Как квантово-устойчивое шифрование защищает корпоративные данные
Квантовые компьютеры больше не являются чем-то теоретическим – они быстро развиваются, и их возможности стремительно растут. 31% — Вероятность создания криптографически значимого квантового компьютера к 2033 году. Это представляет серьезную угрозу для таких методов шифрования, как RSA и ECC, которые могут быть взломаны за несколько часов с помощью квантовых алгоритмов. Предприятиям необходимо действовать сейчас, чтобы защитить конфиденциальные данные, поскольку киберпреступники уже перехватывают зашифрованную информацию для последующего расшифрования по мере развития квантовых технологий.
Вот что вам нужно знать:
- Почему это важно: Квантовые компьютеры способны взламывать широко используемые методы шифрования, что ставит под угрозу такие данные, как финансовые транзакции, медицинские записи и коммерческие секреты.
- Непосредственная угроза: Стратегия "Сбор урожая сейчас, расшифровка позже" означает, что данные, перехваченные сегодня, могут стать уязвимыми в будущем.
- Решения: Переход к Постквантовые алгоритмы, одобренные NIST. (ML-KEM, ML-DSA) и модернизация систем для работы с ключами большего размера.
- План действий: Начните с криптографического анализа, перейдите к методам, устойчивым к квантовым атакам, и протестируйте системы на предмет влияния на производительность.
Откладывание этих шагов может оставить ваше предприятие уязвимым. Защита данных сейчас гарантирует соответствие будущим нормативным требованиям и обеспечивает долгосрочную безопасность.
Квантовые вычисления взломают шифрование: вот как к этому подготовиться
sbb-itb-59e1987
Как квантовые компьютеры взламывают традиционное шифрование
Квантовые угрозы шифрованию: уязвимости алгоритмов и сравнение их влияния.
Алгоритмы Шора и Гровера: объяснение
Шифрование основано на решении задач, которые легко вычислить, но невероятно сложно обратить вспять. Возьмем, к примеру, шифрование RSA — оно основано на умножении больших простых чисел. Хотя умножение происходит быстро, обратный процесс (разложение на множители) настолько трудоемок с точки зрения вычислительных ресурсов, что может занять около 10^20 лет Взломать 2048-битный ключ с помощью классических компьютеров.
Алгоритм Шора Это меняет всё. Квантовые компьютеры, работающие с этим алгоритмом, могут разлагать на множители большие числа или решать задачи с дискретными логарифмами за полиномиальное время. То, что раньше занимало миллиарды лет, теперь можно сделать за... часов или дней. Например, для разложения на множители 829-битного числа RSA классическими методами потребовалось около 2700 процессорных лет. Квантовый компьютер с 4000 логических кубитов можно взломать шифрование RSA-2048 всего за один день. Это делает RSA, ECC и Diffie-Hellman совершенно небезопасными, ставя под угрозу защищенную связь, цифровые подписи и обмен ключами.
Алгоритм Гровера, С другой стороны, AES не взламывает шифрование полностью, но ускоряет атаки методом перебора. Он снижает эффективную защиту симметричных ключей шифрования вдвое. Например, AES-128 обеспечит только 64-битную безопасность, а AES-256 — 128-битную. Хотя это не делает симметричное шифрование бесполезным, это означает удвоение размеров ключей для поддержания текущего уровня безопасности.
| Тип алгоритма | Примеры | Квантовая угроза | Влияние |
|---|---|---|---|
| Асимметричный (открытый ключ) | RSA, ECC, Диффи-Хеллмана | Алгоритм Шора | Критическое состояние: Можно получить закрытые ключи, что позволит полностью взломать шифрование. |
| Симметричный | AES-128, AES-256 | Алгоритм Гровера | Умеренный: Надежность ключей уменьшена вдвое; увеличение размеров ключей вдвое снижает риски. |
| Хеширование | SHA-256, SHA-3 | Алгоритм Гровера | Умеренный: Снижена устойчивость к столкновениям; необходимы более крупные выходные мощности. |
Эти уязвимости подчеркивают острую необходимость в шифровании, устойчивом к квантовым атакам, для защиты конфиденциальных данных. Злоумышленники уже используют эти слабые места, применяя новые тактики, такие как сбор зашифрованных данных сейчас для последующего расшифрования.
