Квантові обчислення можуть вирішити певні математичні задачі з набагато більшою швидкістю, ніж класичні комп'ютери – відкриваючи світ можливостей для багатьох галузей. Однак пошкодження пошкодження полягає в тому, що давні асиметричні криптографічні алгоритми, такі як RSA, стануть трісками.
Це може бути п’ять-10 років, але Ніст та Агентство національної безпеки консультують організаціям розпочати міграцію криптографії після кванту (PQC). Це не тільки допоможе запобігти нападам “урожаю, розшифровувати пізніше”, але й забезпечити, щоб організації готували криптографічно, коли квантові обчислення будуть мейнстрімі.
Ключовим кроком у вдосконаленні квантової гігієни безпеки та запуску міграції PQC є інвентаризація всіх криптографічних систем, що використовуються, визначаючи, як вони взаємодіють із програмним забезпеченням організації та розумінням, яке може потребувати оновлення для світу PQC. Цей процес створює криптографічний рахунок матеріалів (CBOM).
Що таке CBOM?
CBOM – це повний інвентаризація всього відкритого коду, фірмового та комерційного програмного забезпечення, яке компанія використовує для розуміння своїх криптографічних активів. Він записує саме там, де організація використовує криптографію в даний час, де вона використовувала її в минулому, і допомагає оцінити, де вона могла б потребувати в майбутньому.
CBOM дозволяють організаціям робити наступне:
- Визначте та контролюйте, де використовуються криптографічні алгоритми.
- Проаналізуйте, чи підходять поточні стандарти.
- Вирішіть, які алгоритми потребують оновлення та коли.
- Стати або покращити криптовалютність.
- Забезпечити дотримання галузевих норм.
Крім того, CBOM особливо корисні при плануванні міграції PQC. Організації можуть відображати, які активи можуть бути вразливими, коли квантові обчислення широко поширені, точно визначають їх позицію ризику, а потім приймати рішення щодо управління ризиками.
CBOM проти SBOM
CBOM – це розширення програмного законопроекту матеріалів. SBOM – це структурований перелік всього програмного забезпечення, яке використовує організація, розбита за її складовими частинами. SBOM допомагають організаціям зрозуміти кожен компонент програмного забезпечення, бібліотеку та залежність, що використовується, а також потенційні ризики безпеки, які можуть ввести кожен.
CBOM – це додатковий рівень SBOM, який детально описує криптографічні активи організації, включаючи апаратні, мікропрограмні та програмні компоненти.
Як створити CBOM
Під час побудови CBOM спочатку розглянемо сферу. Використовуйте поточні бази даних та SBOMS, або починайте їх розробляти, якщо їх не існує. Обсяг може включати пошук кожного криптографічного активу або, під час підготовки до квантової готовності, він може бути обмежений активами, як відомо, використовують PKI.
Після інвентаризації активи приходять найбільш трудомісткий крок: виявлення, які алгоритми шифрування використовують кожен компонент кожної системи. Інструменти SBOM можуть допомогти прискорити цей процес. Наприклад, Cyclonedx додав можливості CBOM до свого SBOM для відстеження криптографічних компонентів.
CBOM повинен містити все, що включає SBOM – компоненти програмного забезпечення, бібліотеки, залежності від коду, історію патчів, постачальники, номери версій, ліцензії тощо – плюс наступне:
- Криптографічні алгоритми та ключові довжини.
- Криптографічні залежності.
- Відповідність криптографічним стандартам.
- Криптографічні сертифікати та їх термін придатності.
- Криптографічні ключі та їхні держави.
- Протоколи безпеки та політики.
Якщо ви використовуєте CBOM для квантової готовності, після завершення використання інвентаризації активів та картографування, що використовуються, настав час провести оцінку ризику для кожного активу у світі після квант. Це буде довгий процес, саме тому NIST радив організаціям розпочати зараз. Багато активів, особливо застарілих додатків, можуть мати криптографічні алгоритми, які неможливо легко модернізувати або навіть взагалі – наприклад, якщо вони жорстко кодуються на пристрої IoT.
Частина процесу управління ризиками передбачає запитів у постачальників, якщо і коли вони підтримають PQC. Потім організації повинні визначити, чи потрібно їм перемикати постачальників та продуктів, щоб мати можливість прийняти PQC вчасно. Це також допомагає організаціям зрозуміти наслідки вартості міграції PQC на всій організації.
Завдяки завершеному CBOM організації можуть точно проаналізувати програмне забезпечення, яке використовується для PQC, та визначити, де спочатку реалізувати квантово-безпечне програмне забезпечення та що може чекати.
Пам'ятайте, CBOM – це живий документ. Організації повинні постійно оновлювати його, коли нове програмне забезпечення додається або видалено, щоб забезпечити підтримку криптографічних – і незабаром PQC – безпека.
Роб Шапленд – це етичний хакер, що спеціалізується на хмарній безпеці, соціальній інженерії та навчанні кібербезпеки компаніям у всьому світі.