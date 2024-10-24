Os computadores quânticos estão emergindo da fase de pesquisa pura e se tornando ferramentas úteis. Eles são usados em diversos setores e organizações para explorar as fronteiras dos desafios em saúde e ciências da vida, física de altas energias, desenvolvimento de materiais, otimização e sustentabilidade. No entanto, à medida que os computadores quânticos crescerem, eles também serão capazes de resolver certos problemas matemáticos difíceis dos quais depende a criptografia de chave pública de hoje. Um futuro computador quântico criptograficamente relevante (CRQC) pode decifrar algoritmos de criptografia assimétrica usados globalmente que atualmente ajudam a garantir a confidencialidade e integridade dos dados e a autenticidade do acesso aos sistemas.
Os riscos impostos por um CRQC são abrangentes: possíveis violações de dados, interrupções na infraestrutura digital e até mesmo manipulação global em larga escala. Esses futuros computadores quânticos estarão entre os maiores riscos para a economia digital e representarão um risco cibernético significativo para as empresas.
Já existe um risco ativo hoje. Os cibercriminosos estão coletando dados criptografados hoje com o objetivo de descriptografar esses dados mais tarde, quando um CRQC estiver à sua disposição, uma ameaça conhecida como "colher agora, descriptografar depois". Se eles tiverem acesso a um CRQC, poderão descriptografar os dados retroativamente, obtendo acesso não autorizado a informações altamente confidenciais.
Felizmente, osalgoritmos de criptografia pós-quântica (PQC), capazes de proteger os sistemas e dados atuais, foram padronizados. O Instituto Nacional de Padrões e Tecnologia dos EUA (NIST) lançou recentemente o primeiro conjunto de três normas:
Dois dos padrões (ML-KEM e ML-DSA) foram desenvolvidos pela IBM com colaboradores externos, e o terceiro (SLH-DSA) foi codesenvolvido por um cientista que desde então ingressou na IBM.
Esses algoritmos serão adotados por governos e setores em todo o mundo como parte de protocolos de segurança, como "Transport Layer Security" (TLS) e muitos outros.
A boa notícia é que esses algoritmos estão à nossa disposição para proteger contra o risco quântico. A má notícia é que as empresas devem migrar seu patrimônio para adotar esses novos padrões PQC.
Programas anteriores de migração de algoritmos de criptografia levaram anos para serem concluídos. Pergunte a si mesmo, como organização: quanto tempo durou seu programa de migração de SHA1 para SHA2? E quanto à sua programa de atualização de infraestrutura de chave pública (PKI), em que você aumentou o tamanho da chave da cadeia de confiança de PKI de 1024 bits para chaves de 2048 bits, ou chaves de 3072 bits ou 4096 bits? Quanto tempo tudo isso levou para ser implementado em seu ambiente corporativo complexo? Vários anos?
O impacto da computação quântica e da implementação dos padrões PQC é vasto, abrangendo uma parte abrangente da sua organização. O risco da computação quântica afeta muitos mais sistemas, ferramentas e serviços de segurança, aplicações e infraestrutura de rede. Sua organização precisa fazer a transição imediata para os padrões PQC para proteger seus ativos e dados.
Boletim informativo de pesquisa
Descubra pesquisas emergentes em IA, computação quântica, nuvem híbrida e muito mais dos especialistas da IBM com o boletim informativo mensal da Future Forward. Consulte a Declaração de privacidade da IBM.
Sua assinatura será entregue em inglês. Você encontrará um link para cancelar a assinatura em cada boletim informativo. Você pode gerenciar suas assinaturas ou cancelar a assinatura aqui. Consulte nossa Declaração de privacidade da IBM para obter mais informações.
Para proteger sua organização contra os riscos de “colher agora, descriptografar depois”, recomendamos que você execute um programa de transformação seguro contra ataques quânticos. Comece a adotar ferramentas e use serviços que permitem implementar os padrões de criptografia PQC anunciados recentemente.
