0
0
Embora o Quantum Day , ou “Q-Day”, possa demorar cinco a dez anos, está chegando mais rápido do que gostaríamos. O Q-Day representa o dia em que os computadores quânticos usarão de forma confiável o poder de superposição de qubits multi-estado para quebrar algoritmos de criptografia amplamente usados em todo o mundo para permitir comércio eletrônico, segurança de dados e comunicações seguras. Os adversários já estão se preparando para o Q-Day empregando estratégias “coletar agora, descriptografar depois”.
Com essas ameaças no horizonte, muitas organizações estão enfrentando o mesmo desafio – implementar uma forte estratégia de segurança quântica antes do Q-Day para proteger a si e seus clientes contra ataques quânticos. Felizmente, existem algumas táticas e tecnologias importantes que as organizações podem implementar agora para mitigar as ameaças e riscos quânticos emergentes e se preparar para o Q-Day.
Conduza uma avaliação de risco quântico em toda a empresa
Para começar a se preparar para o Q-Day, as organizações devem primeiro realizar uma avaliação de risco de segurança quântica em toda a empresa para ajudar a identificar os sistemas que seriam os mais vulneráveis a essa ameaça e deveriam ser protegidos primeiro. Por exemplo, sistemas, dispositivos, aplicativos e serviços que dependem de criptografia assimétrica e algoritmos populares e protocolos de comunicação como RSA, DSA, ECDF e TLS são conhecidos por serem vulneráveis a ataques quânticos e algoritmos como o algoritmo de Shor .
A avaliação interna de risco quântico também deve abranger as práticas e políticas atuais de segurança da informação da organização, bem como incluir um inventário completo de seus serviços e infraestrutura criptográfica atuais. Saber quando, onde e como os dados e as comunicações de uma organização são protegidos também ajudará a identificar o hardware e o software de criptografia que podem precisar ser atualizados ou substituídos para serem seguros quânticos.
Para a maioria das organizações, a jornada para uma empresa de segurança quântica levará vários anos, pois muitas também terão que coordenar suas atualizações de segurança pós-quântica com partes interessadas externas, como clientes, fornecedores e parceiros. Ativos de alto valor e ativos mais vulneráveis a ataques quânticos devem ser priorizados. Identificar essas vulnerabilidades antecipadamente ajudará as equipes a garantir que estejam desenvolvendo uma estratégia de segurança quântica eficaz desde o início.
Implantar geradores de números aleatórios quânticos
Os sistemas e algoritmos criptográficos de hoje dependem fortemente do uso de geradores de números aleatórios baseados em software, também chamados de geradores de números pseudo aleatórios. Os PRNGs geralmente são usados para gerar uma sequência de números aleatórios em suporte a operações criptográficas, como gerar sementes ou chaves de criptografia. Dada a natureza determinística dos PRNGs algorítmicos, os números aleatórios gerados por um PRNG não são verdadeiramente aleatórios. Isso torna os sistemas ou serviços criptográficos que dependem de PRGNs vulneráveis a ataques quânticos. Para resolver essa vulnerabilidade, as organizações devem começar a substituir todos os PRNGs por Quantum Random Number Generators o mais rápido possível. Em vez de usar um algoritmo determinístico, um QRNG pode gerar números aleatórios verdadeiros medindo e digitalizando um processo quântico, que, por natureza, é não determinístico.
As soluções QRNG já estão disponíveis comercialmente de vários fornecedores em vários formatos, como dispositivos montados em rack, placas PCI e chips.
Ative a agilidade de criptografia
Na próxima década, espera-se que as organizações em todo o mundo migrem dos algoritmos de criptografia clássicos e vulneráveis quânticos de hoje – RSA, DSA e ECDH – para a próxima geração de algoritmos de criptografia quânticos seguros, também conhecidos como Post-Quantum Crypto.
Em julho de 2022, o Instituto Nacional de Padrões e Tecnologia do Departamento de Comércio dos EUA anunciou que está se preparando para padronizar o primeiro conjunto de quatro algoritmos PQC. Esses algoritmos candidatos PQC do NIST são o resultado de uma competição global de seis anos, com várias rodadas, que começou com 82 propostas em 2016. Além dos quatro algoritmos PQC anunciados recentemente, o NIST também mantém quatro algoritmos candidatos PQC adicionais em reserva como um backup no caso de qualquer um dos quatro primeiros ser hackeado.
