A kvantumszámítástechnika nem csupán a jövő ígérete, hanem a jelen kiberbiztonsági kihívása is. Bár a kriptográfiai algoritmusok feltörésére alkalmas, teljes körű kvantumszámítógépek még fejlesztés alatt állnak, a védekezést már most meg kell kezdenünk. A Red Hat az OpenShift Service Mesh 3.3 kiadásával az elsők között teszi elérhetővé a kvantumbiztos titkosítást (Post-Quantum Cryptography - PQC) a vállalati konténerplatformokon.

Miért kritikus a kvantumfenyegetés már ma?

A legnagyobb kockázatot az úgynevezett "Harvest Now, Decrypt Later" (HNDL), azaz a „Szerezd meg most, fejtsd meg később” típusú támadások jelentik. Ennek során a támadók titkosított adatfolyamokat rögzítenek és tárolnak el abban a reményben, hogy a jövőben elérhető kvantumszámítógépekkel képesek lesznek visszafejteni azokat.

Ez különösen veszélyes a hosszú élettartamú adatokra (például egészségügyi rekordok, államtitkok vagy szellemi tulajdon), ahol az adatok értéke évtizedekig megmarad. A jelenleg elterjedt algoritmusok – mint az RSA vagy az elliptikus görbe alapú kriptográfia (ECC) – elméletileg sebezhetőek a kvantumalapú támadásokkal szemben.

Az OpenShift Service Mesh 3.3 újdonságai

Az OpenShift Service Mesh 3.3-as verziója (amely az Istio nyílt forráskódú projektre épül) több szinten vezeti be a PQC-t:

1. Hibrid kulcscsere (X25519MLKEM768)

Az egyik legfontosabb fejlesztés a hibrid kulcscsere mechanizmus alkalmazása. Ez a megoldás a hagyományos, már bizonyított X25519 algoritmust ötvözi az új, kvantumbiztos ML-KEM (korábban Kyber néven ismert) algoritmussal.

• Biztonság: Ha az új PQC algoritmusról a jövőben kiderülne valamilyen gyengeség, a kapcsolat még mindig ugyanolyan erős marad, mint a jelenlegi klasszikus titkosítás.

• Kompatibilitás: Lehetővé teszi a fokozatos átállást anélkül, hogy a meglévő rendszerek működését veszélyeztetné.

2. Istio Gateway PQC támogatás

A szolgáltatásháló bejárati pontjain (Gateway) konfigurálhatóvá váltak a PQC algoritmusok. Ez kritikus fontosságú, hiszen a külső forgalom itt lép be a mesh-be, így a HNDL támadások elleni védelem már a „kapuban” megkezdődhet.

3. Platformszintű integráció és FIPS megfelelőség

A Red Hat szorosan együttműködik a NIST (National Institute of Standards and Technology) szervezettel, hogy az implementációk megfeleljenek a legújabb szabványoknak. A PQC támogatás az OpenShift alapját képező Red Hat Enterprise Linux (RHEL) kriptográfiai könyvtáraira épül, biztosítva a konzisztens védelmet a teljes stingen keresztül.

Miért a Service Mesh a kulcs a migrációhoz?

A kvantumbiztos algoritmusokra való átállás (kripto-agilitás) rendkívül nehéz lenne, ha minden egyes alkalmazást külön kellene módosítani. A Service Mesh két fő előnyt nyújt ezen a téren:

• Transzparencia az alkalmazások számára: Az mTLS (kölcsönös TLS) titkosítás a sidecar proxikon vagy a CNI rétegen keresztül valósul meg. Az alkalmazás kódja változatlan marad, a titkosítási algoritmusok cseréjét az infrastruktúra végzi el „alatta”.

• Központi szabályozás: A biztonsági mérnökök központilag, deklaratív módon határozhatják meg, mely szolgáltatások közötti kommunikáció igényel kvantumbiztos védelmet.

Merre tovább?

A Red Hat hangsúlyozza, hogy a PQC bevezetése nem egy egyszeri frissítés, hanem egy hosszabb folyamat kezdete. Az OpenShift Service Mesh 3.3 lehetőséget ad a vállalatok számára, hogy:

1. Leltárt készítsenek a kritikus adataikról és azok élettartamáról.

2. Kísérleti projekteket indítsanak a PQC algoritmusok teljesítményének és kompatibilitásának tesztelésére.

3. Kialakítsák a kripto-agilitást, azaz képessé tegyék infrastruktúrájukat a gyors algoritmusváltásra a jövőben felmerülő fenyegetések esetén.

Az ULX részéről már jóideje foglalkozunk többek között a Red Hat Service Mesh (Istio) technológia nagyvállalati implementációjával, így készen állunk arra, hogy támogassuk ügyfeleinket ezen modern technológiák implementálásában és a hosszú távú adatbiztonsági stratégiájuk kialakításában.