A IBM desenvolveu uma metodologia abrangente de programação segura contra ataques quânticos, que está atualmente em execução em dezenas de clientes, distribuídos por setores e dezenas de países, incluindo Governos nacionais.
Aconselhamos os clientes a adotar um programa com as seguintes fases principais:
Na fase 1 da jornada do programa, concentre-se em áreas-chave, como a criação de uma campanha de consciência em toda a organização para educar os stakeholders e os especialistas em assuntos de segurança (SMEs) sobre o risco quântico. Estabeleça "embaixadores" ou "defensores" seguro contra ataques quânticos que se mantenham atualizados sobre o risco quântico e a evolução da segurança contra ataques quânticos, atuando como contato central do programa e ajudando a moldar a estratégia da empresa.
Em seguida, realize avaliações de risco relacionadas ao risco quântico contra os ativos de negócios criptograficamente relevantes da sua organização, que são qualquer ativo que use ou dependa de criptografia em geral.* Por exemplo, sua avaliação de risco e impacto deve avaliar a relevância comercial do ativo, sua complexidade ambiental e dificuldade de migração, entre outras áreas de avaliação. Identifique vulnerabilidades nos ativos de negócios, incluindo quaisquer ações urgentes, e produza um relatório destacando as descobertas para os principais stakeholders, ajudando-os a entender a postura organizacional de riscos quânticos. Isso também pode servir como base para o desenvolvimento do inventário de criptografia de sua empresa.
Na fase 2, oriente os stakeholders sobre como lidar com as áreas prioritárias identificadas e as possíveis fraquezas criptográficas e riscos quânticos. Em seguida, detalhe as ações de remediação, como destacar sistemas que podem não ser compatíveis com algoritmos PQC. Por fim, expresse os objetivos do programa de migração.
Nesse estágio, a IBM ajuda os clientes a traçar um roteiro seguro contra ataques quânticos que detalha as iniciativas seguras contra ataques quânticos necessárias para que sua organização atinja seus objetivos.
Como aconselhamos nossos clientes: considere iniciativas crítico em seus roteiro, como desenvolvimento de um framework de governança para criptografia, priorização de sistemas e dados para migração do PQC. Atualize suas práticas e diretrizes de desenvolvimento de software seguras para usar o PQC por design e produzir listas de materiais de criptografia (CBOMs). Trabalhe com seus fornecedores para entender as dependências de terceiros e os artefatos de criptografia. Atualize seus processos de aquisição para se concentrar em soluções e serviços compatíveis com PQC para evitar a criação de nova dívida criptográfica ou novo legado.
Um dos principais recursos necessários é a "observabilidade criptográfica", um inventário criptográfico que permite que os stakeholders monitorem o progresso da adoção do PQC ao longo de sua jornada seguro contra ataques quânticos. Esse inventário deve ser apoiado por coleta automática de dados, análise de dados e gerenciamento de riscos e postura de conformidade.
Na fase 3, sua organização executa o programa de migração seguro contra ataques quânticos implementando iniciativas baseadas em sistemas de prioridade/risco/custo, objetivos estratégicos, capacidade de entrega etc. Desenvolva uma estratégia segura contra ataques quânticos aplicada por meio de suas normas e políticas organizacionais de segurança da informação.
Execute a migração de tecnologia usando arquiteturas de referência e padrões, jornadas e blueprints de migração padronizados, testados e comprovados.
Inclua a capacitação da agilidade criptográfica nas soluções de desenvolvimento e migração e implemente o desacoplamento criptográfico abstraindo o processamento de criptografia local para serviços de plataforma centralizados, governados e facilmente adaptáveis.
Inclua em seu programa um ciclo de feedback com lições aprendidas. Permitir a inovação e o teste rápido de novas abordagens e soluções para apoiar o programa de migração nos próximos anos.
