如何保護嵌入式系統(tǒng)免受量子啟示錄的影響

量子啟示錄即將到來。聽起來很嚇人？那么它可以。如果您有需要保持安全和私密的信息、系統(tǒng)和設(shè)備，您的組織需要做好準(zhǔn)備。

專家估計，在未來 6 到 10 年內(nèi)，加密算法現(xiàn)在是我們用來保護當(dāng)今互聯(lián)工業(yè)應(yīng)用幾乎所有方面的安全技術(shù)的基石，很容易被下一代量子計算機擊敗。

量子計算使 RSA 和 ECC 加密算法過時的不可避免的一天可能對社會造成如此嚴(yán)重的影響，以至于安全部門將其視為“量子密碼啟示錄”。炒作并非毫無根據(jù)。RSA 和 ECC 加密用于保護跨行業(yè)的每個數(shù)據(jù)源和系統(tǒng)：工廠、數(shù)據(jù)農(nóng)場、公用事業(yè)、電子商務(wù)和銀行系統(tǒng)、運輸、通信網(wǎng)絡(luò)等等。

是的，量子計算機是大型、復(fù)雜且昂貴的系統(tǒng)，起初只有主要的國際技術(shù)組織才能負(fù)擔(dān)得起。然而，它們的使用可能會傳播到各個民族國家，并最終傳播到網(wǎng)絡(luò)罪犯和黑客。

好消息是，制造業(yè)和科技行業(yè)現(xiàn)在可以采取一些措施。

分階段遷移到量子安全密碼學(xué)

遷移到量子安全加密算法將需要規(guī)劃和更新多個系統(tǒng)。最終，這將包括制造中使用的機器和在裝配線上推出的產(chǎn)品。他們都需要受到保護。此外，公司的內(nèi)部數(shù)據(jù)管理和通信系統(tǒng)，以及第三方應(yīng)用程序、服務(wù)器和系統(tǒng)都需要更新。

工程師和開發(fā)團隊現(xiàn)在必須開始計劃遷移到量子安全加密。對于工廠和大型企業(yè)來說，這些措施將是一項重大舉措。

幸運的是，不必同時更新所有系統(tǒng)。

通過使用“混合證書”——具有傳統(tǒng) RSA 或 ECC 密鑰和新的量子安全密鑰的安全證書——制造商和開發(fā)人員可以進行漸進但安全的遷移?；旌献C書將使尚不支持量子安全加密的設(shè)備能夠同時與支持量子安全加密的新系統(tǒng)一起工作。因此，支持關(guān)鍵系統(tǒng)逐步遷移到量子安全加密。

為了完成遷移，一旦所有系統(tǒng)都升級為支持量子安全加密，就可以放棄混合證書，轉(zhuǎn)而使用純量子安全證書。然而，這種演變有多種途徑需要考慮。

一些公司可能會選擇直接從傳統(tǒng)加密轉(zhuǎn)向量子安全加密，而無需混合證書過渡期。

對于所有系統(tǒng)都可以同時升級到純量子安全證書的工業(yè)和企業(yè)環(huán)境，可以跳過混合證書的過渡期。然而，這種更快、更直接的遷移會帶來更多風(fēng)險。如果任何系統(tǒng)未正確更新，它將不再能夠與其他系統(tǒng)通信。

直接或混合遷移計劃的步驟

直接或混合遷移計劃需要以下六個步驟。

（組織成功遷移到量子安全密碼學(xué)需要六個步驟——無論是直接升級還是使用混合證書。）

升級到量子安全的 PKI 安全基礎(chǔ)設(shè)施

遷移到量子安全密碼學(xué)的第一步是升級公鑰基礎(chǔ)設(shè)施 （PKI），包括證書頒發(fā)機構(gòu)，以利用量子安全加密算法。與其嘗試升級內(nèi)部 PKI 系統(tǒng)，這可能是公司遷移到商業(yè)證書頒發(fā)機構(gòu) （CA） 的理想時機，例如可以為量子安全加密算法提供商業(yè)支持的 Sectigo。

無論是遷移到內(nèi)部 PKI 系統(tǒng)還是改編商業(yè)供應(yīng)商的解決方案，CA 都必須為量子安全加密算法和量子安全證書頒發(fā)提供支持。如果 IT 安全團隊選擇使用混合證書，他們必須選擇同時支持混合證書和純量子安全證書的 CA。

一旦組織升級其現(xiàn)有 CA，或選擇新 CA，CA 必須頒發(fā)新的量子安全根證書和中間證書。

更新服務(wù)器應(yīng)用程序以識別和使用新的加密算法

遷移到量子安全加密需要更新服務(wù)器應(yīng)用程序使用的加密庫，以支持新的加密算法和新的量子安全證書格式，包括混合證書（如果使用）。如果使用混合證書，服務(wù)器應(yīng)用程序?qū)⑿枰R別和處理傳統(tǒng)的 RSA/ECC 證書和包含量子安全加密密鑰的混合證書。這要求服務(wù)器應(yīng)用程序區(qū)分兩種不同的證書類型，并使用該證書類型的適當(dāng)加密算法來處理每種證書類型。

更新客戶端加密算法

接下來，IT 和開發(fā)團隊還需要更新廣泛的客戶端應(yīng)用程序以使用量子安全加密算法。完全安全升級后，管理員可以停止在客戶端應(yīng)用程序中使用傳統(tǒng)的 RSA/ECC 密鑰/證書，而使用新的量子安全等效項。

此策略的例外是與多個服務(wù)器應(yīng)用程序通信的客戶端應(yīng)用程序，這些應(yīng)用程序可能不會同時升級到量子安全加密。在這種情況下，混合證書將允許客戶端與支持傳統(tǒng) RSA/ECC 加密的服務(wù)器一起使用，同時在支持這些新算法的服務(wù)器上使用量子安全算法。

在所有系統(tǒng)上安裝量子安全根

每個使用 PKI 的安全系統(tǒng)都有一個受信任的根存儲。此根存儲包含在 PKI 系統(tǒng)內(nèi)頒發(fā)證書的根 CA 和中間 CA 的證書。更新系統(tǒng)以支持量子安全加密算法后，還必須更新這些根存儲以添加新的根證書和中間證書。

向連接的設(shè)備和應(yīng)用程序頒發(fā)新的量子安全證書

在 IT 團隊更新公司的所有系統(tǒng)以支持量子安全加密之后，他們必須頒發(fā)新證書并將其安裝在所有端點上。完成后，每個設(shè)備都可以開始使用新證書啟用的量子安全加密算法。

最后一步——擺脫舊的

遷移到量子安全加密的最后一步是棄用傳統(tǒng)的加密算法，以便不再使用它們。這可以在應(yīng)用程序和系統(tǒng)遷移到新算法時逐步完成。遷移所有系統(tǒng)后，應(yīng)撤銷根 ECC 和 RSA 證書，以確保它們不被任何系統(tǒng)使用。

轉(zhuǎn)向自動化證書管理的好時機

遷移到新的加密算法和 PKI 系統(tǒng)將需要頒發(fā)大量新證書，因為每個設(shè)備/應(yīng)用程序都需要一個新證書。對于尚未支持自動化證書管理的組織，這是考慮實施自動化工具的絕佳時機。

今天，有易于使用的證書管理平臺，既可以自動發(fā)現(xiàn)和更新證書，以確保系統(tǒng)不會因證書過期而失敗，也可以減輕在設(shè)備和系統(tǒng)上安裝新證書的管理負(fù)擔(dān)。對于考慮新 PKI 解決方案的安全團隊來說，對自動化工具的支持應(yīng)該是重中之重。

審核編輯：郭婷