к мощным вычислительным ресурсам, в том числе для злоумышленников, — отметил один из исследователей в области безопасности. — Мы должны исходить из того, что государства и организованные преступные группы уже готовятся к постквантовой эпохе».

Проблемы миграции и рекомендации

Команды безопасности сталкиваются с серьёзными трудностями при переходе на PQC, включая:

  1. Агильность алгоритмов: системы должны поддерживать криптографическую гибкость для замены алгоритмов по мере развития стандартов и появления новых квантово-устойчивых методов.
  2. Нагрузка на производительность: алгоритмы PQC, такие как CRYSTALS-Kyber (для шифрования) и CRYSTALS-Dilithium (для подписей), требуют больше вычислительных ресурсов, чем их классические аналоги.
  3. Инвентаризация и приоритизация: организации должны идентифицировать все криптографические активы, оценить их уязвимость перед квантовыми угрозами и расставить приоритеты миграции на основе рисков.

Рекомендуемые действия для команд безопасности:

  • Провести инвентаризацию криптографических активов, чтобы выявить все системы, использующие RSA, ECC или другие алгоритмы, уязвимые перед квантовыми угрозами.
  • Взаимодействовать с вендорами, чтобы обеспечить готовность продуктов и услуг к PQC, особенно для долгосрочной инфраструктуры.
  • Внедрять гибридные криптографические решения, сочетающие классические и постквантовые алгоритмы для снижения рисков в переходный период.
  • Следить за процессом стандартизации PQC в NIST и участвовать в пилотных программах для раннего внедрения.
  • Обучать заинтересованные стороны о квантовой угрозе и необходимости проактивных инвестиций в миграцию на PQC.

Путь вперёд

Хотя крупномасштабные квантовые компьютеры могут появиться ещё не скоро, окно для подготовки к PQC закрывается. Организации, которые откладывают действия, рискуют подвергнуть конфиденциальные данные атакам типа «укради сейчас, расшифруй позже» или отстать от требований соответствия, поскольку правительства начинают вводить обязательное использование PQC. Время действовать — сейчас, пока квантовая угроза не стала необратимой реальностью.

Поделиться

TwitterLinkedIn