关于量子计算的大量猜测与炒作,让这项技术看起来更像属于科幻小说领域,而非人们的日常科技新闻。但这真不是科幻小说。全世界的科技公司都在竞相将量子计算机引入主流商业过程,以解锁新的功能、服务和盈利模式。
然而,随着量子计算机的吸引力与日俱增,一台台量子计算机即将走出研发环境,政府机构和安全专家已经拉响了这项突破性技术可能对数据安全造成潜在伤害的警报。
量子计算机基于叠加原理:一个量子位(量子计算机中的一个比特)能呈现状态0或1,或同时呈现0和1两种状态。当今世界上公开可用的最大型量子计算机出自 IBM Q (IBM打造商用和科研量子计算机的一项计划) ,有20个量子位,能同时呈现220或100多万个状态。增加到40个量子位,可同时呈现的状态数猛增至万亿个。量子计算机不是一个接一个顺序尝试密码组合,而是可以同时尝试很多个组合,所以可能成为数据加密破解的利器。专家认为,具备2,000到4,000个量子位的计算机就足以在合理的时间内打败常规强加密标准。
对数据安全行业而言幸运的是,量子计算机需要很多高端制冷和大型科学实验设备,因为毕竟是尖端实验性物理科学。硬盘刚发明出来的时候,想存5MB都得占2台自动贩卖机的空间。如今5TB移动硬盘随便装兜里。计算领域的常态就是东西越来越小、越来越快、越来越便宜,但目前,量子计算还是又大、又贵、又娇气的物理实验室住户。
安全行业已经开始着手准备升级标准以抵御量子攻击。不过现在就有几个方法可以防御这一威胁了。今天,最佳安全实践要求纵深防御体系。高级持续性威胁(APT)涉及将恶意代码安装到安全边界内的服务器上。所以,黑客一旦越过防火墙,恶意代码就溜进了内部,查找有漏洞的服务器安家。每台服务器都应该用加密来防止数据抽取或数据破坏。量子计算机可没办法装载到企业服务器上,因为它就是个物理实验室,不是一段可移植的代码。因此,必须在源头,也就是服务器上做数据保护。需用与进程、应用和用户相关联的恰当防护策略,并对不同数据集应用不同的加密方法。这么做可以从源头削弱APT攻击过程的数据访问能力,不同加密方法还可以增加数据解密难度。
但如果网络罪犯或民族国家黑客组织抽取了数据或密钥,并将之传到量子计算机上处理,又该怎么办呢?IBM等行业巨头已经发布了小型量子计算机。你也已经可以在AWS上提供优化良好的高性能TensorFlow机器学习之类新兴技术。于是,一旦技术成熟,公共云提供商推出量子计算即服务似乎是必然的。
面对这一威胁,在服务器上全面保护数据你需要做到:
恰当的密钥管理,包括采用分层密钥实现密钥轮转。
对数据访问应用类防火墙规则,按用户ID和应用来限制访问。
报告任何未授权或可疑的数据访问尝试。单个密钥或某台服务器被黑,但关键数据尚未被传去做量子破解前,若有良好的报告和警告,便能防止数据丢失。
加密和将数据备份到多台服务器或云端可提供额外的防护,即便其中之一被黑,数据也依然安全,并可在威胁被发现并缓解的同时从未崩溃服务器恢复。
尤为重要的是,公司企业需具备加密敏捷性,也就是IT系统从现有加密方式迅速切换而无需对系统基础设施做出重大调整的能力。事实上,根据NIST的指南,具备加密敏捷性已经不是可选项而是必选项了。公司企业可以通过以下步骤具备加密敏捷性:
实现加密控制中心,作为管理应用加密策略的接口。
设置抽象层,用作隐藏加密信息的API。这能保证应用程序员可持续开发而无需担心对加密解决方案的明显中断。当安全团队需更新加密解决方案时,他们所要做的仅仅是更新该抽象层,由而摒除了程序员学习繁琐加密细节的需求。
现在距离量子机制的广泛应用还为时尚早,但美国国家科学、工程及医药学院的一份报告指出,公司企业需加快应对量子技术突破传统防御的准备。
虽然目前可能还没有敏感数据被人利用量子计算技术破解的即时危险,每家公司企业都应开始设立量子弹性数据保护计划了,因为首台量子计算机的竞争已趋于白热化。财富500强公司,包括IBM、谷歌、微软和英特尔,都在加大量子技术研发力度,世界上有能力的国家都在往量子技术研究与开发投入大量金钱,量子计算时代将很快拉开序幕。从今天就应开始为抵御明天的威胁而做好准备了。
NIST指南:
https://nvlpubs.nist.gov/nistpubs/ir/2016/nist.ir.8105.pdf
美国国家科学、工程及医药学院《量子计算进展与前景》报告:
https://www.nap.edu/catalog/25196/quantum-computing-progress-and-prospects
相关阅读