量子安全议题持续备受关注,近期Palo Alto Networks在年底发布全球8大网络安全趋势报告,其中一项趋势就是聚焦于此,特别的是,过去我们未曾看到该公司有这方面着墨,如今他们更是点出一个较少探讨的议题,就是攻击者可能趁机将攻击隐藏于PQC加密流量。
基本上,为了应对量子破密威胁,升级PQC算法已是大势所趋,由于先窃取、后解密的攻击手法引起广泛关注,攻击者意图在量子技术成熟后破解这些资讯,因此不论美国NIST与台湾PQC领域的专家,已不断强调企业组织需尽早转换至新标准。
Palo Alto Networks同样鼓励企业组织采取行动。例如,制定短期抗量子破密(quantum-resistant)的路线图,并要实际采取行动,部署相关防御措施,包括抗量子加密隧道技术(quantum-resistant tunneling)、全面的数据库加密,以及其他更具加密弹性的技术。另外,虽然美国NSA在2020年曾表明短期不再关注量子密钥分发(QKD)技术,除非该技术能克服一些限制。但Palo Alto Networks认为,对安全性需求极高的组织,仍应探索QKD技术,也就是从算法之外的角度,试着研究量子通信技术。
特别的是,他们在这样的量子安全议题上,还有不同于以往考量产品本身加密安全升级的做法,是聚焦在产品安全能力的提升,也就是加密流量检测也要能对应PQC算法,以识别潜藏于其中的网络威胁。
12月初,Palo Alto Networks台湾技术总监萧松瀛在介绍亚太区网络安全趋势时,指出该公司目前在防火墙、SD-WAN产品上已有相关进展。
关于这部分的进展,在该公司发布的2025全球8大网络安全趋势报告中,有更详细的说明。
该公司指出,攻击者可能利用PQC算法来规避安全侦测的问题。他们解释,如今Chrome浏览器已默认支持PQC算法,然而,攻击者也很可能借此机会,将攻击隐藏于其中,因为许多网络安全产品无法检查经过PQC算法加密的流量。
为了应对这一挑战,Palo Alto Networks也要提升加密流量检测能力,能应对新的PQC算法,因此他们表示,目前在其Strata网络安全平台上,已经可以识别、阻挡并解密这些经过PQC加密的流量。
关于如何侦测与控制使用PQC的TLSv1.3连接流量?在Palo Alto Networks的一份技术文件中也有相关的说明,协助用户管理与降低PQC使用的风险,并指出这也是企业在规划、准备PQC迁移时需纳入考量的。
换言之,不只是各种使用公钥密码的系统需要升级至PQC算法,以应对量子破密的时代,未来PQC算法的普及,也使得加密流量检测需要跟上时代。
当然,整体网络环境与公钥密码系统升级PQC算法,以保护数据免于量子破密攻击而被窃取,仍是一大重点。
如同上述提及去年8月浏览器Chrome在TLS加密方面开始支持PQC,9月台湾邮件系统服务大厂网擎资讯也开始部署PQC算法,今年还有一些进展,像是2月Apple在iMessage应用后量子加密协议PQ3,安全企业方面同样有所行动,像是,9月CheckPoint公布将PQC标准集成到其VPN解决方案。
毕竟,升级PQC算法不只是产品本身要支持,所有相关环境都要支持才有作用,这些进展显示出境内外已有不少企业都在付诸行动。
