为了能够及时发现现有密码体系中的量子脆弱性,国外各个研 究团队都提出了自己的脆弱密码发现工具。同时,国内的许多组织 和公司也具有能够完成脆弱密码发现任务的密码态势感知工具。
(1)IBM 系列
IBM 除了积极推动后量子密码算法的标准化实现外,在量子脆 弱性发现上的工作也十分充分。其技术贡献包括对 IBMz16 大型机 环境的 z/OS 镜像以及工作站服务器的远程访问技术、具备脆弱密 码发现能力的软件、硬件和工具。该系统托管在 IBM 的一个设施 中,可通过 VPN 从 NCCoE 实验室进行远程访问,允许合作者通过 实际操作理解 IBM 的脆弱密码发现技术,这些技术可以在应用程 序中(无论有无源代码)发现加密的使用情况以及网络连接情况。
(2)三星系列
三星数据科学研究所提供云和数字物流服务。三星数据科学研 究所利用三星云平台构建优化后的云环境,并提供一体化管理服务 以及在许多用例中已证明成功的 SaaS 解决方案。提供服务的核心能力之一是网络安全,而密码技术对于增强安全性起着至关重要的 作用。为此,三星数据科学研究所从事各种密码学研发活动,包括 密码技术的设计、实施和架构设计,包括后量子密码学。
(3)Infosec Global (ISG) 系列
ISG 是一家快速增长的网络安全公司,在密码学敏捷管理、密 码学发现和后量子密码学领域提供创新解决方案。ISG 在全球设有 加拿大、瑞士和美国的办事处。ISG 团队汇集了最佳密码学专家(包 括 SSL 之父)和经验丰富的业务领袖,他们在全球建立和增长新业 务方面经验丰富。
(4)其他
SandboxAQ 推出了 Security Suite,ISARA Corporation、微软和 思科也都推出了自己的脆弱密码发现产品。
国家密码管理局商用密码检测中心、国家信息技术安全研究中 心、国家信息中心(国家电子政务外网管理中心)、工业和信息化部密码应用研究中心、中国电子科技集团公司第十五研究所(信息产 业信息安全测评中心)、中国科学院数据与通信保护研究教育中心、 公安部第一研究所、公安部第三研究所、工业和信息化部电子第五 研究所(中国赛宝实验室)、北京信息安全测评中心、北京银联金 卡科技有限公司等 48 家商用密码应用安全性评估试点机构,以及 国内信息安全等级保护测评单位,均提供各类密码态势感知服务。 除此之外,一些公司也提供密码态势感知工具。
为了更加具体的展示脆弱密码发现的工作流程,我们对三种脆 弱密码发现架构各给出一个具体案例。以 Windows 开发环境下的 代码开发业务小组的脆弱密码发现项目为例,根据前文给出的量子 脆弱性发现框架,需要从代码、操作系统和网络流量三个方面进行 量子脆弱性发现。
(1)代码开发中的量子脆弱算法发现示例 有关代码开发中的脆弱密码发现有两种方式:一是即时的通过 集成开发环境(IDE)中的一些工具插件在代码开发过程中进行脆 弱密码发现;二是滞后的在代码存入项目存储库后,在运行持续集 成引擎时自动的完成发现。这里对两种方式的具体步骤展开介绍:
(2)操作系统中的量子脆弱算法发现示例 有关操作系统中的量子脆弱性发现主要针对两种文件:一是对 操作系统中的应用程序进行脆弱性发现;二是对不可运行的文件, 如证书、密码库等文件进行脆弱性发现。
针对可执行文件的检测:在 Windows 系统中,常见的可执行文 件包括各种应用程序及其依赖库。具体在一个开发平台上,不可避 免地需要用到浏览器应用以查找资料、编程应用以完成开发任务、 网络应用以访问开发资源以及安全应用以保护开发环境。
针对非可执行文件的检测:Windows 系统中潜在的量子脆弱非 可执行文件主要包括各种密钥库。具体在一个开发平台上,需要包括用于安全网络通信存储的密钥库、编程库中调用的密钥库、以及 远程访问时创建的密钥库。
预期结果:发现工具传感器检测应用组件和数据集中的文件, 并将结果记录在输出文件和(或)记录仪表板中,并将其传输到后 端系统以供审查。
(3)网络流量中的量子脆弱算法发现示例 代码开发过程会不可避免的调用网络通信协议来访问企业内 部的相关服务如人力、财务、业务对接等,这些业务往往会通过 TLS 进行通信层的保护。
预期结果:发现工具检测是否存在易受攻击的密钥交换/协议 和身份验证算法,并在输出文件和/或仪表板中捕获结果。 此外,代码开发还会对企业内部或云上的服务器进行部署和配 置,这时又会用到常见的 SSH 协议。
预期结果:发现工具检测是否存在易受攻击的密钥交换算法, 安全外壳 (SSH) 的密钥交换 (KEX) 方法更新和建议,并在输出文 件和/或仪表板中捕获结果。
