量子啟示錄即將到來(lái)。聽(tīng)起來(lái)很嚇人？嗯，可以。如果您有需要保持安全和私密的信息、系統(tǒng)和設(shè)備，您的組織需要做好準(zhǔn)備。

專家估計(jì)，在未來(lái)6-10年內(nèi)，加密算法現(xiàn)在是我們用來(lái)保護(hù)當(dāng)今互聯(lián)工業(yè)應(yīng)用的幾乎每個(gè)方面的安全技術(shù)的基石，很容易被下一代量子計(jì)算機(jī)擊敗。

量子計(jì)算使RSA和ECC加密算法過(guò)時(shí)的不可避免的一天可能會(huì)對(duì)社會(huì)造成如此嚴(yán)重的影響，以至于安全部門(mén)將其視為“量子密碼啟示錄”。炒作并非沒(méi)有根據(jù)。RSA 和 ECC 加密用于保護(hù)各行各業(yè)的每個(gè)數(shù)據(jù)源和系統(tǒng)：工廠、數(shù)據(jù)農(nóng)場(chǎng)、公用事業(yè)、電子商務(wù)和銀行系統(tǒng)、運(yùn)輸、通信網(wǎng)絡(luò)等等。

是的，量子計(jì)算機(jī)是大型，龐大，復(fù)雜且昂貴的系統(tǒng)，起初，只有主要的國(guó)際技術(shù)組織才能負(fù)擔(dān)得起。但是，它們的使用可以傳播到各個(gè)民族國(guó)家，并最終傳播到網(wǎng)絡(luò)犯罪分子和黑客。

好消息是，制造業(yè)和科技行業(yè)現(xiàn)在可以采取一些步驟。

分階段遷移到量子安全加密

遷移到量子安全的加密算法將需要規(guī)劃和更新多個(gè)系統(tǒng)。最終，這將包括制造中使用的機(jī)器和在裝配線上推出的產(chǎn)品。他們都需要得到保護(hù)。此外，公司的內(nèi)部數(shù)據(jù)管理和通信系統(tǒng)，以及第三方應(yīng)用程序、服務(wù)器和系統(tǒng)，都需要更新。

工程師和開(kāi)發(fā)團(tuán)隊(duì)必須立即開(kāi)始計(jì)劃遷移到量子安全的加密貨幣。對(duì)于工廠和大型企業(yè)來(lái)說(shuō)，這些措施將是一項(xiàng)重大任務(wù)。

幸運(yùn)的是，所有系統(tǒng)不必同時(shí)更新。

通過(guò)使用“混合證書(shū)”（具有傳統(tǒng) RSA 或 ECC 密鑰的安全證書(shū)以及新的量子安全密鑰），制造商和開(kāi)發(fā)人員可以進(jìn)行漸進(jìn)但安全的遷移。混合證書(shū)將使尚不支持量子安全加密的設(shè)備能夠同時(shí)與支持量子安全加密的新系統(tǒng)一起工作。因此，支持關(guān)鍵系統(tǒng)逐步遷移到量子安全的加密。

為了完成遷移，一旦所有系統(tǒng)都升級(jí)為支持量子安全加密，就可以放棄混合證書(shū)，轉(zhuǎn)而使用純量子安全證書(shū)。但是，對(duì)于這種演變，需要考慮多種途徑。

一些公司可能會(huì)選擇直接從傳統(tǒng)加密轉(zhuǎn)向量子安全的加密，而無(wú)需混合證書(shū)過(guò)渡期。

對(duì)于所有系統(tǒng)可以同時(shí)升級(jí)到純量子安全證書(shū)的工業(yè)和企業(yè)環(huán)境，可以跳過(guò)混合證書(shū)的過(guò)渡期。但是，這種更快、更直接的遷移會(huì)帶來(lái)更大的風(fēng)險(xiǎn)。如果任何系統(tǒng)未正確更新，它將無(wú)法再與其他系統(tǒng)通信。

直接遷移或混合遷移計(jì)劃的步驟

直接遷移計(jì)劃或混合遷移計(jì)劃需要執(zhí)行以下六個(gè)步驟。

升級(jí)到量子安全 PKI 安全基礎(chǔ)架構(gòu)

遷移到量子安全加密的第一步是升級(jí)公鑰基礎(chǔ)設(shè)施（PKI），包括證書(shū)頒發(fā)機(jī)構(gòu)，以便利用量子安全的加密算法。與其嘗試升級(jí)內(nèi)部PKI系統(tǒng)，這可能是公司遷移到商業(yè)證書(shū)頒發(fā)機(jī)構(gòu)（CA）的理想時(shí)機(jī)，例如Sectigo，它可以為量子安全的加密算法提供商業(yè)支持。

