4月10日至12日,美国国家标准与技术研究院(NIST)在马里兰州罗克维尔举办第五届NIST PQC(后量子密码学)标准化会议,该会议的目的是对PQC算法进行全面讨论(包括已选定和正在评估的算法),以获得有价值的反馈。
在会议上,Matt Scholl明确提到:2024年到2030年,必须升级到抗量子算法。2030年CRQC即破解专用量子计算机,可能会出现。
并且,NIST预计将于2024年下半年最终确定PQC标准。
4月9日,面向现代企业的身份优先安全解决方案Keyfactor和Vanson Bourne宣布了2024年PKI和数字信任报告的调查结果。这份最新报告探讨了当今为建立坚实的数字信任基础带来障碍的挑战。特别是,调查结果表明,随着组织为后量子密码学(PQC)做准备,这些障碍只会变得更加严重。
该研究由Vanson Bourne代表Keyfactor进行,包括1200名熟悉其组织在北美和欧洲、中东和非洲地区PKI基础设施的IT专业人员的反馈。受访者在IT、技术和电信等11个行业的组织中工作。
Keyfactor首席安全官Chris Hickman表示:“由于量子计算有可能破坏广泛使用的安全协议和算法,因此数字信任的状态悬而未决。”
“威胁行为者现在已经开始收集和存储加密数据,目的是在加密相关的量子计算机可用时对其进行解密,这意味着PQC准备工作是当今组织的当务之急。IT和安全领导者必须建立安全且有弹性的PKI基础设施,以维护数字交互的安全性、可靠性和完整性。当组织过渡到后量子安全并适应当今超互联世界中不断变化的威胁形势时,寻求合格、经验丰富的合作伙伴可以确保合适的人员、流程和工具到位。”
2024年PKI和数字信任报告还显示,虽然组织意识到量子带来的重大威胁,但大多数组织尚未在量子准备之旅中取得重大进展。例如:
- 只有23%的组织已开始PQC工作;
- 超过三分之一(36%)的人预计将在2024年晚些时候首次发布标准后开始;
- 另外四分之一(25%)的组织将在标准最终确定后开始实施PQC。
该报告的其他发现包括:
与PKI和证书管理不当相关的风险对企业造成毁灭性打击:当证书过期导致服务中断时,48%的受访者表示客户信心可能会受到影响,46%的受访者表示品牌声誉会受到影响,37%的受访者表示收入损失。
人们对不断演变的密码学格局的担忧与日俱增:80%的组织担心自己适应密码学风险和变化的能力,这一比例较2023年的48%有所增加。
PKI管理对于防御AI威胁至关重要:虽然不到十分之四的组织使用PKI和AI证书,并且使用AI生成的内容,但91%的组织认为PKI对于防御AI构成的威胁非常重要。
基于云的基础设施、日益互联的世界以及在线服务的扩展提高了对公钥基础设施(PKI)管理的需求,这在建立数字通信和交易的信任方面发挥着至关重要的作用。然而,很明显,许多IT团队仍然在PKI上苦苦挣扎。
根据该报告,几乎所有组织(93%)在制定有效的PKI和证书管理策略方面都面临着挑战;尽管如此,大多数受访者都自我报告了PKI的成熟度。研究结果表明认知与现实之间存在脱节:PKI对于数字信任至关重要。随着量子计算的不断进步,与PKI管理不当相关的风险(包括中断和安全漏洞)预计将进一步恶化。
虽然PQC有望成为量子计算威胁的解决方案,但组织在准备实施时面临着一些挑战。有限的预算和资源、整合挑战、员工所需的技能和知识是组织必须克服的主要障碍。由于大多数人都处于PQC计划的早期阶段,因此大多数人都面临这些挑战也就不足为奇了。
实施PQC需要大量的财务投资来研究、开发和部署,并且在2024年有竞争的优先事项,这可能是组织发现在预算中优先考虑PQC具有挑战性的原因。将PQC解决方案与现有的加密基础设施、应用程序和系统集成将带来许多技术挑战和兼容性问题,组织将需要在其团队向PQC准备工作迈进的过程中进行导航。这再次与预算和资源限制有关,因为这需要在升级或定制开发方面进行投资,以确保无缝集成。
对于IT安全专业人员来说,只有不到四成(39%)的人对PQC做好了充分的准备,考虑到上面讨论的挑战,这并不奇怪。对于那些密切关注组织安全的人来说,重点将越来越多地放在量子计算的未来威胁上。因此,向PQC的过渡必须在组织的战略、预算、资源分配、技术和招聘中优先考虑,以确保它能够向前发展。
PQC浪潮即将到来。虽然企业已经把目光投向了未来,但大多数企业还没有准备好适应——尽管“现在窃取,以后解密”的威胁一再被警告。组织面临的最大挑战是整合的复杂性、预算问题、陡峭的学习曲线和普遍的不确定性。调查结果表明,许多行业的全球组织都低估了后量子准备的范围和时间。
“NIST和其他政府机构已经多次警告要认真对待风险评估和规划,”Chris Hickman说,“不管我们能否预测量子计算时代的到来,我们必须准备好我们的信息安全系统,以抵御量子计算。”
参考链接:
[1]https://www.businesswire.com/news/home/20240409962162/en/New-Keyfactor-Research-Signals-Greater-Need-for-Digital-Trust-as-Quantum-Threat-Looms
[2]https://www.keyfactor.com/2024-pki-and-digital-trust-report/