追溯至網絡通(tōng)信安全起始之初，數(shù)據安全人(ré→≈¶n)員(yuán)就(jiù)不(bù)得(de)不(bù)面對(duì)證書(sh↑✘¶φū)使用(yòng)這(zhè)一(yī)挑戰。♥♥©'網頁證書(shū)是(shì)傳輸層安全♠©通(tōng)信的(de)基礎，增加了(le)網絡站(zhàn)點連接的(de)安全性，通(≈↓♦tōng)常顯示為(wèi)“https”中的(de)“​₽ ✘s”。作(zuò)為(wèi)用(yòng)戶、服務器(qì)、機(jī)器(qì)、物(wù $)聯網設備和(hé)訪問(wèn)點的(de)驗證核心部分(fēn)，是(shì)用(y♣↑≥òng)戶在各個(gè)場(chǎng)合下(xià)安全防護↑±♠ 的(de)第一(yī)步。

現(xiàn)在，當談及加密風(fēnγ←≥σg)險，人(rén)們似乎也(yě)越來♦™φ(lái)越難以繞過證書(shū)、加密秘鑰和(hσ₹≠é)保護數(shù)據的(de)算(suàn)法等話(huà)題。

什(shén)麽是(shì)加密風(fēng)險？

加密風(fēng)險是(shì)一(yī)種度量标δ↔‍準，用(yòng)于表示加密手段下(xià)用(yòng)戶數(shù)據×₽的(de)安全程度。在上(shàng)下(xià)文(wén)中，專家(jiā)使✘'用(yòng)“數(shù)據風(fēng)險”來(lái)代表未受保護的(de)₹★€↔敏感數(shù)據，使用(yòng)“平台風(fēng)險”或者“基礎架構風(®‌↔fēng)險”來(lái)表示計(jì)算(suàn)機(↔λ¶βjī)系統中尚未修複的(de)漏洞所處的β÷α(de)實際位置或者是(shì)系統內(nèi)部的(de)安全性。

為(wèi)了(le)評定這(zhè)些(x↓¶≥iē)風(fēng)險标準，企業(yè)采取$≥©了(le)一(yī)系列工(gōng)具進₽©行(xíng)檢測，從(cóng)未被保護的(de)用(yòng)戶敏感數(shù)據，比如(π‍rú)社會(huì)保險号、信用(yòng)卡等信息，再到(dào)運營體​©(tǐ)系和(hé)應用(yòng)的(de)未被修補的(d✘‍‍e)漏洞。然而，很(hěn)多(duō)企業(yè)組織卻沒有(yǒu)一(yī↑¶←<)套有(yǒu)效的(de)風(fēng)險∞↔測量工(gōng)具，檢測加密保護手段下(xià)的(de)數(shù‍α)據安全程度。換句話(huà)說(shuō)，當前衡量加密風(fēng)險标準還(hái)沒有(y ↑ǒu)一(yī)種合适的(de)方法。

創建加密風(fēng)險标準有(yǒu)助于進一(yī)步推π♠進數(shù)據安全的(de)發展。該标準應考慮到(dào)所有(yǒu)✔∏±導緻加密數(shù)據不(bù)安全的("​​λde)因素，這(zhè)或許涉及以下(xià)一(yī)些(xiē)問(wèn)題★♠×的(de)回答(dá)：

使用(yòng)哪種算(suàn)法可(kě)以保證密£₹‌ 碼的(de)完整性？（比如(rú)MD-5，SHA-1，S​♥™HA-236，SHA-3等）

保護用(yòng)戶數(shù)據和(hé)企業(yè) ✘ε'業(yè)務相(xiàng)一(yī)緻的(de)的(de)加密秘鑰長(cháng±↓ ∞)度有(yǒu)哪些(xiē)？（例如(rú)AES-128，AES-256σ≈等）

使用(yòng)哪種算(suàn)法使得(de)加密具有(‍ yǒu)完整性（例如(rú)，MD-5，SHA-1，SHA-236​±，SHA-3等）？

您的(de)證書(shū)什(shén)麽時(shí∞¶)候到(dào)期（例如(rú)12月(yuè)✔®31日(rì)午夜）？

誰簽發了(le)您的(de)證書(shū)、如(rú)何對σσφ(duì)其進行(xíng)驗證以及可(kě)以（或↔↔←π已經）将其吊銷？

企業(yè)當前的(de)系統和(héπ±✔)應用(yòng)程序上(shàng)安裝了(le)哪些(xiē)加密庫或軟件(jiδ✔φ♠àn)？它們足以保護數(shù)據嗎(ma)？

