בדף הזה מוסבר איך להשתמש בתרשים תובנות לגבי קריפטוגרפיה פוסט-קוונטית (PQC) בסקירה הכללית של ניהול המפתחות ב-Cloud KMS במסוףCloud de Confiance כדי להעריך את מלאי המפתחות האסימטריים ולהתכונן למודרניזציה קריפטוגרפית בעתיד.
התפתחות המחשוב הקוונטי יוצרת איום פוטנציאלי על אלגוריתמים קריפטוגרפיים של מפתח ציבורי שנמצאים בשימוש נרחב. תרשים PQC insights עוזר לכם לזהות ולרשום מפתחות אסימטריים קלאסיים, ומספק את השקיפות שדרושה כדי לתכנן מודרניזציה עתידית ולהבטיח עמידות לטווח ארוך.
בדרך כלל נחשב שמפתחות סימטריים (כמו אלה שמשמשים ל-ENCRYPT_DECRYPT) עמידים בפני מתקפות של מחשבים קוונטיים, והם לא נכללים בלוח הבקרה הזה. מידע נוסף על אלגוריתמים שנתמכים על ידי Cloud KMS זמין במאמר מטרות ואלגוריתמים של מפתחות.
לפני שמתחילים
כדי לקבל את ההרשאות שנדרשות לצפייה בתובנות לגבי PQC, צריך לבקש מהאדמין להקצות לכם את תפקיד ה-IAM Cloud KMS Viewer (roles/cloudkms.viewer) בפרויקט.
- אפשר גם להריץ שאילתות ישירות בכלי להצגת נכסים ב-Cloud.
להסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.
יכול להיות שאפשר לקבל את ההרשאות הנדרשות גם באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש.
צפייה בתובנות לגבי איכות המודעות
בתרשים Asymmetric PQC insights מוצג פירוט חזותי ברמה גבוהה של המפתחות האסימטריים, על סמך הסיווג של האלגוריתמים שבהם הם משתמשים.
נכנסים לדף Key Management במסוף Cloud de Confiance .
לוחצים על הכרטיסייה סקירה כללית ואז עוברים לתרשים תובנות לגבי PQC אסימטרי.
אופציונלי: לוחצים על פלח בתרשים כדי לראות את מספר המפתחות שהוא מייצג. אפשר גם ללחוץ על הצגה ליד פלח כדי לראות טבלה עם פרטים על תובנות לגבי PQC אסימטרי.
בתרשים הזה המפתחות מחולקים לשתי קבוצות עיקריות:
- פוסט-קוונטי: מפתחות שמשתמשים באלגוריתמים קריפטוגרפיים שתוכננו במיוחד כדי לעמוד בפני מתקפות ממחשבים קוונטיים עתידיים.
- קלאסיים: מפתחות שמשתמשים באלגוריתמים אסימטריים קלאסיים (כמו RSA או ECC) שעדיין מאובטחים מפני מתקפות קלאסיות היום, אבל פגיעים למתקפות ממחשבים קוונטיים עתידיים.
בנוסף, המפתחות מחולקים בתרשים לפי המטרה הקריפטוגרפית שלהם וסוג הקריפטוגרפיה.
הסבר על טבלת הפרטים
בטבלה שבדף הזה מפורטים המפתחות האסימטריים בפרויקט הנוכחי, ומופיעים בה הפרטים הבאים:
- שם המפתח: השם של המפתח. לוחצים על השם כדי לעבור לדף פרטי המפתח של המפתח הספציפי הזה.
- מיקום: המיקום שבו נמצא המפתח.
- רמת ההגנה: רמת ההגנה של המפתח.
- מטרה: המטרה הקריפטוגרפית של המפתח, לדוגמה,
ASYMMETRIC_SIGN. - סוג הקריפטוגרפיה: מציין אם המפתח משתמש ב-PQC או באלגוריתם קלאסי.
אפשר להשתמש בסרגל הסינון שמעל הטבלה כדי לצמצם את רשימת המפתחות לפי כל אחד מהמאפיינים האלה.
