L’informatique quantique passe de la théorie à la réalité et constitue une menace fondamentale pour le système de cryptographie à clé publique, qui est encore largement utilisé. Pour le BAS de base, qui est responsable d’applications et de données commerciales extrêmement critiques, sa sécurité à long terme doit reposer sur une cryptographie capable de résister aux attaques de l’informatique quantique. La recherche et l’application de la cryptographie post-quantique sont devenues la pierre angulaire pour garantir le fonctionnement stable et sûr du BAS dans les décennies à venir. Cet article abordera la nécessité de la cryptographie post-quantique dans un environnement BAS, ainsi que les algorithmes candidats, ainsi que les défis de migration et les pistes pratiques.
Pourquoi la cryptographie post-quantique est cruciale pour BAS
De nos jours, les systèmes BAS s'appuient généralement sur une cryptographie à clé publique basée sur des problèmes de décomposition en grands nombres ou de logarithmes discrets tels que RSA et ECC. Ces algorithmes protègent l'authentification de l'identité, le cryptage des communications et l'intégrité des données. Cependant, les algorithmes quantiques tels que l'algorithme de Shor peuvent résoudre ces problèmes mathématiques en temps polynomial. Dès l’apparition des ordinateurs quantiques à grande échelle, les lignes de défense de sécurité existantes s’effondreront immédiatement.
Le système BAS existe depuis longtemps et est lié à la gestion de la chaîne d'approvisionnement, au contrôle industriel et aux données de base de l'entreprise, sa planification de sécurité doit donc être prospective. De l’avènement des normes algorithmiques à l’achèvement de la migration à l’échelle du système, il faut généralement dix ans ou plus. L'évaluation et la planification actuelles de la migration post-quantique visent à donner à BAS le délai nécessaire pour répondre au « jour Q » et l'empêcher de tomber dans des situations défavorables et des risques énormes à l'avenir.
Quels algorithmes cryptographiques post-quantiques conviennent aux applications BAS
Les principaux candidats actuels à la cryptographie post-quantique incluent les algorithmes basés sur des réseaux, des exemples de tels algorithmes incluent -Kyber ; signatures basées sur le hachage, telles que + ; algorithmes basés sur le codage, tels que ; et des algorithmes multivariés basés sur des polynômes. Le NIST américain a standardisé Kyber pour l'encapsulation des clés et + pour les signatures numériques.
Pour l’environnement BAS, il est nécessaire de prendre en compte de manière globale les performances des algorithmes, la complexité de leur mise en œuvre et les hypothèses de sécurité. L'algorithme basé sur un treillis atteint un bon équilibre entre efficacité et taille de clé, et convient aux connexions TLS et à l'authentification qui se produisent fréquemment dans BAS. Les contrôleurs Edge dotés de ressources extrêmement limitées devront peut-être évaluer des solutions plus légères ou adopter un mode hybride qui exécute simultanément des algorithmes traditionnels et des algorithmes post-quantiques pour garantir la sécurité de la transition.
Quels sont les défis spécifiques rencontrés lors de la migration du système BAS ?
Le principal problème auquel est confrontée la migration du système BAS est la compatibilité. De nombreux appareils BAS utilisent des processeurs intégrés et des systèmes d'exploitation en temps réel, qui disposent d'une puissance de calcul et d'une mémoire limitées. Les algorithmes cryptographiques post-quantiques ont souvent des dimensions de clé, des plages de texte chiffré et des tailles de signature plus grandes, ce qui peut exercer une pression sur la bande passante et le stockage du réseau, affectant ainsi la nature en temps réel des instructions de contrôle.
Deuxièmement, il y a la complexité et l’hétérogénéité du système. Un BAS complet peut couvrir des milliers d’appareils de différents fabricants et d’âges différents. Ces appareils partent du serveur central jusqu'au contrôleur DDC sur site, en passant par les capteurs et les capacités d'exécution. Il s’agit d’un projet système extrêmement complexe visant à coordonner une mise à niveau complète et à garantir que les anciens et les nouveaux systèmes puissent interopérer pendant la longue période de transition.