Угроза ‘Сбор урожая сейчас, расшифровка позже’.
Квантовые уязвимости — это не просто теория: противники активно готовятся к квантовому будущему. Harvest-Now-Decrypt-Later (HNDL) Стратегия заключается в сборе зашифрованных данных уже сегодня, зная, что их можно будет расшифровать, как только квантовые компьютеры станут достаточно мощными.
Существуют реальные примеры применения этой тактики на практике. В 2020 году..., Данные таких компаний, как Google, Amazon и Facebook, перенаправлялись через российские серверы. во время инцидента с перехватом BGP. Эксперты считают, что подобные события являются частью крупномасштабных операций по сбору данных. Аналогичные случаи включают в себя: Интернет-трафик из Канады перенаправляется через Китай. а также Мобильный трафик в Европе на короткое время перенаправлялся через китайские серверы.. Эти инциденты соответствуют стратегиям HNDL и подчеркивают необходимость более надежного шифрования.
"Сбор урожая сейчас, расшифровка позже лежит в основе радиоэлектронной разведки. В АНБ хранятся огромные архивы магнитных лент… охватывающие десятилетия". – Уитфилд Диффи, криптограф.
Экономическая целесообразность сбора данных делает его еще более привлекательным. Стоимость цифрового хранения данных снизилась на 95% с 2010 года, Это позволяет государствам содержать огромные архивы зашифрованных данных, что делает их доступными для многих стран. После сбора эти данные остаются уязвимыми неограниченно долго. Это особенно тревожно в отношении информации, требующей долгосрочной защиты, такой как интеллектуальная собственность, медицинские записи, финансовые данные и коммерческая тайна — данные, которые должны оставаться в безопасности в течение длительного времени. от 10 до 25+ лет.
Эксперты оценивают Вероятность перехода с 5% на 14% вероятность того, что к 2029 году будет разработан криптографически значимый квантовый компьютер, возрастет до 34% в течение следующего десятилетия. Если ваши данные должны оставаться в безопасности и после истечения этого срока, действовать нужно прямо сейчас.
Что делает квантово-устойчивое шифрование безопасным?
Постквантовые алгоритмы криптографии
Традиционные методы шифрования, такие как RSA и ECC, основаны на математических задачах — например, разложении целых чисел на множители и дискретных логарифмах, — которые квантовые компьютеры могут эффективно решать. Постквантовая криптография (ПКВ), с другой стороны, основана на задачах, которые остаются вычислительно сложными даже для квантовых компьютеров. Эти алгоритмы разработаны для работы на современном оборудовании, что делает их готовыми к немедленному использованию.
В августе 2024 года NIST завершил разработку первых трех стандартов контроля качества продукции. ML-KEM ML-KEM (ранее CRYSTALS-Kyber) — это основной стандарт шифрования и установления ключей. Он использует криптографию на основе решеток, в частности, задачу обучения с ошибками (LWE), которая включает в себя поиск коротких векторов в многомерных решетках — задача, чрезвычайно сложная для квантовых компьютеров. ML-KEM предлагает ключи умеренных размеров, такие как открытый ключ Kyber-768 размером около 1184 байт, и уже интегрирован в основные платформы, такие как библиотека SymCrypt от Microsoft, что позволяет использовать шифрование, устойчивое к квантовым атакам, в Windows и Azure.
ML-DSA (ранее CRYSTALS-Dilithium) используется для генерации цифровых подписей. Он применяет метод "Фиат-Шамир с прерываниями", создавая подписи (~2420 байт для Dilithium2), которые больше, чем 64 байта у ECDSA, но обеспечивают квантовую устойчивость. В августе 2024 года Google Cloud KMS представил предварительную поддержку ML-DSA, позволяющую пользователям генерировать квантово-устойчивые подписи для облачных данных.
SLH-DSA (ранее SPHINCS+) — это схема резервной подписи, основанная на хеш-криптографии. Ее безопасность полностью зависит от односторонних хеш-функций. Хотя SPHINCS+ обеспечивает надежную защиту, она требует больших размеров подписи (от 7856 до 17088 байт). Кроме того, в марте 2025 года NIST выбрал HQC (квазициклический код Хэмминга) в качестве альтернативного варианта инкапсуляции ключей на основе кода.
