近公布的NIST后密碼標(biāo)準(zhǔn)的3個(gè)關(guān)鍵要點(diǎn)

當(dāng)今世界依賴于許多保護(hù)措施，即使你沒有注意到這一點(diǎn)。人們?nèi)粘＝佑|的一切事物，從手機(jī)和智能技術(shù)到網(wǎng)站，從支付交易到城市基礎(chǔ)設(shè)施，都受到具措施和檢查的基礎(chǔ)技術(shù)的保護(hù)。計(jì)算機(jī)能夠而輕松地破解這些措施，這是和監(jiān)管機(jī)構(gòu)多年來一直采取行動(dòng)準(zhǔn)備新的算法的關(guān)鍵原因，旨在新這些措施以保持持續(xù)的防護(hù)能力。美國與技術(shù)研究所(nist)近宣布了批支持向密碼學(xué)未來過渡的標(biāo)準(zhǔn)草案。這些新的密碼算法將成為未來組織遵守的法規(guī)的一部分，以便符合fips標(biāo)準(zhǔn)并實(shí)現(xiàn)。以下是該公告中的3個(gè)關(guān)鍵要點(diǎn)：
1)算法
候選算法通常以其提交者選擇的名稱而，nist將為其分配監(jiān)管名稱，具體如下：
a) 密鑰封裝機(jī)制(kem)：crystals-kyber變?yōu)?--> fips 203基于格模塊化的密鑰封裝機(jī)制標(biāo)準(zhǔn)(ml-kem)
b) 簽名算法：crystals-dilithium變?yōu)?--> fips 204基于格模塊化的數(shù)字簽名標(biāo)準(zhǔn)(ml-dsa)
c) 簽名算法：sphincs+變?yōu)?--> fips 205無狀態(tài)基于哈希數(shù)字簽名標(biāo)準(zhǔn)(slh-dsa)
目前，公告僅包含3個(gè)候選算法，并承諾在不久的將來會(huì)納入四個(gè)數(shù)字簽名算法。
當(dāng)前的草案標(biāo)準(zhǔn)對提交的算法進(jìn)行了調(diào)整，并對各種參數(shù)進(jìn)行了固定或限制，這意味著基于初提交的參考算法的任何實(shí)踐將與新標(biāo)準(zhǔn)不兼容，這符合nist的一貫做法。90天的公眾意見征詢期可能會(huì)導(dǎo)致進(jìn)一步的調(diào)整。意見征詢期截止日期為2023年11月22日，若按此時(shí)間表進(jìn)行，我們可能早會(huì)在2024年上半年看到正式化的標(biāo)準(zhǔn)出臺(tái)。
2)立即采取行動(dòng)的必要性
nist強(qiáng)調(diào)，組織應(yīng)立即采取行動(dòng)應(yīng)對計(jì)算攻擊。隨著科技競相研發(fā)計(jì)算機(jī)，以及在私人和公共層面巨額資金的投入，商業(yè)上可行的計(jì)算機(jī)的出現(xiàn)似乎指日可待。雖然短期內(nèi)這類計(jì)算機(jī)可能不會(huì)用于典型的使用場景，但它們被網(wǎng)絡(luò)威脅攻擊者利用的能力同樣是切實(shí)存在的。
許多網(wǎng)絡(luò)威脅攻擊者已經(jīng)開始和收集數(shù)據(jù)，等待擁有足夠強(qiáng)大計(jì)算能力的計(jì)算機(jī)來破解當(dāng)前加密算法以解密。對于保密期較長的數(shù)據(jù)尤其如此，這種策略被稱為“先收割后解密”。鑒于此，包括nist在內(nèi)的監(jiān)管機(jī)構(gòu)正在盡經(jīng)過驗(yàn)證的標(biāo)準(zhǔn)，以抵消這種威脅。
面對計(jì)算機(jī)的挑戰(zhàn)，“的防御就是積的進(jìn)攻”這一原則同樣適用。nist正在逐步幫助組織為后計(jì)算時(shí)代做好準(zhǔn)備，通過正式化一套加密和數(shù)字簽名算法來對抗計(jì)算機(jī)攻擊。雖然目前尚無法確切知道何時(shí)會(huì)出現(xiàn)足以發(fā)動(dòng)攻擊的商用后計(jì)算機(jī)，但現(xiàn)在就著手準(zhǔn)備是非常明智的，因?yàn)橐坏┠堑絹恚瑤缀醪粫?huì)有時(shí)間作出反應(yīng)。
