我們當前的許多 IT 基礎設施都依賴 DNS 來安全地路由流量。反過來,保護該基礎設施的安全又嚴重依賴於密碼學,但威脅迫在眉睫。
量子計算將提供一定水平的處理能力,可能使當前的密碼技術過時,這是一個問題整個互聯網和網絡世界。我們採訪了 DNSFilter 的首席安全研究員 Peter Lowe,討論了量子計算對安全的可能影響以及
BN:為什麼密碼學對 DNS 如此重要?
PL:密碼學是域名安全 (DNS) 服務器用於驗證的基準DNS 安全擴展 (DNSSEC) 的一部分。要通過使用數字簽名或對稱密鑰實現驗證,DNS 必須確認站點和數據的真實身份和所聲稱的內容——而強大的加密技術是確保我們可以信任結果的唯一方法。
BN:量子計算如何將其置於風險之中?
PL:與以位編碼信息的傳統計算機不同,量子計算機以量子位(量子位)編碼信息) 以不同的方式工作。量子位使量子計算不僅可以更快地編碼信息,而且可以一次存儲更多信息,這對我們所知的網絡安全構成威脅。
量子計算具有破解密碼算法所需的速度和能力,使黑客能夠訪問數據之前已安全加密,並在以後存儲和解密該數據。通過執行中間人攻擊“在線”訪問數據相對容易,但如果傳輸的數據被加密則毫無用處。現在,數據看起來只是一個隨機的字節序列,如果沒有量子計算的威脅,它可能會在未來數百年內保持這種狀態。量子計算有可能使黑客能夠更輕鬆地對其進行解密,並且數據可能不會像最初預期的那樣長期保持安全。
除此之外,量子計算對密鑰和簽名大小提出了挑戰,這比當前的算法大得多。後量子密碼學使用比我們目前使用的更大的密鑰大小,這本身就很好。但是,由於 DNS 服務器使用的協議(稱為通用數據報協議或 UDP)的限制,數據包大小可能會變得比服務器設計處理的更大。更不用說,更大的密鑰大小將需要顯著增加服務器本身的計算資源。
為了防止這些密碼學威脅,業界已開始考慮推出後量子算法。但是,由於對基礎設施的潛在影響,DNSSEC 要過渡到後量子算法尤其具有挑戰性。更新密碼是一個有風險的過程,尤其是對於那些運行根服務器的人來說:如果用於生成密鑰的密碼短語被洩露,則可能偽造發生的任何域驗證。每三個月,就會舉行一次精心設計的密鑰簽名儀式,以生成在 DNSSEC 鏈頂端使用的密鑰。如果要發生任何更改,則必須徹底審查此過程,這意味著互聯網上每個經過驗證的 DNS 請求——每天數万億次——都可能受到損害。
BN:組織如何才能開始為後量子世界做計劃?
PL:組織要為後量子世界做準備,必須轉變我們的思維方式,摒棄某些信息會永遠保持私密。我們經常得到保證,加密可以保護我們的數據免受黑客攻擊,雖然目前情況確實如此,但重要的是要記住,加密在某個時候會被破壞。量子計算的最大不同在於它的發生速度可能比我們想像的要快得多。
一個例子是消息傳遞。有許多提供端到端加密 (E2EE) 的消息系統,用於安全地交換消息,而不必擔心如果消息被攔截,它們可能在可預見的未來被黑客讀取。量子計算大大加快了這條時間線。因此,存儲數據可能成為堅定的黑客的一個可行選擇。
銀行和政府等高風險組織應儘早開始準備使用後量子算法。雖然時間還很充裕,但這會是一個漫長的過程,所以越早開始越好。
第一步是準備:確定整個過程中哪些地方使用了加密組織,記錄當前使用的程序和算法,並為每種類型的存儲數據制定保留要求。此外,安全專業人員需要放棄嚴格的程序:程序越嚴格,以後更新就越困難。為了防止未來出現這些挑戰,安全團隊必須確保任何當前的做法都盡可能靈活。
對於存儲的數據,最安全的選擇始終是簡單地刪除它。對於需要永久保存的數據,應該準備好在更新的標準準備就緒時重新加密。對於以其他方式使用加密的軟件和硬件,檢查供應商是否有任何升級其算法的計劃並研究替代方案。
隨時了解量子計算的最新發展將是規劃量子計算的另一個主要因素後量子世界,無論是通過閱讀行業通訊還是密切關注美國商務部國家標準與技術研究院 (NIST) 制定的標準更新。
BN:是否有後量子解決方案可用或已經在準備中?
PL:2022 年 7 月,NIST 選擇了四種加密算法添加到 NIST 的後量子密碼標準中,預計將於 2022 年推出大約兩年。還計劃很快宣布另一輪算法。
DNS 世界的挑戰主要是操作性的而不是算法性的:硬件將需要適應增加的計算需求,協議將需要
表中的一個選項是使用基於散列的簽名,它可以很好地對抗後量子密碼學,並且在以下情況下具有較低的開銷他們需要改變。但是,即使是更低的開銷仍然很重要。
目前,還沒有完整的解決方案來解決這個問題。然而,行業討論正在進行中,我很高興看到商店裡有什麼。
圖片來源:BeeBright/depositphotos.com