就(jiù)像惡意軟件(jiàn)和(hé)事(s÷•‍≈hì)件(jiàn)管理(lǐ)一(yī)樣，這(≤€×☆zhè)類問(wèn)題不(bù)勝枚舉。然而，知₹"≠(zhī)道(dào)這(zhè)個(gè)問(wèn)題答(dá)案的(de)企業(↓→λyè)則懂(dǒng)得(de)如(rú)何長(chδβ‍‌áng)期使用(yòng)和(hé)管理>≥↑(lǐ)他(tā)們的(de)加密資産，能(néng)夠持續>δ≥地(dì)評估真正保護企業(yè)數(shù)據的(de)有(₽™yǒu)效資産有(yǒu)哪些(xiē)。

“量子(zǐ)計(jì)算(suàn)機(jī)來(lái)了(le)！”

或許在加密風(fēng)險評估方面，量子(zǐ)的(de)發展已然落後了(le)，但(dàn​$₹λ)是(shì)故事(shì)并沒有(yǒu)就(jiù)÷‍此戛然而止。在剛觸及算(suàn)力的(de)門(mén)檻，安全團隊就(jiù)面臨了(∑∑±le)加密方面的(de)巨大(dà)挑戰。量子(zǐ)時(shí)代，再✘↔進一(yī)步來(lái)說(shuō)是(sh☆‌ì)計(jì)算(suàn)時(shí)代，有(yǒu)望解決傳統二進制(zhì)計(j¥$♣₩ì)算(suàn)機(jī)目前無法解決的(de)實≠≥際問(wèn)題。

量子(zǐ)計(jì)算(suàn)機(jī)備受期待的(de)一(yī)個(gè)原因在于，他×♣☆ (tā)們可(kě)以有(yǒu)效實現(x"¥≈ iàn) Shor算(suàn)法和(hé)Grover算(suàn®φ)法。

Shor算(suàn)法即舒爾算(suàn)法，于1994年(niᩱ♥n)被發現(xiàn)，是(shì)一(yī)種針對(duì)整數(shù£<÷)分(fēn)解的(de)量子(zǐ)算(suàn)法。G >¥✔rover算(suàn)法是(shì)Gr∑©‍over于1996年(nián)提出的(de)量子(zǐ)搜索算(suàn)法，這(zhè)是(s©€Ωhì)一(yī)種對(duì)空(kōng)間(jiān)進行(xíng)完全搜索的(de)優化δ✔(huà)算(suàn)法。

這(zhè)兩種算(suàn)法在追蹤加密秘鑰方面比傳統計(jì)算(suàn)方法省時‌α<(shí)得(de)多(duō)。當量子(zǐ)計(jì)算(su&​àn)機(jī)能(néng)夠實現(x✘εδiàn)這(zhè)兩種算(suàn)法時(shí)，‌§€±并且以合理(lǐ)價格在消費(fèi)者之間(jiān)推廣開(kāi)來(δ↓∑lái)，這(zhè)時(shí)我們将看®®↓™(kàn)到(dào)攻擊者會(huì)削弱現(xiàn)有(yǒu)對(d£÷uì)稱算(suàn)法（如(rú)AES）的€€₽♣(de)加密強度并能(néng)夠有(yǒu)效消除現(xiàn)有(y©↔ǒu)非對(duì)稱算(suàn)法（如(€">rú)今常用(yòng)的(de)如(rú)RSA或者ECC）。

目前，我們尚未發展到(dào)那(nà)個(g×≠‌è)程度，事(shì)實上(shàng)，連一(yī)台量子(zǐ)計(jì)算(suà§♦×n)機(jī)也(yě)沒有(yǒu)，更别說(shuō)消除RSA秘鑰強度了(le)。盡管有(y→✔♥γǒu)些(xiē)專家(jiā)認為(wèi)再過20年(ni™✔án)就(jiù)能(néng)實現(xiàn)，但(dàn)是(shì)也(yě)隻是(shì★≠" )預測。美(měi)國(guó)國(guó)家(jiā)标準技(jì)術(sh≠₹↔>ù)研究院（NIST）已著(zhe)手引入新♥ 的(de)抗量子(zǐ)加密算(suàn)法。這(zhè)些(xiē)後量子(zǐ•$‌ )密碼術(shù)（PQC）算(suàn)法有(yǒu)望抵♣↕↕ 抗量子(zǐ)計(jì)算(suàn)機(jī)的(de)強大(dà)功能(né​>☆ng)。

目前，IBM和(hé)NIST開(kāi)展CRYSTALS項目合作(zuò)≈♥±，正在評估兩種算(suàn)法，希望能(n↓↓éng)在未來(lái)幾年(nián)內(nèi)能(néng)夠使用(y♠π←★òng)新算(suàn)法并且标準化(huà)。使用(yòng)能(néng)承受下(≤®xià)一(yī)代計(jì)算(suàn)機(jī)強大(dà)功能(néng)的(dε≠♠e)加密算(suàn)法，有(yǒu)助于為(wèi)專業(yè)人(∑±‍rén)員(yuán)保護關鍵數(shù)據甚至→®是(shì)存檔數(shù)據提供新的(de)方法。

