צפייה בתובנות לגבי קריפטוגרפיה פוסט-קוונטית (PQC) אסימטרית

בדף הזה מוסבר איך להשתמש בתרשים תובנות לגבי קריפטוגרפיה פוסט-קוונטית (PQC) בסקירה הכללית של ניהול המפתחות ב-Cloud KMS במסוףCloud de Confiance כדי להעריך את מלאי המפתחות האסימטריים ולהתכונן למודרניזציה קריפטוגרפית בעתיד.

התפתחות המחשוב הקוונטי יוצרת איום פוטנציאלי על אלגוריתמים קריפטוגרפיים של מפתח ציבורי שנמצאים בשימוש נרחב. תרשים PQC insights עוזר לכם לזהות ולרשום מפתחות אסימטריים קלאסיים, ומספק את השקיפות שדרושה כדי לתכנן מודרניזציה עתידית ולהבטיח עמידות לטווח ארוך.

בדרך כלל נחשב שמפתחות סימטריים (כמו אלה שמשמשים ל-ENCRYPT_DECRYPT) עמידים בפני מתקפות של מחשבים קוונטיים, והם לא נכללים בלוח הבקרה הזה. מידע נוסף על אלגוריתמים שנתמכים על ידי Cloud KMS זמין במאמר מטרות ואלגוריתמים של מפתחות.

לפני שמתחילים

כדי לקבל את ההרשאות שנדרשות לצפייה בתובנות לגבי PQC, צריך לבקש מהאדמין להקצות לכם את תפקיד ה-IAM‏ Cloud KMS Viewer (‏roles/cloudkms.viewer) בפרויקט.

צפייה בתובנות לגבי איכות המודעות

בתרשים Asymmetric PQC insights מוצג פירוט חזותי ברמה גבוהה של המפתחות האסימטריים, על סמך הסיווג של האלגוריתמים שבהם הם משתמשים.

  1. נכנסים לדף Key Management במסוף Cloud de Confiance .

    כניסה אל Key Management

  2. לוחצים על הכרטיסייה סקירה כללית ואז עוברים לתרשים תובנות לגבי PQC אסימטרי.

  3. אופציונלי: לוחצים על פלח בתרשים כדי לראות את מספר המפתחות שהוא מייצג. אפשר גם ללחוץ על הצגה ליד פלח כדי לראות טבלה עם פרטים על תובנות לגבי PQC אסימטרי.

בתרשים הזה המפתחות מחולקים לשתי קבוצות עיקריות:

  • פוסט-קוונטי: מפתחות שמשתמשים באלגוריתמים קריפטוגרפיים שתוכננו במיוחד כדי לעמוד בפני מתקפות ממחשבים קוונטיים עתידיים.
  • קלאסיים: מפתחות שמשתמשים באלגוריתמים אסימטריים קלאסיים (כמו RSA או ECC) שעדיין מאובטחים מפני מתקפות קלאסיות היום, אבל פגיעים למתקפות ממחשבים קוונטיים עתידיים.

בנוסף, המפתחות מחולקים בתרשים לפי המטרה הקריפטוגרפית שלהם וסוג הקריפטוגרפיה.

הסבר על טבלת הפרטים

בטבלה שבדף הזה מפורטים המפתחות האסימטריים בפרויקט הנוכחי, ומופיעים בה הפרטים הבאים:

  • שם המפתח: השם של המפתח. לוחצים על השם כדי לעבור לדף פרטי המפתח של המפתח הספציפי הזה.
  • מיקום: המיקום שבו נמצא המפתח.
  • רמת ההגנה: רמת ההגנה של המפתח.
  • מטרה: המטרה הקריפטוגרפית של המפתח, לדוגמה, ASYMMETRIC_SIGN.
  • סוג הקריפטוגרפיה: מציין אם המפתח משתמש ב-PQC או באלגוריתם קלאסי.

אפשר להשתמש בסרגל הסינון שמעל הטבלה כדי לצמצם את רשימת המפתחות לפי כל אחד מהמאפיינים האלה.