"Нет необходимости ждать будущих стандартов. Смело начинайте использовать эти три… для большинства приложений эти новые стандарты являются главным событием". – Дастин Муди, руководитель проекта стандартизации PQC NIST.
| Особенность | Классическая (RSA/ECC) | Постквантовая механика (ML-KEM/ML-DSA) |
|---|---|---|
| Сложная проблема | Факторинг / Дискретная логарифмическая обработка | Решетки / Хэш-функции |
| Квантовое сопротивление | Уязвим к алгоритму Шора. | Устойчивость к известным квантовым атакам |
| Размер ключа/подписи | Очень маленький размер (байты) | Средний и большой размер (килобайты) |
Эти алгоритмы, устойчивые к квантовым атакам, предназначены для защиты обмена ключами и цифровых подписей. При этом симметричные методы шифрования, такие как AES-256, остаются надежными при использовании в сочетании с механизмами обмена ключами, устойчивыми к квантовым атакам.
Почему AES-256 по-прежнему работает
В то время как постквантовая криптография фокусируется на асимметричном шифровании, симметричные методы шифрования, такие как АЕС-256 остаются очень защищенными. В сочетании с квантово-устойчивым обменом ключами AES-256 обеспечивает надежный уровень защиты.
AES-256 — это симметричный алгоритм шифрования, то есть он использует один и тот же ключ как для шифрования, так и для дешифрования. В отличие от систем с открытым ключом, симметричное шифрование не уязвимо для алгоритма Шора. Хотя алгоритм Гровера может ускорить атаки на симметричное шифрование, он лишь вдвое уменьшает эффективную стойкость ключа. Это означает, что AES-256, обеспечивающий 256-битную безопасность в классическом понимании, в квантовом контексте по-прежнему обеспечивает 128 бит безопасности, что делает его вычислительно невозможным для взлома.
Однако протоколы обмена ключами, традиционно используемые с AES-256, такие как RSA или ECDH, уязвимы для квантовых атак. Для решения этой проблемы организации внедряют гибридные модели шифрования, сочетающие классические методы с постквантовыми алгоритмами. Например, Cloudflare реализовала гибридный обмен ключами, использующий X25519 вместе с ML-KEM для безопасного установления ключей AES-256, обеспечивая защиту как обмена ключами, так и зашифрованных данных.
"Сам по себе AES-256 считается квантово-устойчивым для симметричного шифрования. Однако механизм обмена ключами, устанавливающий ключи AES, обычно использует RSA или ECDH, которые уязвимы для квантовых атак. Для достижения полной квантово-устойчивости шифрования необходим квантово-безопасный обмен ключами (например, ML-KEM) в сочетании с AES". – QRAMM
Для тех, кто до сих пор использует AES-128, переход на AES-256 — разумный шаг, обеспечивающий как минимум 128-битную защиту от потенциальных квантовых угроз.
Как реализовать квантово-устойчивое шифрование
Шаг 1: Проведите инвентаризацию ваших криптографических систем.
Начните с инвентаризации всех систем в вашей организации, использующих шифрование. Это включает в себя VPN, настройки TLS, устройства IoT и даже сторонние библиотеки. Криптографическая спецификация материалов (CBOM) Это поможет вам эффективно составить карту всех зависимостей. Обратите особое внимание на системы, использующие уязвимые методы шифрования с открытым ключом, такие как RSA, Диффи-Хеллман и ECC, и выявите те, которые уже используют варианты, устойчивые к квантовым атакам, такие как AES-256 или SHA-256.
Учитывайте срок хранения ваших данных. Если конфиденциальная информация нуждается в защите в течение 5–25 лет, или если предполагается, что такие системы, как системы промышленного управления, спутники или медицинские устройства, будут работать десятилетиями, может потребоваться обновление оборудования для обработки ключей большего размера, необходимых для постквантовой криптографии.
Используйте такие инструменты, как Рабочая тетрадь по инвентаризации MITRE PQC или Матрица возможностей PKIC PQC Чтобы систематизировать полученные данные, сосредоточьтесь на "ценных активах" и "системах с высоким уровнем воздействия", используя установленные государственные стандарты. Примените теорему Моски для оценки срочности: если время, необходимое для взлома вашей системы шифрования, плюс время, необходимое для перенастройки ваших систем, превышает срок службы систем защиты данных, вы уже отстаёте.