הערכת מפתחות קלאסיים לצורך מודרניזציה עתידית
כדאי לבדוק את המפתחות האסימטריים הקיימים שלכם לאלגוריתמים אסימטריים קלאסיים שאפשר להעביר לחלופות פוסט-קוונטיות. המפתחות האלה עדיין מספקים הגנה חזקה מפני מתקפות קלאסיות. עם זאת, אימוץ אלגוריתמים פוסט-קוונטיים עוזר להבטיח עמידות לטווח ארוך מפני איומים קוונטיים פוטנציאליים בעתיד. בטבלה הבאה מפורטים אלגוריתמים ומטרות עיקריות, ומוסבר אם כל אחד מהם נחשב מאובטח פוסט-קוונטי.
| מטרה | אלגוריתמים | סוג ההצפנה | חלופה פוסט-קוונטית |
|---|---|---|---|
ASYMMETRIC_SIGN |
EC_SIGN_* |
קלאסי | ASYMMETRIC_SIGN עם PQ_SIGN_* אלגוריתמים |
ASYMMETRIC_SIGN |
RSA_SIGN_* |
קלאסי | ASYMMETRIC_SIGN עם PQ_SIGN_* אלגוריתמים |
ASYMMETRIC_SIGN |
PQ_SIGN_* |
PQC | חסין מפני פיצוח קוונטי |
ASYMMETRIC_DECRYPT |
RSA_DECRYPT_* |
קלאסי | KEY_ENCAPSULATION אלגוריתמים |
KEY_ENCAPSULATION |
הכול | PQC | חסין מפני פיצוח קוונטי |
הטמעה של תקני PQC מוקדם ככל האפשר מספקת את היתרונות הבאים:
- החלפת מפתחות
ASYMMETRIC_DECRYPTבמפתחותKEY_ENCAPSULATIONעוזרת להגן על הנתונים המוצפנים מפני מתקפות מסוג "איסוף עכשיו, פענוח אחר כך" (HNDL), שבהן גורם זדוני מיירט את הטקסט המוצפן בלי אפשרות לפענח אותו, אבל מאחסן את הטקסט המוצפן בתקווה שיום אחד הוא יפצח את ההצפנה. - החלפת מפתחות
ASYMMETRIC_SIGNשמשתמשים באלגוריתמיםEC_SIGN_*אוRSA_SIGN_*באלגוריתםPQ_SIGN_*מספקת אי-כפירה לטווח ארוך בחתימות שלכם.
זיהוי מפתחות באמצעות מאגר משאבי הענן
אתם יכולים להשתמש במאגר משאבי הענן כדי ליצור רשימה ולסנן את נכסי Cloud KMS לפי סוג אלגוריתם באופן פרוגרמטי.
חיפוש בכל הארגון
כדי להציג רשימה של מפתחות שמשתמשים באלגוריתמים פוסט-קוונטיים כמו
PQ_SIGN_*,ML_KEM_*אוKEM_XWING, מריצים את הפקודה הבאה:gcloud asset list \ --organization=ORGANIZATION_ID \ --asset-types="cloudkms.googleapis.com/CryptoKey" \ --content-type=resource \ --filter='(resource.data.purpose = "ASYMMETRIC_SIGN" OR resource.data.purpose = "ASYMMETRIC_DECRYPT" OR resource.data.purpose = "KEY_ENCAPSULATION") AND (resource.data.versionTemplate.algorithm:PQ_SIGN* OR resource.data.versionTemplate.algorithm:ML_KEM* OR resource.data.versionTemplate.algorithm = "KEM_XWING")' \ --format='table(name.segment(1):label=PROJECT, name.segment(-3):label=KEY_RING, name.segment(-1):label=CRYPTO_KEY, resource.data.purpose:label=PURPOSE, resource.data.versionTemplate.algorithm:label=ALGORITHM)'כדי להציג רשימה של מפתחות אסימטריים שלא משתמשים באלגוריתמים פוסט-קוונטיים – במילים אחרות, מפתחות אסימטריים שמשתמשים באלגוריתמים קלאסיים – מריצים את הפקודה הבאה:
gcloud asset list \ --organization=ORGANIZATION_ID \ --asset-types="cloudkms.googleapis.com/CryptoKey" \ --content-type=resource \ --filter='(resource.data.purpose = "ASYMMETRIC_SIGN" OR resource.data.purpose = "ASYMMETRIC_DECRYPT" OR resource.data.purpose = "KEY_ENCAPSULATION") AND NOT (resource.data.versionTemplate.algorithm:PQ_SIGN* OR resource.data.versionTemplate.algorithm:ML_KEM* OR resource.data.versionTemplate.algorithm = "KEM_XWING")' \ --format='table(name.segment(1):label=PROJECT, name.segment(-3):label=KEY_RING, name.segment(-1):label=CRYPTO_KEY, resource.data.purpose:label=PURPOSE, resource.data.versionTemplate.algorithm:label=ALGORITHM)'
