量子威胁真实存在,是否做好安全准备?
想象一下:一台功能异常强大的计算机可以在短短几秒内解锁最敏感的数据,例如银行账户、医疗记录甚至是政府机密,这会是怎么一个世界。这就像电影中的反派角色获得了打开世界上所有数字锁的万能钥匙。但这并不是科幻小说或间谍惊疑片;这是量子计算带来的迫在眉睫的现实。
为什么量子计算会威胁当前的加密
加密是数字安全的基石,它基于经典计算机难以解决的数学问题。几十年来,我们一直依赖于各种公钥加密方法,例如 Rivest-Shamir-Adleman (RSA) 和 Elliptic Curve Cryptography (ECC),相信这种数学加密算法的复杂性能够确保数据安全。但量子计算机能够以难以想象的速度执行某些计算任务,这势必会打破人们的信任。
量子计算机利用量子力学原理,快速、同时地解决经典计算机几乎无法解决的问题。像 Shor 算法这样的算法很快就能让量子计算机在几秒钟内破解现有的加密标准。相比之下,经典计算机需要数百万年甚至数十亿年的时间才能完成相同任务。
量子计算不再仅仅只是理论。多家公司目前正在研发计算机,这些计算机最终将能够破解人们传统上赖以保障现代通信安全的加密机制。多项最新的突破性进展凸显了这项技术的发展速度,例如 Google 的 Willow 量子芯片,Microsoft 的 Majorana 1,以及 Amazon 的 Ocelot 芯片。
专家预测,实用量子计算机的问世可能需要 10 到 15 年的时间。但量子纠错 (QEC) 领域取得的意外进展,可能会加速这一进程。
紧迫威胁:“先收集、后解密”
量子计算带来的最直接危险并非理论或遥不可及,而是正在发生。攻击者积极采用“先收集、后解密”策略。一旦量子技术成熟,他们会解密这些存档信息,将现已捕获的每一份敏感数据变成定时炸弹。
后量子加密如何抵御量子攻击
后量子加密 (PQC) 是应对量子威胁的最强大对策。这套经过专门设计的加密算法可以抵御来自经典计算机和量子计算机的攻击。PQC 依赖于量子计算机无法轻松解决的复杂数学问题,而不是基于整数因式分解或离散对数问题。
已在推进采用 PQC 的相关工作。2024 年,美国国家标准与技术研究院 (NIST) 制定标准来引领这一转变,涵盖从通用数据加密到保护数字签名的方方面面。其中一项突出的标准是 FIPS 203,它是一种基于模块晶格的密钥封装机制 (ML-KEM),用于在 TLS 连接中建立会话密钥以保护数据。与此同时,新的签名方案将取代 RSA 和椭圆曲线数字签名算法 (ECDSA) 用于阻止假冒和篡改,但它们也存在一些缺点,例如更大的数据规模与性能问题,因此,需要逐步推出。
当务之急是尽快迁移到后量子算法。从电网、医疗保健系统到金融网络,所有关键事务都依赖于安全的数据。立即采取行动是关键,因为转向量子安全加密是一项艰巨的任务,而且全面升级需要时间。
构建量子安全的未来
量子安全不仅仅是替换过时的算法,这是向实施敏捷的加密算法的战略转变。若要成功完成这一转换,首先要了解当前的安全格局,战略性保护敏感数据并营造一种为持续演进做好准备的企业文化。如下是开启转变的四个基本步骤:
第 1 步:盘点加密格局
评估企业目前在所有服务器、网络、软件和应用中,使用公钥加密与数字签名的方式和位置。这有助于了解潜在的量子安全漏洞。
第 2 步:保护传输中的数据
实施抗量子会话密钥,保护通过网络传输的数据。遵循 NIST 和 IETF 等组织不断改进的标准,应对“先收集、后解密”等攻击活动的威胁。全面、详尽地测试这些标准实施,识别潜在的性能影响或兼容性问题。
第 3 步:保护静态数据
制定主动防御策略,保护存储数据。优先考虑具有长期价值的敏感信息,例如知识产权、个人可识别信息 (PII)、医疗记录、密码和战略性业务数据,确保在量子时代持续保持信息的机密性。
第 4 步:为文化变革做好准备
将敏捷加密纳入企业文化。确保系统、供应商和合作伙伴都能够迅速适应新的抗量子标准。开展定期培训、清晰的沟通,以及组建专门的跨职能团队,对于有效管理这种过渡尤为关键。
引领向 PQC 的过渡
我一直很欣赏 Cloudflare 始终处于重大技术变革的最前沿。安全和隐私是我们履行“帮助构建更好的互联网”这项使命的核心,因此,这种积极主动的姿态非常有意义。从推出开创性的 Universal SSL 到支持广泛采用 TLS 1.3,Cloudflare 深知这些技术转换的重大意义和挑战。我们认识到,向后量子加密的过渡可能是迄今为止影响最深远的变革之一。
Cloudflare 理解,对大多数企业而言,这种转变充满挑战、错综复杂,且影响范围广。因此,我们的战略重点是将其整合到 Cloudflare 全球网络,无缝集成并快速采用 PQC,从而让客户能够立即从我们的进步和转变中受益。
受到 Cloudflare Web 应用防火墙 (WAF) 保护的网站已利用了抗量子安全技术,与 Chrome、Edge 和 Firefox 等浏览器协同保护流量。如今,大约有 35% 访问我们网络的 HTTPS 流量受益于这些抗量子保护。我们还将这些相同的 PQC 保护功能扩展到 Cloudflare Tunnel,确保与 Cloudflare 背后的企业应用和源站 Web 服务器安全连接。通过组合运用这款具备后量子保护功能的 Cloudflare Tunnel 与量子安全浏览器,企业可以在整个数据路径(从用户终端到应用)中维持稳健的抗量子安全。
认识到将 PQC 集成到旧有系统的复杂性和潜在成本后,Cloudflare 的方法最大限度地减少了立即进行昂贵的系统全面升级需求。相反,企业可以利用 Cloudflare 网络来获得即时的量子安全保护,同时战略性地规划并逐步迁移到全面的抗量子安全解决方案。
随着量子技术的不断演变,Cloudflare 将继续致力于创新、协作和全球标准化工作。我们的目标很明确:抵御现有和未来的量子威胁,确保客户数据安全。
立即行动
量子计算并非遥不可及,而是迫在眉睫的安全风险。虽然量子计算机的面市时间表尚不确定,但变革必将到来。鉴于 NIST 已计划在 2030 年之前弃用 RSA 和 ECDSA,企业必须立即开始过渡。
采用积极主动、敏捷的抗量子策略不仅关乎合规,还关乎保障企业未来发展。选用 Cloudflare 解决方案,客户可以保护数据安全并主动应对量子计算带来的挑战。
说到量子安全问题,现在就要做好准备。企业如果认识到这种紧迫性并立即采取果断行动,便能够确保未来数据安全。
Cloudflare 就影响当今技术决策者的最新趋势和主题发布了系列文章,本文为其一。
深入探讨这个话题
阅读 Forrester Consulting 报告 Cloudflare 全球连通云的总体经济影响™,了解如何有效应对新兴网络安全风险,并获得 238% 的投资回报率。
作者
John Engates — @jengates
Cloudflare 现场首席技术官
关键要点
阅读本文后,您将能够了解:
为什么量子计算会对现有加密方法产生威胁
如何保护敏感数据免受量子攻击
如何利用后量子加密,实现敏捷加密