組織需要立即針對尚未顯現(xiàn)的威脅采取行動(dòng)的重要原因是，大多數(shù)數(shù)據(jù)無法輕易地改變其加密方式。多個(gè)和監(jiān)管機(jī)構(gòu)建議組織立即清點(diǎn)其加密資產(chǎn)，并評估自身的后計(jì)算風(fēng)險(xiǎn)。目標(biāo)在于了解自身弱點(diǎn)，并網(wǎng)絡(luò)部署中關(guān)于對稱密鑰長度或非對稱加密算法的漏洞。需要注意的是，完成所有這些工作需要相當(dāng)長的時(shí)間。
3)密碼敏捷性的重要性
nist還明確強(qiáng)調(diào)了具備密碼敏捷性的關(guān)鍵性。將密鑰和加密技術(shù)組織在集中位置有助于簡化和組織數(shù)據(jù)的管理，并確保具備密碼敏捷性的能力。密碼敏捷性是一種越來越流行的策略，有助于數(shù)據(jù)和組織做好準(zhǔn)備，以應(yīng)對可能需要發(fā)生的任何變化。這種變化可能是為了應(yīng)對計(jì)算機(jī)的威脅，或者可能是其他原因。密碼敏捷性的在于具備靈活、適應(yīng)性強(qiáng)，且沒有固有過時(shí)性的能力。
nist提出的算法已經(jīng)公開多年。通過構(gòu)建一個(gè)密碼敏捷系統(tǒng)，組織可以輕松地提前實(shí)驗(yàn)和測試這些新算法，遠(yuǎn)在終發(fā)布或新合規(guī)要求之前。對于已經(jīng)在網(wǎng)絡(luò)中構(gòu)建了可編程元素的組織來說，用新批準(zhǔn)的nist算法替換傳統(tǒng)算法將非常簡單。準(zhǔn)備充分的組織在從傳統(tǒng)算法過渡到新一代密碼算法時(shí)，幾乎不會(huì)受到任何影響。
在換加密算法時(shí)需要考慮的許多因素，包括互操作性、性能、內(nèi)存限制和可用性。盡早開始測試受影響的使用案例是確保不留任何漏洞的重要因素。此外，了解和解決您的數(shù)據(jù)使用案例也很重要，包括靜態(tài)數(shù)據(jù)、使用中的數(shù)據(jù)和移動(dòng)中的數(shù)據(jù)。
泰雷茲公司提供了支持所有nist提議算法的數(shù)據(jù)解決方案。我們已開發(fā)出多種原型產(chǎn)品，讓用戶現(xiàn)在就可以開始測試流程，而不是等到商用計(jì)算機(jī)出現(xiàn)的“零日事件”才開始行動(dòng)。謹(jǐn)慎和前瞻性地從現(xiàn)在就開始準(zhǔn)備工作，包括添加可編程密碼學(xué)元素，而不是等到不可避免的出臺(tái)要求采用新算法的法規(guī)，通過仔細(xì)規(guī)劃，可以變得簡單、經(jīng)濟(jì)。
泰雷茲長期以來一直倡導(dǎo)密碼敏捷性，并努力確保我們的所有產(chǎn)品都融入了密碼敏捷性。無論您是在尋找還是靜態(tài)數(shù)據(jù)中的解決方案，泰雷茲都能提供幫助。
了解多我們的解決方案信息，或使用我們的5分鐘pqc風(fēng)險(xiǎn)評估工具，幫助您的組織做好成為的準(zhǔn)備。
關(guān)于泰雷茲
您所依賴保護(hù)您隱私的人員依賴泰雷茲來保護(hù)他們的數(shù)據(jù)。在數(shù)據(jù)方面，組織面臨著越來越多的決定性時(shí)刻。無論是加密戰(zhàn)略、轉(zhuǎn)移到云端還是滿足合規(guī)要求，您都可以依靠泰雷茲來確保您的數(shù)字化轉(zhuǎn)型。
決定性的技術(shù)為了決定性的時(shí)刻。
關(guān)于安策
safeploy安策從事信息業(yè)務(wù)過20年，是泰雷茲thales(原imperva，gemalto，vormetric，safenet，aladdin，rainbow)等公司在中國區(qū)的合作伙伴，為云、應(yīng)用、數(shù)據(jù)、身份等提供保護(hù)的能力和技術(shù)支持能力，為在中國地區(qū)經(jīng)營和出海開拓業(yè)務(wù)的企業(yè)，提供本地化的可信、可控、又合規(guī)的數(shù)據(jù)策略。
安策信息技術(shù)（上海）有限公司專注于數(shù)據(jù)安全,加密機(jī),加密狗等