"Если время, необходимое для взлома вашей криптографии (с помощью квантового компьютера), плюс время на перенастройку ваших систем превышает время, необходимое этим системам для обеспечения их безопасности, то вы уже опоздали". – Микеле Моска, криптограф.
После завершения инвентаризации вы будете готовы перейти к одобренным NIST постквантовым алгоритмам.
Шаг 2: Переход к квантово-устойчивым алгоритмам
После завершения инвентаризации следующим шагом будет миграция в... Постквантовые алгоритмы, одобренные NIST.. В настоящее время используются стандарты FIPS 203 (ML-KEM), FIPS 204 (ML-DSA) и FIPS 205 (SLH-DSA). Начните с гибридного подхода, сочетая классические алгоритмы, такие как X25519, с постквантовыми. Эта двухуровневая стратегия гарантирует, что если постквантовый алгоритм станет уязвимым, классический уровень по-прежнему обеспечит защиту.
Для TLS-соединений используйте гибридный обмен ключами. стандарты RFC 9370. Если ваши VPN-сервисы используют IKEv2, внедрите эту технологию. RFC 8784 с использованием постквантовых предварительно согласованных ключей (PPK). Убедитесь, что эти PPK имеют не менее 256 бит энтропии, что соответствует 128 битам постквантовой безопасности в соответствии со стандартом NIST категории 5. Обеспечьте гибкость ваших систем, сделав выбор алгоритма настраиваемым, а не жестко закодированным.
Планируйте миграцию, исходя из уровней риска:
- Критические системы (например, те, кто работает с секретными данными или долгосрочными секретами) должны перейти на новую систему в течение 12 месяцев.
- Системы высокого приоритета (например, в случаях, касающихся конфиденциальной личной информации) это может произойти в течение 12–24 месяцев.
- Внутренние приложения Срок может быть более длительным и составлять от 24 до 48 месяцев.
- Для систем с кратковременной потребностью в шифровании может потребоваться более 48 месяцев.
Шаг 3: Модернизация систем управления ключами
Ваша инфраструктура управления ключами должна быть способна обрабатывать ключи больших размеров и более высокие вычислительные требования алгоритмов, устойчивых к квантовым атакам. Зачастую это означает модернизацию или замену. Аппаратные модули безопасности (HSM). Для поддержки постквантовых криптографических операций многим существующим HSM может потребоваться обновление прошивки или даже полная замена.
Начните переговоры с поставщиками HSM на раннем этапе, чтобы понять сроки поддержки алгоритмов PQC, одобренных NIST. В течение этого переходного периода убедитесь, что зашифрованные заголовки данных содержат идентификаторы алгоритмов для обеспечения обратной совместимости.
Шаг 4: Тестирование перед полным развертыванием
Перед внедрением квантово-устойчивого шифрования в масштабах всего предприятия необходимо провести пилотные проекты на критически важных системах. Эти тесты должны:
- Подтвердите совместимость с различными поставщиками и платформами.
- Оцените влияние на производительность таких процессов, как задержка и пропускная способность.
- Включите в анализ побочные каналы и анализ временных параметров для выявления уязвимостей.
Ожидайте изменений в производительности. Например, добавление PQC уровня 3 к обмену ключами IKEv2 может увеличить задержку на 20–30 миллисекунд, а уровня 5 — на 40–60 миллисекунд. Более надежные схемы, такие как Classic McEliece, могут добавить более 800 миллисекунд, потенциально вызывая фрагментацию. Тщательно протестируйте эти изменения на вашей сети, хранилище и процессоре.
При тестировании VPN используйте "обязательные" режимы согласования, чтобы гарантировать разрыв соединений, если не будет обеспечена защита от квантовых атак. Это помогает снизить риски атак типа "собери данные сейчас, расшифруй позже". Тесно сотрудничайте с администраторами других сетей для согласования параметров PQC и проводите регулярные тренировки по миграции для совершенствования ваших процессов.
После успешного завершения пилотных испытаний можно завершить развертывание и поддерживать системы в актуальном состоянии.
Шаг 5: Будьте в курсе стандартов.
После инвентаризации, миграции и тестирования крайне важно оставаться в курсе развития стандартов, устойчивых к квантовым атакам. Например:
- Федеральное правительство США требует внедрения квантово-устойчивого шифрования к 2035 году.
