許多專家預(yù)測����,第二季度(Y2Q)——標(biāo)志著商業(yè)上可行的量子計(jì)算機(jī)能夠破解當(dāng)今加密技術(shù)的那一天����,比之前想象的要近得多�����。隨著第二季度的臨近���,開發(fā)人員面臨著部署可用于引導(dǎo)加載程序和其他關(guān)鍵操作的量子安全數(shù)字簽名的挑戰(zhàn)。
當(dāng)連接的設(shè)備打開時�����,無論是電話����、汽車還是智能門鈴,引導(dǎo)加載程序都會啟動��。這個簡單但關(guān)鍵的過程會初始化設(shè)備硬件�����,驗(yàn)證固件�����,如果驗(yàn)證通過�,則將固件加載到設(shè)備的內(nèi)存中,啟動使設(shè)備運(yùn)行的事件序列�。
作為設(shè)備啟動時運(yùn)行的第一個軟件,引導(dǎo)加載程序在系統(tǒng)安全中起著至關(guān)重要的作用。如果引導(dǎo)加載程序遭到破壞���,就會為不良行為者打開進(jìn)入系統(tǒng)的大門�。為了解決此漏洞����,引導(dǎo)加載程序使用加密來驗(yàn)證固件的數(shù)字簽名是否有效且可信。
對于黑客來說����,破解或欺騙數(shù)字簽名加密并獲取系統(tǒng)訪問權(quán)限將變得更加容易。人工智能和機(jī)器學(xué)習(xí)輔助下的量子計(jì)算的進(jìn)步現(xiàn)在正威脅著破壞引導(dǎo)加載程序使用的加密����。
將量子安全加密擴(kuò)展到物聯(lián)網(wǎng)
量子物聯(lián)網(wǎng)設(shè)備對加密構(gòu)成威脅,因?yàn)槠涮峁┑挠?jì)算能力可以快速解決加密所依據(jù)的復(fù)雜數(shù)學(xué)算法��,使黑客能夠計(jì)算出保證加密算法安全的密鑰���。一旦獲得密鑰�,黑客就可以解鎖數(shù)據(jù)并破壞通過加密保護(hù)的系統(tǒng)�。
傳統(tǒng)物聯(lián)網(wǎng)設(shè)備提供的功能已被證明能夠破解某些級別的加密。作為回應(yīng)����,安全解決方案已轉(zhuǎn)向更復(fù)雜的算法��,生成更長的加密密鑰。然而���,這條路徑會給PQC引導(dǎo)加載程序和其他需要快速處理且計(jì)算和內(nèi)存資源有限的設(shè)備帶來問題���。
uLoadXLQ量子安全引導(dǎo)加載程序等設(shè)備通過提供基于輕量級后量子數(shù)字簽名算法的加密協(xié)議來解決此問題,該算法具有簽名小和驗(yàn)證快的特點(diǎn)��。其允許快速驗(yàn)證通過抗量子加密保護(hù)的數(shù)字簽名�,確保只有授權(quán)的固件才會啟動和安裝。如果無法驗(yàn)證數(shù)字簽名�,則表明系統(tǒng)已被未經(jīng)授權(quán)的實(shí)體訪問,引導(dǎo)加載程序?qū)㈥P(guān)閉引導(dǎo)進(jìn)程��,以防止安裝損壞的操作系統(tǒng)或未經(jīng)授權(quán)的應(yīng)用程序���。
uLoadXLQ系統(tǒng)還使用由量子隨機(jī)數(shù)生成的數(shù)字簽名����,因此密鑰具有盡可能強(qiáng)的安全性��。此功能使系統(tǒng)能夠達(dá)到提供真正的抗量子加密所需的熵水平。有限熵是一個導(dǎo)致弱加密密鑰和降低安全性的問題�。
保護(hù)物聯(lián)網(wǎng)引導(dǎo)加載程序的挑戰(zhàn)
構(gòu)成物聯(lián)網(wǎng)(IoT)的超過140億臺設(shè)備通常依賴引導(dǎo)加載程序來支持其操作。這些設(shè)備通常通過龐大的網(wǎng)絡(luò)共享敏感數(shù)據(jù)�����,但與計(jì)算機(jī)不同的是�����,這些設(shè)備通常運(yùn)行在非常有限的資源上��,因此需要輕量級安全性��。
近年來�,針對物聯(lián)網(wǎng)設(shè)備的攻擊急劇增加。根據(jù)網(wǎng)絡(luò)安全統(tǒng)計(jì)數(shù)據(jù)����,2021年12月,針對物聯(lián)網(wǎng)設(shè)備的惡意軟件攻擊次數(shù)超過580萬次�����。2022年12月���,攻擊次數(shù)突破1050萬次��。
通過在物聯(lián)網(wǎng)設(shè)備上部署勒索軟件���,黑客可以接管設(shè)備的功能����,鎖定用戶直至支付贖金���。這可能包括控制智能恒溫器或汽車中的計(jì)算機(jī)輔助系統(tǒng)。當(dāng)在關(guān)鍵任務(wù)系統(tǒng)上發(fā)起勒索軟件攻擊時�,例如交付或監(jiān)管藥物的系統(tǒng),針對物聯(lián)網(wǎng)設(shè)備的勒索軟件攻擊可能會造成極大的破壞�����。
物聯(lián)網(wǎng)設(shè)備在企業(yè)界的使用創(chuàng)造了所謂的“影子物聯(lián)網(wǎng)”���。這是指未經(jīng)IT部門批準(zhǔn)或未應(yīng)用增強(qiáng)安全措施而添加到組織網(wǎng)絡(luò)的物聯(lián)網(wǎng)設(shè)備�,例如智能音箱或智能電視�。這些設(shè)備隨后成為組織網(wǎng)絡(luò)安全的薄弱環(huán)節(jié)。
McKinsey&Company最近的一份報(bào)告將物聯(lián)網(wǎng)設(shè)想為一種工具���,可以極大地改善我們生活的幾乎每個領(lǐng)域�����,但要實(shí)現(xiàn)這一愿景�,需要物聯(lián)網(wǎng)設(shè)備獲得更大的公眾信任。McKinsey表示�,要做到這一點(diǎn),必須克服物聯(lián)網(wǎng)的網(wǎng)絡(luò)安全漏洞�����。采用抗量子引導(dǎo)加載程序?qū)⑹浅@個方向邁出的重要一步�����。
對引導(dǎo)加載程序安全性日益增長的需求
英國最近實(shí)施的針對電動汽車(EV)充電器的法規(guī)�,說明了不安全的物聯(lián)網(wǎng)引導(dǎo)加載程序帶來的威脅。這些法規(guī)旨在保護(hù)需要連接到互聯(lián)網(wǎng)的電動汽車充電器免受不良行為者的攻擊���。其規(guī)定���,物聯(lián)網(wǎng)設(shè)備包括安全啟動技術(shù)和在安全受到威脅的情況下自動斷開連接。
這些法規(guī)旨在解決黑客如何利用物聯(lián)網(wǎng)漏洞訪問支持充電器的網(wǎng)絡(luò)的擔(dān)憂��。至少,攻擊可能會導(dǎo)致電力或信用卡數(shù)據(jù)被盜����。然而,安全專家也設(shè)想了黑客可以使用電動汽車充電器訪問和關(guān)閉電網(wǎng)的場景�。
Y2Q的持續(xù)發(fā)展,加上我們對物聯(lián)網(wǎng)設(shè)備的日益依賴��,預(yù)示著未來將面臨前所未有的安全挑戰(zhàn)?,F(xiàn)在是時候部署確保后量子世界安全的工具了。
沃卡惠
