Finansbranschens brådskande roll i förberedelserna inför kvanthotet

Ocuco-landskapet National Cyber ​​Security Center (NCSC) har varnat för att även om det är kostsamt att samla in och lagra stora mängder data i åratal, kan kvantdatorernas ankomst under det kommande decenniet göra sådana ansträngningar värdefulla för hackare. ”Med tanke på kostnaden för att lagra stora mängder gammal data i årtionden är en sådan attack sannolikt bara värd att betala för information av mycket högt värde”, säger NCSC uppgav.  

I detta betonade Anne Neuberger, USA:s biträdande nationella säkerhetsrådgivare för cyber och framväxande teknologi, att "Det finns säkert en del data som är tidskänsliga, som ett fartyg som transporterar vapen till ett sanktionerat land, förmodligen om åtta år bryr vi oss inte om det längre." På samma sätt, när du gör en onlinebetalning, överförs kortuppgifterna och bankerna godkänna eller avvisa transaktionen nästan omedelbartÄven om någon registrerar dessa uppgifter nu, skulle de inte vara värdefulla senare eftersom transaktionen behandlas omedelbart.

Detta begränsar risken för en "Samla nu, dekryptera senare”attack. Men för personliga betalningar med chip-och-PIN, ibland terminalen ansluter inte till banken i realtid (t.ex. på flygplan eller i avlägsna områden). Dessa är beroende av kortets egen autentisering, som använder RSA/ECCI framtiden skulle kvantdatorer kunna förfalska denna autentisering, vilket gör det möjligt att kringgå säkerhet utan bankens godkännande. 

Med tanke på vikten av känsliga uppgifter måste finanssektorn ta ledningen i att anta post-kvantkryptografi, eftersom insatserna är exceptionellt höga, kan en framgångsrik kvantaktiverad cyberattack äventyra tillgångar värda biljoner dollar, störa marknader, kompromettera kortbetalningar eller PCI-data. Inom finansbranschen tar säkerhetsuppgraderingar år. Kort, terminaler och backend-system måste alla förändras samtidigt, en process som inte kan göras över en natt.  

Förstå befintliga bankprotokoll

De flesta korttransaktioner världen över använder EMV-standarden, som täcker nästan 90 % av personliga betalningar som görs med kort. Denna standard använder asymmetrisk kryptografi (RSA) för att autentisera kort och symmetrisk kryptografi för att generera transaktionscertifikat, vilket säkerställer att transaktionen är säker. 

EMV-kort använder tre huvudsakliga autentiseringsmetoder. Statisk dataautentisering (SDA) gör det möjligt för ett kort att skicka signerade statiska data för att bevisa äkthet, men är sårbart för kloning. Dynamisk dataautentisering (DDA) förbättrar säkerheten genom att kortet signerar en utmaning under en transaktion, men det lämnar fortfarande senare transaktionssteg mindre skyddade. Kombinerad dataautentisering (CDA) stärker denna process genom att lägga till ytterligare signering, vilket gör den till den säkraste metoden som används för närvarande. Offlinetransaktioner, där ingen live internetverifiering är möjlig, är starkt beroende av dessa autentiseringsmetoder som är säkrade med offentlig nyckelkryptografi, vilket är en potentiell risk eftersom kvantdatorer så småningom skulle kunna skapa dessa kryptografiska skydd. 

För att framtidssäkra dessa system har forskare testat postkvantkryptografi (PQ), som använder nya krypteringstekniker utformade för att motstå attacker från kvantdatorer.

Verkliga tester av PQ-säkerhet

In verkliga tester, NIST-forskare syftade till att skydda kortbetalningar från framtida hot från kvantdatorer genom att förbättra befintliga EMV-betalningsprotokoll. De modifierade två standardprotokoll för att införliva Post-Quantum (PQ) kryptografiska algoritmer, vilka är avancerade krypteringsmetoder utformade för att motstå kvantattacker. För att säkerställa en smidig övergång och fortsatt användbarhet utformades dessa nya protokoll för att fungera i ett hybridläge, där befintlig RSA/ECC-kryptering kombineras med PQ-algoritmer. Denna metod bibehåller bakåtkompatibilitet, vilket gör att äldre kort och betalningsterminaler kan fungera utan avbrott under övergången till PQC. 

De uppdaterade protokollen implementerades på fysiska bankkort utrustade med chip, och forskare testade deras prestanda under betalningstransaktioner i realtid. De mätte kritiska faktorer som minnesbehovet på kortet, transaktionsbehandlingstid och ytterligare kommunikationskostnader som PQ-kryptering medförde. 

