中国存储网消息,近日,Microsoft 详细介绍了其量子安全计划,作为持续转型的一部分,以保护基础设施、客户和全球生态系统免受未来量子计算机带来的潜在威胁。
该公司正在将后量子密码学 (PQC) 集成到其核心加密库 SymCrypt 和传输层安全 (TLS) 等组件中,更新扩展到身份验证系统、密钥管理、签名服务以及全系列 Microsoft 产品,包括 Windows、Azure、Microsoft 365、数据和 AI 服务以及网络平台。
量子威胁形势
量子计算可能会在各个行业实现突破,但也会带来新的风险水平。未来的可扩展量子计算机可能会破坏当今的公钥密码学和数字签名,从而损害身份验证和身份验证系统。虽然此类量子计算机尚不可用,但 Microsoft 和安全专家一致认为有必要立即做好准备。
所谓的“立即收获,稍后解密”(HNDL) 攻击的前景增加了紧迫性,攻击者可能会立即记录加密数据,并在量子计算机投入使用后稍后解密。作为回应,包括 Microsoft 在内的安全行业正在优先开发和实施量子安全算法和协议。
全行业一致性
Microsoft 表示,量子安全计划 (QSP) 与美国政府关于量子安全的举措和时间表密切相关,参考了管理和预算办公室 (OMB)、网络安全和基础设施安全局 (CISA)、美国国家标准与技术研究院 (NIST) 和国家安全局 (NSA) 等机构的指导。该公司还在监控欧盟、日本、加拿大、澳大利亚和英国政府的量子安全政策。
Microsoft 的路线图目标是到 2033 年完成所有产品和服务向 PQC 的过渡,这比大多数主要政府设定的 2035 年最后期限早了两年。该公司的方法旨在到 2029 年尽早采用,并逐步转向将量子安全技术作为默认技术。
过渡阶段
向量子安全的过渡计划分为三个阶段。第一阶段涉及更新基础加密组件,例如 SymCrypt,它支撑 Microsoft作系统和云服务的安全性。第二阶段侧重于核心基础设施服务,包括身份认证和密钥管理。第三阶段也是最广泛的阶段将量子安全更新扩展到所有服务和端点,包括 Windows、Azure、Microsoft 365 以及公司的数据和 AI 产品。
SymCrypt 已经通过其加密 API:下一代 (CNG) 引入了模块-格密钥封装机制 (ML-KEM) 和模块-格子数字签名算法 (ML-DSA),使这些算法可供 Windows 预览体验成员和 Linux 用户使用。TLS 1.3 也得到了增强,支持混合和后量子密钥交换,以帮助阻止 HNDL 攻击媒介。
持续合作
Microsoft 一直与国际标准机构合作,包括 NIST、互联网工程任务组 (IETF)、国际标准化组织 (ISO)、分布式管理任务组 (DMTF)、开放计算项目 (OCP) 和欧洲电信标准协会 (ETSI),以调整量子安全密码学标准并促进全球互作性。至少自 2017 年以来,它一直为 NIST 的后量子密码学工作做出了贡献,并且是 Open Quantum Safe 项目的创始成员。
该公司在 PQC 方面的研究历史包括在其雷德蒙德园区和位于苏格兰水下的数据中心之间运行使用实验性 PQC 算法保护的 VPN 隧道等实验。Microsoft 还领导了 NIST 国家网络安全卓越中心 (NCCoE) 后量子项目的集成工作流程,并贡献了 FrodoKEM 加密系统以纳入 ISO 标准。
内部战略
“我们的 QSP 是一项全面的全公司范围的努力,旨在使 Microsoft、我们的客户和合作伙伴能够平稳、安全地过渡到量子时代。该计划由 QSP 领导团队管理,其代表来自所有主要业务集团、研究和工程部门以及职能部门。
Microsoft 的战略基于三个主要优先事项:使 Microsoft 本身成为量子安全,支持客户和合作伙伴也这样做,以及推进量子安全技术和加密敏捷性的研究和国际标准,即在威胁出现时更改加密算法的能力。
该计划首先对加密资产进行全面审计,然后对量子安全算法和合作伙伴关系进行有针对性的投资,以解决关键依赖关系并实现硬件和固件的现代化。量子弹性解决方案的实施正在整个供应链和生态系统中进行,并不断采用基于硅的开源保护措施。
呼吁及早采取行动
Microsoft 将迁移到 PQC 描述为一个多年过程,需要跨行业的战略规划和协调执行。该公司强调,过渡到量子安全安全并不是一蹴而就的改变,而是一个“复杂但必不可少的过程”。
“向后量子密码学 (PQC) 的迁移不是一个开关的时刻,而是一个多年的转型,需要立即规划和协调执行,以避免最后一刻的争夺。”
Microsoft 鼓励组织解决遗留技术问题,实现加密标准现代化,并开始为量子计算可能对当今安全机制构成真正风险的未来做好准备。