- Problemets verkliga omfattning
- Varför dina nuvarande verktyg har strukturella blinda fläckar
- De fem upptäcktslagen och vad vart och ett av dem hittar
- Efterlevnadsskyldigheterna är redan aktiva
- Hur krypteringskonsulting kan hjälpa dig att bygga upp ditt kryptografiska lager
- Var ska man börja
- Slutsats
Varje organisation som driver RSA, ECC-, TLS- eller AES-baserad kryptering har en kryptografisk tillgång. De flesta organisationer har ingen aning om vad som finns i den.
Det är inte en kritik; det är en strukturell verklighet. Kryptografi Den har aldrig utformats för att hanteras på samma sätt som servrar eller applikationer hanteras. Den har ingen IP-adress. Den genererar ingen varning när den når slutet av sin livslängd. Den körs tyst i bakgrunden på nästan alla system du använder, tills något går sönder, tills en tillsynsmyndighet ber om dokumentation som du inte kan framställa, eller tills en hotmodell som du avfärdat som teoretisk blir tillräckligt verklig för att någon med verkliga resurser bestämmer sig för att agera utifrån den.
Resultatet är förutsägbart. Organisationer ackumulerar kryptografisk skuld i åratal utan att inse dess fulla omfattning. SHA-1 finns kvar i system som ingen har rört på flera år. Trippel-DES körs fortfarande på betalningsterminaler konfigurerade i en annan era. Hårdkodade nycklar finns i databaser som utvecklare sedan länge har gått vidare från. Certifikat körs på infrastruktur som ingen formellt äger. Och någonstans i din molnmiljö körs en mikrotjänst med standardkrypteringsinställningar som ingen någonsin medvetet bestämt sig för.
Detta är problemet med kryptografisk upptäckt, och det ligger bakom alla andra kryptografiska initiativ som din organisation behöver genomföra. Efterlevnadsberedskap, postkvantmigrering, certifikatlivscykelhantering, och nyckelstyrning: alla kräver att man vet vad man har innan något meningsfullt arbete kan påbörjas.
Problemets verkliga omfattning
När organisationer först försöker sig på en kryptografiskt inventering, de blir ständigt överraskade av vad de hittar, inte för att resultaten är oväntade, utan för att det finns så många av dem, och så få registrerades i något befintligt registersystem.
Enligt BIS-dokument nr 158 är mellan 70 och 90 procent av företagsprogramvara sammansatt från tredjepartskomponenter. Var och en av dessa komponenter innehåller kryptografiska val som organisationen som driftsätter dem aldrig direkt har gjort: biblioteksversioner fästa vid föråldrade beroenden, chiffer-svit standardvärden som ställdes in när biblioteket skrevs, algoritmval inbakade i kod som levereras inuti en produkt vars leverantör aldrig har publicerat ett kryptografiskt avslöjande.
Den tillämpade kvantiteten PQC-migrering Framework uppskattar att fler än 320 kryptografiska funktionsanrop sker i en enda mobilbanksapplikation. Över ett företags område uppgår det totala antalet kryptografiska tillgångar, algoritmer, nycklar, certifikat, protokoll och biblioteksimplementeringar till hundratusentals. De flesta organisationer har formellt dokumenterat en liten del av detta.
Skillnaden mellan vad organisationer tror finns i deras kryptografiska tillgångar och vad som faktiskt körs i produktion är inte en liten skillnad i lagerinventering. Det är grundorsaken till varje efterlevnadsgap, varje försening i åtgärden och varje migreringsprojekt som tar dubbelt så lång tid som planerat.
Varför dina nuvarande verktyg har strukturella blinda fläckar
Den naturliga instinkten när man startar en kryptografisk inventering är att använda befintliga verktyg: kör sårbarhetsskannern, exportera certifikathanteringssystemet, fråga CMDB. Dessa verktyg fångar alla upp något användbart, men har vart och ett en strukturell begränsning som ingen mängd konfiguration kan övervinna.
Plattformar för certifikathantering hantera de certifikat du registrerat hos dem. De har ingen mekanism för att upptäcka certifikat som tillhandahållits utanför ditt hanterade arbetsflöde, certifikat som en utvecklare begärt direkt från en offentlig certifikatutfärdare, certifikat som en molnplattform genererat automatiskt eller certifikat som fortfarande körs i en mellanlagringsmiljö som aldrig avvecklats.
Sårbarhetsskannrar rapportera om vad som är nåbart och vilka tjänster som körs. De avslöjar inte vilka krypteringssviter som aktivt förhandlas om i öst-västlig trafik mellan dina applikationsnivåer, de interna tjänst-till-tjänst-anslutningarna som är osynliga vid perimetern och nästan aldrig styrs av samma TLS-policyer som inkommande extern trafik.
CMDB:er fånga upp officiellt provisionerad infrastruktur. De missar molnresurser som distribuerats utanför standardarbetsflöden, OT-enheter som Facility Management provisionerade oberoende, system från förvärvade företag som integrerades i verksamheten men aldrig i tillgångsregistret, och alla system vars ägare lämnat organisationen utan att dokumentera det.
Det här är inte verktygsfel. Det är designbegränsningar. Varje verktyg byggdes för ett specifikt syfte, och det syftet var inte kryptografisk upptäcktAtt täppa till luckorna kräver att man behandlar upptäckt som en disciplin med flera nivåer, inte en enda skanning man kör en gång och går vidare från.
De fem upptäcktslagen och vad vart och ett av dem hittar
En komplett kryptografisk inventering kräver fem distinkta upptäcktslager. De är inte utbytbara och inte redundanta. Var och en av dem avslöjar vad de andra strukturellt inte kan.
| Lagermetod | Vad den unikt finner |
|---|---|
| Analys av passiv nätverkstrafik | Live-protokollförhandling i produktion, vad som faktiskt används, inte bara vad som är konfigurerat |
| Statisk kodanalys | Hårdkodade nycklar, föråldrade biblioteksimporter och algoritmval har åtgärdats i applikationslogiken. |
| Konfiguration och certifikatskanning | Principer för chiffersviter på hanterad infrastruktur; skuggcertifikat via CT-loggar |
| Runtime- och binäranalys | Kryptografisk status för leverantörsenheter, OT-system och firmware som du inte kan läsa direkt |
| Manuell utredning | Anpassade protokoll, proprietära scheman, odokumenterade integrationer och organisatoriskt sammanhang |
Nivå 1: Analys av passiv nätverkstrafik
Passiv nätverksanalys är den enda identifieringsmetoden som avslöjar vilka kryptografiska protokoll som faktiskt förhandlas fram i produktion, i motsats till vad konfigurationer säger ska vara förhandlingsbara. Den distinktionen är viktigare än de flesta team förväntar sig.
En server konfigurerad för att stödja TLS 1.3 kan fortfarande förhandla om TLS 1.1 med äldre slutpunkter som inte kan göra det bättre. En lastbalanserare som tillämpar moderna krypteringssviter vid perimetern har ingen kontroll över backend-anslutningar mellan applikationsservrar och databaser, vilka kör vad än applikationen ursprungligen var kodad för att använda. Passiv analys, som distribueras på nätverksavtappningar eller SPAN-portar vid viktiga aggregeringspunkter, samlar in live TLS-handskakningsmetadata från dessa anslutningar utan att dekryptera trafik eller belasta produktionssystem.
Santanders kryptografiska inventeringsprogram, presenterat vid PKI Consortium PQC Conference 2025 av Jaime Gómez García, uppnådde insyn i 9 000 Apache-instanser globalt med hjälp av anpassade befintliga verktyg snarare än specialbyggda identifieringsplattformar. Det är genomgående på lager 1 som de mest operativt betydande överraskningarna dyker upp.
Lager 2: Analys av statisk kod
Statisk analys skannar källkodsdatabaser efter kryptografiskt material som är inbäddat direkt i applikationslogiken, såsom hårdkodade nyckelvärden, föråldrade biblioteksimporter och explicita nyckelstorleksparametrar i nyckelgenereringsanrop. Dessa representerar kryptografiska val som är fasta på kodnivå och inte kan ändras utan en fullständig omdistribution.
Ett anrop till hashlib.sha1() i en produktionsapplikation är inte bara en varning om en föråldrad algoritm. Det är en åtgärdsuppgift som kräver en kodändring, en byggcykel, en testcykel och en distribution. I en företagskodbas som innehåller hundratusentals kryptografiska funktionsanrop är det på lager 2 som den verkliga omfattningen av migreringsarbetet på applikationsnivå blir synlig för första gången.
Nivå 3: Konfiguration och certifikatskanning
Det här lagret täcker de chiffersvitspolicyer som konfigurerats på lastbalanserare, brandväggar och VPN-koncentratorer, samt certifikatinventeringen i hela ditt system. PKI miljö och molninfrastruktur.
Certifikattransparensloggar (CT) är den mest konsekvent underutnyttjade källan i detta lager. Alla offentligt betrodda. Certifikatmyndighet (CA) är skyldig att lämna in varje certifikat Den skickar till CT-loggar, som är offentligt sökbara. En CT-loggfråga mot dina domäner returnerar alla certifikat som någonsin utfärdats för dem, inklusive de som aldrig registrerades i ditt certifikathanteringssystem. Det är dina skuggcertifikat, och de omfattas av regleringsområdet oavsett om de visas i ditt hanterade inventarium eller inte.
Lager 4: Runtime- och binäranalys
För leverantörsenheter, inbäddad firmware och OT-system där ingen källkod finns tillgänglig är runtime- och binäranalys den enda gångbara metoden för att bedöma faktisk kryptografisk status. Detta gäller bankomater och kassaterminaler, nätverksenheter, industriella styrsystem och alla enheter vars kryptografiska implementering finns i firmware som din organisation inte har skrivit och inte kan inspektera direkt.
NIST CSWP 39 dokumenterar att den genomsnittliga uppdateringscykeln för OT-system är 20 år. I praktiken innebär detta att föråldrade kryptografiska algoritmer kan förbli inbyggda i operativa teknikmiljöer i ett decennium eller mer, utan någon uppdateringsmekanism och utan någon styrningsprocess som någonsin har berört dem.
Nivå 5: Manuell undersökning
Granskningar av arkitekturdokumentation, HSM och KMS Granskning av revisionsloggar, analys av leverantörers säkerhetsdokumentation och strukturerade intervjuer med plattforms- och systemägare kompletterar bildresultatet. Manuella undersökningar avslöjar anpassade protokoll, proprietära krypteringsscheman och odokumenterade integrationer som alla automatiserade lager missar, och ger det organisatoriska sammanhang som omvandlar råa tekniska resultat till verkligt användbar information.
Varje lager hittar det som de andra inte kan. Att hoppa över något av dem innebär att man permanent ärver det lagrets blinda fläckar.
Efterlevnadsskyldigheterna är redan aktiva
För organisationer som omfattas av DORA, PCI DSS 4.0, eller 2, är en kryptografisk inventering inte en rekommendation enligt bästa praxis. Det är en aktuell, verkställbar rättslig skyldighet.
DORA Artikel 9.2 kräver att finansiella enheter för ett uppdaterat register över alla informationstillgångar, uttryckligen inklusive kryptografiska tillgångar, för alla IKT-system som stöder kritiska eller viktiga funktioner. DORA Artikel 7.4 kräver vidare att detta register inkluderar alla digitala certifikat och de enheter där de lagras. Båda bestämmelserna har varit tillämpliga sedan Januari 17, 2025.
PCI DSS-krav 12.3.3 kräver en dokumenterad, kontinuerligt underhållen inventering av alla kryptografiska chiffersviter och protokoll som används, med en affärsmässig motivering per post, aktiv övervakning av lönsamhet och en dokumenterad responsstrategi för alla identifierade kryptografiska sårbarheter. Detta krav har varit verkställbart sedan Mars 31, 2025.
Inget av dessa är en framtida tidsfrist. Båda är aktiva skyldigheter idag. En organisation som inte kan uppvisa den nödvändiga dokumentationen under en tillsynsgranskning har inte en lucka i en färdplan; den har en lucka i ett verkställbart krav som har varit i kraft sedan början av detta år.
Affärsargumentet för att bygga ett kryptografiskt inventarium kräver inte en kvanthotbedömning eller ett formellt mandat för en postkvantmigrering. Enbart efterlevnadsargumentet har varit mer än tillräckligt motiverat sedan januari 2025.
Hur krypteringskonsulting kan hjälpa dig att bygga upp ditt kryptografiska lager
Att förstå identifieringsproblemet är det första steget. Att ha rätt plattform att köra på det är det andra, och det är där CBOM Secure kommer in i bilden.
CBOM-säkerhet är Encryption Consultings plattform för automatiserad kryptografisk upptäckt och inventering (ACDI), specialbyggd för att exekvera alla fem upptäcktslager som en enda integrerad funktion. Passiva nätverkssensorer fångar upp liveprotokollförhandlingar i produktionstrafik. Statisk analys integreras direkt med versionskontrollsystem för att skanna förstapartskod och beroendeträd från tredje part. Certifikatuppräkning körs kontinuerligt mot CT-loggar och certifikathanteringssystem. Cloud API-frågor täcker kryptering i vila och nyckelhanteringskonfigurationer över anslutna molnkonton. Manuella undersökningsarbetsflöden matas direkt in i den levande CBOM, vilket säkerställer att ingenting som upptäcks utanför automatiserade verktyg faller mellan stolarna.
Varje CBOM-post berikas automatiskt med status för kvantsårbarhet, ägarroutning och märkning av regelefterlevnadsgap mot DORA. PCI DSS 4.0och NIS2, så att ditt team alltid arbetar utifrån en prioriterad, kontextualiserad bild av dödsboet, inte en samling råa fynd.
CBOM Secure producerar inte en lista över fynd och låter ditt team avgöra hur de ska åtgärda dem. Det skapar ett styrt, kontinuerligt underhållet system för registrering som omvandlar upptäckter till handling, från den första skanningen till varje efterföljande förändring i din miljö.
Var ska man börja
Hela omfattningen av ett kryptografisk inventering kan kännas överväldigande. Det behöver inte tas upp på en gång.
- Börja med lager 1 och 3: Dina lastbalanserare, VPN-koncentratorer och omvända proxyservrar finns redan i din CMDB, har identifierbara ägare och deras kryptografiska konfigurationer är upptäckbara med verktyg som de flesta organisationer redan har.
- Bygg upp lagret stegvis, inte allt på en gång: Ramverket för migrering av kvantum-PQC rekommenderar att man först uppnår omfattande täckning på lager 1 och lager 2, en tidslinje på veckor till månader beroende på fastighetens storlek, och att man omedelbart påbörjar riskbedömning av dessa poster, snarare än att vänta på en fullständig inventering innan man påbörjar någon åtgärd. Man kan börja sekvensera korrigeringar på det man redan vet samtidigt som man fortsätter att bygga insyn i resten.
- Engagera dina strategiska leverantörer nu: Om någon leverantörslevererad komponent i din miljö är beroende av ett kryptografiskt bibliotek eller HSM vars uppgraderingsväg efter kvantum inte har kommunicerats, måste den diskussionen börja idag. Leverantörernas tidslinjer ligger helt utanför din kontroll. Den enda variabeln du kan påverka är när du påbörjar engagemanget.
Slutsats
Ocuco-landskapet kryptografisk upptäckt Problemet är inte en framtida utmaning; det är en aktiv sådan. De flesta organisationer arbetar med betydande skillnader mellan vad de tror att deras kryptografiska tillgångar innehåller och vad som faktiskt körs i produktion. Dessa skillnader är inte ofarliga. De är anledningen till att migreringsprojekt stannar av, efterlevnadsrevisioner visar resultat som ingen förväntade sig och tidslinjerna för åtgärdande sträcker sig långt utöver ursprungliga uppskattningar.
Migreringen från SHA-1 till SHA-256 beräknades ta fem år. Det tog mer än tio. Övergången efter kvantumsdata är större i alla dimensioner, och efterlevnadsskyldigheterna enligt DORA och PCI DSS 4.0 har redan trätt i kraft. Varje månad utan en fullständig, styrd inventering är en månad av ökande risk.
Att veta vad man har är inte mållinjen. Det är startlinjen. Men det är den som alla andra initiativ, regelefterlevnad, migrering och styrning är beroende av att korsa först. De organisationer som bygger den synligheten nu är de som kommer att vara redo när det gäller.
del 2 i den här serien behandlar vad man ska göra med det man hittar: hur en kryptografisk materiallista omvandlar upptäcktsdata till ett styrt registersystem och hur man använder den för att driva bevis för efterlevnad, riskprioritering och planering av PQC-migrering.
