Especialistas em criptografia pós-quântica se preparam para uma longa transição, apesar dos prazos da Casa Branca
Os prazos agressivos da Casa Branca para que as agências desenvolvam estratégias de criptografia pós-quântica tornam os EUA o líder global em proteção, mas a transição levará pelo menos uma década, dizem os especialistas.
O Canadá liderou o mundo ocidental ao considerar uma mudança para a criptografia pós-quântica (PQC) antes do Escritório de Administração e Orçamento emitir seu memorando de definição de referência em 18 de novembro, que tem agências correndo para empresas de criptografia de próxima geração com perguntas sobre o próximo degraus.
O memorando dá às agências até 4 de maio de 2023 para enviar seus primeiros inventários de sistemas criptográficos identificando sistemas vulneráveis, mas eles descobrirão que o número de sistemas dependentes de criptografia de chave pública – que os especialistas preveem que os próximos computadores quânticos quebrarão com facilidade – está em as centenas ou milhares. Agências, software, servidores e comutadores geralmente têm sua própria criptografia, e as agências não têm necessariamente o conhecimento técnico da equipe para entender a matemática subjacente.
“Este será o maior ciclo de atualização em toda a história da humanidade porque cada dispositivo, 27 bilhões de dispositivos, todas as redes e comunicações precisam ser atualizadas para resiliência pós-quântica”, Skip Sanzeri, diretor de operações da quantum security-as-a-service empresa QuSecure, disse ao FedScoop. “Portanto, é uma atualização enorme e temos que fazê-lo porque esses sistemas quânticos devem estar online – não sabemos exatamente quando – mas as estimativas iniciais são de três, quatro anos para algo forte o suficiente”.
As projeções de baixa mostram o primeiro computador quântico entrando em operação em cerca de uma década, ou nunca, com os cientistas ainda debatendo qual deve ser a definição de um qubit – o análogo mecânico quântico de um bit.
A QuSecure foi lançada há três anos, mas se tornou a primeira empresa a implantar o PQC para o governo neste verão, quando provou ao US Northern Command e ao North American Aerospace Defense Command que poderia criar um canal quântico para transmissões seguras de dados aeroespaciais no Catalyst Campus em Colorado Springs, Colorado. A empresa usou o algoritmo criptográfico CRYSTALS-KYBER, um dos quatro que o Instituto Nacional de Padrões e Tecnologia anunciou que padronizaria , mas ainda não existe um computador quântico para realmente testar a segurança.
A única empresa de segurança quântica como serviço a receber um contrato de Fase III do programa Small Business Innovation Research, apenas a QuSecure pode contratar com todas as agências federais imediatamente. Os clientes já incluem o Exército, Marinha, Fuzileiros Navais e Força Aérea, e os departamentos de Estado, Agricultura, Tesouro e Justiça consultaram sobre os serviços, disse Sanzeri.
QuSecure não está sozinho.
“Estamos discutindo agora com várias agências federais sobre o que eles devem fazer, o que podem fazer, para começar hoje – seja na construção da arquitetura de rede ou na observação de dispositivos da Internet das Coisas que estão sendo enviados para o campo”, disse Kaniah Konkoly-Thege, diretor jurídico e vice-presidente sênior de relações governamentais da Quantinuum, em uma entrevista.
As agências de defesa e inteligência são mais bem financiadas e mais familiarizadas com programas classificados que exigem serviços de criptografia e, portanto, “provavelmente em uma posição muito melhor” para fazer a transição para o PQC, disse Konkoly-Thege.
Tendo servido nos departamentos do Interior e Energia, Konkoly-Thege disse que está “preocupada” com a possibilidade de outras agências terem dificuldades com a migração.
“Existem muitas agências federais que estão subfinanciadas e não têm recursos, seja em pessoas ou financiamento, para vir e fazer o que é necessário”, disse ela. “E ainda assim essas agências detêm informações muito importantes.”
