量子计算的最新进展,包括量子比特数、相干时间和门保真度的提高,但尚未提供相对于传统计算机的实际优势。
这是 Forrester 2024 年量子计算趋势报告的结论。
量子系统仍处于实验阶段,无法提供与传统计算方法相媲美的大规模结果。到目前为止,Forrester 分析师认为,尽管取得了巨大进展,但这项技术仍未取得真正的突破。但这只是时间问题。当这一突破真正到来时,它将带来大量机遇和挑战,包括危险的新网络威胁。全球风险研究所估计,到 2030 年,量子计算机将有 11% 到 31% 的可能性能够破解最流行的加密方法。
许多专家预测,量子计算在现实世界的广泛应用至少还需要十年时间,但这似乎是不可避免的。业界已经开始讨论后量子计算(PQC)。
这是指量子计算机广泛使用后将进入的计算时代,尤其是在密码学方面。随着量子计算机变得越来越强大,它们将能够破解目前广泛用于保护在线数据的加密方法。PQC 专注于开发能够抵御量子攻击的新型加密算法。
这些新算法被称为后量子密码学,旨在创建即使量子计算机能够解决传统计算机无法解决的复杂数学问题也能保持安全的加密系统。该领域至关重要,因为它为量子计算机的到来做好了现有加密系统的准备,并确保数据在量子世界中得到保护。
跨国科技公司 Amdocs 产品和网络部门总裁 Avishai Sharlin 认为,随着企业和政府开始采用 Quantum-Safe 加密来保护其数据,PQC 可能会在 2025 年迈出一大步。
美国国家标准与技术研究院
2024 年 8 月,美国商务部国家标准与技术研究所 (NIST) 正式确定了第一套旨在抵御量子计算机潜在威胁的加密算法。这些算法包括 Kyber(用于密钥交换)、NTRU(也用于密钥交换)和 FrodoKEM。这些标准标志着在保护数字通信和数据免受量子计算进步的影响方面迈出了重要一步,量子计算有可能破坏 RSA 和 ECC 等现有加密系统。
“随着美国国家标准与技术研究所最终确定 PQC 所需的关键算法,各公司将很快将其集成到其安全系统中,”Sharlin 表示。“此举还需要 Java 21+ 等更新,这对于管理量子安全加密密钥至关重要。对于处理敏感信息的行业来说,过渡到抗量子技术对于保持领先于新兴网络安全威胁至关重要。”
NIST 表示,这三项新标准是面向未来的。“量子计算技术正在迅速发展,”NIST 发言人表示。“一些专家预测,能够破解当前加密方法的设备可能在十年内出现,威胁个人、组织和整个国家的安全和隐私。”
美国商务部负责标准与技术事务的副部长兼 NIST 主任 Laurie E. Locascio 表示:“量子计算技术可能成为解决许多社会最棘手问题的力量,新标准代表了 NIST 致力于确保它不会同时破坏我们的安全。
“这些最终确定的标准是 NIST 为保护我们的机密电子信息所做的努力的基石。”
Sharlin 同意这些新标准至关重要。“我认为这非常重要,”他解释道。“首先,现在有了一个标准,你可以要求或要求行业遵守它。这很重要,因为这样你就可以说‘到那时,我希望你支持这个标准和这个协议,到那时,我希望你迈向下一个水平’等等。
“因此,行业开始协调一致这一事实非常重要。如果这些标准不存在,你也没有什么可以协调的,那么这更像是在没有真正灵丹妙药的情况下拉响警报——没有任何可以帮助你解决问题的东西。
“然后你会看到混合解决方案、专有解决方案或临时解决方案试图弥补差距。既然有了一个标准,既然你知道你可以采用它,我相信你会看到不同的供应商开始围绕它结盟。”
但是,组织在尝试过渡到后量子计算和集成量子安全加密时面临着许多挑战。
“我想说,一切都始于对威胁的了解,”Sharlin 解释道。“许多组织都说量子计算机要到 2030 年才会出现,甚至可能更晚。