Muitos elementos são difíceis de migrar. Por exemplo, componentes fundamentais da infraestrutura de Internet, como redes de área ampla (WANs), redes de área local (LANs), concentradores de VPN e links Site-2-Site, serão mais complexos para migrar. Portanto, esses elementos exigem mais atenção do que aqueles que têm uso limitado dentro da organização. Serviços essenciais de criptografia, como PKI, sistemas de gerenciamento de chaves, sistemas de pagamento seguro, aplicações ou backends de criptografia, como HSMs, criptografadores de link e mainframes, são complexos para migrar. É preciso considerar as dependências de diferentes aplicação e hardware, incluindo questões de interoperabilidade Tecnologia.
Você também deve considerar a realização de testes de desempenho dos padrões PQC em relação aos seus sistemas internos e fluxos de trabalho de dados, para ajudar a garantir a compatibilidade e a aceitabilidade do desempenho e identificar quaisquer preocupações. Por exemplo, o PQC às vezes requer tamanhos de chave, texto cifrado ou assinatura mais longos em comparação com os algoritmos usados atualmente, que precisarão ser considerados nos testes de integração e desempenho. Algumas tecnologias críticas da organização ainda dependem de criptografia legado e podem achar difícil ou até mesmo impossível migrar para os padrões PQC. A refatoração e o reprojeto da aplicação podem ser necessários.
Outros desafios incluem a falta de habilidades ou a falta de documentações, os quais criaram lacunas de conhecimento dentro de sua empresa. Informações codificadas em sistemas/arquivos de configuração/scripts, etc., tornarão ainda mais complexa a migração.
Certifique-se de que suas chaves de criptografia e certificados digitais sejam rastreados e gerenciados com exatidão. A má gestão complicará ainda mais a migração.
Nem todos os casos de uso serão testados por grupos de trabalho internacionais de PQC. Haverá muitas combinações ou configurações de tecnologias exclusivas para suas organizações, e você precisará testar seus sistemas minuciosamente de uma perspectiva de fluxo de trabalho de ponta a ponta.
Agora que o NIST lançou um primeiro conjunto de padrões PQC, precisamos prever que a regulamentação fora dos EUA seguirá rapidamente. Exemplos no contexto do setor financeiro:
Portanto, aconselhamos você a se concentrar no desenvolvimento de sua framework de governança de criptografia, que inclui o desenvolvimento de uma estratégia seguro contra ataques quânticos para sua Organização. Ele deve estar alinhado aos objetivos estratégicos e à visão do seu negócio e aos cronogramas-alvo. Um centro de excelência deve apoiar e aconselhar como parte do programa de transformação. A framework de governança deve se concentrar em pilares fundamentais, como supervisão regulatória da sua organização, garantia criptográfica e gerenciamento de riscos, desenvolvimento de capacidade de entrega e educação PQC. Ele deve apoiar a adoção das melhores práticas em seu desenvolvimento de aplicação e fornecer padrões de arquitetura de segurança e painéis de revisão de projeto técnico.
O programa de transformação será longo e complexo. Exige o envolvimento de vários departamentos e uma ampla gama de habilidades. Certifique-se de gerenciar e observar o moral da equipe e considerar a cultura de trabalho e as práticas de gestão de mudanças de sua organização para ajudar a garantir a coesão do programa ao longo dos muitos anos de entrega.
Além disso, considere o desenvolvimento de parcerias, pois muitas organizações dependem de muitos fornecedores específicos para seu setor e ecossistema. Colabore com outras pessoas do seu setor para aprender e compartilhar ideias para lidar com o risco quântico e a migração do PQC juntos, por meio de grupos de trabalho e de usuários.
Do ponto de vista operacional, garanta que você tenha um catálogo de rastreabilidade dos principais serviços corporativos e de negócios mapeados para regulamentações e leis e comece a planejar um cronograma para a transição de cada um deles.
* Observação: em muitos casos, até mesmo o uso de criptografia simétrica dependerá de alguma forma de criptografia de chave pública, por exemplo, troca de chaves.
Fortaleça suas defesas criptográficas contra futuras ameaças quânticas com as soluções seguras contra ataques quânticos da IBM.