지금 양자암호화를 준비하는 법 / Prepare for Quantum Encryption Today
최첨단 과학 이론에서 나오는 양자 암호화는 이를 움직일 수 있는 전력과 그 기술이 동반되어야 현실화가 가능한다고 이야기 해 왔습니다. 이제는 전세계에 상용화를 하는 날이 가까워 왔는지도 모릅니다. 데이터를 보호하기 위해 사용되는 양자암호 과거의 표준들이 온라인에서는 더이상 이야기가 되어지지 않고 있습니다
세상을 바꿀 수 있는 모든 기술은 대규모로 상용화가 가능한지에 대한 의문이 항상 제기가 됩니다. 과연 양자암호화가 전 세계적으로 사용될 준비가 되었을까요? 만약 정보보안책임자라면, 이 중요한 변화에 있어서 어떤 준비를 해야 할까요?
Once a cutting-edge sci-fi theory, quantum encryption – along with the computing power that drives it – may be close to wide-scale deployment. When it comes online, all previous cryptographic standards used to protect our data could go up in smoke.
With every tool that could change the world comes questions of scale and mass deployment. Is it ready to be rolled out for wide use? How should chief information security officers (CISOs) prepare for this major change?
양자암호화 기초 / Quantum Encryption 101
정리해 말하면, 양자 암호화는 우리가 적은 시간 동안에 더 많은 것을 할 수 있게 해주는 기술 입니다. 더 이상 0과 1로만 이루어진 컴퓨팅이 아니라, 그 이진수 사이에 있는 모든 것들도 컴퓨팅을 가능하게 합니다. 우리는 비트가 아닌, 양자비트, 큐비트를 이용하여 복잡하고 다차원적인 계산을 합니다.
암호화에 양자기술을 사용하여 사이버공격자들은 암호해독에 소요되는 시간이 줄입니다. 정부기관들도 동일한 목적으로 양자 컴퓨팅을 사용하는데 이렇게 양자컴퓨팅이 더 이상 이론에 국한되지 않고 현실에 다가옵니다.
정보보안책임자들은 이제는 '만약' 이라는 가정하는 이야기를 줄이고 "내가 무엇을 언제까지 해야할까?" 고민을 하게 됩니다.
In a nutshell, quantum computing allows us to do more in less time. Computing no longer is binary between zeros and ones; everything in between is fair game. Instead of bits, we have quantum bits, or qubits, allowing complex, multidimensional computations.
For the purposes of encryption, quantum computing would allow an attacker to cut down the time needed to crack a code. Government agencies work on quantum computing for this purpose. Therefore, as we move out of the theoretical space, the issue CISOs should be concerned with is less “if” and more “what do I need to do and by when?”
양자로 부터 비즈니스를 보호하는 방법 / Preparing to Quantum-Proof Your Business
정보보호책임자, 위협관리자, 이해관계자 들은 어떻게 그들의 데이터를 양자이후 세상에서 보호해야 할까요?
양자기술로부터 보호조치에 다해 중장기 차원으로 주의깊게 보고 있습니다. 당신의 CISO로의 경력은 당신이 양자역학으로 부터 IT 환경을 어떻게 구성할지에 따라 달려 있을 것입니다.
3-4년 안에 큰 변화가 있다고 생각을 해봅시다 (누군가는 50년이나 남았다고 이야기 하기도 하지만) 어디에 노력과 자원응 집중할 지에 대한 것은 당신의 결정에 달려 있습니다. 만약 당신이 디지털 변화에 이미 준비가 되어 있거나 준비중에 있다면, 암호화 표준을 개선시키는 것이 미래의 계획이 되어서는 안됩니다. 계획을 바꿔서 당신이 사용중인 암호화 표준을 기반으로 데이터를 분류하는 것을 시작해보시기 바랍니다. 당신은 이 글의 끝에서 왜 이러한 데이타 분류가 중요한 지를 알게 될 것입니다.
How can CISOs, risk managers and all those interested protect their data in the post-quantum world?
Quantum-proofing your protection should be on your mid- to long-term radar. Your near-term longevity as a CISO will likely depend on making your environment quantum-safe. Expect big changes within the next three to five years (though some argue we are 50 years away). It’s your decision how you place your bet.
If you are in the middle of, or getting ready for a digital transformation and improving your cryptographic standards is not part of your plan, change your plan to do so. If you haven’t already, start identifying data based on the cryptographic standards in use. You’ll find out soon why that matters.
양자에 대항하는 지금의 솔루션들 / Quantum-Resistant Solutions Today
국가 표준과 기술 연구소 (NIST)가 2022년도에 업데이트된 표준 알고리즘을 공개할 것으로 예상되고 있습니다. 기존에 암호 표준인 AES-256은 이미 양자 이후의 암호화에 대한 보호사항을 제시하고 있을지 모릅니다. 그러나 기존에 사용 되어진 비즈니스 의사결정의 중요한 기준과 더불어 앞으로 다가올 새로운 암호 표준을 기다리고 있습니다. 크리스탈 키버와 크리스탈 딜리티움에으로 알려져 있는 알고리즘은 양자를 보호할 수 있는 가능성있는 알고리즘의 하나로 2024년도에 더 많이 공개되어 질 것으로 예상됩니다.
