DAOrayaki |量子计算如何影响网络安全及决策人该如何应对?

DAOrayaki |量子计算如何影响网络安全及决策人该如何应对?

DAOrayaki DAO研究奖金池:

资助地址:  DAOrayaki.eth

投票进展:DAO Reviewer  1/0 通 过

赏金总量:55 USD

研究种类:Quantum Computing, Cybersecurity

原文作者:   Dr. Varin Khera

创作者:hahaho@DAOrayaki.org

审核者:Yofu@DAOrayaki.org

原文:  How Quantum Computer Technology Will Impact Cybersecurity and How IT Leaders Should Respond?

介绍

计算机技术的进步给我们日常生活带来了根本性变化。如今,我们大部分日常交互都依赖于计算技术,另一方面,公共组织和企业的大部分工作都在计算机的帮助下完成。

技术的飞速发展使得计算机零件缩小与处理能力提升几近极限。量子计算机的开发就是为了推动计算机技术进一步超越“物理”限制。

量子计算机技术的重要性

如Facebook、谷歌、苹果、微软的IT巨头公司和世界各地的政府组织,都在加紧研发量子计算技术,因为它可以解决传统计算机甚至超级计算机无法解决的复杂问题。量子计算可以帮助人类的主要领域有:

  • 通过开发量子加密方法来提高线上安全性。
  • 减少开发新药(例如疫苗)所需的时间,因为量子计算机可以在许多化学成分之间进行大量模拟,以测试它们如何组合工作,而传统计算机无法做到这点。
  • 通过提供一种快速有效的方式来分析设备正常运行所需的大型数据集,从而提高人工智能驱动机器的性能。
  • 天气预报领域,提供比传统计算机更准确的结果。
  • 通过建议最佳路线,促进地面和空中的交通控制,这大大减少了拥堵,并有助于优化供应链运营。

正如我们所看到的,量子计算机可以解决传统计算机无法解决的复杂问题。然而,在网络安全方面,居心不良者可能利用量子计算能力可能会产生毁灭性的影响。

量子计算的网络安全影响

量子计算可以轻易击破现阶段的加密算法

网络安全专业人员最担忧的,便是网络攻击者利用量子计算来破解现代加密算法,如RSA、AES和Trible DES(虽然现阶段计算机不可破解)。

当前的加密算法通过加密密钥来工作,这些算法使用复杂的数学公式将明文转换为密文,该数字密钥用于加密和解密数据。如果攻击者想要解码信息,他们需要找到相关的加密密钥。一种典型的方法是尝试所有可能的密码来猜测正确的密码,当然,使用传统计算机可以进行猜测攻击,然而根据美国科学家的说法,即使是世界上最快的超级计算机也需要数万亿年才能解码成功,所以传统计算机不会对目前使用的加密算法构成威胁。

网络攻击者正在收集加密数据,以待破解之日

正如前文讨论的,量子计算机可以破解现代密码学,虽然这需要相当长的时间才能实现,但公共组织和企业应该开始着手于量子证明的解决方案来保护他们宝贵的信息。网络攻击者(特别是那些由民族国家支持的),正努力收集大量加密数据。任何通过互联网线路的东西都可能被某种方式拦截,在收集到加密信息后,攻击者将等到量子计算机可用后破解这些数据,这会严重影响许多国家的国家安全。

开发高级恶意软件

网络犯罪分子一直在寻求开发能够逃避检测的高级恶意软件。如今,企业部署了先进的安全解决方案,如网络检测和响应(NDR)、EDR和SIEM,以对抗未知的攻击。NDR方案保护在混合环境(内部环境和云环境)中运行的组织网络,并分析所有流经组织网络的网络数据包,使用机器学习和人工智能(AI)技术检测异常活动。

量子计算机为网络犯罪分子分析大型数据集并开发逃避各种安全解决方案检测的恶意软件提供了便利。这样,网络犯罪分子可以对许多组织的网络发起攻击并逃避检测。

网络犯罪分子可以租用一台量子计算机

未来,大型IT供应商将以订购的方式提供量子计算机。与云提供商提供的“基础设施即服务”(IaaS)一样,我们可以期待看到“量子服务”,这样的服务将使预算有限的组织可以享受量子计算机提供的诸多便利。然而,如果这些服务被网络犯罪分子用于恶意目的,危险就会出现。

应如何应对量子计算机带来的威胁?

综上所述,当量子计算机可用时,它将对当前的数字系统带来根本性变化,也可能破解我们日常数字活动(例如线上通讯、线上银行和线上购物)依赖的加密算法。

IT安全经理或决策者应该了解量子计算机对当今数字系统的影响,制定正确的安全策略,在量子计算机风险成为现实之前应对它们。

后量子密码学

后量子密码学指使用安全加密算法对抗量子计算机的攻击。美国国家标准与技术研究所 (NIST)致力于开发一种或多种量子抗公钥加密算法,是开发此类算法的一个重要举措。到目前为止,没有加密算法是量子证明的,但企业领导者应该意识到这一问题,并尽早评估量子计算机的风险。

IT决策者应根据对以下问题的回答来评估敏感数据的安全性:

  • 这些数据必须保护多少年?30年或40年?还是仅仅5年?时间越长,意味着使用可以抵御量子攻击的安全方法变得更重要。
  • 将当前的IT系统转变为量子安全解决方案需要多长时间?
  • 居心不良者需要多少年才能使用量子计算机攻击当前的数字系统?