הערכת מפתחות קלאסיים לצורך מודרניזציה עתידית

כדאי לבדוק את המפתחות האסימטריים הקיימים שלכם לאלגוריתמים אסימטריים קלאסיים שאפשר להעביר לחלופות פוסט-קוונטיות. המפתחות האלה עדיין מספקים הגנה חזקה מפני מתקפות קלאסיות. עם זאת, אימוץ אלגוריתמים פוסט-קוונטיים עוזר להבטיח עמידות לטווח ארוך מפני איומים קוונטיים פוטנציאליים בעתיד. בטבלה הבאה מפורטים אלגוריתמים ומטרות עיקריות, ומוסבר אם כל אחד מהם נחשב מאובטח פוסט-קוונטי.

מטרה אלגוריתמים סוג ההצפנה חלופה פוסט-קוונטית
ASYMMETRIC_SIGN EC_SIGN_* קלאסי ASYMMETRIC_SIGN עם PQ_SIGN_* אלגוריתמים
ASYMMETRIC_SIGN RSA_SIGN_* קלאסי ASYMMETRIC_SIGN עם PQ_SIGN_* אלגוריתמים
ASYMMETRIC_SIGN PQ_SIGN_* PQC חסין מפני פיצוח קוונטי
ASYMMETRIC_DECRYPT RSA_DECRYPT_* קלאסי KEY_ENCAPSULATION אלגוריתמים
KEY_ENCAPSULATION הכול PQC חסין מפני פיצוח קוונטי

הטמעה של תקני PQC מוקדם ככל האפשר מספקת את היתרונות הבאים:

  • החלפת מפתחות ASYMMETRIC_DECRYPT במפתחות KEY_ENCAPSULATION עוזרת להגן על הנתונים המוצפנים מפני מתקפות מסוג "איסוף עכשיו, פענוח אחר כך" (HNDL), שבהן גורם זדוני מיירט את הטקסט המוצפן בלי אפשרות לפענח אותו, אבל מאחסן את הטקסט המוצפן בתקווה שיום אחד הוא יפצח את ההצפנה.
  • החלפת מפתחות ASYMMETRIC_SIGN שמשתמשים באלגוריתמים EC_SIGN_* או RSA_SIGN_* באלגוריתם PQ_SIGN_* מספקת אי-כפירה לטווח ארוך בחתימות שלכם.

זיהוי מפתחות באמצעות מאגר משאבי הענן

אתם יכולים להשתמש במאגר משאבי הענן כדי ליצור רשימה ולסנן את נכסי Cloud KMS לפי סוג אלגוריתם באופן פרוגרמטי.

חיפוש בכל הארגון

  1. כדי להציג רשימה של מפתחות שמשתמשים באלגוריתמים פוסט-קוונטיים כמו PQ_SIGN_*,‏ ML_KEM_* או KEM_XWING, מריצים את הפקודה הבאה:

    gcloud asset list \
      --organization=ORGANIZATION_ID \
      --asset-types="cloudkms.googleapis.com/CryptoKey" \
      --content-type=resource \
      --filter='(resource.data.purpose = "ASYMMETRIC_SIGN" OR resource.data.purpose = "ASYMMETRIC_DECRYPT" OR resource.data.purpose = "KEY_ENCAPSULATION") AND (resource.data.versionTemplate.algorithm:PQ_SIGN* OR resource.data.versionTemplate.algorithm:ML_KEM* OR resource.data.versionTemplate.algorithm = "KEM_XWING")' \
      --format='table(name.segment(1):label=PROJECT, name.segment(-3):label=KEY_RING, name.segment(-1):label=CRYPTO_KEY, resource.data.purpose:label=PURPOSE, resource.data.versionTemplate.algorithm:label=ALGORITHM)'
    
  2. כדי להציג רשימה של מפתחות אסימטריים שלא משתמשים באלגוריתמים פוסט-קוונטיים – במילים אחרות, מפתחות אסימטריים שמשתמשים באלגוריתמים קלאסיים – מריצים את הפקודה הבאה:

    gcloud asset list \
      --organization=ORGANIZATION_ID \
      --asset-types="cloudkms.googleapis.com/CryptoKey" \
      --content-type=resource \
      --filter='(resource.data.purpose = "ASYMMETRIC_SIGN" OR resource.data.purpose = "ASYMMETRIC_DECRYPT" OR resource.data.purpose = "KEY_ENCAPSULATION") AND NOT (resource.data.versionTemplate.algorithm:PQ_SIGN* OR resource.data.versionTemplate.algorithm:ML_KEM* OR resource.data.versionTemplate.algorithm = "KEM_XWING")' \
      --format='table(name.segment(1):label=PROJECT, name.segment(-3):label=KEY_RING, name.segment(-1):label=CRYPTO_KEY, resource.data.purpose:label=PURPOSE, resource.data.versionTemplate.algorithm:label=ALGORITHM)'
    

