如何保护嵌入式系统免受量子启示录的影响

量子启示录即将到来。听起来很吓人？嗯，可以。如果您有需要保持安全和私密的信息、系统和设备，您的组织需要做好准备。

专家估计，在未来6-10年内，加密算法现在是我们用来保护当今互联工业应用的几乎每个方面的安全技术的基石，很容易被下一代量子计算机击败。

量子计算使RSA和ECC加密算法过时的不可避免的一天可能会对社会造成如此严重的影响，以至于安全部门将其视为“量子密码启示录”。炒作并非没有根据。RSA 和 ECC 加密用于保护各行各业的每个数据源和系统：工厂、数据农场、公用事业、电子商务和银行系统、运输、通信网络等等。

是的，量子计算机是大型，庞大，复杂且昂贵的系统，起初，只有主要的国际技术组织才能负担得起。但是，它们的使用可以传播到各个民族国家，并最终传播到网络犯罪分子和黑客。

好消息是，制造业和科技行业现在可以采取一些步骤。

分阶段迁移到量子安全加密

迁移到量子安全的加密算法将需要规划和更新多个系统。最终，这将包括制造中使用的机器和在装配线上推出的产品。他们都需要得到保护。此外，公司的内部数据管理和通信系统，以及第三方应用程序、服务器和系统，都需要更新。

工程师和开发团队必须立即开始计划迁移到量子安全的加密货币。对于工厂和大型企业来说，这些措施将是一项重大任务。

幸运的是，所有系统不必同时更新。

通过使用“混合证书”（具有传统 RSA 或 ECC 密钥的安全证书以及新的量子安全密钥），制造商和开发人员可以进行渐进但安全的迁移。混合证书将使尚不支持量子安全加密的设备能够同时与支持量子安全加密的新系统一起工作。因此，支持关键系统逐步迁移到量子安全的加密。

为了完成迁移，一旦所有系统都升级为支持量子安全加密，就可以放弃混合证书，转而使用纯量子安全证书。但是，对于这种演变，需要考虑多种途径。

一些公司可能会选择直接从传统加密转向量子安全的加密，而无需混合证书过渡期。

对于所有系统可以同时升级到纯量子安全证书的工业和企业环境，可以跳过混合证书的过渡期。但是，这种更快、更直接的迁移会带来更大的风险。如果任何系统未正确更新，它将无法再与其他系统通信。

直接迁移或混合迁移计划的步骤

直接迁移计划或混合迁移计划需要执行以下六个步骤。

升级到量子安全 PKI 安全基础架构

迁移到量子安全加密的第一步是升级公钥基础设施（PKI），包括证书颁发机构，以便利用量子安全的加密算法。与其尝试升级内部PKI系统，这可能是公司迁移到商业证书颁发机构（CA）的理想时机，例如Sectigo，它可以为量子安全的加密算法提供商业支持。

无论是迁移到内部PKI系统还是改编商业供应商的解决方案，CA都必须为量子安全的加密算法和量子安全的证书颁发提供支持。如果 IT 安全团队选择使用混合证书，则必须选择同时支持混合证书和纯量子安全证书的 CA。

组织升级其现有 CA 或选择新 CA 后，CA 必须颁发新的量子安全根证书和中间证书。

更新服务器应用程序以识别和使用新的加密算法

迁移到量子安全加密需要更新服务器应用程序使用的加密库，以支持新的加密算法和新的量子安全证书格式，包括混合证书（如果使用）。如果使用混合证书，服务器应用程序将需要识别和处理传统的 RSA/ECC 证书和包含量子安全加密密钥的混合证书。这要求服务器应用程序区分两种不同的证书类型，并使用适用于该证书类型的正确加密算法来处理每种证书类型。

更新客户端加密算法

接下来，IT和开发团队还需要更新各种客户端应用程序，以使用量子安全的加密算法。完全安全升级后，管理员可以停止在客户端应用程序中使用传统的 RSA/ECC 密钥/证书，而是使用新的量子安全等效项。

此策略的例外情况是客户端应用程序与多个服务器应用程序进行通信，这些应用程序可能并非全部同时升级到量子安全加密。在这种情况下，混合证书将允许客户端使用支持传统 RSA/ECC 加密的服务器，同时对支持这些较新算法的服务器使用量子安全算法。

在所有系统上安装量子安全的根

每个利用 PKI 的安全系统都有一个受信任的根存储。此根存储区包含在 PKI 系统中颁发证书的根 CA 和中间 CA 的证书。更新系统以支持量子安全加密算法后，还必须更新这些根存储以添加新的根证书和中间证书。

向连接的设备和应用程序颁发新的量子安全证书

在IT团队更新了公司的所有系统以支持量子安全加密之后，他们必须颁发新证书并将其安装在所有端点上。完成后，每个设备都可以开始使用量子安全的加密算法，如新证书所启用的那样。

最后一步 – 摆脱旧的

迁移到量子安全加密的最后一步是弃用传统的加密算法，以便不再使用它们。这可以在应用程序和系统上逐步完成，因为它们被迁移到新算法。迁移完所有系统后，应吊销根 ECC 和 RSA 证书，确保它们不被任何系统使用。

转向自动化证书管理的好时机

迁移到新的加密算法和PKI系统将需要颁发大量新证书，因为每个设备/应用程序都需要一个新证书。对于尚不支持自动化证书管理的组织，这是考虑实施自动化工具的绝佳时机。

如今，有易于使用的证书管理平台，既可以实现自动证书发现和续订，又可以确保系统不会因证书过期而出现故障，还可以减轻在设备和系统上安装新证书的管理负担。对于考虑新 PKI 解决方案的安全团队来说，对自动化工具的支持应该是一个高优先级。

审核编辑：郭婷