谷歌 AI Quantum 团队、加州大学等机构上个月发布的报告,证实了量子技术突破的流言。量子计算,这个曾经预测将花费数年时间才能走向市场的复杂技术,突然之间就因为这个突破而显得紧迫了起来。
量子计算是一个复杂的概念,但简单讲,这就是一种大规模编码和关联信息的方法。量子计算的实现将改变世界通信及管理和保护数据的方法——这是一种将彻底变革网络安全态势的技术发展。
运行经典计算机需花费数年时间才能完成的数学算法,最能体现量子权力或者真正的量子计算。谷歌在其报告中宣称,他们的研究团队仅用 30 秒的量子处理时间,就跑完了经典计算机需花费 1 万年才能处理完毕的算法。如果谷歌所言是真的,那我们就距离量子计算成为现实而非理论上的可能性更近了许多。
即使这一数字被证明是错误的——IBM 立即用约 2.55 天驳斥了谷歌“1 万年”的论断,量子计算成为现实也只是个时间上的问题罢了。由于每增加一个量子位经典计算的开销就会倍增,IBM 自己的推断表明,只需要再增 6 个量子位,就将在一年内取代经典计算机。谷歌和其他研发机构的开拓进展令 60 量子位的机器必将出现,而且即便无视量子计算的突破,2.55 天 vs. 30 秒也依然是 4 个数量级的差距了。
为什么加密敏捷性是关键
我们当前所用的加密算法将随着量子计算能力的上升而快速降级。最近几年从 SHA-1 到 SHA-2 的迁移就是个绝佳对比:当大众广泛接受使用 SHA-1 不再安全的时候,大多数人开始将其公钥基础设施 (PKI) 迁移到 SHA-2。从技术上讲,因为攻击者容易入手伪造证书和密钥,SHA-1 呈现出巨大的安全风险。与近些年频发的基于证书的攻击类似,攻击者可成功伪造可信证书颁发机构的签名,用他们自己的伪造证书替换掉合法证书,赋予自身进入目标网络的权限。而更新的操纵技术则意味着,可以通过重新导出相关联的私钥来盗取某些数字身份。Keyfactor 研究人员今年表示,互联网上存在超过 40 万个证书因生成 RSA 私钥时熵值不足而有可能被黑。
SHA-2 迁移是 IT 团队的一件大事,凸显出企业跟踪和管理其加密密钥能力的关键性。如今,公司企业通常都持有成百上千个证书和密钥,而且这一数字还在不断增长。证书如此之多的情况下,部署自动化方法,以便在证书变得不安全时能够快速替换,就变得相当重要了。
从运营上讲,即便没有量子计算的突破,PKI 管理也是一项十分复杂、耗时且昂贵的工作。研究表明,71% 的公司企业甚至不知道自己拥有多少证书和密钥。加密敏捷的框架能够使 PKI 等密码快速适应技术发展,比如从 SHA-1 到 SHA-2,引入这样的框架不仅可以管理当前 PKI 需求,还可以管理量子计算将需要的自动化和转型。采用单一自动化平台能够提供对每个证书和密钥的完整可见性,补充加密敏捷的框架。
以量子安全的证书构筑就面向未来的 PKI
除了以 PKI 自动化支持管理,量子安全的证书对于可适应量子计算发展的面向未来的 PKI 也十分关键。这对于生产制造物联网设备和联网设备的公司企业而言尤为重要。
我们不妨考虑一下产品使用寿命在 4~7 年间的设备制造商(比如心脏起搏器、胰岛素泵、汽车、飞机和火车),他们就有义务设计能在设备上更新密码的功能。有人说,不这么做就是有意的疏忽,公司因此面临不必要产品召回的风险,还会给性命攸关的系统引入严重问题,背负巨大责任。
至于联网设备间敏感通信的问题,不能仅依靠现有算法撑到量子计算能够破解的时候。由于带所谓前向加密属性的通信协议的有限使用,存档通信常可在事后被解密,令大量敏感数据面临潜在访问风险。前向加密是密钥协商协议的一个特性,要求使用新的密钥加密会话,保证用户的会话密钥不会被黑。没有前向加密的存档通信,在量子计算机面前无所遁形。
量子计算技术的这一突破意味着,量子发展比我们想象的更为接近。PKI 是基本安全工具,也是经历了时间检验的加密形式,且发展进化成了面向未来技术进步的关键基础。当前的 PKI 可与抗量子算法携手延长数字证书的寿命,或许还能再延几十年。
工作重压下的 IT 主管必须关注 PKI 及其他加密关键基础设施,而且,像自身安全框架中的其他元素一样,评估可以采纳来帮助精简和自动化 PKI 管理的工具。今年面向未来的 PKI 意味着企业可以充满自信地集成明天的技术。