Служба управления облачными ключами является частью новой дорожной карты Google по внедрению новых стандартов постквантовой криптографии (PQC) на основе NIST.

Google представила свой план внедрения новых стандартов постквантовой криптографии (PQC) от Национального института стандартов и технологий (NIST) с добавлением поддержки квантово-устойчивой цифровой подписи в свою облачную службу управления ключами (KMS).

Google Cloud KMS, управляемая служба, доступная с 2017 года, позволяет клиентам создавать, управлять и проверять криптографические ключи в Google Cloud и его экосистеме. Cloud KMS также позволяет использовать аппаратные модули безопасности (HSM). Новая возможность PQC в Cloud KMS теперь доступна в предварительной версии в виде программных, управляемых клиентом ключей шифрования (CMEK).

«Вы можете вызвать Cloud KMS и использовать API Cloud KMS для генерации нужных цифровых подписей или ключей для вашей системы PKI», — говорит Нелли Портер, директор Google Cloud по управлению продуктами для конфиденциальных вычислений и шифрования.

Портер утверждает, что это позволит клиентам использовать Cloud KMS для выполнения миграций PQC и подтверждения того, что квантовые компьютеры не смогут расшифровать новые цифровые подписи с использованием новых стандартов.

После процесса, который начался почти десять лет назад, NIST официально опубликовал первые три стандарта PQC в августе прошлого года . Стандарты, основанные на передовых алгоритмах шифрования, теперь известны как FIPS 203, FIPS 204 и FIPS 205, хотя дополнительные спецификации все еще находятся на рассмотрении NIST. Стратегия Google предусматривает поддержку текущих и будущих стандартов NIST.

Хотя Cloud KMS в конечном итоге будет поддерживать все три стандарта NIST, первоначальный релиз Google реализует два алгоритма цифровой подписи: FIPS 204, который обеспечивает цифровые подписи на основе решетки, и FIPS 205, который предназначен для цифровых подписей на основе хэша без сохранения состояния. Портер говорит, что поддержка FIPS 203, который предназначен для асимметричной криптографии, появится позже в этом году.

По словам Портера, использование Cloud KMS с этими двумя алгоритмами позволит организациям заняться миграцией сертификатов PKI, использующих подписи, многие из которых могли использоваться более 10 лет.

«Весь мир PKI должен встать в очередь и использовать эти алгоритмы цифровых подписей, чтобы обеспечить более безопасный и защищенный от несанкционированного доступа мир для всех нас», — объясняет она. «Вот почему цифровые подписи так важны».

Хотя неизвестно, когда квантовый компьютер сможет взломать стандартное шифрование AES и RSA-2048, применив  алгоритм Шора , указ бывшего президента Джо Байдена определяет январь 2030 года как дату, когда системы, поддерживающие PQC, должны быть внедрены.

Реализация стандартов с открытым исходным кодом

Поскольку многим организациям необходимо защищать локальные рабочие нагрузки и проводить тестирование производительности, Google выпускает реализации стандартов NIST с открытым исходным кодом.

Google поддерживает эти реализации как часть своих криптобиблиотек BoringCrypto и Tink, «чтобы обеспечить полную прозрачность и возможность аудита кода наших алгоритмических реализаций для наших клиентов и более широкого сообщества по безопасности», согласно сообщению в блоге Google, анонсирующему дорожную карту PQC. Google заявила, что также работает с партнерами HSM и Google Cloud External Key Manager (EKM) для включения PQC.

«Поддержка библиотек с открытым исходным кодом и Cloud KMS этих конкретных подписей с помощью этих ключей даст нашим клиентам возможность проверить эти последствия для производительности своих сред при использовании этих ключей для подписания более длинных связанных сред», — объясняет Портер.

Google — не единственный крупный игрок, добавляющий библиотеки с открытым исходным кодом, которые поддерживают стандарты NIST. В сентябре Microsoft начала выпускать поддержку стандартов NIST в SymCrypt, своей основной криптографической библиотеке с открытым исходным кодом, которая используется в Azure, Microsoft 365, Windows 11, Windows 10, Windows Server, Azure Stack HCI и Azure Linux. У Amazon Web Services есть похожая инициатива с открытым исходным кодом для стандартов PQC.

Квантовая защита инфраструктуры и сервисов Google

Тем временем поддержка Google стандарта FIPS 203, также известного как ML KEM, который обеспечивает безопасную связь, идет полным ходом.  

«Это позволяет нам инкапсулировать все обмены ключами при взаимодействии с сервером и клиентом в рамках ALTS », — говорит Портер, — «протокола транспортного уровня Google, похожего на TLS».

Google развертывает поддержку FIPS 203 во всем Google Cloud и его основных сервисах, работа, которая началась в прошлом году. По словам Портера, Google использует алгоритм FIPS 203 для связи между всеми предлагаемыми им сервисами.

«Мы запускаем его внутри компании и делаем его доступным для каждой отдельной службы, которую наши клиенты будут использовать в будущем», — говорит она. «Мы внедряем этот конкретный протокол плавно и безболезненно для наших клиентов».