當今的(de)加密風(fēng)險

即使沒有(yǒu)量子(zǐ)計(jì)算(suàn)機(jī)問(wèn)γ×™¶世帶來(lái)的(de)風(fēng)險，其他(tā)加密風(fēng)險也β•<(yě)迫在眉睫，比如(rú)包含一(yī)些(xiē)簡單卻長(cháng)期存在的(de$☆)問(wèn)題，比如(rú)使用(yòng)過時(shí☆®∏☆)的(de)加密算(suàn)法、簡短(duǎn)的(de)密鑰和(hé)來(lái)源不×"≠(bù)明(míng)或者即将過期的(de)證書(shū)等。如(rú)果這(zh≈≈¶è)些(xiē)問(wèn)題檢測不(bù)到(dào)或者不(bù)加管理(lǐ)，那‍​'‍(nà)麽對(duì)于數(shù)據保護和↓☆ δ(hé)企業(yè)的(de)業(yè)務持久性來(lái)說(shuō)就(jiù≈≠™)是(shì)一(yī)個(gè)緊迫的(de)、現(xià£α&¥n)存的(de)威脅。

微(wēi)軟和(hé)Let’s Encrypt近(jìn)期強調了(le)證書(‍₩shū)管理(lǐ)不(bù)當會(huì)對(duì)企業(yè)業(yè​> )務連續性産生(shēng)不(bù)利♦π影(yǐng)響。因此，随著(zhe)業(>↔☆÷yè)務深入，問(wèn)題會(huì)越來(lái)越複雜(zá)，采取合适©σ♣∞的(de)方法來(lái)處理(lǐ)這&↕™(zhè)個(gè)問(wèn)題十分(fēn)重要(yào)。比≥✔≠♣如(rú)，蘋果的(de)做(zuò)法是(shì)主動屏蔽任何超過一(yī)年(nián)的(d£ ↓•e)信任證書(shū)。否則黑(hēi)客可(kě)以充分(fēn)利$≤↕'用(yòng)企業(yè)不(bù)系統的(de)證書(shū)管理(αε≥↕lǐ)，僞造證書(shū)安全警示感染企業(yè)計(jì)算(suàn)機(jī$€Ω→)。

因此，加密資産（比如(rú)證書(shū)、密鑰、算©∞¥(suàn)法和(hé)庫）的(de)管理(lǐ)不(bù)當或者∑✔>♦是(shì)沒有(yǒu)管理(lǐ)是(shì)一(yī)個(gè)很(♦≤hěn)嚴重的(de)問(wèn)題，這(zhè)不(bù)僅會(huì↓<)影(yǐng)響業(yè)務的(de)連續性，還(hái≠★±)會(huì)給黑(hēi)客機(jī)會(huì)找到(dào)企業(yè)數Ω¶(shù)據安全的(de)漏洞。加密風(fēng)險是(shì)一(yī)個(gè)很↔σγ(hěn)普遍的(de)問(wèn)題，需要(yào)人(φ±•rén)們加以重視(shì)，予以解決。

加強數(shù)據安全鏈

數(shù)據安全這(zhè)扇大(dà)門(mén)，我們上(shàng)鎖了(↓γαle)、加鏈條了(le)，但(dàn)是(shì)α 現(xiàn)在，鎖舊(jiù)了(le)、鏈條↔φ鏽了(le)，保護強度也(yě)很(hěn)薄弱。如(rúλ×↔)果企業(yè)數(shù)據面臨風(fēng)險，那(nà)麽數(shù)據安全團隊有(←εyǒu)責任測試每個(gè)環節的(de)保護強度并采取措施進行(xíng)整個(gè₹•)鏈條的(de)強化(huà)。

提及加密，我們有(yǒu)很(hěn)多(duō)個(gè)部分(fēn)需要(yào)加強，↔™★比如(rú)算(suàn)法、變化(huà)的(de)密鑰大(dà)小(xiǎo∑<σ•)、證書(shū)、非對(duì)稱密鑰對(duì)、對(duì)稱密鑰、輪替密鑰>§♣、密鑰分(fēn)發等。為(wèi)了(le)處理(lǐ)加密風(fēng)險♦♦±，需要(yào)一(yī)種以簡化(huà)的(de)組合視(shì)圖顯示與加密相(xiàng)₩δ$關的(de)風(fēng)險整體(tǐ)趨勢的(de)方法。如(rú)果沒有(yǒu)一(y♦β±ī)種方法來(lái)衡量這(zhè)種加密風(fēng)險£‌®，安全團隊将無法對(duì)其進行(xíng)管理(lǐ)。