NIST的后量子密码学路线图

美国国家标准与技术研究所 (NIST)的国家网络安全卓越中心 (NCCOE) 创建了一份文件草案,该文件旨在帮助各组织简化向后量子加密算法的迁移。NIST提出了五个方案来识别易受量子攻击的密码代码,根据一些标准(如当前保护的数据、应用程序或处理的类型)优先替换这些代码,最后讨论了基于安全控制对易受量子攻击密码的依赖来弥补缺陷的问题。

值得注意的是,创建这五个场景是为了解决在混合环境(如本地部署)中运行的企业数据中心,使用来自不同第三方提供商的公共和私有云服务时遇到的问题。

场景1:FIPS-140验证硬件和软件模块

该场景首先发现企业IT环境中存在的FIPS-140验证的硬件和软件模块,这些模块其中包含了易受量子攻击的公钥加密技术。

首选确定每个模块的用途,例如对称密钥包装、密钥管理和数字签名。然后评估此模块保护的数据和应用程序的类型和重要性。例如,当特定模块用于保护高度敏感的数据(如PII或PHI)时,它就具有较高的替换优先级。

最后,我们将获得一个列表,一次性更换所有模块有时候不可行,因此根据每个组件的重要程度制定一个优先度排行表,公司就能在指定的时间范围内更换所有有问题的组件。

场景2:包含易受量子攻击的公钥密码学的密码库

第二种情况涉及用于开发密码应用程序的密码库。它建议采取以下步骤:

  • 识别所有使用易受量子攻击的公钥算法的组件或代码库。
  • 每个库都接受审查,以确定它是否包含被选择用于标准化的抗量子算法。
  • 假设该库不包含NIST批准的抗量子算法。在这种情况下,它将被标记并建议包含一个或多个NIST选择的算法,以修复库中存在的易受量子攻击的例程。
  • 如果库包含NIST选择的算法,则会对其进行重新评估,以确保根据NIST建议正确实施。

场景3:加密应用程序和加密支持应用程序,由易受量子攻击的公钥加密

此方案涉及识别使用易受量子攻击的公钥加密的密码应用程序和密码支持应用程序。包括支持信息交换的应用程序,例如传输层安全 (TLS),以及支持基础设施控制系统的应用程序,例如用于管理电网、供水和燃料管道的应用程序。

将识别每个密码应用程序和密码支持应用程序中的易受量子攻击算法支持的所有密码功能。这还包括识别处理和信息交换协议。

现在,对于每个已识别的应用程序或支持应用程序,应进行评估以衡量其在无法运行时对操作环境的影响。如果某一组件无法维持正常的系统运行,则应建议提供一份补偿控制列表以保持运行。

场景4:计算平台中嵌入易受量子攻击的代码

此方案旨在识别使用易受量子攻击的代码的操作系统环境。例如,易受量子攻击的代码可能存在于:

1、Windows、Linux、UNIX、macOS、iOS、Android等操作系统

2. 身份和访问管理解决方案

3. 利用逻辑或物理机制促进实体(系统、应用程序、用户)数字认证的访问控制

4. 利用密码来支持其一项或多项功能的设备或应用程序

此方案建议以下步骤:

  • 识别操作系统环境中易受量子攻击的代码。自动化工具可用于发现所有功能和例程。
  • 在识别出易受量子攻击的代码的所有实例之后,我们应该衡量它对系统工作的重要性。我们可以在不影响系统正常运行的情况下删除该实例吗?
  • 将每个实例的易受攻击代码进行替换。

场景5:部署在不同行业部门的通信协议

此方案识别存在于通信和网络标准以及外部提供商利用的协议中的易受量子攻击的公钥算法部分,例如:

1.卫生服务提供者

2.电信

3.能源

4.交通

5.银行和金融业

目的是记录所有包含易受量子攻击的公钥算法的通信协议实例,并为每个实例替换候选算法。

结论

如上所述,量子计算机将为不同的科学领域带来巨大的进步,深刻地影响我们的日常生活。在网络安全方面,应该警惕居心不良者利用任何现代技术进行恶意攻击。然而,许多研究表明,量子计算机仍在开发中,仍存在许多问题,也就是现阶段无法破解现代加密算法。开发量子计算机的主要是为了将它们与传统系统结合使用,不一定是作为替代品。

量子计算机将在很长一段时间内被世界各地的大型企业、研究中心和政府组织使用,当然,这些先进技术不会像访问传统计算机那样“轻松”。这都降低了恐怖组织和网络犯罪集团等居心不良者在短时间内使用量子计算机的影响.

尽管我们离面临量子攻击还有很远,但我认为做好准备是必要的,防止当前的居心不良者收集我们的敏感数据并在量子计算机可用后进行破坏活动。


通过 DAO,研究组织和媒体可以打破地域的限制,以社区的方式资助和生产内容。DAOrayaki将会通过DAO的形式,构建一个代表社区意志并由社区控制的功能齐全的去中心化媒体。欢迎通过文末方式提交与DAO、量子计算、星际移民、DA相关的内容,瓜分10000USDC赏金池!欢迎加入DAOrayaki社区,了解去中心化自治组织(DAO),探讨最新话题!

官方网站:https://daorayaki.org

Media:https://media.daorayaki.org

Discord server: https://discord.gg/wNUPmsGsa4

Medium: https://medium.com/@daorayaki

Email: daorayaki@dorafactory.org

Twitter: @daorayaki_

微信助手:DAOrayaki-Media

详情请参考:

Dora Factory支持去中心化DAO研究组织DAOrayaki

对DAOrayaki第一阶段的回顾--去中心化媒体的先驱

DAOrayaki |DAOrayaki 开启去中心化治理2.0时代

DAOrayaki |风险投资的范式转移:无限主义基金和无限游戏

DAOrayaki |DAOrayaki dGov 模型:基于Futarchy的正和游戏

更多关于DAO的文章,关注Dorafactory,查看往期文章。

Category:

DAOrayaki

DAOrayaki is a decentralized media and research organization that is autonomous by readers, researchers, and funders.