Kortet och terminalen upprättar först en delad hemlig nyckel via PQ-algoritmer. Sedan använder de symmetrisk kryptering (snabb) för PIN-verifiering och transaktionscertifikat. Hybridläge signerar och krypterar data med både RSA/ECC- och PQ-algoritmer. Detta dubbla skydd säkerställer att även om PQ-kryptografin stöter på oförutsedda tillförlitlighetsproblem, förblir korttransaktioner säkra och funktionella. 

Utmaningar som hittats

Forskare stötte på flera utmaningar under testningen av kvantsäkra betalkort. 

Ett av de största problemen är att postkvantumkryptografi kräver mycket större nycklar och digitala signaturer jämfört med nuvarande krypteringsmetoder. Detta resulterar i långsammare transaktionstider och betydligt högre minnesanvändning på bankkort. 

En annan stor begränsning är hårdvara. Befintliga kort och betalningsterminaler har begränsad lagringskapacitet och processorkraft, vilket gör det svårt för dem att hantera PQ-algoritmer effektivt. Att ersätta eller uppgradera denna hårdvara är en komplex uppgift, särskilt med tanke på det globala banksystemets skala. Med miljarder kort och betalningsterminaler i bruk över hela världen kan banker inte byta till PQ-klara system över en natt. 

Trots dessa hinder bekräftade forskningen att det är tekniskt möjligt att säkra betalkort mot kvantattacker med hjälp av PQ-kryptografi. Prestandaflaskhalsar och hårdvarubegränsningar är dock fortfarande betydande hinder. Resultaten belyser hur brådskande det är att påbörja hårdvaruförberedelser och uppgraderingar nu, för att säkerställa att finansbranschen är redo innan kvantdatorer blir tillräckligt avancerade för att bryta igenom nuvarande RSA- och ECC-kryptografiska system. 

Förberedelser inför PQC

Följande färdplan skapad i samarbete med Institutionen för hemlandssäkerhet (DHS) och NIST (National Institute of Standards and Technology) att vägleda organisationer i förberedelserna inför Postkvantkryptering (PQC). Det belyser behovet av att övergå från nuvarande kryptografiska metoder (som RSA/ECC) till kvantresistenta algoritmer innan kvantdatorer blir tillräckligt kraftfulla för att bryta befintlig kryptering. 

1. Samarbete med standardiseringsorganisationer

   Organisationer rekommenderas att instruera sina viktigaste intressenter att öka sitt engagemang med standardutvecklingsorganisationer, såsom NIST, PCI DSS för den senaste utvecklingen gällande nödvändiga algoritm- och beroende protokolländringar.

2. Inventering av kritiska data

   Varje organisation innehar någon form av data som, om de dekrypteras i framtiden, kan orsaka allvarlig skada. Detta inkluderar känslig personlig information (kryptografi används i hela deras infrastruktur. Detta inkluderar att lista all programvara, hårdvara och applikationer som förlitar sig på kryptering. När denna inventering är klar kan team utvärdera vilka kryptografiska metoder som är sårbara för kvantattacker och uppskatta kostnaderna och ansträngningen som krävs för att ersätta dem med kvantsäkra alternativ. Utan detta steg riskerar organisationer att förbise dolda sårbarheter.

3. Identifiering av interna standarder

   Interna kryptografiska standarder och policyer definierar hur en organisation hanterar kryptering, köper in teknik och upprätthåller dataskyddspolicyer. Dessa regler byggdes kring nuvarande krypteringsmetoder som RSA och ECC. Med övergången till postkvantkryptografi kommer dessa interna standarder att behöva uppdateras för att anpassas till framtida säkerhetskrav. Detta innebär att revidera kryptografiska kontroller, policyer, standarder, servicenivåavtal och interna efterlevnadsåtgärder för att säkerställa att PQC, när det implementeras, har fullt stöd inom organisationens processer.

4. Identifiering av kryptografi med offentlig nyckel

   Utifrån inventeringen bör organisationer identifiera var och för vilket ändamål public key kryptografi används och bedöma vilka system som är mest sårbara för kvanthot.

5. Prioritering av system för utbyte

   Inte alla system behöver uppgraderas omedelbart, så prioritering är avgörande. Att prioritera ett system framför ett annat för kryptografisk övergång är i hög grad beroende av organisationens funktioner, mål och behov. För att komplettera prioriteringsinsatserna bör organisationer beakta följande faktorer när de utvärderar ett kvantumsårbart system:

   • Är systemet en tillgång med högt värde baserat på organisationens krav?
   • Vad skyddar systemet (t.ex. nyckellagrar, lösenord, rotnycklar, signeringsnycklar, personligt identifierbar information, känslig personligt identifierbar information)?
   • Vilka andra system kommunicerar systemet med?
   • I vilken utsträckning delar systemet information med federala enheter?
   • I vilken utsträckning delar systemet information med andra enheter utanför er organisation?
   • Stöder systemet en kritisk infrastruktursektor?
   • Hur länge behöver informationen skyddas?
6. Plan för övergång

   Med hjälp av inventerings- och prioriteringsinformationen bör organisationer utveckla en strategi för systemövergångar vid publiceringen av den nya postkvantkryptografiska standarden. Övergångsplaner bör överväga att skapa kryptografisk flexibilitet för att underlätta framtida justeringar och möjliggöra flexibilitet vid oväntade förändringar. Cybersäkerhetsansvariga bör ge vägledning för att skapa övergångsplaner.

