近公布的NIST后密碼標準的3個關(guān)鍵要點

當今世界依賴于許多保護措施，即使你沒有注意到這一點。人們?nèi)粘＝佑|的一切事物，從手機和智能技術(shù)到網(wǎng)站，從支付交易到城市基礎設施，都受到具措施和檢查的基礎技術(shù)的保護。計算機能夠而輕松地破解這些措施，這是和監(jiān)管機構(gòu)多年來一直采取行動準備新的算法的關(guān)鍵原因，旨在新這些措施以保持持續(xù)的防護能力。美國與技術(shù)研究所(nist)近宣布了批支持向密碼學未來過渡的標準草案。這些新的密碼算法將成為未來組織遵守的法規(guī)的一部分，以便符合fips標準并實現(xiàn)。以下是該公告中的3個關(guān)鍵要點：
1)算法
候選算法通常以其提交者選擇的名稱而，nist將為其分配監(jiān)管名稱，具體如下：
a) 密鑰封裝機制(kem)：crystals-kyber變?yōu)?--> fips 203基于格模塊化的密鑰封裝機制標準(ml-kem)
b) 簽名算法：crystals-dilithium變?yōu)?--> fips 204基于格模塊化的數(shù)字簽名標準(ml-dsa)
c) 簽名算法：sphincs+變?yōu)?--> fips 205無狀態(tài)基于哈希數(shù)字簽名標準(slh-dsa)
目前，公告僅包含3個候選算法，并承諾在不久的將來會納入四個數(shù)字簽名算法。
當前的草案標準對提交的算法進行了調(diào)整，并對各種參數(shù)進行了固定或限制，這意味著基于初提交的參考算法的任何實踐將與新標準不兼容，這符合nist的一貫做法。90天的公眾意見征詢期可能會導致進一步的調(diào)整。意見征詢期截止日期為2023年11月22日，若按此時間表進行，我們可能早會在2024年上半年看到正式化的標準出臺。
2)立即采取行動的必要性
nist強調(diào)，組織應立即采取行動應對計算攻擊。隨著科技競相研發(fā)計算機，以及在私人和公共層面巨額資金的投入，商業(yè)上可行的計算機的出現(xiàn)似乎指日可待。雖然短期內(nèi)這類計算機可能不會用于典型的使用場景，但它們被網(wǎng)絡威脅攻擊者利用的能力同樣是切實存在的。
許多網(wǎng)絡威脅攻擊者已經(jīng)開始和收集數(shù)據(jù)，等待擁有足夠強大計算能力的計算機來破解當前加密算法以解密。對于保密期較長的數(shù)據(jù)尤其如此，這種策略被稱為“先收割后解密”。鑒于此，包括nist在內(nèi)的監(jiān)管機構(gòu)正在盡經(jīng)過驗證的標準，以抵消這種威脅。
面對計算機的挑戰(zhàn)，“的防御就是積的進攻”這一原則同樣適用。nist正在逐步幫助組織為后計算時代做好準備，通過正式化一套加密和數(shù)字簽名算法來對抗計算機攻擊。雖然目前尚無法確切知道何時會出現(xiàn)足以發(fā)動攻擊的商用后計算機，但現(xiàn)在就著手準備是非常明智的，因為一旦那到來，幾乎不會有時間作出反應。
組織需要立即針對尚未顯現(xiàn)的威脅采取行動的重要原因是，大多數(shù)數(shù)據(jù)無法輕易地改變其加密方式。多個和監(jiān)管機構(gòu)建議組織立即清點其加密資產(chǎn)，并評估自身的后計算風險。目標在于了解自身弱點，并網(wǎng)絡部署中關(guān)于對稱密鑰長度或非對稱加密算法的漏洞。需要注意的是，完成所有這些工作需要相當長的時間。
3)密碼敏捷性的重要性
nist還明確強調(diào)了具備密碼敏捷性的關(guān)鍵性。將密鑰和加密技術(shù)組織在集中位置有助于簡化和組織數(shù)據(jù)的管理，并確保具備密碼敏捷性的能力。密碼敏捷性是一種越來越流行的策略，有助于數(shù)據(jù)和組織做好準備，以應對可能需要發(fā)生的任何變化。這種變化可能是為了應對計算機的威脅，或者可能是其他原因。密碼敏捷性的在于具備靈活、適應性強，且沒有固有過時性的能力。
nist提出的算法已經(jīng)公開多年。通過構(gòu)建一個密碼敏捷系統(tǒng)，組織可以輕松地提前實驗和測試這些新算法，遠在終發(fā)布或新合規(guī)要求之前。對于已經(jīng)在網(wǎng)絡中構(gòu)建了可編程元素的組織來說，用新批準的nist算法替換傳統(tǒng)算法將非常簡單。準備充分的組織在從傳統(tǒng)算法過渡到新一代密碼算法時，幾乎不會受到任何影響。
在換加密算法時需要考慮的許多因素，包括互操作性、性能、內(nèi)存限制和可用性。盡早開始測試受影響的使用案例是確保不留任何漏洞的重要因素。此外，了解和解決您的數(shù)據(jù)使用案例也很重要，包括靜態(tài)數(shù)據(jù)、使用中的數(shù)據(jù)和移動中的數(shù)據(jù)。
泰雷茲公司提供了支持所有nist提議算法的數(shù)據(jù)解決方案。我們已開發(fā)出多種原型產(chǎn)品，讓用戶現(xiàn)在就可以開始測試流程，而不是等到商用計算機出現(xiàn)的“零日事件”才開始行動。謹慎和前瞻性地從現(xiàn)在就開始準備工作，包括添加可編程密碼學元素，而不是等到不可避免的出臺要求采用新算法的法規(guī)，通過仔細規(guī)劃，可以變得簡單、經(jīng)濟。
泰雷茲長期以來一直倡導密碼敏捷性，并努力確保我們的所有產(chǎn)品都融入了密碼敏捷性。無論您是在尋找還是靜態(tài)數(shù)據(jù)中的解決方案，泰雷茲都能提供幫助。
了解多我們的解決方案信息，或使用我們的5分鐘pqc風險評估工具，幫助您的組織做好成為的準備。
關(guān)于泰雷茲
您所依賴保護您隱私的人員依賴泰雷茲來保護他們的數(shù)據(jù)。在數(shù)據(jù)方面，組織面臨著越來越多的決定性時刻。無論是加密戰(zhàn)略、轉(zhuǎn)移到云端還是滿足合規(guī)要求，您都可以依靠泰雷茲來確保您的數(shù)字化轉(zhuǎn)型。
決定性的技術(shù)為了決定性的時刻。
關(guān)于安策
safeploy安策從事信息業(yè)務過20年，是泰雷茲thales(原imperva，gemalto，vormetric，safenet，aladdin，rainbow)等公司在中國區(qū)的合作伙伴，為云、應用、數(shù)據(jù)、身份等提供保護的能力和技術(shù)支持能力，為在中國地區(qū)經(jīng)營和出海開拓業(yè)務的企業(yè)，提供本地化的可信、可控、又合規(guī)的數(shù)據(jù)策略。
安策信息技術(shù)（上海）有限公司專注于數(shù)據(jù)安全,加密機,加密狗等