随着多云已经出现，量子计算即将出现，大多数人可能应该将加密留给专家。

放弃尝试自己做这一切，把它留给专家。

加密是网络安全的核心原则。攻击者无法窃取加密的数据。无论好莱坞怎么说，黑客都无法通过一层良好的加密，更不用说“几层加密”了。

但是加密带来了很多挑战。

在网络安全能力小组去年秋天的一项调查中，66% 的受访者表示，加密密钥的管理对他们的公司来说是一个“大”或“中”的挑战

跨多个云管理密钥是一个更大的挑战。

在 Ponemon Institute 和 Encryption Consulting 去年进行的一项类似研究中，60% 的受访者表示密钥管理“非常痛苦”。

疼痛的首要原因？知道谁负责所有的钥匙。其他痛点包括缺乏熟练的 人员以及孤立或分散的密钥管理系统。

与此同时，加密技术也在不断发展，掌握所有加密算法是一项挑战。加密涉及一些繁重的数学运算。很容易出错。

在未来十年内，受访者希望看到主流企业采用多方计算、同态加密和量子算法等新方法。

加密领域的军备竞赛

与任何安全技术一样，加密是一场持续不断的猫捉老鼠游戏。攻击者试图找到算法中的漏洞。为了跟上，防御者自己改进算法，加强它们的实现方式，或者增加加密密钥的长度。

这意味着任何长期加密策略都必须允许升级算法或密钥的可能性。

例如，考虑管理互联网通信的服务器。Insight 云和网络安全高级经理 Mike Sprunger 表示，要加密消息，发送方和接收方都必须就他们使用的加密方法和密钥长度达成一致。

“当这些服务器被部署时，他们有一个算法列表，从最需要到最不想要，他们将协商找到最高级别的匹配，”他告诉 DCK。

不幸的是，这些清单可能会过时，他说。“通常，在部署服务器后，它们再也不会被触及了。”

这里的一个亮点是在线交流是短暂的。密钥被创建、使用并立即丢弃。

然而，当涉及到长期存储时，这些密钥有时必须保存多年。一些公司有业务或监管要求将数据保存十年或更长时间。

如果加密过时——或者密钥本身被泄露——数据中心必须解密所有旧数据，然后用新的、更好的加密再次加密。

“一个好的做法是定期轮换密钥，”Sprunger 说。

如果数据中心运营商单独进行，这很容易成为管理上的噩梦。

“好的供应商有一个机制来检查、回收和更换密钥，”他说。

如果出现任何问题并且密钥丢失，数据也会丢失。

加密还在生成用于对系统、用户和应用程序进行数字签名和身份验证的证书方面发挥作用。如果这些证书过期、丢失或受到威胁，公司可能会失去对其应用程序的访问权限——或者攻击者可以获得访问权限。

“大多数组织都没有很好地管理这一点，”Sprunger 说。“如果他们没有正确管理证书，他们就有可能关闭他们的组织。我建议，如果他们不擅长管理证书，他们会去第三方提供商。”

硬件障碍

如果加密由硬件处理，升级对于选择购买和维护自己设备的数据中心来说可能是一个特殊的挑战。

硬件加速可以提高速度和安全性，但硬编码算法也可能变得陈旧和过时。

“现在我必须回去更换设备以获得不同的算法或更大的密钥大小，”Sprunger 说。

另一方面，如果有一个特定的系统嵌入了基于硬件的加密，比如一个加密的驱动器，那么当设备被更换时，新设备将自动拥有更新更好的加密。

“这将是一个相当轻松的升级，”IEEE 研究员兼 Coughlin Associates 总裁 Tom Coughlin 说。

对于包含多个系统的基于软件的加密，升级可能是一个更大的挑战。

“可能会有问题，这取决于其中有多少存在以及它们相互依赖的程度，”他说。

评估加密

在选择加密供应商时，数据中心应该寻找那些符合 FIPS 140-2 标准的供应商，Insight 的云和网络安全高级经理 Sprunger 说。

获得此认证既困难又昂贵，涉及第三方安全审查，但这是联邦政府对政府合同的强制要求。

“作为一家制造加密设备的公司的技术工程总监，这是一个艰巨的过程，”他告诉 DCK。“但是赌注。”

他说，任何供应商都应该能够立即回应有关合规性的问题。

标准等待游戏

有许多供应商和组织致力于新的加密技术并创建所需的标准，以确保我们都朝着同一个方向前进。希望购买能够为未来（尤其是量子未来）做好准备的设备的数据中心经理将不得不等待技术和标准的出现。

至少就目前而言，涉及到对称加密时，情况要清楚一些。这就是使用同一个密钥来锁定和解锁数据的时候——例如当一家公司存储备份时。

英特尔高级首席工程师 Simon Johnson 表示，要确保数据安全一两年，目前的 128 位加密就足够了。

“如果你希望保密超过 15 到 20 年，那么人们开始推荐至少 256 位，”他告诉 DCK。即使第一波量子计算机到来，这也能确保我们的安全。

幸运的是，今天的芯片可以支持这种级别的加密，约翰逊说。“AES（高级加密标准）操作就是为了做到这一点。这只是改变你的软件来达到这些长度的问题。”

非对称加密（其中一个密钥用于加密消息，另一个密钥用于解密消息）更具挑战性。这是用于通信的加密类型，也称为公钥基础结构。

他说，这种加密技术的下一阶段发展仍悬而未决。

“我们仍在等待 NIST（美国国家标准与技术研究所）和学术界真正专注于提供将在后量子世界中进行非对称加密的机制，”他说。“我们正在等待标准。不仅仅是英特尔——全世界都在等待标准。在那个领域没有后量子标准。”

但是创建新的加密算法、测试它们、制定标准、获得行业认可，然后部署它们将需要数年时间。那就是新算法是否适合当今的协议。

“但谁知道这些新算法会是什么样子，”他说。

例如，他说，转向椭圆曲线算法（量子证明加密的早期最爱之一）将是一个十年的时间范围。

他建议展望未来的数据中心经理应该首先采用 256 加密来保护存储。

他说，对于通信中使用的非对称加密，更大的密钥大小应该为中间的未来提供足够的安全性。

“所以，五到八年，”他说。“虽然谁也不知道这台神秘的量子计算机什么时候会出现。”

揽阁信息可以做什么？

自2005年开始，揽阁信息的创始人就开始为各类客户提供信息安全产品和解决方案。依托近20年的从业经验，和Thales的多年合作（自SafeNet时代开始），揽阁信息相信Thales公司的HSM、KMS、身份认证、数据安全平台等产品，可以为您提供无与伦比的安全和体验。欢迎联系我们，讨论您面临的问题和需求。

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• SK Telecom与Thales合作开发后量子密码学

• 勒索软件制裁：有什么影响？

• Oracle的欧盟主权云和 Thales CipherTrust：数字主权的新时代

• 经验教训：2023年全球网络安全的五个要点

• 数据安全的未来是什么