A primeira etapa é começar a inventariar seus certificados, algoritmos e outros ativos criptográficos, priorizando-os no nível de criticidade
A tendência de digitalização em todos os setores está acelerando nossa vida cada vez mais. Previsões, como as da consultora de dados Statista, sugerem que nos próximos dez anos haverá 50 mil milhões de dispositivos conectados, analisando e gerando informação, dando origem ao boom da Internet das Coisas (IoT).
O maior desafio que enfrentaremos será aproveitar os dados gerados para colocá-los ao serviço do desenvolvimento empresarial, mas estas enormes quantidades de informação são quase impossíveis de analisar com os computadores atuais. É aqui que reside a importância da computação quântica para o futuro da indústria 4.0.
A chegada iminente da computação quântica está expondo o que os especialistas em criptografia já sabem: a criptografia está em toda parte. Quase tudo que implementa práticas modernas de segurança depende de criptografia e infraestruturas de chave pública (PKIs) para fornecer confiança digital.
Mas por que a onipresença da criptografia é importante?
Quatro palavras: computadores quânticos criptograficamente relevantes (CRQCs), máquinas poderosas o suficiente para quebrar algoritmos assimétricos tradicionais como RSA e ECC.
É uma ameaça que a criptografia pós-quântica (PQC) pode resolver, e o lançamento do primeiro rascunho de padrões PQC pelo NIST em agosto de 2023 trouxe o mundo um passo mais perto de um futuro seguro quântico.
Empregar o PQC significa que as organizações precisam identificar sua pegada digital criando um inventário de seus ativos criptográficos. É um processo que começou com as agências federais dos EUA, que foram instruídas a enviar listas de seus sistemas criptográficos mais críticos até maio de 2023. Mas muitas agências lutaram para cumprir o prazo, e só em dezembro é que um inventário de toda a agência a criptografia assimétrica estava completa.
Os desafios do governo federal revelaram as complexidades da criação de um inventário de ativos criptográficos – especialmente quando uma organização possui ativos que talvez nem soubesse que existiam. Dividimos o processo em quatro etapas para ajudá-lo a começar a planejar sua transição.
Transitando para PQC
“Quando a DigiCert se uniu ao Ponemon Institute para ver o quão preparado o mundo está para a computação quântica, aprendemos que a maioria dos líderes de TI teme que suas empresas estejam longe de estar prontas. Se você faz parte de uma organização que lida com ativos criptográficos e ainda não iniciou a transição para o PQC, veja como começar”, explica Dean Coclin, Diretor Sênior de Desenvolvimento de Negócios da DigiCert.
Faça um inventário de seus ativos criptográficos
A primeira etapa é começar a inventariar seus certificados, algoritmos e outros ativos criptográficos, priorizando-os com base no nível de criticidade. A partir daí, você pode determinar o que precisa ser atualizado ou substituído para garantir que seus sistemas permaneçam seguros quando a computação quântica se tornar realidade.
Ao longo do processo de inventário, você precisará fazer algumas perguntas importantes:
– Quais algoritmos seus certificados estão usando atualmente?
– Quem emitiu os certificados?
– Quando os certificados expiram?
– Quais domínios os certificados protegem?
– Quais chaves assinam seu software?
A realização de um inventário completo não para por aí. Você também precisará fazer perguntas como:
– O seu pacote de software ou dispositivo baixa atualizações automaticamente?
– Ele se conecta a um servidor back-end?
– Está associado a um site ou portal?
– Esse site ou portal é operado por terceiros ou provedor de nuvem?
Se a resposta for sim, você precisará entrar em contato com cada provedor para descobrir em quem eles confiam – quais pacotes de software os provedores de seus provedores usam, quem são os provedores de back-end dos provedores e assim por diante.
Como dissemos, é um processo complexo. Mas é por isso que a hora de começar é agora – não depois que a computação quântica começar a revelar (e explorar) suas vulnerabilidades.
Priorize criptomoedas nas quais você precisa confiar por muito tempo
“O lugar para começar a trocar algoritmos de criptografia é com criptografia que produz assinaturas que precisam ser confiáveis por um longo tempo: pense em coisas como raízes de confiança e firmware para dispositivos de longa duração. E sim, isso significa produzir inventários detalhados de software e dispositivos e de onde vem sua criptografia”, explica Dean.
Por quê? Os invasores estão jogando um jogo longo, gravando dados criptografados como parte de uma estratégia de vigilância chamada “coletar agora, descriptografar depois”. Quando a computação quântica estiver disponível, os cibercriminosos irão descriptografá-la – e a única maneira segura de se proteger contra essa estratégia é priorizar qualquer criptografia na qual sua organização confiará no longo prazo.
Explore e teste as maneiras de incorporar algoritmos PQC
O NIST ainda está trabalhando para padronizar e documentar os métodos de implementação, teste e implantação segura dos novos algoritmos criptografados. Mas os implementadores de bibliotecas criptográficas e software de segurança precisam começar a integrar os algoritmos em seus produtos agora. Acomodar os algoritmos PQC selecionados exigirá algum esforço, para que sua organização possa ficar à frente explorando como incorporá-los em sua biblioteca de criptografia.
Torne-se criptoágil
As etapas que descrevemos até agora não são tarefas fáceis de verificar. Mas inventariar seus ativos criptográficos agora terá retorno quando a computação quântica começar a quebrar algoritmos – e embora não saibamos exatamente quando isso acontecerá, sabemos que é uma questão de quando, não se.
Após a conclusão do seu inventário, a próxima fase da transição do PQC será alcançar a criptoagilidade, que envolve visibilidade de ativos, métodos estabelecidos para implantação de tecnologias de criptografia e a capacidade de responder rapidamente quando surgirem problemas de segurança.
“Uma solução como o DigiCert®Trust Lifecycle Manager usa a descoberta, automação e gerenciamento centralizado de certificados para fornecer controle sobre seu inventário de certificados, possibilitando a substituição de ativos criptográficos desatualizados sem interrupção significativa da infraestrutura do seu sistema”, conclui Dean Coclin.
A transição para a criptografia resistente a quantum é uma tarefa significativa. Mas ao identificar e gerenciar seus ativos criptográficos, sua organização pode estabelecer as bases para um futuro digital seguro e confiável.
Sobre a DigiCert, Inc.
A DigiCert é fornecedora líder mundial de soluções escalonáveis TLS/SSL e PKI para identidade e criptografia. As empresas mais inovadoras, incluindo 89% das empresas listadas na Fortune 500 e 97 dos 100 maiores bancos globais, escolhem a DigiCert por sua experiência em identidade e criptografia para servidores web e dispositivos de Internet das Coisas. A DigiCert oferece suporte a TLS/SSL e outros certificados digitais para implantações de PKI em qualquer escala por meio de sua plataforma de gerenciamento do ciclo de vida de certificados, CertCentral®.
Previsões sobre Criptografia e Identificação digital para 2024 feita por especialistas da DigiCert
DigiCert fala sobre a importância do e-mail criptografado para evitar phishing
Ao anunciar no CRYPTO ID, sua organização contribui para a divulgação de inovações tecnológicas que visam agregar segurança ao relacionamento entre empresas e indivíduos no ambiente eletrônico para possibilitar transações eletrônicas seguras e confiáveis em ambientes públicos e privados.
Fale com a gente: +55 11 3881-0053 ou contato@cryptoid.com.br