Onko sinulla jo hybridi CA? Voimmeko nähdä sen?

Tämä kysymys voisi helposti olla elokuvan jatko-osan käsikirjoituksessa. Pallosalama. On kuitenkin paljon todennäköisempää, että tietoturvatarkastaja kysyy sitä - eikä ainakaan vielä vuosiin.

Seuraavassa artikkelissa kerrotaan , miten perinteiset avaimet voidaan yhdistää kvanttitietohyökkäyksiä kestäviin allekirjoituksiin. Koska kvanttiuhkien jälkeiset uhat eivät kysy, onko sinulla aikaa.

Koska nykyään paikallisista varmentajista, olipa kyseessä juurivarmenne tai laaja PKI-infrastruktuuri, on tullut kriittinen osa lähes jokaista organisaatiota. Kvanttihyökkäysten riskin kasvaessa niiden kvanttihyökkäysten jälkeinen turvallisuus on nousemassa esiin.

Mikä on hybridi varmentaja?

Hybridivarmenteiden myöntäjä on pohjimmiltaan edelleen sama X.509-varmenteen ja salausavaimen yhdistelmä, jota käytät nyt, sekä vaihtoehtoinen, kvanttituhoilta suojaava salausavainalgoritmi. Esimerkkejä tällaisista algoritmeista ovat nykyään Dilithium tai vielä hyväksymätön Falcon.

Hybridilähestymistavan etuna on se, että varmenne pysyy taaksepäin yhteensopivana - laitteet, jotka eivät pysty toimimaan postkvantumikryptografian kanssa, käyttävät yksinkertaisesti perinteistä avainta. Samalla hybridivarmenne suojaa myös tulevilta kvanttitason hyökkäyksiltä.

Käyttöönotto? Yllättävän yksinkertainen

Saatat yllättyä siitä, että hybridi-CA:n käyttöönotto itse allekirjoitetussa paikallisen viranomaisen ympäristössä ei ole vaikeaa. Ehkä tunnetuin kirjasto, OpenSSL,on tukenut hybridisalausta versiosta 3 lähtien yhdessä Open Quantum Safe -kirjaston kanssa . Sen jälkeen voit rakentaa täydellisen PKI-infrastruktuurin vaikkapa EJBCA Keyfactorilta. Luodut hybridi-CA:t ja aliviranomaiset myöntävät hybridivarmenteen, joka on helposti todennettavissa OpenSSL:n vanhemmilla versioilla tai toteutettavissa Windows-CA:ssa.

Milloin on oikea aika?

Ovatko juurivarmenteesi vanhentumassa? Vai aiotko vahvistaa niitä? Koska varmenteet ovat yleensä voimassa yli viisi vuotta tai kauemmin - ja käsi sydämelle, kun PKI on kerran myönnetty ja toiminnassa, sitä voi olla vaikea uudistaa, ellei siihen ole vahvaa motivaatiota - ehkä nyt on ihanteellinen aika siirtyä hybridiratkaisuun.

Onko sinulla jo hybridi CA :)?

Tekstin kirjoittaja on Martin Koucký, ITS Joint Stock Company -yhtiön verkko- ja sovellusturvaosaston päällikkö.