Brza evolucija kvantnog računarstva povećala je globalne napore ka kriptografskim sistemima otpornim na budućnost, pri čemu je Google napravio ključni korak integracijom kvantno sigurnih digitalnih potpisa u svoju uslugu upravljanja ključevima u cloud-u (Cloud KMS).
Ažuriranje uvodi podršku za NIST preporučene algoritme post-kvantne kriptografije (PQC) FIPS 204 i FIPS 205 u pregledu, omogućavajući organizacijama da zaštite digitalne transakcije od potencijalnih kvantnih napada.
Kriptografski izazov kvantnog računarstva
Kvantni kompjuteri koriste principe kao što su superpozicija i isprepletanje kako bi riješili probleme eksponencijalno brže od klasičnih sistema.
Iako je obećavajuća za naučna istraživanja, ova mogućnost prijeti široko korištenim algoritmima s javnim ključem kao što su RSA i ECC, koji podupiru modernu enkripciju.
Posebno, Šorov algoritam bi teoretski mogao da razbije ove sisteme na dovoljno velikom kvantnom računaru, rizikujući decenije izlaganja šifrovanih podataka prema modelu prijetnje „Žeti sada, dešifrovati kasnije” (HNDL).
Nacionalni institut za standarde i tehnologiju (NIST) se pozabavio ovom hitnošću tako što je finalizirao svoje PQC standarde u avgustu 2024. nakon osmogodišnje evaluacije.
Među njima, FIPS 204 (zasnovan na algoritmu CRYSTALS-Dilithium baziran na rešetki) i FIPS 205 (koristeći hash baziran SLH-DSA-SHA2-128S, izveden iz SPHINCS+) pojavili su se kao primarni standardi za digitalne potpise.
Google-ova implementacija je u skladu sa ovim okvirima, označavajući kritičnu prekretnicu u sigurnosti poslovnog oblaka .
Google Cloud KMS
Google-ovo ažuriranje omogućava korisnicima da generišu i validiraju kvantno sigurne digitalne potpise koristeći postojeće Cloud KMS API-je, osiguravajući minimalan poremećaj toka posla. Usluga podržava dvije šeme koje je odobrio NIST:
- ML-DSA-65 (FIPS 204): Metoda zasnovana na rešetki koja se za sigurnost oslanja na problem učenja modula sa greškama.
- SLH-DSA-SHA2-128S (FIPS 205) : Pristup baziran na hash-u bez stanja otporan na kvantne napade grube sile .
Ovi algoritmi su dostupni putem ključeva zasnovanih na softveru u Cloud KMS-u, s planovima za proširenje podrške na Cloud HSM i External Key Manager (EKM) partnere za implementacije podržane hardverom.
Ovo izdanje je bazirano na Google-ovoj posvećenosti transparentnosti: kriptografske implementacije su otvorenog koda preko BoringCrypto i Tink, biblioteka koje održava Google kako bi se osigurao kod koji se može revidirati i provjeravati zajednica.
Jennifer Fernick, Google-ov viši sigurnosni inženjer za osoblje, naglasila je stratešku važnost ranog usvajanja: “Iako je ta budućnost možda godinama daleko, oni koji postavljaju dugovječne korijene povjerenja ili potpisuju firmver za uređaje koji upravljaju kritičnom infrastrukturom trebali bi sada razmotriti opcije ublažavanja ovog vektora prijetnji”.
„Što prije budemo u mogućnosti da obezbijedimo ove potpise, to će osnova povjerenja u digitalnom svijetu postati otpornija“.
Strateške implikacije
Izdanje za prethodnu verziju cilja na preduzeća koja upravljaju hibridnim okruženjima, posebno onima koja se oslanjaju na infrastrukturu zasnovanu na Windows-u ili opcijama hibridnog cloud-a.
IT administratori mogu testirati PQC integracije koristeći Terraform nacrte i Tink-ove alate za šifrovanje na strani klijenta, koji olakšavaju radni tok enkripcije omotača pomoću ključeva kojima upravlja Cloud KMS.
U budućnosti, Google-ova PQC strategija uključuje proširenje podrške za FIPS 203 (ML-KEM za ključnu enkapsulaciju) i doprinos tijelima za standardizaciju.
Izvor: CyberSecurityNews