vendredi, 29 mars 2024

Q-Day n’est pas synonyme de fin du monde : adopter une stratégie de sécurité quantique d’entreprise

Bien que le jour quantique, ou « jour Q », soit dans 5 à 10 ans, il arrive plus vite que nous ne le souhaiterions. Q-Day représente le jour où les systèmes informatiques quantiques utiliseront de manière fiable la puissance de superposition des qubits multi-états pour casser les algorithmes de chiffrement couramment utilisés dans le monde entier pour permettre le commerce électronique, la sécurité des informations et des communications sûres et sécurisées. Les ennemis se préparent actuellement pour le Q-Day en utilisant des stratégies « collecter maintenant, déchiffrer plus tard ».

Avec de tels dangers à l’horizon, de nombreuses organisations sont confrontées au même obstacle : appliquer une solide technique de sécurité quantique avant le jour Q pour se protéger, ainsi que leurs clients, contre attaques quantiques. Heureusement, il existe quelques techniques et technologies clés que les entreprises peuvent mettre en œuvre dès maintenant pour atténuer les menaces et les dangers quantiques émergents et se préparer au jour Q.

Effectuer une évaluation des dangers quantiques à l’échelle de l’entreprise

Pour commencer à se préparer au Q-Day, les entreprises doivent d’abord effectuer une évaluation quantique des menaces de sécurité à l’échelle de l’entreprise pour aider à reconnaître les systèmes qui seraient les plus vulnérables à un tel risque et qui devraient être sécurisés. Les systèmes, appareils, applications et services qui reposent sur un chiffrement asymétrique et des algorithmes et procédures de communication populaires tels que RSA, DSA, ECDF et TLS sont considérés comme vulnérables aux attaques quantiques et aux algorithmes tels que l’algorithme de Shor.

L’évaluation interne du danger quantique doit également couvrir les pratiques et politiques de sécurité de l’information existantes de l’entreprise, et consister en un stock complet de ses services et installations cryptographiques actuels. Savoir quand, où et comment les données et les communications d’une entreprise sont sécurisées aidera également à reconnaître le matériel et les logiciels de chiffrement qui pourraient devoir être mis à niveau ou modifiés pour être sécurisés quantique.

Pour la plupart des entreprises, le Le parcours vers une entreprise sécurisée quantique prendra plusieurs années, car beaucoup devront également coordonner leurs mises à niveau de sécurité post-quantique avec des parties prenantes externes, telles que des clients, des fournisseurs et des partenaires. Les propriétés de grande valeur et les propriétés les plus vulnérables aux attaques quantiques doivent être ciblées. La détermination précoce de ces vulnérabilités aidera les groupes à s’assurer qu’ils développent une méthode de sécurité quantique fiable dès le départ.

Lancer des générateurs de nombres aléatoires quantiques

Les systèmes et algorithmes cryptographiques d’aujourd’hui comptent beaucoup sur l’utilisation de générateurs de nombres aléatoires basés sur des logiciels, également appelés générateurs de nombres pseudo-aléatoires. Les PRNG sont normalement utilisés pour produire une série de nombres aléatoires à l’appui d’opérations cryptographiques telles que la génération de graines ou de secrets de cryptage de fichiers. Compte tenu de la nature déterministe des PRNG algorithmiques, les nombres aléatoires générés par un PRNG ne sont pas vraiment aléatoires. Cela rend les systèmes ou services cryptographiques qui comptent sur les PRGN vulnérables aux attaques quantiques. Pour résoudre cette vulnérabilité, les organisations doivent commencer à remplacer tous les PRNG par des générateurs de nombres aléatoires quantiques dès que possible. Plutôt que d’utiliser un algorithme déterministe, un QRNG peut produire de vrais nombres aléatoires en mesurant et en numérisant un processus quantique, qui, par nature, est non déterministe.

Les solutions QRNG sont actuellement proposées dans le commerce par de nombreux fournisseurs sous de nombreux éléments de forme, tels que les appliances montées en rack, les cartes PCI et les puces.

Activer l’agilité cryptographique

Au cours de la prochaine décennie, les entreprises du monde entier devraient passer des algorithmes de chiffrement de fichiers classiques, vulnérables quantiques, d’aujourd’hui – RSA, DSA et ECDH – à la prochaine génération d’algorithmes de chiffrement quantique sûrs, également appelés Post-Quantum Crypto. .

En juillet 2022, l’Institut national des normes et de l’innovation du Département américain du commerce a révélé qu’il s’apprêtait à normaliser le premier ensemble de quatre algorithmes PQC. Ces algorithmes candidats NIST PQC sont le résultat d’un concours mondial à plusieurs tours de six ans, qui a débuté avec 82 propositions en 2016. En plus des quatre algorithmes PQC récemment annoncés, le NIST détient également quatre algorithmes de prospection PQC supplémentaires en réserve. une sauvegarde au cas où l’un des 4 premiers serait piraté.