Nuvarande uppskattning av finansieringsbehovet

Federala myndigheter, i samarbete med Office of Management and Budget (OMB) och Office of the National Cyber ​​Director (ONCD), i samarbete med CISA och NIST, vidtar strukturerade åtgärder för att säkra den amerikanska regeringens informationsteknik mot framtida hot från kvantberäkningar. Insatsen är inriktad på tre huvudaktiviteter. 

1. Utveckla en preliminär inventering av kryptografiska system som finns i myndigheters informationssystem (förutom nationella säkerhetssystem (NSS));  
2. Utveckla kostnadsberäkningar för övergången; och 
3. Utveckla prioriteringskriterier för övergången. 

Varje år måste myndigheterna lämna in en uppdaterad inventering till OMB och ONCD med detaljerad information. kvantsårbar kryptografi på sina prioriterade system tillsammans med uppskattningar av migrationskostnaderBaserat på den senaste informationen beräknar ONCD att den totala kostnaden för att övergå till PQC mellan 2025 och 2035 kommer att nå cirka 7.1 miljarder dollar (i 2024 års dollar). Samtidigt uppskattar försvarsdepartementet, kontoret för chefen för nationell underrättelsetjänst och den nationella chefen för NSS separat finansieringsbehoven för att migrera hemligstämplade system och försvarssystem. 

Dessa tidiga prognoser är präglade av en hög grad av osäkerhet, eftersom myndigheterna fortfarande förfinar sina lager och kostnadsmodeller. Uppskattningarna är för närvarande en ungefärlig storleksordning, inte exakta beräkningar. Myndigheterna kommer att fortsätta att revidera dessa siffror årligen allt eftersom de får erfarenhet och förbättrar sina metoder. 

En betydande utmaning som identifierats är att vissa federala system kan inte enkelt anamma nya kryptografiska algoritmer eftersom de är fast inbyggda i hårdvara eller firmware eller saknar kapacitet att hantera utbyten. Att byta ut dessa system bidrar helt och hållet avsevärt till den totala beräknade kostnaden för migreringen. 

Hur kan Encryption Consulting stödja PQC-övergången?

Om du undrar var och hur du ska börja din post-kvantumresa, Krypteringskonsulting finns här för att stödja dig. Du kan lita på oss som din betrodda partner, och vi kommer att vägleda dig genom varje steg med tydlighet, självförtroende och praktisk expertis.   

Kryptografisk upptäckt och inventering

Detta är grundfasen där vi bygger insyn i er befintliga kryptografiska infrastruktur. Vi identifierar vilka system som är i riskzonen för kvanthot och bedömer hur redo er nuvarande installation är, inklusive era PKI, HSM:er och applikationer. Målet är att identifiera vilka kryptografiska tillgångar som finns, var de används och hur kritiska de är. Omfattande skanning av certifikat, kryptografiska nycklar, algoritmer, bibliotek och protokoll i hela din IT-miljö, inklusive slutpunkter, applikationer, API:er, nätverksenheter, databaser och inbyggda system. 

Identifiering av alla system (on-prem, moln, hybrid) som använder kryptografi, såsom autentiseringsservrar, HSM:er, lastbalanserare, VPN:er med mera. Insamling av viktiga metadata som algoritmtyper, nyckelstorlekar, utgångsdatum, utgivningskällor och certifikatkedjor. Byggande av en detaljerad inventeringsdatabas över alla kryptografiska komponenter som ska fungera som baslinje för riskbedömning och planering. 

PQC-bedömning

När insynen är etablerad genomför vi intervjuer med viktiga intressenter för att bedöma det kryptografiska landskapet för kvantsårbarhet och utvärdera hur förberedd din miljö är för PQC-övergången. Analysera kryptografiska element för exponering för kvanthot, särskilt de som förlitar sig på RSA, ECC och andra algoritmer som snart kommer att gå sönder. Granska hur Public Key Infrastructure och Hårdvarusäkerhetsmoduler är konfigurerade, och om de stöder integration av postkvantalgoritmer. Analysera applikationer för hårdkodade kryptografiska beroenden och identifiera de som kräver omstrukturering. Leverera en detaljerad rapport med en inventering av sårbara kryptografiska tillgångar, riskklassificeringar och prioritering för migrering. 