- Европейский союз установил 2030 год в качестве крайнего срока для критически важных отраслей, таких как финансовый сектор.
- Национальный центр кибербезопасности Великобритании поставил перед собой цели на 2028 год.
Для обеспечения соответствия требованиям сотрудничайте с хостинг-провайдерами, предлагающими SSL-сертификаты с защитой от квантовых атак, например, с такими компаниями. Serverion, которая предоставляет SSL-сертификаты и услуги по управлению серверами в глобальных центрах обработки данных. Поддерживайте адаптивность ваших систем — масштабные миграции криптографических систем часто занимают от 5 до 10 лет, поэтому начинать заранее крайне важно.
Преимущества квантово-устойчивого шифрования
Защита от будущих квантовых атак
Переход на квантово-устойчивое шифрование уже сегодня — это упреждающий способ защитить ваше предприятие от... "Атаки типа "Сбор урожая сейчас, расшифровка позже» (HNDL).. Эти атаки предполагают перехват и хранение данных уже сейчас с целью их расшифровки в будущем с помощью квантовых вычислений. Конфиденциальная информация, такая как интеллектуальная собственность, медицинские записи и конфиденциальная деловая переписка, уже может находиться под угрозой, хранясь в хранилищах и ожидая, пока квантовые возможности достигнут необходимого уровня.
Этот шаг особенно важен для данных, которые должны оставаться конфиденциальными в течение десятилетий — например, файлы НИОКР, юридические контракты или медицинские карты пациентов. Переход на алгоритмы, одобренные NIST, такие как FIPS 203 (ML-KEM) и FIPS 204 (ML-DSA), а также обновление до AES-256, позволит обеспечить безопасность ваших данных даже после того, как криптографически значимые квантовые компьютеры (CRQC) станут реальностью.
Квантово-устойчивые алгоритмы также обеспечивают защиту. цифровые подписи и инфраструктура открытых ключей (PKI) от будущих угроз. Это предотвращает подделку сертификатов, выдачу себя за доверенные организации или внедрение вредоносных обновлений программного обеспечения. По сути, вся ваша цепочка доверия — от аутентификации устройства до обновлений прошивки — остается защищенной.
Речь идёт не только о защите данных. Эти меры также укрепляют репутацию и авторитет вашей организации.
Повышение доверия клиентов и соблюдение нормативных требований.
Помимо противодействия техническим угрозам, внедрение квантово-устойчивого шифрования обеспечивает более широкие преимущества для бизнеса. Одно из главных преимуществ? Повышение доверия клиентов. Когда вы демонстрируете, что опережаете события в области защиты от новых рисков, клиенты уверены в безопасности своей конфиденциальной информации. Это может выделить вас в таких отраслях, как финансы, здравоохранение и телекоммуникации, где безопасность и хранение данных имеют решающее значение.
Нормативно-правовые нормы также ужесточаются. Закон США о кибербезопасности в сфере квантовых вычислений а также План Национального института стандартов и технологий (NIST) по поэтапному выводу из эксплуатации алгоритмов, уязвимых для квантовых вычислений, к 2035 году. Установите четкие сроки. В Великобритании Национальный центр кибербезопасности рекомендовал перевести системы высокого риска на новые технологии к 2030 году, а полное внедрение — к 2035 году. Аналогичным образом, Европейский союз установил 2030 год в качестве крайнего срока для перехода критически важных отраслей. Внедряя меры по защите от квантовых атак уже сейчас, вы избежите спешки в последний момент для выполнения этих требований и потенциальных издержек, связанных с несоблюдением норм.
"Подготовка к квантовым угрозам — это не просто защита данных, это обеспечение доверия в будущем в цифровом мире, который развивается быстрее, чем когда-либо прежде". — PwC Middle East
Еще одно ключевое преимущество — крипто-гибкость – возможность обновлять или заменять алгоритмы без полной перестройки ваших систем. Такая гибкость гарантирует, что вы сможете адаптироваться к будущим уязвимостям без серьезных сбоев. Партнерство с такими поставщиками, как… Serverion, которая специализируется на различные типы SSL-сертификатов Глобальное управление серверами может помочь обеспечить соответствие вашей инфраструктуры требованиям и готовность к вызовам квантовой эры.