Durante o período de transição de vários anos da criptografia clássica de hoje para o PQC de amanhã, muitas organizações terão que operar e oferecer suporte à infraestrutura clássica e PQC, pois nem todos os sistemas ou usuários finais podem atualizar facilmente para os algoritmos PQC mais recentes. Muitos dos sistemas de TI atuais, como sensores de IoT e roteadores de rede, têm seus recursos de criptografia atuais implementados em hardware por motivos de custo e/ou desempenho. Isso significa que esses sistemas não podem ser atualizados por software e, portanto, devem ser substituídos fisicamente ao longo do tempo. Consequentemente, as soluções de TI emergentes terão que ser cripto-ágeis. A agilidade de criptografia refere-se à capacidade de um sistema de oferecer suporte e alternar entre diferentes algoritmos de criptografia, como do clássico ao PQC. Alguns sistemas cripto-ágeis também podem adicionar algoritmos novos e emergentes.
A agilidade de criptografia também pode ser usada para implementar esquemas de criptografia híbridos, misturando diferentes algoritmos ou protocolos de criptografia. Embora o nível de confiança na segurança dos novos algoritmos PQC ainda seja muito baixo, espera-se que muitas organizações combinem criptografia clássica com PQC por meio de criptografia dupla (clássica e PQC). Ter um sistema cripto-ágil bem arquitetado também permitiria que os operadores substituíssem rapidamente um algoritmo PQC caso ele fosse comprometido no futuro, o que aconteceu recentemente com um dos oito algoritmos candidatos PQC do NIST, chamado SIKES.
Ativar distribuição de chaves com segurança quântica
Além de gerar chaves resistentes a quantum usando tecnologias como QRNGs, também é importante fornecer mecanismos que permitam a troca segura de chaves. Os sistemas Quantum Key Distribution estão focados em atender a essa necessidade, fornecendo um método seguro para duas partes trocarem uma chave criptográfica com segurança. A chave fornecida pelo QKD pode ser usada para criptografar/descriptografar os dados de um usuário com um algoritmo de criptografia escolhido e transmitir os dados criptografados por meio de um canal de comunicação padrão, como uma rede comercial de fibra óptica.
Uma solução QKD usa propriedades encontradas na física quântica e técnicas como superposição e emaranhamento de fótons para trocar chaves criptográficas de forma que seja comprovável e garanta a segurança. Qualquer espionagem em uma troca de chave protegida por QKD resultaria em uma alteração detectável das informações transmitidas. Protocolos QKD bem conhecidos, como o BB84 , garantem que ambas as partes possam detectar uma possível tentativa de espionagem.
Embora as soluções comerciais de QKD já estejam disponíveis, organizações como a Agência de Segurança Nacional, a Agência da União Europeia para Segurança Cibernética e o Centro Nacional de Segurança Cibernética do Reino Unido estão recomendando o uso de PQC em vez de QKD. Algumas das razões para sua recomendação são baseadas na necessidade de hardware QKD altamente especializado e caro; vulnerabilidades inerentes de negação de serviço e ameaças internas do QKD; sua incapacidade de autenticar a fonte de transmissão QKD sem mecanismos de autenticação adicionais; e riscos cibernéticos associados à implementação de hardware e software QKD complexos.
Comece a proteger quântica a empresa
Mesmo em meio a um clima em que o NIST selecionou o primeiro grupo de algoritmos de criptografia pós-quântica e assinatura digital projetados para resistir a ataques de computadores quânticos, espera-se que a adoção generalizada ainda demore anos. No entanto, mesmo antes de o NIST ratificar oficialmente seus algoritmos candidatos ao PQC, as organizações devem começar a realizar uma avaliação interna de vulnerabilidade quântica, criar uma estratégia de segurança quântica e desenvolver um plano de migração de PQC.
Semelhante à jornada de segurança zero tust de vários anos da maioria das organizações, a implantação em escala empresarial do PQC requer adesão de gerenciamento, planejamento cuidadoso, pilotos e implementações em fases baseadas em riscos. Embora não exista uma solução única para a segurança cibernética quântica, as etapas descritas acima são maneiras de garantir que uma estratégia de segurança quântica forte e universalmente aplicável e baseada em risco seja implementada em toda a organização. No entanto, ter uma estratégia de segurança quântica não significa que uma organização pode baixar a guarda. Muitas das ameaças cibernéticas e tipos de ataque de hoje ainda serão relevantes, mesmo em uma era pós-quântica, mas quanto mais bem preparadas as organizações estiverem, menos provável que o Dia Q signifique o fim do mundo para as empresas.
FONTE: HELPNET SECURITY