Questa pagina descrive come utilizzare il grafico Approfondimenti sulla crittografia post-quantistica (PQC) nella Panoramica della gestione delle chiavi di Cloud KMS nella consoleCloud de Confiance per valutare l'inventario delle chiavi asimmetriche e prepararsi per la futura modernizzazione della crittografia.
L'avvento del computing quantistico rappresenta una potenziale minaccia per gli algoritmi crittografici a chiave pubblica ampiamente utilizzati. Il grafico Approfondimenti su PQC ti aiuta a identificare e inventariare le chiavi asimmetriche classiche, fornendo la visibilità necessaria per pianificare la modernizzazione futura e garantire la resilienza a lungo termine.
Le chiavi simmetriche (come quelle utilizzate per ENCRYPT_DECRYPT) sono generalmente
considerate resistenti agli attacchi dei computer quantistici e non sono incluse in questa
dashboard. Per ulteriori informazioni sugli algoritmi supportati da
Cloud KMS, consulta Scopi e algoritmi delle chiavi.
Prima di iniziare
Per ottenere le autorizzazioni
necessarie per visualizzare gli approfondimenti PQC,
chiedi all'amministratore di concederti il ruolo IAM
Cloud KMS Viewer (roles/cloudkms.viewer) nel progetto.
- Puoi anche eseguire query direttamente sul visualizzatore di Cloud Asset.
Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.
Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.
Visualizzare gli insight PQC
Il grafico Insight PQC asimmetrici fornisce una suddivisione visiva di alto livello delle tue chiavi asimmetriche in base alla classificazione degli algoritmi che utilizzano.
Nella console Cloud de Confiance , vai alla pagina Key Management.
Fai clic sulla scheda Panoramica e poi sul grafico Insight PQC asimmetrici.
(Facoltativo) Fai clic su un segmento del grafico per visualizzare il numero di chiavi che rappresenta. Puoi anche fare clic su Visualizza per un segmento per visualizzare una tabella dei Dettagli degli insight PQC asimmetrici.
Questo grafico classifica le chiavi in due gruppi principali:
- Post-quantistiche: chiavi che utilizzano algoritmi crittografici specificamente progettati per resistere agli attacchi dei futuri computer quantistici.
- Classiche: chiavi che utilizzano algoritmi asimmetrici classici (come RSA o ECC) che oggi rimangono sicure contro gli attacchi classici, ma sono suscettibili agli attacchi di futuri computer quantistici.
Il grafico segmenta ulteriormente queste chiavi in base allo scopo crittografico e al tipo di crittografia.
Informazioni sulla tabella dei dettagli
La tabella in questa pagina elenca le chiavi asimmetriche all'interno del progetto attuale e fornisce le seguenti informazioni:
- Nome chiave:il nome della chiave. Fai clic sul nome per accedere alla pagina Dettagli chiave per quella chiave specifica.
- Posizione:la posizione in cui si trova la chiave.
- Livello di protezione:il livello di protezione della chiave.
- Scopo:lo scopo crittografico della chiave, ad esempio
ASYMMETRIC_SIGN. - Tipo di crittografia:indica se la chiave utilizza un algoritmo PQC o classico.
Puoi utilizzare la barra dei filtri sopra la tabella per perfezionare l'elenco delle chiavi in base a uno qualsiasi di questi attributi.
Valuta le chiavi classiche per la modernizzazione futura
Devi esaminare le chiavi asimmetriche esistenti per gli algoritmi asimmetrici classici che potrebbero essere convertiti in alternative post-quantistiche. Queste chiavi offrono comunque una protezione efficace contro gli attacchi classici. Tuttavia, l'adozione di algoritmi post-quantistici contribuisce a garantire la resilienza a lungo termine contro potenziali minacce quantistiche future. La tabella seguente elenca gli scopi e gli algoritmi delle chiavi e indica se ciascuno è considerato sicuro post-quantistico.
| Finalità | Algoritmi | Tipo di crittografia | Alternativa post-quantistica |
|---|---|---|---|
ASYMMETRIC_SIGN |
EC_SIGN_* |
Classica | ASYMMETRIC_SIGN con PQ_SIGN_* algoritmi |
ASYMMETRIC_SIGN |
RSA_SIGN_* |
Classica | ASYMMETRIC_SIGN con PQ_SIGN_* algoritmi |
ASYMMETRIC_SIGN |
PQ_SIGN_* |
PQC | Sicuro per il post-quantum |
ASYMMETRIC_DECRYPT |
RSA_DECRYPT_* |
Classica | KEY_ENCAPSULATION algoritmi |
KEY_ENCAPSULATION |
Tutti | PQC | Sicuro per il post-quantum |
L'adozione degli standard PQC prima possibile offre i seguenti vantaggi:
- La sostituzione delle chiavi
ASYMMETRIC_DECRYPTcon le chiaviKEY_ENCAPSULATIONcontribuisce a proteggere i tuoi dati criptati dagli attacchi "Harvest Now, Decrypt Later" (HNDL), in cui un malintenzionato intercetta il testo cifrato senza alcun modo di decriptarlo, ma lo memorizza nella speranza di decriptare un giorno la crittografia. - La sostituzione delle chiavi
ASYMMETRIC_SIGNche utilizzano gli algoritmiEC_SIGN_*oRSA_SIGN_*con un algoritmoPQ_SIGN_*fornisce una non ripudiabilità a lungo termine per le tue firme.
Identificare le chiavi con Cloud Asset Inventory
Puoi utilizzare Cloud Asset Inventory per elencare e filtrare in modo programmatico gli asset Cloud KMS in base al tipo di algoritmo.