Comment développer une feuille de route de migration post-quantique BAS
Pour commencer à élaborer une feuille de route, commencez par l’inventaire des actifs et l’évaluation des risques. Identifiez les composants et les flux de données les plus critiques du BAS, qui ont un long cycle de vie et sont extrêmement nuisibles face aux menaces quantiques. Donnez la priorité à la protection de la logique de contrôle principale, des journaux d’audit et des canaux d’accès à distance. Créez un inventaire détaillé des actifs, en notant leurs dépendances cryptographiques et les plans de support des fournisseurs.
La feuille de route doit être réalisée par étapes : à court terme, il est nécessaire d'initier des recherches pertinentes, de démarrer le suivi des normes et de mettre en œuvre des enquêtes auprès des fournisseurs ; à moyen terme, il est nécessaire de tester un système de chiffrement hybride dans un environnement de test et de proposer des exigences de préparation post-quantique pour les équipements nouvellement achetés ; à terme, il faudra procéder à de vastes opérations de modernisation et de remplacement. Tout au long d’un tel processus, une architecture d’agilité cryptographique doit être construite afin que l’algorithme puisse être mis à jour facilement sans avoir à reconstruire l’intégralité du système.
Comment assurer la continuité des activités pendant la migration
La clé pour garantir la continuité des activités est d’utiliser une stratégie progressive plutôt que révolutionnaire. Une technologie de transition essentielle est la cryptographie hybride, qui utilise à la fois des algorithmes traditionnels à clé publique et un algorithme post-quantique lors des communications, la sécurité étant déterminée par le plus fort des deux. Cela donne au système une double garantie. Même si l’algorithme post-quantique s’avère présenter des failles à l’avenir, l’algorithme traditionnel peut encore jouer un rôle de soutien pendant cette période.
Des plans complets de démantèlement et d’urgence doivent être établis. Des tests de régression suffisants doivent être effectués avant et après la mise à niveau de tout composant cryptographique, et les performances de base doivent être comparées pour garantir que la nature en temps réel et la fiabilité de la fonction de contrôle ne seront pas affectées. Pendant la période de transition, la surveillance de ces comportements doit être renforcée. Les journaux anormaux liés aux opérations cryptographiques doivent être étroitement observés et des plans doivent être préparés pour revenir rapidement à un état stable connu.
Quelles préparations les administrateurs BAS doivent-ils faire maintenant ?
Les administrateurs BAS doivent immédiatement commencer à accumuler des connaissances et à sensibiliser les gens pour comprendre les concepts de base de la cryptographie post-quantique, de la classification des algorithmes et du processus de normalisation, et retracer le dernier statut des organisations faisant autorité telles que le NIST et le BSI, ainsi que les lignes directrices que les organisations industrielles (telles que) peuvent publier pour inclure les menaces quantiques dans le cadre de gestion des risques à long terme.
En partant de l'aspect pratique, nous avons commencé à faire le point sur l'utilisation actuelle des mots de passe dans le système. Vérifiez tout ce qui utilise la cryptographie à clé publique : y compris les réseaux privés virtuels, les certificats d'appareils, la signature de code, le démarrage sécurisé, etc. Communiquer de manière proactive avec les fournisseurs d'équipements et les intégrateurs de systèmes pour comprendre les stratégies de prise en charge de la cryptographie post-quantique dans leurs feuilles de route de produits, et spécifier clairement les termes pertinents dans les futurs contrats d'approvisionnement et les exigences techniques.
La menace de l’informatique quantique n’est pas imminente, mais la construction d’une ligne de défense de sécurité quantique pour le BAS ne peut être retardée du tout. Il s'agit d'une course contre la montre pour voir qui est le plus rapide. Dans votre système BAS, existe-t-il des dispositifs cryptographiques clés datant de plus de 10 ans ? Pour ces actifs anciens qui pourraient être exposés à des menaces quantiques à l’avenir, quelle est, selon vous, la réponse précoce la plus réalisable ? Bienvenue pour partager vos réflexions et vos expériences pratiques. Si cet article vous a inspiré, n'hésitez pas à liker et à partager avec vos collègues.
Laisser un commentaire