Эти причины подчеркивают, почему раннее внедрение квантово-устойчивого шифрования — это не просто разумный шаг, а необходимость.
Заключение
Ключевые выводы
Необходимость в шифровании, устойчивом к квантовым атакам, — это не отдалённая проблема, а насущная задача для предприятий уже сегодня. Почему? Потому что злоумышленники уже перехватывают конфиденциальные данные, планируя расшифровать их, как только квантовые компьютеры станут достаточно мощными. Учитывая, что масштабные криптографические миграции могут занять от 5 до 10 лет, откладывание действий до 2030 года может привести к опасному отставанию.
Вот практический план подготовки: Начните с инвентаризации ваших систем., затем реализовать постквантовые алгоритмы, одобренные NIST например, ML-KEM или ML-DSA. Обновите свои системы управления ключами для работы с ключами большего размера, проведите пилотные тесты для устранения проблем развертывания и внимательно следите за развитием стандартов. И не упускайте из виду немедленное обновление до АЕС-256, которая обеспечивает постквантовую защиту примерно на 128 бит от алгоритма Гровера.
С финансовой точки зрения, действовать сейчас имеет смысл. Для организаций с ИТ-бюджетом в 1 триллион рупий переход сегодня может обойтись примерно в 125 миллионов рупий. Но отсрочка до 2035 года может удвоить эти расходы. Нормативно-правовые сроки также добавляют срочности: федеральные агентства США должны выполнить требования к 2035 году, а критически важные сектора в ЕС — к 2030 году.
Преимущества выходят за рамки соблюдения нормативных требований и экономии средств. Устойчивое к квантовым вычислениям шифрование укрепляет доверие клиентов, обеспечивает соответствие нормативным требованиям и повышает гибкость криптографических систем для адаптации к будущим изменениям алгоритмов. Чтобы справиться с этим сложным переходом, рассмотрите возможность сотрудничества с опытными поставщиками, такими как... Serverion, известная своими SSL-сертификатами и услугами по управлению серверами в глобальных центрах обработки данных.
"Если время, необходимое для взлома вашей криптовалюты, плюс время на перенастройку ваших систем превышает время, необходимое этим системам для обеспечения их безопасности, то вы уже опоздали". – Микеле Моска, криптограф.
Часто задаваемые вопросы
Какие из наших данных наиболее подвержены атакам типа ‘сбор данных сейчас, расшифровка позже’?
Конфиденциальная информация, требующая долгосрочной защиты, — такая как государственные секреты, медицинские записи, секретная правительственная переписка, юридические контракты и финансовые данные, — особенно уязвима. Сегодня такие данные могут быть перехвачены и сохранены, а расшифрованы позже, когда квантовые компьютеры получат возможность взламывать существующие методы шифрования.
Как можно добавить ML-KEM и ML-DSA, не нарушая существующие настройки TLS, VPN или PKI?
Для интеграции ML-KEM и ML-DSA в существующие системы TLS, VPN или PKI без сбоев целесообразно использовать гибридные или комбинированные схемы. Эти схемы объединяют постквантовые алгоритмы с традиционными, такими как RSA или ECDHE. Такая комбинация обеспечивает совместимость с существующими системами, позволяя при этом плавный переход. Она также обеспечивает резервный вариант для использования классических алгоритмов, гарантируя безопасность и беспроблемную интеграцию. Этот метод позволяет постквантовым решениям сосуществовать с существующими протоколами, сохраняя обратную совместимость во время тестирования и развертывания.
Какие изменения в производительности и аппаратном обеспечении следует ожидать при использовании постквантовых ключей и подписей?
Постквантовые сертификаты значительно больше по размеру — примерно в 10-15 раз больше традиционных. Это увеличение означает, что они используют больше полосы пропускания во время установления TLS-соединения, что может привести к увеличению задержки, особенно в сетях, которые и без того испытывают значительные задержки. Кроме того, устойчивые к квантовым атакам алгоритмы, такие как Kyber и Dilithium, требуют большей вычислительной мощности. Это может привести к необходимости модернизации или оптимизации оборудования для управления дополнительной вычислительной нагрузкой при сохранении целевых показателей производительности и поддержании уровня обслуживания (SLO).