Cercare in un'organizzazione
Per elencare le chiavi che utilizzano algoritmi post-quantistici come
PQ_SIGN_*,ML_KEM_*oKEM_XWING, esegui questo comando:gcloud asset list \ --organization=ORGANIZATION_ID \ --asset-types="cloudkms.googleapis.com/CryptoKey" \ --content-type=resource \ --filter='(resource.data.purpose = "ASYMMETRIC_SIGN" OR resource.data.purpose = "ASYMMETRIC_DECRYPT" OR resource.data.purpose = "KEY_ENCAPSULATION") AND (resource.data.versionTemplate.algorithm:PQ_SIGN* OR resource.data.versionTemplate.algorithm:ML_KEM* OR resource.data.versionTemplate.algorithm = "KEM_XWING")' \ --format='table(name.segment(1):label=PROJECT, name.segment(-3):label=KEY_RING, name.segment(-1):label=CRYPTO_KEY, resource.data.purpose:label=PURPOSE, resource.data.versionTemplate.algorithm:label=ALGORITHM)'Per elencare le chiavi asimmetriche che non utilizzano algoritmi post-quantistici, in altre parole, le chiavi asimmetriche che utilizzano algoritmi classici, esegui il seguente comando:
gcloud asset list \ --organization=ORGANIZATION_ID \ --asset-types="cloudkms.googleapis.com/CryptoKey" \ --content-type=resource \ --filter='(resource.data.purpose = "ASYMMETRIC_SIGN" OR resource.data.purpose = "ASYMMETRIC_DECRYPT" OR resource.data.purpose = "KEY_ENCAPSULATION") AND NOT (resource.data.versionTemplate.algorithm:PQ_SIGN* OR resource.data.versionTemplate.algorithm:ML_KEM* OR resource.data.versionTemplate.algorithm = "KEM_XWING")' \ --format='table(name.segment(1):label=PROJECT, name.segment(-3):label=KEY_RING, name.segment(-1):label=CRYPTO_KEY, resource.data.purpose:label=PURPOSE, resource.data.versionTemplate.algorithm:label=ALGORITHM)'
Cercare in un progetto
Assicurati che Google Cloud CLI abbia come target il progetto corretto:
gcloud config set project PROJECT_IDPer elencare le chiavi che utilizzano algoritmi post-quantistici come
PQ_SIGN_*,ML_KEM_*oKEM_XWING, esegui questo comando:gcloud asset list \ --project="$(gcloud config get-value project)" \ --asset-types="cloudkms.googleapis.com/CryptoKey" \ --content-type=resource \ --filter='(resource.data.purpose = "ASYMMETRIC_SIGN" OR resource.data.purpose = "ASYMMETRIC_DECRYPT" OR resource.data.purpose = "KEY_ENCAPSULATION") AND (resource.data.versionTemplate.algorithm:PQ_SIGN* OR resource.data.versionTemplate.algorithm:ML_KEM* OR resource.data.versionTemplate.algorithm = "KEM_XWING")' \ --format='table(name.segment(-3):label=KEY_RING, name.segment(-1):label=CRYPTO_KEY, resource.data.purpose:label=PURPOSE, resource.data.versionTemplate.algorithm:label=ALGORITHM)'Per elencare le chiavi asimmetriche che non utilizzano algoritmi post-quantistici, in altre parole, le chiavi asimmetriche che utilizzano algoritmi classici, esegui il seguente comando:
gcloud asset list \ --project="$(gcloud config get-value project)" \ --asset-types="cloudkms.googleapis.com/CryptoKey" \ --content-type=resource \ --filter='(resource.data.purpose = "ASYMMETRIC_SIGN" OR resource.data.purpose = "ASYMMETRIC_DECRYPT" OR resource.data.purpose = "KEY_ENCAPSULATION") AND NOT (resource.data.versionTemplate.algorithm:PQ_SIGN* OR resource.data.versionTemplate.algorithm:ML_KEM* OR resource.data.versionTemplate.algorithm = "KEM_XWING")' \ --format='table(name.segment(-3):label=KEY_RING, name.segment(-1):label=CRYPTO_KEY, resource.data.purpose:label=PURPOSE, resource.data.versionTemplate.algorithm:label=ALGORITHM)'
Percorsi di modernizzazione consigliati
Per mitigare i rischi derivanti da attacchi quantistici, abbandona le chiavi asimmetriche che utilizzano algoritmi classici.
- Per le chiavi di decrittografia asimmetrica:per le chiavi utilizzate per la decrittografia asimmetrica, puoi modernizzare l'inventario sostituendo la crittografia asimmetrica con la crittografia ibrida a chiave pubblica (HPKE). In HPKE, utilizzi chiavi
con lo scopo
KEY_ENCAPSULATIONche utilizzano un algoritmo post-quantistico comeML_KEM_768per condividere un segreto. Per saperne di più, consulta Meccanismi di incapsulamento delle chiavi. - Per le chiavi di firma asimmetriche:per le firme digitali, puoi modernizzare
il tuo inventario creando nuove chiavi con lo scopo
ASYMMETRIC_SIGNche utilizzano un algoritmo post-quantistico comePQ_SIGN_ML_DSA_65.
Resilienza post-quantistica delle chiavi simmetriche
A differenza delle chiavi asimmetriche al centro del grafico Insight PQC asimmetrici, le chiavi simmetriche sono generalmente considerate resistenti agli attacchi dei computer quantistici. L'eccezione degna di nota sono le chiavi MAC che utilizzano l'algoritmo HMAC-SHA1.
Per saperne di più sui diversi algoritmi, consulta Scopi e algoritmi delle chiavi.
Passaggi successivi
- Esamina le finalità e gli algoritmi delle chiavi disponibili.
- Scopri di più sull'incapsulamento delle chiavi.