Bu Help Net Security röportajında, kuantum güvenli kriptografi oluşturma konusunda uzmanlaşmış bir güvenlik çözümleri şirketi olan ISARA’nın yeni atanan CEO’su Dr. Atsushi Yamada ile oturuyoruz. Kriptografi ve siber güvenlik alanında yirmi yılı aşkın deneyime sahip olan Dr. Yamada, ISARA vizyonunu tartışıyor ve dijital manzaramızı güçlendirmede kuantum sonrası hesaplamanın (PQC) kritik rolü hakkındaki görüşlerini paylaşıyor.
Yamada, 2015’ten beri ISARA’dasınız ve CEO olarak atandınız. Yeni CEO olarak yaklaşımınızı etkileyen şirket içindeki önceki deneyimlerinizi nasıl görüyorsunuz?
Şirketin tarihsel bağlamına sahip olmak çok yardımcı olur; nereden geldi, nasıl gelişti. Tüm Ar-Ge departmanını denetlemekten kapsamlı teknik deneyim kazandım ve teslimat yöneticisi olarak hizmet vermek de dahil olmak üzere satış ve iş geliştirme tarafında birçok deneyime sahibim.
Ayrıca 1997’den beri uzun bir süredir kriptografik endüstrinin içindeyim. Bu, kriptografi geliştirmek veya satmakla dolu 26 yıl demek! Kriptografik geçişlerle ilgili önceki deneyimim Blackberry’de başladı.
Sektörü anlıyorum ve trendlerin yıllar içinde nasıl geliştiğini gördüm ve sektörü ileriye taşırken değerli olacak bilgiler edindim. CEO olarak, tüm rollerimi şirketin bütünsel bir görünümü ve kriptografik risk yönetimi etrafındaki hedeflerimizle birleştirebilirim.
Kuantum Bilişim Siber Güvenlik Hazırlık Yasası, post-kuantum bilişime geçişin önemini vurgulayan yasayla imzalandı. ISARA bu aciliyeti nasıl ele almayı ve bu geçiş sırasında işletmeleri ve devlet kurumlarını nasıl desteklemeyi planlıyor?
Kriptografik geçişlerin kritik olduğunu uzun zaman önce öğrendik. Aslında, ISARA’nın başlangıcından beri çeşitli sistemlerde kriptografinin nasıl taşınacağını deniyor ve sorunlu noktaların neler olduğunu soruyoruz.
Kuantum Bilişim Siber Güvenlik Hazırlık Yasası, federal kurumların kullanımda olan kriptografik varlıkların bir envanterini tutmasını, kuantum güvenlik açıklarını değerlendirmesini, kuantum sonrası kriptografik algoritmalar için kavram kanıtı testi gerçekleştirmesini ve ardından bu varlıkların geçişine öncelik vermesini gerektirir. Kanun ayrıca, envanter çıkarma sürecinin mümkün olan en geniş ölçüde otomatikleştirilmesini ve her kurumun bu süreci yıllık olarak tekrarlamasını talep etmektedir.
Bunlar, ISARA’nın birkaç yıldır odaklandığı kesin sorunlardır (sanki Yasayı biz yazmışız gibi!) 2019’da, işletmelerin bir BT ekosisteminde kullanılan kriptografiyi keşfetmelerine yardımcı olmak için Gelişmiş Kriptografik Envanter ve Risk Değerlendirme aracımızı kullanıma sunduk. , klasik saldırılardan veya kuantum saldırılarından kaynaklanan risk düzeyini anlamak ve kategorize etmek ve nihayetinde kuruluşların bu sistemleri geleceğe hazırlaması için bir yol sağlamak.
Son derece deneyimli mühendis ekibimiz ve kuantum uzmanlarımız tarafından desteklenen birinci sınıf yazılım geliştirme kitimiz ve PKI çözümlerimiz, kuruluşların kuantum güvenli algoritmaların nasıl uyum sağladığını görmek için post-kuantum kriptografik algoritmalar için kavram kanıtı testi yapmasına olanak tanır. onların sistemleri.
Kriptografi ve siber güvenlik konusundaki geçmişiniz ve ISARA’nın teknolojilerine ilişkin derin anlayışınız göz önüne alındığında, ISARA’nın tekliflerini PQC ve kriptografik risk yönetimi ihtiyaçlarını karşılayacak şekilde geliştirmesini nasıl görüyorsunuz?
Kriptografik riskler bugün, yarın ve kriptografik olarak ilgili kuantum bilgisayarlar (CRQC’ler) var olduktan sonra da var olmaya devam edecektir. ISARA’daki amacımız, kuruluşları ve hükümetleri altyapılarını kuantum güvenli bir duruma – ve ötesine – geçirmeye hazırlamaktır, çünkü sistemlere yönelik tek tehdit kuantum bilgisayarlar değildir.
