数据中心的网络安全管理人员现在需要开始为量子计算打破当前的加密标准做准备。
多年来,数据中心的网络安全经理一直收到警告,量子计算即将到来,它将打破所有现有的加密。
随着量子计算即将成为现实,而且这些下一代计算机的早期版本已经向公众和政府提供,现在是采取行动的时候了。
幸运的是,数据中心可以采取一些措施,包括评估新的量子加密算法,与供应商讨论他们的后量子加密计划。
量子计算指日可待,加密技术也将成为焦点
如果你把经典计算机想象成桌子上的一堆硬币,有正面和反面,有1和0,那么量子计算机就是把所有硬币同时抛向空中并看着它们旋转时发生的事情。
事实证明,量子计算机特别擅长做某些类型的计算——比如对大数进行因式分解。巧合的是,分解大数的困难是互联网加密的基石之一。
一旦因式分解变得容易,大多数当今的加密技术将立即过时。
现在有几家公司在生产量子计算机,包括IBM、谷歌、富士通、HPE、IonQ、Rigetti、Xanadu和D-Wave等等,但实际的、现实世界的好处还没有被感受到。
Gartner公司分析师Alan Priestly表示:“一些供应商正在进行试验,但大多数公司还没有研发出比传统计算机更有优势的量子计算机。”
相反,我们看到的大多是概念证明和研究项目,它们展示了量子计算机的能力——总有一天。当它们有足够多的量子比特,并且这些量子比特纠缠的时间足够长,当错误率下降。
我们离量子计算还有多远?
这取决于一个人在量子计算公司拥有多少既得利益,可能在未来长达10年或20年,而数据中心的经理们目前还没有什么可担心的。
Forrester分析师Brian Hopkins表示:“我们可能在未来五年的某个时候达到量子价值。”“但没有在供应商身上投资的人说,我们需要10到20年的时间才能得到有价值的东西。”
量子计算机打破当今加密的可能性如何?他说,“数据中心的网络安全管理人员应该意识到这一点,并适当地予以关注,但不要太过火。在一台通用门模型计算机中需要1000多万量子位。今天,我们拥有的最好量子位的数量不到200个。”
他补充说,与此同时,研究人员已经在研究下一代量子安全加密算法。
他说,“在量子计算机威胁到我们的数据之前,我们会有办法保护这些数据,”
恶意行为者可能已经在收集数据,希望在未来的某个时候打破数据上的加密。
他,“但我不知道这些数据在十年后还有多少价值,考虑到事物变化的速度,”如果你现在通过网络发送的数据,你认为在10到15年后,如果解密,仍然会有用或有害,你需要考虑如何加密它——或者根本不发送它。但这是普通企业会关心的事情吗?没有。”
事实上,SANS研究所研究员、网络安全专家EricCole认为,在大多数数据中心开始担心量子计算之前,还有很多其他的事情需要担心。Eric Cole也是Theon Technology的顾问委员会成员、SecureAnchor咨询公司的首席执行官,也是几本关于网络安全的书的作者。
他说,“如今,许多数据中心经理的数据仍然没有正确加密,”他们仍然对数据库中的所有记录使用单一密钥,密钥仍然以加密数据的明文形式存储。这是需要关注的问题,而不是担心在可预见的未来可能发生或可能不会发生的事情。”
他说,人们谈论量子计算已经25年了,但它仍然没有实现。
他说:“真正具有讽刺意味的是,公司担心量子会使他们所有的数据公开,但现实是,他们的数据本质上是公开的,因为他们没有保护密钥。从每一次加密数据被轻松、简单地访问的重大漏洞来看,这是显而易见的。”
数据中心管理人员不应该担心量子威胁,而是应该关注基本问题,比如解决关键管理问题。
但其他专家并不同意。
量子解密的威胁可能迫在眉睫
鉴于目前的发展速度,以及任何人都可以通过云访问量子计算资源的事实,一些人预计,民族国家攻击者和其他重量级人物将在未来两到五年内使用该技术。
QuSecure是一家专注于量子防加密的公司,其联合创始人兼首席运营官Skip Sanzeri表示,只需要4099个量子比特就能破解流行的RSA-2048加密算法。
他表示:“谷歌和Rigetti等人都在研究量子计算机,讨论到2024年拥有1000个量子比特。”
这只是使用了一种可能的解密方法,使用了肖尔算法。他说,可能还会有其他算法需要更少的量子位来完成同样的任务,但这些算法尚未被发明出来。
与此同时,在将多个量子计算机连接成一个大型虚拟量子计算机方面也取得了进展。
Sanzeri说:“在中国,他们现在可以控制量子计算机并将其纠缠起来。现在你只需要把10台400量子位的计算机纠缠在一起。”
他还对没有人会关心解密旧数据的想法不屑一顾。
他说,“看看银行信息,你多久换一次银行账号?不是很经常。或者你的社会安全号码。根据HIPAA,医疗保健信息可以持续75年。政府机密、核机密、军事机密——这些机密至少有50年的保护期。”
他建议,数据中心应该已经开始研究量子安全加密技术。
NIST标准是一个切入点,该标准在去年夏天发布了首个后量子加密算法。但这些算法还在发展中。
事实上,其中一个漏洞就在几个使用英特尔单核处理器的研究人员在一个小时内发布的同月被破解。
Sanzeri说:“我们预计这些事情会失败。“所以要确保你的密码是敏捷的。”
这意味着能够根据需要切换加密,包括在旧的算法过时时重新加密旧的存储数据。
Sanzeri说:“要考虑弹性,而不是完美。”
但他们不需要自己做所有的事情。数据中心经理也应该与他们的供应商沟通。所有在硬件、软件或服务中包含加密功能的公司都应制定升级到量子防算法的计划。
Omdia新兴技术首席分析师Rik Turner说:“数据中心经理显然应该询问他们的技术供应商,他们正在做什么来做好量子准备或量子证明。”
他还说,持有特别敏感数据的数据中心经理可能会更进一步。
他说:“他们可能也会考虑采取一些行动,比如将加密数据分开存储在不同的地方,甚至对数据的不同比特使用不同的加密算法,以增加攻击者盗取所有比特、解密和重新组装的难度和成本。这是解决前量子收获问题的一种方法,应该在一定程度上缓解问题,即使不能完全解决它。”
他补充说,虽然硬件安全模块可能会有所帮助,但数据中心可能会考虑使它们的多样化,在不同的地方使用不同的密钥,使攻击更加复杂和昂贵。
