发布日期:2024-11-21 浏览次数:
使用 Luna HSM(硬件安全模块)开始量子安全加密敏捷转型
我们现代的数字世界依赖公钥基础设施 (PKI) 来建立和确保信任,特别是在 IT 领域,例如:
保证软件和固件完整性和真实性的代码签名技术;
保证不可信赖的文档签名技术;
主要的互联网通信协议,如 TLS、IPSEC、S/MIME;
信息权限管理解决方案
然而,技术的本质是,新技术不断被发明,每一项技术都会产生或大或小的影响。量子计算是目前正在开发的新技术之一,它将能够打破当今使用的所有公钥加密的安全性。它还可能削弱对称加密的当前强度,需要使用更长的密钥。
如果没有抗量子加密,通过网络传输或将要传输的所有内容都容易受到窃听和公开披露。已经交到客户手中使用的设备将容易受到恶意软件攻击,与该设备相关的个人数字身份(对于现代日常互动至关重要)也将面临风险。
1. 加密敏捷转型需要大量时间
对于组织而言,更新加密机制是一个漫长的过程,需要在此过程中精心准备和验证。例如,可以参考弃用 DES、SHA-1 或 RSA 1024 位密钥的困难。组织需要确保每个关键基础设施组件都支持新的后量子机制。此外,组织越大,其基础设施通常就越复杂,数据驻留在不同位置或云和本地的混合环境中,这会使升级过程变得复杂。为了缓解这一挑战,必须尽快开始测试这些新机制的部署,以便在量子日之前做好准备。现在制定加密敏捷策略将使组织在需要时能够更快、更安全地进行转型。
2. 保护连接设备
现在和将来,使用标准化的量子安全措施保护连接设备至关重要。虽然保护联网设备需要多方面的方法,但实现强大安全性的一个重要措施是嵌入信任根,这需要将密钥存储在防篡改的 HSM 中。Thales Luna Post-Quantum Crypto (PQC/后量子加密) Functionality Module (FM/功能模块) 使用 Luna HSM(硬件安全模块/加密机) 开始量子安全加密敏捷转型。
如今,非对称算法(例如 RSA 或 ECC)用于易受量子威胁的数字签名。幸运的是,如今存在量子安全替代品,但它们带来了需要考虑的新但可管理的实施挑战。
Luna HSM 后量子加密 FM 允许使用第 3 轮 NIST 决赛入围者量子安全加密机制,这些机制目前可用于代码签名等依赖 PKI 的用例。PQC FM 可以安装在您的 PCIe 和网络 HSM 上,而无需进行任何硬件更改或升级。它包括无状态和有状态密钥类型的密钥管理功能,符合 SP 800-208 要求。
部署 PQ 安全代码签名,即可保护您的高价值设备,确保它们免受量子威胁,无需在将来进行昂贵的召回和物理更新
利用防篡改 HSM 安全地创建和管理抗量子密钥
使用标准化量子安全公钥加密无缝生成数字签名,包括基于状态哈希的签名和无状态签名
通过与各种Thales技术合作伙伴建立量子安全 PKI、TLS 或 VPN 来验证您的加密敏捷性
我们正在与公共和私人合作伙伴合作,以验证量子安全加密和量子安全协议和标准的引入。作为Thales致力于确保我们的产品在当今现代世界中发挥最佳功能的一部分,我们正在与我们的主要合作伙伴验证Thales Luna 后量子加密 FM 的集成。
为当今所有长寿命设备提供面向未来并标准化量子安全数字签名算法,确保您能够在未来提供安全且经过身份验证的软件/固件更新:
使用 IETF 标准化的基于状态哈希的签名,例如 HSS(分层签名系统)IETF RFC 8554 和 XMSS(扩展 Merkle 签名系统)IETF RFC 8391
HSS 和 XMSS 均已由 IETF 标准化,并由 NIST 根据 SP 800-208 批准,并由 NSA(CNSA 2.0)推荐,它们在面对量子威胁时为身份用例(例如文档和代码签名)提供加密灵活性
验证 NIST 标准化的无状态量子安全加密机制,这些机制为密钥交换、加密和数字签名提供量子安全机制:
Falcon、SPHINCS+、Crystal-Kyber、Crystal-Dilithium
使用我们的免费后量子加密敏捷性风险评估工具,它将帮助您更好地了解您的组织是否面临后量子漏洞的风险,了解所需的工作范围,以及您今天应该做些什么来为后量子做好准备。
您也可以直接联系我们获取更多资料,您还可以与揽阁信息的安全专家一起交流和讨论您的定制化解决方案。
揽阁信息 · 值得您信赖的信息安全顾问!
服务热线