“你可以听到一些市场巨头说‘是的,这是一个威胁,但它还要很多年才会到来,所以现在你可以稍微放松一下’。我认为一切就从这里开始。
“组织应该做的第一件事就是了解威胁是真实存在的,而且威胁已经临近。威胁临近的意思是威胁正在来临,而且来得相对较快。
“其次,假设我们有了意识,可以做什么?你需要映射你的应用程序。你需要了解威胁有多大,你需要了解目前使用的加密算法是什么,以及以何种形式使用。我使用 Java 吗?我使用 Kubernetes 吗?然后,对于这些,我将需要不同的方法。如果我的软件在 Kubernetes 上运行,我将需要 Kubernetes 的新版本来支持可以帮助我的 PQC 算法。如果我运行的是 Oracle JDK,我将需要该软件的最新版本。
“总的来说,我需要知道我拥有什么。我需要规划我的应用程序、我的工作场地和我的工作协议,并且我需要清楚地了解每个应用程序需要做什么。
“我们知道其中有些元素目前在市场上还买不到。但我们谈论的是意识,谈论的是映射,我们还需要明白,在某个特定时刻,我需要开始实施它。所以我必须知道需要实施什么,以及什么时候市场上有货,这样我才能采用它。
“如果我现在需要重构我的整个应用程序,这将是一项巨大的工作,因此你开始发现,抛开意识、映射和一切,这是一个大工程。这与 2000 年发生的事情类似。人们需要转换,需要检查整个应用程序集,看看他们如何适应后量子计算时代。”
当今市场对相关技能的需求将日益增长,而这些技能目前却十分稀缺。Sharlin 表示,需要教育和卓越中心来帮助组织做好准备。
“下一个大问题是开始培养你的技能,”他解释道。“所以,抛开意识不谈,你需要在相关软件可用时准备好技能,然后制定计划。所以我认为 2025 年是你需要规划应用程序的一年。了解弱点在哪里,规划依赖关系和流程,让组织开始协调,规划需要修复的内容和应用程序。优先事项是什么?我们认为什么时候会出现支持它的相关软件?
“这是准备工作。在一些领域,您已经开始看到 PQC 解决方案,这意味着您可以开始试验它们,培训您的员工并了解相关影响。”
风险因素
那么这是所有组织都应该关注的事情吗?Sharlin 认为,政府和军方将率先采用 PQC,确保他们存储和使用的数据受到保护。
“然后你将进入非常重要的繁重安全环境,例如保险和银行,当然还有电信公司,”他说。“我预见到了这一点,但在一家非常小的商店工作的人将是最后考虑的对象。然而,企业将根据风险因素优先考虑。
“我们需要记住,大多数风险并不在于最近才开始创业的新兴企业,它们可能拥有最新最好的技术。风险在于那些使用旧版 Java 和旧版不同加密技术的应用程序的繁重企业。这些都需要改变。”
沙林认为,网络安全是最令人沮丧的工作领域之一,因为你每天醒来都会面临新的威胁。
“也许每天出现一个威胁就已经很不错了,”他说。“通常每天会有 100 个新威胁。我认为这种情况不会结束。威胁一直存在,而且更大的威胁来自国家,而不仅仅是个人。威胁越来越难以阻止。网络安全人员的心态应该是存在渗透。因此,您需要了解一旦暴露会发生什么。
“这决定了你的运营方式和保护资产的方式。量子计算肯定会颠覆这一领域。所有虚拟货币。它们都使用加密技术。这可能会被破解。突然之间,就像有人可以访问你的银行账户一样。因此,这些也需要进行一些改变才能得到保护。
“我并不是说保护比特币不可行,但保护比特币也需要一些关注。世界上的比特币也需要适应这个时代。”
随着量子通信和相关攻击的普及,后量子计算无疑有望帮助保护公司及其数据的安全。但它只是 CSO 工具箱中一个新的重要工具。网络安全团队及其专业知识仍将至关重要。
沙林表示,这是一场正义与邪恶的斗争。“这项工作还没有结束,”他警告说。“而且它不会随着 PQC 的实施而结束,因为并不是每个人都会及时迁移,而且仍然有许多漏洞可以利用,也许不在这个领域——也许在其他领域。所以网络不会消失。”