Essa informação já está sendo exfiltrada em ataques cibernéticos como o hack do Office of Personnel Management em 2015, no qual a China pretende colher dados agora, descriptografar mais tarde (HNDL) com computadores quânticos totalmente realizados.
O CEO da Post-Quantum, Andersen Cheng, cunhou o termo, e o código de correção de erros NTS-KEM conjunto de sua empresa está na Rodada 4 da competição de algoritmo PQC do NIST.
Cheng aponta para o fato de que ele poderia registrar o nome de sua empresa como prova de que o PQC não estava sendo levado a sério mesmo em 2015 e certamente não no ano anterior, quando ele e dois colegas foram os primeiros a fazer um algoritmo PQC funcionar em um mundo real. situação: um aplicativo de mensagens WhatsApp que pode ser baixado da loja de aplicativos.
Eles o retiraram em 12 meses.
“Um dos meus amigos no mundo da inteligência me ligou um dia dizendo: ‘Você é muito conhecido’. Eu Disse porque?’ Ele disse: ‘Bem, sua ferramenta é a ferramenta recomendada pelo ISIS’”, disse Cheng ao FedScoop em uma entrevista. “Foi um endosso maravilhoso da parte errada.”
Embora não tenha havido um momento que tenha levado o governo dos EUA a levar o PQC a sério, Cheng disse que o “maior” ponto de virada foi o lançamento do National Security Memo-10 – que o último memorando do OMB serve como orientação para implementação – em maio. Foi quando as maiores empresas dos EUA em infra-estrutura de segurança de rede e finanças começaram a entrar em contato com a Post-Quantum para consulta.
A Post-Quantum agora oferece um portfólio de módulos prontos para quantum não apenas para mensagens seguras, mas também para identidade, detecção de quorum e divisão de chaves.
Cheng disse que a Lei de Preparação Cibernética da Computação Quântica, enviada à mesa do presidente Biden na sexta-feira, deveria se tornar lei devido ao ímpeto do PQC, mas ele tem “pequenas” reservas sobre os prazos agressivos do memorando OMB para as agências declararem uma liderança de migração e conduzirem uma auditoria de inventário.
“As pessoas provavelmente estão subestimando o tempo que levará porque toda a migração – falei com alguns criptógrafos de ponta, como o chefe de criptografia da Microsoft e assim por diante – nosso consenso é que este é um esforço de migração de vários anos”, disse Cheng. “Vai demorar pelo menos 10 anos para migrar.”
Isso ocorre porque a criptografia de chave pública protege tudo, desde chamadas de Zoom a telefones celulares, e a Agência de Segurança Nacional ainda não está recomendando a hibridação, o que permitiria a interoperabilidade entre os vários algoritmos aprovados pelo NIST e também os escolhidos por outros países. Agências e empresas não vão querer trocar o PKE por novos algoritmos PQC que não funcionam entre si, disse Cheng.
Para complicar ainda mais, o NIST está aprovando a matemática por trás dos algoritmos PQC, mas a Força-Tarefa de Engenharia da Internet geralmente acaba definindo os padrões de conectividade. A rede privada virtual PQ híbrida da Post-Quantum ainda está sendo padronizada pelo IETF, e só então pode ser adicionada aos sistemas e vendida para agências.
Cheng recomenda que as agências não esperem até que suas auditorias de inventário sejam concluídas para começar a conversar com consultores e fornecedores de software sobre a transição de seus sistemas de missão crítica porque a experiência em PQC é escassa. Grandes empresas de consultoria vêm construindo “silenciosamente” seus braços de consultoria quântica há meses, disse ele.
O último memorando do OMB dá às agências 30 dias após o envio de seu inventário de sistema criptográfico para enviar avaliações de financiamento, um sinal de que não será um mandato sem financiamento, disse Sanzeri.
“Isso mostra que todos os federais estarão bem adiantados no processo de atualização, certamente dentro de 12 meses”, disse ele.
Fonte: https://www.fedscoop.com/