Pendant la durée de plusieurs années du passage de la cryptographie classique d’aujourd’hui au PQC de demain, de nombreuses entreprises devront exécuter et prendre en charge à la fois l’infrastructure classique et PQC, car toutes système ou l’utilisateur final peut rapidement passer aux algorithmes PQC actuels. De nombreux systèmes informatiques actuels, tels que les unités de détection IoT et les routeurs de réseau, ont leurs capacités de chiffrement existantes effectuées dans le matériel pour des raisons de dépenses et/ou de performances. Cela indique que ces systèmes ne peuvent pas être mis à niveau par logiciel et doivent donc être physiquement remplacés à temps. Par conséquent, les services informatiques émergents devront être crypto-agiles. L’agilité cryptographique fait référence à la capacité d’un système à prendre en charge et à basculer entre divers algorithmes de chiffrement de fichiers, tels que du classique au PQC. Certains systèmes crypto-agiles pourraient également être en mesure d’inclure de nouveaux algorithmes émergents.

La dextérité cryptographique peut également être utilisée pour mettre en œuvre des schémas cryptographiques hybrides en mélangeant divers algorithmes ou protocoles cryptographiques. Alors que le niveau de confiance en soi dans la sécurité des nouveaux algorithmes PQC est encore extrêmement faible, de nombreuses organisations devraient combiner le chiffrement de fichiers classique avec PQC via un double chiffrement (classique et PQC). Avoir un système crypto-agile bien architecturé permettrait également aux opérateurs de remplacer rapidement un algorithme PQC s’il devait être compromis sur la route, ce qui est arrivé récemment à l’un des 8 algorithmes de prospection PQC du NIST, appelé SIKES.

Permettre une circulation cruciale quantique sécurisée

Outre la production de secrets résistants quantiques à l’aide d’innovations telles que les QRNG, il est également important de fournir des mécanismes permettant un échange de clés sécurisé. Les systèmes de distribution secrète quantique visent à répondre à ce besoin en fournissant une approche sécurisée pour deux célébrations afin d’échanger en toute sécurité une clé cryptographique. L’essentiel fourni par QKD peut ensuite être utilisé pour chiffrer/déchiffrer les données d’un utilisateur avec un algorithme de chiffrement choisi et envoyer les informations chiffrées au moyen d’un canal d’interaction standard, tel qu’un réseau industriel à fibre optique.

Une option QKD utilise des maisons découvertes en physique quantique et des méthodes telles que la superposition et l’enchevêtrement de photons pour échanger des clés cryptographiques de manière à ce qu’elles soient prouvables et garantissent la sécurité. Toute écoute clandestine d’un échange essentiel sécurisé par QKD conduirait à une modification détectable des informations transmises. Des protocoles QKD bien connus tels que BB84 garantissent que les deux célébrations peuvent repérer une éventuelle tentative d’écoute.

Bien que des options QKD professionnelles soient déjà disponibles, des organisations telles que la National Security Company, l’Agence de l’Union européenne pour la cybersécurité et le National Cyber ​​Security Center du Royaume-Uni conseillent d’utiliser PQC plutôt que QKD. Quelques-uns des facteurs de leur suggestion sont basés sur la nécessité d’un matériel QKD extrêmement spécialisé et coûteux ; le déni de service inhérent à QKD et les vulnérabilités aux risques experts ; son incapacité à authentifier la source de transmission QKD sans mécanismes d’authentification supplémentaires ; et les cyber-dangers liés à l’application de matériel et de logiciels QKD complexes.

Démarrez la sécurisation quantique de l’entreprise

Même au milieu d’un environnement dans lequel le NIST a en fait sélectionné le tout premier groupe d’algorithmes de chiffrement post-quantique et de signature numérique créés pour tenir face aux attaques d’ordinateurs quantiques, l’adoption à grande échelle devrait encore prendre des années. Néanmoins, avant même que le NIST ne valide officiellement ses algorithmes de prospection PQC, les entreprises doivent commencer à effectuer une évaluation interne de la vulnérabilité quantique, produire une stratégie de sécurité quantique et développer une stratégie de migration PQC.

Comparable à beaucoup d’autres Parcours de sécurité pluriannuel des entreprises, la mise en œuvre du PQC à l’échelle de l’entreprise nécessite l’adhésion de la direction, une planification consciente, des pilotes et une présentation progressive basée sur les risques. Bien qu’il n’existe pas de service unique pour la cybersécurité quantique, les étapes décrites ci-dessus sont des méthodes pour garantir qu’une stratégie de sécurité quantique solide et généralement adaptée, basée sur les risques, est adoptée dans toute l’entreprise. Avoir une stratégie de sécurité quantique n’indique pas qu’une entreprise peut baisser sa garde. Un certain nombre de cyber-risques et de types d’attaques d’aujourd’hui continueront d’avoir de l’importance, même à l’ère post-quantique. Cependant, plus les entreprises sont mieux préparées, moins il est probable que le Q-Day signifie la fin du monde pour les entreprises.

.

Toute l’actualité en temps réel, est sur L’Entrepreneur

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici