Агентство по кибербезопасности и защите инфраструктуры США (CISA) опубликовало новую рекомендацию, сопоставляющую стандарты постквантовой криптографии (PQC) с распространенными категориями корпоративного аппаратного и программного обеспечения. Это предоставит техническим директорам (CIO) и командам по безопасности ранний ориентир для оценки готовности к использованию квантово-устойчивых технологий.
В ответ на указ от 6 июня 2025 года об укреплении федеральной кибербезопасности, рекомендация определяет классы ИТ-продуктов, которые уже используют или переходят на стандартизированные NIST алгоритмы PQC. CISA заявило, что эти списки призваны служить руководством по закупкам и долгосрочному планированию миграции, пока ведомства оценивают системы, зависящие от криптографии с открытым ключом.
Для предприятий это руководство сигнализирует о том, что квантово-устойчивая криптография уже сегодня становится практическим соображением при закупках, одновременно выявляя существующие пробелы. CISA отметило, что многие из перечисленных категорий продуктов внедрили PQC для ограниченных функций, таких как согласование ключей, но еще не являются полностью устойчивыми к квантовым атакам.
Категории продуктов, готовых к PQC, по данным CISA
В рекомендации были выделены несколько категорий технологий, где уже доступны (или находятся в активной фазе перехода) совместимые с PQC решения, чтобы помочь организациям в оценке закупок и планировании миграции.
В документе подчеркивается, что несколько категорий аппаратного и программного обеспечения уже используют стандарты PQC. К ним относятся облачные сервисы (PaaS, IaaS), программное обеспечение для совместной работы (чат/мессенджеры), веб-программное обеспечение (браузеры и серверы) и средства защиты конечных точек (защита данных и полное шифрование дисков).
Несколько других категорий, включая сетевое оборудование и ПО, SaaS, телекоммуникационное оборудование, компьютеры (физические или виртуальные), сети хранения данных (SAN), аппаратные средства ICAM, менеджеры паролей и антивирусное ПО, были отмечены с точки зрения их потенциала для внедрения PQC.
CISA отметило, что ни одна из этих категорий не является полностью устойчивой к квантовым атакам. «Большинство этих категорий внедрили PQC для инкапсуляции и согласования ключей, но еще не широко внедрили PQC для цифровых подписей и аутентификации», — заявило CISA относительно категорий, которые уже используют стандарты PQC.
«В результате эти категории не считаются полностью квантово-устойчивыми; CISA включает их в этот список, поскольку одна из их основных функций безопасности является квантово-устойчивой, и департаменты и агентства Федеральной гражданской исполнительной власти (FCEB) должны закупать их соответствующим образом».
В рекомендации также добавлено примечание для таких категорий, как операционные технологии (OT) и устройства Интернета вещей (IoT), которые не рассматривались как традиционные ИТ-продукты. «Они также должны переходить на стандарты PQC, но находятся вне рамок этих списков», — говорится в документе.
Дорожная карта стандартов PQC и алгоритмов
Рекомендация CISA направлена на согласование технологий с зарождающимися стандартами PQC, которые теперь включены в федеральную политику. Основой для этой рекомендации послужили проект стандартизации постквантовой криптографии NIST и его публикации в качестве Федеральных стандартов обработки информации (FIPS).
К ним относятся FIPS 203, который определяет механизм инкапсуляции ключей на основе модульных решеток (ML-KEM) на основе алгоритма CRYSTALS-KYBER для безопасного установления ключей; FIPS 204, который определяет алгоритм цифровой подписи на основе модульных решеток (ML-DSA), основанный на CRYSTALS-Dilithium для безопасных цифровых подписей; и FIPS 205, который охватывает алгоритм цифровой подписи на основе хешей без сохранения состояния (SLH-DSA), производный от схемы хеш-подписи SPHINCS+.
Эти стандарты реализуют математические конструкции, предназначенные для противодействия как классическим, так и квантовым криптоаналитическим атакам. Чтобы квалифицироваться как PQC-готовые согласно видению CISA, продукты должны реализовывать эти примитивы PQC для согласования ключей (позволяющего двум сторонам договариваться о безопасных сеансовых ключах) и цифровых подписей (для аутентификации и целостности).
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Shweta Sharma
