提前应对安全要求的变化
Posted 10/27/2023 by Eric Sivertson, VP of Security Business
随着很多国家和行业领导者宣布一系列新的网络安全要求,新一轮复杂的监管风暴即将到来。在固件漏洞的增加、5G连接导致的攻击面不断扩大以及后量子加密(PQC)的到来这三个关键趋势的推动下,这些即将出台的法规将对开发人员产生深远影响。
莱迪思与Secure-IC、Xiphera共同举办了季度安全研讨会,讨论即将到来的安全要求变化,以及企业如何应对这一新的监管环境。
安全系统工程师和架构师即将面临各类新法规
当如今正是组织经历的宏观趋势和安全威胁推动了新法规的诞生,其内容主要围绕实施PQC、硬件可信根(HRoT)安全和零信任安全三个方面展开。
在这些新法规中,最为紧迫的是国家商用安全算法(CNSA)2.0时间表。CNSA作为美国国家安全局(NSA)的商业部门,为服务提供商制定了网络安全和PQC方面的要求,并为每个关键行业制定了具体的时间表。例如,服务器和云服务必须在2025年1月之前达到标准,电信业务必须在2026年之前达成合规。
另一项较为紧迫的法规是《欧洲网络弹性法案》(CRA),针对于欧盟境内(EU)或向欧盟供应商销售产品的企业。CRA要求采用硬件级安全机制防止各类攻击。产品必须在整个生命周期内保持安全,同时考虑到我们今后可能出现的新攻击。在CRA通过立法后(预计将很快生效),销售物联网产品的制造商将有36个月的宽限期来满足法律要求。他们还必须在发现任何可被利用的漏洞后24小时内上报。违者可能会受到经济处罚。
法规不仅来自各国家和标准组织。我们还看到,可信计算组织(Trusted Computing Group)、3GPP、O-RAN联盟等认证机构也提供了新的建议和规则,强调组织必须区了解哪些新兴法规可能会带来影响。
向PQC迁移
许多新规都包括了PQC相关的规定和指南。向PQC迁移的过程需要严肃对待。尽管量子计算机预计要到2030年才能上市,但当初互联网到来时,开发和实施安全环境也花了大约十年之久。因此向PQC迁移十分紧迫。
幸运的是,如今PQC的某些方面已经可以发挥作用。美国国家标准与技术研究院(NIST)一直在围绕PQC算法进行持续开发,第一批算已经在2016年推出。从那时起,NIST选择了四种候选算法进行标准化,另外一些算法则进入第四轮分析。这些将成为NIST批准的新标准。对于某些器件,尤其是管理固件的器件,开发人员应考虑实施这些早期的PQC标准,作为数据迁移的起点。
PQC迁移的核心是从传统的基于公钥基础设施(PKI)的加密转向能够抵御量子计算机攻击的后量子加密。攻击者目前正采用“现在窃取,之后解密”的方法,因此随着功能强大的量子计算机上市,如今存储在云端的重要机密数据将面临灾难性风险。虽然PQC标准尚未确定,但在安全研讨会上,小组专家鼓励开发人员实施PKI与PQC相结合的加密系统。在网络安全领域,新方法并不总是更优,而且由于这些PQC标准仍在制定中,它们还没有像经典加密方法那样带来收益。这种混合系统可以为开发人员提供经典PKI算法的优势,未来还能转向PQC,同时还可以在出现故障时提供双重保护。
应对新规的最佳方案
随着开发人员开始向PQC过渡,他们需要“加密灵活”的解决方案,帮助他们在面对新的威胁时不断更新,符合新的安全要求。
FPGA的可编程特性使其成为实现上述混合加密方法的强大而灵活的解决方案。事实上,莱迪思的新一代FPGA使客户能够在部署之后更新算法。这意味着开发人员可以从椭圆PKI算法开始,在实施新标准时转向更先进的PQC算法。
这种灵活性使FPGA比可信平台模块(TPM)和微控制器(MCU)能够更有效地开展PQC迁移,因为TPM和微控制器MCU无法抵御量子攻击且难以快速升级。FPGA则可以帮助开发人员运行和优化各种实现(无论其规模和复杂性如何),为应对后量子攻击做好准备。
率先采纳PQC的行业
关键领域中的行业在PQC迁移方面一马当先,包括国防、能源和公用事业、汽车、电信和数据中心。
这些行业之所以要率先迁移,是因为它们的数据和基础设施必须得到保护。例如,许多汽车制造商已经全面或部分采用PQC,因为当量子计算机上线时,他们的车辆仍将在路上行驶。电信和数据中心也需要迅速满足这些要求,特别是在量子安全启动和密钥交换、零信任和HRoT方面,从而在系统中提供全方位的安全性。
尽管我们正面临复杂的监管浪潮,但开发人员仍有无数的解决方案可以使用。莱迪思、Secure-IC和Xiphera可以帮助您厘清思路,领先应对即将到来的监管要求,确保您的产品安全合规。
如需了解更多关于莱迪思FPGA的信息以及我们的解决方案集合产品组合如何帮助企业应对即将到来的安全监管要求,请立即联系我们。