חיפוש בפרויקט
מוודאים ש-Google Cloud CLI מכוון לפרויקט הנכון:
gcloud config set project PROJECT_IDכדי להציג רשימה של מפתחות שמשתמשים באלגוריתמים פוסט-קוונטיים כמו
PQ_SIGN_*,ML_KEM_*אוKEM_XWING, מריצים את הפקודה הבאה:gcloud asset list \ --project="$(gcloud config get-value project)" \ --asset-types="cloudkms.googleapis.com/CryptoKey" \ --content-type=resource \ --filter='(resource.data.purpose = "ASYMMETRIC_SIGN" OR resource.data.purpose = "ASYMMETRIC_DECRYPT" OR resource.data.purpose = "KEY_ENCAPSULATION") AND (resource.data.versionTemplate.algorithm:PQ_SIGN* OR resource.data.versionTemplate.algorithm:ML_KEM* OR resource.data.versionTemplate.algorithm = "KEM_XWING")' \ --format='table(name.segment(-3):label=KEY_RING, name.segment(-1):label=CRYPTO_KEY, resource.data.purpose:label=PURPOSE, resource.data.versionTemplate.algorithm:label=ALGORITHM)'כדי להציג רשימה של מפתחות אסימטריים שלא משתמשים באלגוריתמים עמידים למחשוב קוונטי – במילים אחרות, מפתחות אסימטריים שמשתמשים באלגוריתמים קלאסיים – מריצים את הפקודה הבאה:
gcloud asset list \ --project="$(gcloud config get-value project)" \ --asset-types="cloudkms.googleapis.com/CryptoKey" \ --content-type=resource \ --filter='(resource.data.purpose = "ASYMMETRIC_SIGN" OR resource.data.purpose = "ASYMMETRIC_DECRYPT" OR resource.data.purpose = "KEY_ENCAPSULATION") AND NOT (resource.data.versionTemplate.algorithm:PQ_SIGN* OR resource.data.versionTemplate.algorithm:ML_KEM* OR resource.data.versionTemplate.algorithm = "KEM_XWING")' \ --format='table(name.segment(-3):label=KEY_RING, name.segment(-1):label=CRYPTO_KEY, resource.data.purpose:label=PURPOSE, resource.data.versionTemplate.algorithm:label=ALGORITHM)'
נתיבי מודרניזציה מומלצים
כדי לצמצם את הסיכון להתקפות קוונטיות, צריך להפסיק להשתמש במפתחות אסימטריים שמבוססים על אלגוריתמים קלאסיים.
- למפתחות פענוח אסימטריים: למפתחות שמשמשים לפענוח אסימטרי, אפשר להחליף את ההצפנה האסימטרית בהצפנה היברידית של מפתח ציבורי (HPKE) כדי לעדכן את המלאי. ב-HPKE, משתמשים במפתחות עם המטרה
KEY_ENCAPSULATIONשמשתמשים באלגוריתם פוסט-קוונטי כמוML_KEM_768כדי לשתף סוד. מידע נוסף זמין במאמר בנושא מנגנוני הצפנה של מפתחות. - למפתחות חתימה אסימטריים: כדי ליצור חתימות דיגיטליות, אפשר לחדש את מלאי המפתחות על ידי יצירת מפתחות חדשים עם הייעוד
ASYMMETRIC_SIGNשמשתמשים באלגוריתם פוסט-קוונטי כמוPQ_SIGN_ML_DSA_65.
עמידות של מפתחות סימטריים בפני מחשוב קוונטי
בשונה מהמפתחות האסימטריים שמוצגים בתרשים תובנות לגבי PQC אסימטרי, מפתחות סימטריים נחשבים בדרך כלל לעמידים בפני מתקפות של מחשבים קוונטיים. יוצא מן הכלל בולט הוא מפתחות MAC שמשתמשים באלגוריתם HMAC-SHA1.
מידע נוסף על אלגוריתמים שונים זמין במאמר מטרות ואלגוריתמים של מפתחות.
המאמרים הבאים
- מעיינים במטרות ובאלגוריתמים העיקריים שזמינים.
- מידע נוסף על הצפנת מפתח