無(wú)論是遷移到內(nèi)部PKI系統(tǒng)還是改編商業(yè)供應(yīng)商的解決方案，CA都必須為量子安全的加密算法和量子安全的證書(shū)頒發(fā)提供支持。如果 IT 安全團(tuán)隊(duì)選擇使用混合證書(shū)，則必須選擇同時(shí)支持混合證書(shū)和純量子安全證書(shū)的 CA。

組織升級(jí)其現(xiàn)有 CA 或選擇新 CA 后，CA 必須頒發(fā)新的量子安全根證書(shū)和中間證書(shū)。

更新服務(wù)器應(yīng)用程序以識(shí)別和使用新的加密算法

遷移到量子安全加密需要更新服務(wù)器應(yīng)用程序使用的加密庫(kù)，以支持新的加密算法和新的量子安全證書(shū)格式，包括混合證書(shū)（如果使用）。如果使用混合證書(shū)，服務(wù)器應(yīng)用程序?qū)⑿枰R(shí)別和處理傳統(tǒng)的 RSA/ECC 證書(shū)和包含量子安全加密密鑰的混合證書(shū)。這要求服務(wù)器應(yīng)用程序區(qū)分兩種不同的證書(shū)類型，并使用適用于該證書(shū)類型的正確加密算法來(lái)處理每種證書(shū)類型。

更新客戶端加密算法

接下來(lái)，IT和開(kāi)發(fā)團(tuán)隊(duì)還需要更新各種客戶端應(yīng)用程序，以使用量子安全的加密算法。完全安全升級(jí)后，管理員可以停止在客戶端應(yīng)用程序中使用傳統(tǒng)的 RSA/ECC 密鑰/證書(shū)，而是使用新的量子安全等效項(xiàng)。

此策略的例外情況是客戶端應(yīng)用程序與多個(gè)服務(wù)器應(yīng)用程序進(jìn)行通信，這些應(yīng)用程序可能并非全部同時(shí)升級(jí)到量子安全加密。在這種情況下，混合證書(shū)將允許客戶端使用支持傳統(tǒng) RSA/ECC 加密的服務(wù)器，同時(shí)對(duì)支持這些較新算法的服務(wù)器使用量子安全算法。

在所有系統(tǒng)上安裝量子安全的根

每個(gè)利用 PKI 的安全系統(tǒng)都有一個(gè)受信任的根存儲(chǔ)。此根存儲(chǔ)區(qū)包含在 PKI 系統(tǒng)中頒發(fā)證書(shū)的根 CA 和中間 CA 的證書(shū)。更新系統(tǒng)以支持量子安全加密算法后，還必須更新這些根存儲(chǔ)以添加新的根證書(shū)和中間證書(shū)。

向連接的設(shè)備和應(yīng)用程序頒發(fā)新的量子安全證書(shū)

在IT團(tuán)隊(duì)更新了公司的所有系統(tǒng)以支持量子安全加密之后，他們必須頒發(fā)新證書(shū)并將其安裝在所有端點(diǎn)上。完成后，每個(gè)設(shè)備都可以開(kāi)始使用量子安全的加密算法，如新證書(shū)所啟用的那樣。

最后一步 – 擺脫舊的

遷移到量子安全加密的最后一步是棄用傳統(tǒng)的加密算法，以便不再使用它們。這可以在應(yīng)用程序和系統(tǒng)上逐步完成，因?yàn)樗鼈儽贿w移到新算法。遷移完所有系統(tǒng)后，應(yīng)吊銷根 ECC 和 RSA 證書(shū)，確保它們不被任何系統(tǒng)使用。

轉(zhuǎn)向自動(dòng)化證書(shū)管理的好時(shí)機(jī)

遷移到新的加密算法和PKI系統(tǒng)將需要頒發(fā)大量新證書(shū)，因?yàn)槊總€(gè)設(shè)備/應(yīng)用程序都需要一個(gè)新證書(shū)。對(duì)于尚不支持自動(dòng)化證書(shū)管理的組織，這是考慮實(shí)施自動(dòng)化工具的絕佳時(shí)機(jī)。

如今，有易于使用的證書(shū)管理平臺(tái)，既可以實(shí)現(xiàn)自動(dòng)證書(shū)發(fā)現(xiàn)和續(xù)訂，又可以確保系統(tǒng)不會(huì)因證書(shū)過(guò)期而出現(xiàn)故障，還可以減輕在設(shè)備和系統(tǒng)上安裝新證書(shū)的管理負(fù)擔(dān)。對(duì)于考慮新 PKI 解決方案的安全團(tuán)隊(duì)來(lái)說(shuō)，對(duì)自動(dòng)化工具的支持應(yīng)該是一個(gè)高優(yōu)先級(jí)。

審核編輯：郭婷