ISARA’da kriptografik envanter yeteneklerimizi ve raporlama sistemlerimizi geliştirmeye ve iyileştirmeye devam edeceğiz. Müşterilerin bugün ve gelecekte riskleri kolayca azaltabilmeleri için geçişlerin hızlı, verimli ve uygun maliyetli olmasını sağlamak için gerekli olan araçları ve bileşenleri oluşturmaya ve hizmetleri genişletmeye devam edeceğiz.
Halihazırda kriptografik risk yönetimi temeline sahip olduğumuz için daha kolay adapte olabileceğiz.
Günümüzde kullanımda olan BT sistemlerinin çoğu onlarca yıllıktır ve modası geçmiş güvenlik tasarım felsefeleri etrafında tasarlanmıştır. Kuantum güvenli geçiş, BT ekosistemlerimizi modernize etmek, geçmiş yılların güvenlik açıklarını düzeltmek ve ileriye dönük risklerimizi yönetmek için sürdürülebilir bir model benimsemek için daha büyük bir fırsatın parçasıdır.
Bir düşünün: Bundan 10-15 yıl sonra, PQC sadece kriptografi olacak. Sıfır güven gibi, kuruluşların risk yönetimi programlarına dahil edilecektir. Bu nedenle kuruluşların PQC geçişlerini daha büyük bir hareketin parçası olarak düşünmeleri gerekir.
ISARA’da biz bunu anlıyoruz. Biz sadece bir PQC perspektifinden daha fazlası için geleceğe hazır sistemleriz – bundan daha uzun vadelidir. Bu, uzun vadede kripto çevikliği ile ilgilidir.
Kriptografik göçler çok büyük. Tüm endüstri şu anda bu ölçekte bir kriptografik geçişi üstlenmenin ne anlama geldiği hakkında çok şey öğreniyor. SHA-1’den SHA-2 hash işlevlerine geçişle paralellikler hakkında sık sık konuşuruz, özellikle geçişin onlarca yıl sürdüğü (ve bazı yerlerde hala devam ediyor) ve 10 yıl süren Triple-DES’ten AES’e geçiş . Bunlardan öğrenilecek iyi deneyimler ve dersler var, ancak gerçek şu ki, PQC geçişi çok daha girift ve karmaşık.
Liderlik ekibindeki son değişikliklerle birlikte, ISARA’nın önümüzdeki birkaç yıl için stratejik yönü nedir?
ISARA’da tek bir hedefimiz, tek bir odak noktamız var: kriptografik risk yönetimi.
Bizim için her şey odaklanmakla ilgili. 10 farklı şey yapmak ve bu 10 şeyi vasat yapmak yerine, birbirini tamamlayan ürün ve hizmetler etrafında stratejik bir odaklanma ile yürütmek istiyoruz. Bu, doğru ortaklarla işbirliğini içerecektir.
Kuantum bilgisayarların mevcut şifreleme standartlarına yönelik yaklaşan tehdidi göz önüne alındığında, teknoloji endüstrisinin bu değişime ne kadar hazır olduğuna inanıyorsunuz ve ISARA bu geçişe nasıl liderlik etmeyi planlıyor?
ISARA, başından beri kriptografik alanda bir lider olmuştur ve bunu ürün ve hizmet tekliflerimizi geliştirerek, ortaklarla işbirliği içinde çalışarak, odağımızı koruyarak ve stratejik vizyonumuzu yürüterek sürdürmeyi planlıyoruz. Örneğin geçen yıl, kuantum güvenli güvenliğe giden yolu kolaylaştırmaya yardımcı olmak için halka dört hibrit sertifika patenti ayırdık. Kripto çevik güvenlik standartlarını genişletmek ve kuruluşlar için kuantum bilgi işlem geçiş yolunu kolaylaştırmak için kritik dijital sertifika metodolojisini kullanıma sunmak, bahsettiğimiz temelin bir parçasıdır. Şimdi ve gelecekte güvenli sistemlerde kripto çevikliğini artırmanın yollarını aramaya devam edeceğiz.
En büyük risklerden biri kimlik doğrulamadır. Kuantum bilgisayarlar, bir PKI sistemini tek bir saldırıyla çökertme potansiyeline sahiptir, bu da güvenin tamamen çökmesi anlamına gelebilir. Bu nedenle NIST, anahtar kapsülleme/ortak anahtar şifreleme algoritmalarına paralel olarak bir dizi kuantum sonrası imza şemasını standart hale getiriyor.
Yarın bir CRQC ortaya çıkacak olsaydı, sektör ve mevcut güvenlik altyapısı henüz hazır olmazdı. Neyse ki, kuruluşların ve federal kurumların, gerektiğinde geçiş yapabilmeleri için sistemleri şimdi hazırlamaları için zaman var. Ek olarak, Kuantum Bilişim Siber Güvenlik Hazırlık Yasası ve NIST’in PQC standardizasyonundaki eylemleri gibi hükümetten gördüğümüz eylemler, kamu veya özel sektör herkesin bu kritik geçiş sorununu ciddiye almaya teşvik edilmesine gerçekten yardımcı oldu.