חיפוש בפרויקט

  1. מוודאים ש-Google Cloud CLI מכוון לפרויקט הנכון:

    gcloud config set project PROJECT_ID
    
  2. כדי להציג רשימה של מפתחות שמשתמשים באלגוריתמים פוסט-קוונטיים כמו PQ_SIGN_*,‏ ML_KEM_* או KEM_XWING, מריצים את הפקודה הבאה:

    gcloud asset list \
      --project="$(gcloud config get-value project)" \
      --asset-types="cloudkms.googleapis.com/CryptoKey" \
      --content-type=resource \
      --filter='(resource.data.purpose = "ASYMMETRIC_SIGN" OR resource.data.purpose = "ASYMMETRIC_DECRYPT" OR resource.data.purpose = "KEY_ENCAPSULATION") AND (resource.data.versionTemplate.algorithm:PQ_SIGN* OR resource.data.versionTemplate.algorithm:ML_KEM* OR resource.data.versionTemplate.algorithm = "KEM_XWING")' \
      --format='table(name.segment(-3):label=KEY_RING, name.segment(-1):label=CRYPTO_KEY, resource.data.purpose:label=PURPOSE, resource.data.versionTemplate.algorithm:label=ALGORITHM)'
    
  3. כדי להציג רשימה של מפתחות אסימטריים שלא משתמשים באלגוריתמים עמידים למחשוב קוונטי – במילים אחרות, מפתחות אסימטריים שמשתמשים באלגוריתמים קלאסיים – מריצים את הפקודה הבאה:

    gcloud asset list \
      --project="$(gcloud config get-value project)" \
      --asset-types="cloudkms.googleapis.com/CryptoKey" \
      --content-type=resource \
      --filter='(resource.data.purpose = "ASYMMETRIC_SIGN" OR resource.data.purpose = "ASYMMETRIC_DECRYPT" OR resource.data.purpose = "KEY_ENCAPSULATION") AND NOT (resource.data.versionTemplate.algorithm:PQ_SIGN* OR resource.data.versionTemplate.algorithm:ML_KEM* OR resource.data.versionTemplate.algorithm = "KEM_XWING")' \
      --format='table(name.segment(-3):label=KEY_RING, name.segment(-1):label=CRYPTO_KEY, resource.data.purpose:label=PURPOSE, resource.data.versionTemplate.algorithm:label=ALGORITHM)'
    

כדי לצמצם את הסיכון להתקפות קוונטיות, צריך להפסיק להשתמש במפתחות אסימטריים שמבוססים על אלגוריתמים קלאסיים.

  • למפתחות פענוח אסימטריים: למפתחות שמשמשים לפענוח אסימטרי, אפשר להחליף את ההצפנה האסימטרית בהצפנה היברידית של מפתח ציבורי (HPKE) כדי לעדכן את המלאי. ב-HPKE, משתמשים במפתחות עם המטרה KEY_ENCAPSULATION שמשתמשים באלגוריתם פוסט-קוונטי כמו ML_KEM_768 כדי לשתף סוד. מידע נוסף זמין במאמר בנושא מנגנוני הצפנה של מפתחות.
  • למפתחות חתימה אסימטריים: כדי ליצור חתימות דיגיטליות, אפשר לחדש את מלאי המפתחות על ידי יצירת מפתחות חדשים עם הייעוד ASYMMETRIC_SIGN שמשתמשים באלגוריתם פוסט-קוונטי כמו PQ_SIGN_ML_DSA_65.

עמידות של מפתחות סימטריים בפני מחשוב קוונטי

בשונה מהמפתחות האסימטריים שמוצגים בתרשים תובנות לגבי PQC אסימטרי, מפתחות סימטריים נחשבים בדרך כלל לעמידים בפני מתקפות של מחשבים קוונטיים. יוצא מן הכלל בולט הוא מפתחות MAC שמשתמשים באלגוריתם HMAC-SHA1. מידע נוסף על אלגוריתמים שונים זמין במאמר מטרות ואלגוריתמים של מפתחות.

המאמרים הבאים