AES-256암호를 해독하는데에 있어 논리적이고 에러를 수정하는 큐비트 6,600개가 필요하다고 어떤 연구소에서 제시하였습니다. 양자산업은 아마도 1,000개의 큐비트 정도에 머물고 있을 것입니다. 그러나 IBM 양자컴퓨팅은 2025년도 까지 4,000개 이상의 큐비트를 보유할 것이며 , 2026년도 까지 100,000까지 증가시키는 로드맵을 보여주고 있습니다. 이러한 상황에서 당신은 양자 암호화가 아닌 실제로 3-4년 안에 사라질 수 있는 영역에 엄청 많은 리소스를 사용해 버릴 것인가요?
Sometime in 2022, the National Institute of Standards and Technology (NIST) is expected to release updated standards on algorithms. One existing cryptographic standard, AES-256, may already provide post-quantum cryptography protection. There are business decisions to be made, and, with new standards coming out soon, wait for that list. More are expected to be released in 2024, so get to know names like CRYSTALS-Kyber and CRYSTALS-Dilithium as possible algorithms considered quantum-safe.
Furthermore, some research shows that 6,600 logical, error-corrected qubits are required to break AES-256 encryption. The industry is probably sitting at around the 1,000 qubit range as of this writing, but IBM’s quantum roadmap shows 4,000+ qubits by 2025 and scaling up to 100,000 by 2026. Do you really want to dump a bunch of resources for something that could be obsolete in three or four years?
여기서 우리가 배워야 하는 교훈은, 침참하게 다가올 많은 것들을 기다리는 것 입니다. / Lesson? Be cool, a lot is going on these days.
아직 2022년에 해커들이 갑자기 양자컴퓨터를 이용하여 총 공세를 퍼붓는 이러한 일은 일어나지 않을 것 같습니다. 누군가가 양자 컴퓨팅을 공격의 일환으로 사용한다면, 그것은 아마도 국가가 뒤에서 지원를 하고 있을 것 입니다. 따라서 당신은 아직은 새로운 결론들을 공부하고 다시 확인해 보고, 현명하게 기업의 운영 대응력을 높이고 비즈니스의 위험을 현명하게 줄일 수 있는 방법을 계획할 시간이 있습니다.
그러나 너무 멍하니 있지 마시기 바랍니다. 양자 공격은 일어날 것 입니다. 정부기관들은 양자 이후의 암호화를 주시해 오고 왔습니다. 1월에 백악관은 정부기관들에게 양자공격 보호를 위한 현대화 계획을 지시했다는 내용이 포함된 의사록을 발간했습니다.
It’s still 2022, so it’s not like your run-of-the-mill dark web actor has spun up a series of quantum computers and is in an attack frenzy. If anybody is using quantum computing as part of an attack, there is likely nation-state backing. Therefore, you have some time to research, review new results and plan wisely to minimize your business risk and improve your organizational resilience.
But don’t be fooled: this is happening. Governments have post-quantum cryptography on the radar. In January, the White House issued a memorandum directing federal agencies to begin quantum-safe modernization planning.
준비사항은 어떠한 것들이 있을까요? / What Does Preparation Look Like?
당신이 양자 암호화의 운영법을 이해할 때 까지, 당할 수 있는 2가지 방법이 있습니다.
1. 귀사의 데이터를 이해하고 태그로 분류 하는 것
2. 현재 사용하고 있는 암호를 분류하는 것
Until you figure out what your quantum-proofing transformation plan looks like, there are two tasks you can get right to:
1. Understanding and tagging your data.
2.Cataloging your cryptography currently in use.
안전한 사이버 환경을 위해 귀 사의 데이터를 알고 태그로 분류해야 합니다. 기록을 관리하는 시스템이 열약한 경우, 어떠한 플랜, 양자, 또는 양자가 아닐지라도 이는 약한 연결고리가 됩니다. 여기에서는 구성관리 데이터베이스를 최신으로 유지하시기 바랍니다. 데이터를 정확하게 분류하는 것은 그렇게 대단한 것이 아닙니다. 만약 당신이 당신의 사이버 보안에 대처하는 방법을 좀 더 개선하는 것에 진심이라면, 당신의 데이터 소스를 깨끗하게 해야 합니다.
As a matter of good cyber hygiene, you must know and tag your data. Poorly managed systems of record are a weak link in any plan, quantum or no quantum. There is nothing flashy about keeping a configuration management database up-to-date or classifying your data correctly. If you are serious about improving your cybersecurity posture, though, clean up your data sources.
As part of that cleanup, create a catalog of your cryptography standards deployed. Look at both data in transit and at rest. You may hear this cataloging referred to as a ‘crypto inventory’ in some circles. Knowing what standards you have in place will help you learn which of your data sources are at most risk against quantum attacks. Lower standards lead to higher risk.
긴 여정에서의 처음 시작 / First Steps On a Longer Road
데이터를 태깅하고 당신의 암호를 분류하는 것이 당신의 양자 암호의 여정의 끝이 아니며 이제 시작입니다. 당신의 기존의 사이버보안에 대처하는 자세를 개선시킬 수 있는 추가적인 장점을 미리 얻은 것 입니다. 이제 이를 통해 두가지 측면에서 윈윈이 가능합니다. 위와 같읔 업무들을 우선순위로 두고, 중요한 리소스들을 여기에 할당해 사용해야 합니다. 그리면 당신은 이미 위험을 줄이기 위한 여정을 나아가고 있는 것 입니다.
Tagging data and cataloging your cryptography will not end your quantum-safe journey, but they will start it off right. You also get the added bonus of improving your existing cybersecurity posture. It’s a win-win. Put these tasks first, provide the right resources behind them and you’re already on the road to reducing your risk.
https://securityintelligence.com/articles/quantum-encryption-for-cisos-today/