作者:KM Lai
前言 - 量子安全威脅與風險
隨著量子電腦的發展和相關攻擊演算法的出現,我們可以預見未來量子電腦將威脅當今密碼系統的安全性。為了應對這一風險,美國國家標準與技術研究院(NIST)自2018年開始徵求可抵擋量子攻擊的新密碼系統。這些方法也被稱為後量子密碼學,旨在確保即使在面對具有一定量子運算能力的量子電腦的攻擊下,通信仍能保持安全。除了後量子密碼學的研究外,美國政府還制定了量子安全遷移計劃,加速敏感單位量子安全化。
據稱一些國家或犯罪組織可能正在收集數據以解密敏感信息,在未來具有加密相關量子電腦(Cryptographically Relevant Quantum Computers, CRQC)可用之後進行破解。也就是所謂的 Harvest Now, Decrypt Later Attacks。金融行業是網絡攻擊的主要目標,因為它處理大量敏感金融數據,並且通常被視為駭客有利可圖之目標。此一狀況也促使各單位須思考是否及早轉移相關系統及資料至量子遷移,以避免機密資料或保存時限較長之資料未來遭到破解。
量子安全風險評估
目前美國國家標準與技術研究院(NIST)正在著手進行量子安全遷移相關內容的制定,一般企業除了等待美國 NIST 頒布的草稿外,可以開始進行組織內數位資產及相關加密演算法的盤點,以因應未來遷移時的準備。由於同時展開各種業務系統及數位資產的轉移可能會是一項相當龐大且困難的任務,因此建議企業可以先進行量子安全風險評估,以識別需要優先處理的業務系統及數位資產,並且可評估相關成本已發展相關策略。
為了協助企業評估量子安全風險,以展開量子遷移策略或計畫的第一步,本篇介紹幾種評估方法和框架,協助介紹企業著手進行組織內的量子安全風險評估。並藉由量子安全風險評估,讓企業可以及早準備遷移至量子安全時代,協助組織在量子安全時代做好準備。
Mosca’s Quantum Risk Assessment (QRA)
此方法由 Mosca博士提出的" x, y, z"量子風險模型,提供了一個六階段的風險評估階段,這個方法包括以下各階段:
辨識並記錄資訊資產及其目前的密碼保護
研究新興量子計算機和量子安全密碼的現狀
辨識威脅行為者並估計他們獲取量子技術的時間為 Z
辨識資訊資產的生命周期為 X ,以及轉換到量子安全狀態所需的時間為 Y
通過計算數位資產是否會在組織能夠保護它們之前變得脆弱,以確定量子風險威脅為高或低
6. 辨識和排序需優先處理相關量子安全遷移內容
Crypto Agility Risk Assessment Framework (CARAF)
此框架則強調更換加密機制的敏捷性,即組織能夠快速、低成本地替換現有的加密原理、演算法或協議的能力。CARAF提供了一個分析和評估的框架,包括下列階段
識別威脅
資產盤點
風險評估
風險處理
制定組織量子安全路線圖
在風險處理方面,組織可以根據預期的風險值和資產價值,選擇保護資產、接受風險或逐步淘汰受影響的資產。
CARAF於文章中也提供了一個 IoT 量子安全風險評估案例表格如下,帶著讀者一同進行上述步驟,以便熟悉相關風險評估框架。
Wells Fargo’s PQC Risk Model
富國銀行 (Wells Fargo) 於 2023年研究的風險模型,是一種基於節點分析的方法,用於識別與量子電腦相關的風險以及數據遭到入侵的財務影響。此模型考慮了在網絡中的不同節點(如服務節點、路由器、加密器或防火牆),並評估了這些節點使用的加密技術以及了解如何遷移、更新這些節點之加密技術所需的成本。這種方法能夠提供跨應用程序和特定節點的風險視圖,幫助組織更好地了解量子電腦可能帶來的潛在風險,並且可采取相應的措施來保護免受這些風險的影響。
組織可以根據以上量子安全風險評估方法和框架,進行內部量子安全風險評估,識別優先處理的業務系統和數位資產,並制定相應的遷移策略和計劃。組織能夠早期認識量子安全挑戰,並積極應對,以確保敏感數位資產在量子安全時代的保護。
結論
量子安全遷移是一個重要的議題,因為它確保了敏感資料在面對量子電腦攻擊時的安全性。本篇文章的目的即是說明企業面臨的量子安全風險時可應對的風險評估方式,以了解如何啟動量子安全遷移的關鍵第一步。
建議企業開始進行量子安全風險評估,以了解哪些系統和資產是優先考慮轉移的,並制定相應的策略。同時,企業可以密切關注美國國家標準與技術研究院的相關指南和草案,以獲取更多關於量子遷移的指導。透過這些措施,企業可以在量子安全時代提前準備,保護敏感資料的安全。
在面對日益增加的量子安全風險,我們致力於提供專業的量子安全風險評估和遷移服務,以協助組織應對未來的量子安全挑戰。
透過我們的量子安全評估服務,組織可以深入了解其資產和系統的量子安全風險,並確定應優先考慮的業務系統和數位資產。我們的專業團隊將為組織提供量子安全的建議和解決方案,以制定適合的遷移策略,保護敏感資料免於量子攻擊的威脅。