PQC-strategi och färdplan

När vi har identifierat risker arbetar vi med er för att utveckla en anpassad, stegvis migreringsstrategi som är anpassad till era affärs-, tekniska och regulatoriska krav. Vi skapar en skräddarsydd PQC-implementeringsstrategi som återspeglar er riskaptit, bästa praxis i branschen och framtidssäkrar era behov. Vi utformar system och arbetsflöden för att stödja enkelt byte av kryptografiska algoritmer i takt med att standarder utvecklas. Vi uppdaterar säkerhetspolicyer, nyckelhanteringsprocedurer och interna efterlevnadsregler för att anpassa dem till NIST och NSA.CNSA 2.0) rekommendationer. Utarbeta en stegvis migreringsplan med kort-, medellång- och långsiktiga mål, uppdelade i hanterbara faser som pilotprojekt, hybriddistribution och fullständig implementering. 

Leverantörsutvärdering och koncepttest

I detta skede hjälper vi dig att identifiera och testa rätt verktyg, teknologier och partners som kan stödja dina post-quantum-mål. Vi hjälper dig att definiera tekniska och affärsmässiga krav för RFI/RFP, inklusive algoritmstöd, integrationskompatibilitet, prestanda och leverantörsmognad. Vi identifierar toppleverantörer som erbjuder PQC-kompatibla PKI-, nyckelhanterings- och kryptografiska lösningar. Vi kör PoC-tester i isolerade miljöer för att utvärdera prestanda, integrationsvänlighet och övergripande anpassning för dina användningsfall. Vi levererar en leverantörsjämförelsematris och rekommendationsrapport baserad på verkliga PoC-resultat. 

Pilottestning och skalning

Innan fullständig implementering validerar vi allt genom kontrollerade pilotprojekt för att säkerställa verklighetsförankring och minimera störningar i verksamheten. Testar de nya kryptografiska modellerna i en sandlåda eller icke-produktionsmiljö, vanligtvis för en eller två applikationer. Validerar interoperabilitet med befintliga system, tredjepartsberoenden och äldre komponenter. Samlar in feedback från IT-team, säkerhetsarkitekter och affärsenheter för att finjustera planen. När allt har testats framgångsrikt stöder vi en smidig, skalbar utrullning, där vi steg för steg ersätter äldre kryptografiska algoritmer, minimerar störningar och säkerställer att systemen förblir säkra och kompatibla. Vi fortsätter att övervaka prestanda och tillhandahåller kontinuerlig optimering för att hålla ert kvantförsvar starkt, effektivt och framtidsklart. 

PQC-implementering

När planen är på plats är det dags att omsätta den i praktiken. Detta är det sista steget där vi genomför den fullskaliga migreringen och integrerar PQC i er live-miljö samtidigt som vi säkerställer efterlevnad och kontinuitet. Implementerar hybridmodeller som kombinerar klassiska och kvantsäkra algoritmer för att upprätthålla bakåtkompatibilitet under övergången. Rullar ut PQC-stöd över era PKI, applikationer, infrastruktur, molntjänster och API:er. Tillhandahåller praktisk utbildning för era team tillsammans med detaljerad teknisk dokumentation för löpande underhåll. Konfigurerar övervakningssystem och livscykelhanteringsprocesser för att spåra kryptografisk hälsa, upptäcka avvikelser och stödja framtida uppgraderingar. 

Att övergå till kvantsäker kryptografi är ett stort steg, men du behöver inte ta det ensam. Med Encryption Consulting vid din sida får du rätt vägledning och expertis för att bygga en motståndskraftig och framtidsklar säkerhetsställning.  

Nå ut till oss kl [e-postskyddad] och låt oss bygga en skräddarsydd färdplan som anpassar sig till din organisations specifika behov. 

Slutsats

Sammanfattningsvis blir övergången till postkvantkryptografi alltmer kritisk för finanssektorn eftersom framtida kvantdatorer skulle kunna bryta nuvarande krypteringsmetoder som säkrar kortbetalningar, banksystem och digitala transaktioner. Forskning har redan visat att det är tekniskt möjligt att bygga kvantresistenta betalningsprotokoll, men utmaningar som större kryptografiska nycklar, långsammare bearbetningshastigheter och kostsamma hårdvaruuppgraderingar kvarstår. Att förbereda sig tidigt, genom att inventera system, testa hybridkrypteringsmodeller och anpassa sig till kommande NIST-standarder, kommer att vara avgörande för att skydda känslig finansiell data och säkerställa oavbrutet förtroende i globala betalningsnätverk när kvantberäkning blir verklighet.