美國海關和邊境保護局 (CBP) 正在積極應對量子運算進步帶來的挑戰,特別是在其 IT 系統內的個人識別資訊 (PII) 和生物識別資料的安全方面。認識到量子電腦有可能破壞當前加密方法,CBP 正在實施幾項關鍵策略來增強資料保護。
「目前,」CBP 表示,「加密透過將資訊或資料轉換為代碼來確保個人和系統資料的安全,使其他人在沒有正確金鑰的情況下無法讀取。很快,量子電腦將能夠輕鬆讀取編碼/加密數據,而無需使用金鑰。這將使銀行帳戶、健康記錄、私人資訊和政府資料等資訊面臨風險。
因此,CBP 是首批探索採用後量子密碼學 (PQC) 並將其整合到其係統中的聯邦機構之一。該措施旨在加強資料安全,抵禦未來的量子威脅。
CBP 表示:「PQC 解決了『現在收穫,稍後解密』的威脅,對手可能現在正在收集加密數據,並計劃在量子運算變得足夠先進時對其進行解密。為了應對這一威脅,CBP 已採取果斷行動。
CBP 資訊長 Sonny Bhagowalia 強調了這種主動方法的必要性,他說:“現在有必要通過後量子密碼學加密來加強我們機構的數據,以便為未來的安全威脅做好準備。”
CBP 資訊與科技辦公室(OIT) 補充說:「一旦先前受保護的資料透過量子解密變得清晰易讀,這些資料就可能會被揭露,從而可能導致間諜活動、金融詐欺和其他對國家安全和繁榮產生潛在影響的惡意活動。 “鑑於這一迫在眉睫的挑戰,必須領先於即將到來的挑戰,在向抗量子密碼學過渡期間可能需要緩解這些挑戰。”
聯邦政府首先認識到後量子密碼學的重要性管理與預算辦公室 (OMB) 備忘錄 M-23-02和量子運算網路安全準備法案。
CBP 正在使其加密實踐與美國國家標準與技術研究所 (NIST) 標準保持一致。 2024 年 8 月,NIST 最終確定了三種旨在抵禦量子網路攻擊的加密演算法。 CBP 表示,“遵守這些標準可確保其加密方法對新興的量子運算能力保持穩健。”
為了保護 PII 和生物識別數據,CBP 正在徹底審核。這些審核可識別易受量子攻擊的元件,並促進 PQC 演算法的及時更新和整合。這種積極主動的立場對於維護敏感資訊的完整性至關重要。
CBP 表示,它還採用臉部辨識技術進行旅客驗證,確保透過強有力的技術保障措施保護生物辨識資料。例如,美國公民的新照片會在 12 小時內刪除,大多數外國人的照片都安全地儲存在國土安全部系統中。這些措施旨在限制臉部生物辨識過程中使用的 PII 數量並遵守隱私義務。
CBP 也投資培訓項目,以教育其人員了解量子運算對資料安全的影響。透過培養意識文化,CBP 確保其員工有能力有效實施和維護 PQC 措施。
透過這些舉措,CBP 正在積極強化其 IT 系統,以保護 PII 和生物辨識資料免受不斷變化的量子運算威脅。
CBP 表示,它“每個工作日阻止大約 1 億次網路攻擊”,並強調“這些攻擊越來越複雜,針對政府系統和關鍵基礎設施,意圖恐嚇目標、竊取敏感資訊或擾亂運營。鑑於我們 IT 系統的重要性以及其中存儲的數據的巨大價值,這種威脅形勢需要不斷保持警惕和創新。
2022 年 11 月,CBP 發起了量子安全風險框架研討會,以「確定我們如何盤點我們的加密系統,並為 PQC 制定前進道路,作為我們更廣泛的計劃的一部分」。零信任架構執行。
參加研討會的人員包括來自 CBP 首席資訊安全官和首席技術官組織、國家網路總監辦公室和國土安全部首席資訊長辦公室的主要人員。
CBP 表示:“獲得的見解有助於識別需要過渡的加密系統,並考慮混合方法、依賴關係和第三方庫等因素。”
該研討會對於產生 CBP PQC 概念驗證也至關重要,該概念驗證於 2023 年 11 月完成並記錄在PQC 勘探最終報告。
CBP 表示,「概念驗證的重點是減輕安全威脅,這使 OIT 能夠了解向抗量子演算法過渡的時間表和技術細節、對我們運營的影響以及全面過渡組織的必要規劃」。值得注意的是,2024 年 8 月,美國國家標準與技術研究院 (NIST) 批准了CRYSTALS-Kyber 金鑰封裝CRYSTALS-Dilithium 數位簽章演算法是 CBP 已經測試過的技術,作為我們概念驗證的一部分。
文章主題
|||||||
