内容是PQC为了IPsec隧道?

注意

注意: 请联系 feature-releases@catonetworks.com 获得有关启用和使用此功能的更多信息。

概述

后量子密码学(PQC)通过引入抗量子密钥交换机制来加强IPsec隧道安全性。 随着量子计算能力的发展,广泛使用的算法如RSA和椭圆曲线密码(ECC)可能最终会变得不安全。 PQC帮助确保您的站点到站点WAN流量在面对当前和未来加密威胁时保持受保护状态。

启用PQC为了IPsec站点和隧道允许您将组织的加密策略与长期安全性和合规性要求对齐,而不改变您的站点如何连接到Cato云。

保护收割现在,解密以后的攻击

与量子计算相关的主要风险之一是“收割现在,解密以后”模式。 在此情景中,攻击者今天捕获加密流量,存储它,并等待量子能力足以破解传统加密。

即使现在无法解密流量,具有长保留值的敏感信息可能会在未来被泄露。 PQC通过在IPsec协商过程中结合抗量子密钥交换算法来减轻这一风险。 因此,今天捕获的流量即使面对未来的量子解密尝试也能保持受保护状态。

操作和安全注意事项

长期数据保护

许多组织依赖长期IPsec隧道在站点、数据中心和云环境之间传输敏感流量。 这类流量常常包括需要保留多年或几十年的受监管或业务关键数据。 通过启用PQC,您帮助确保加密强度与长期的数据保护策略和新兴的安全标准相一致。

混合IKEv2协商模型

PQC为了IPsec隧道是使用混合优先IKEv2协商方法实施的。 在隧道建立期间,经典密码学和PQC算法一起协商。 此设计保留了与尚不支持PQC的对等方的互操作性,并保持连接性,必要时可以通过受控回退机制。

此方法允许您在不破坏现有站点到站点连接性或需要所有对等方同时升级的情况下引入抗量子密码学。

可见性和迁移控制

PQC支持包括提供隧道协商行为洞察的远程遥测。 您可以监控协商结果,识别回退方案,并验证成功的抗量子安全协商。 这种可见性可以帮助您确定哪些对等方已准备好进行PQC,并以可控和可测量的方式管理迁移过程。

CMA中的集中管理

PQC配置直接集成到IKEv2和IPsec隧道设置中,并通过相关的API和AccountSnapshot字段曝光。 这允许您在Cato管理应用程序中集中管理加密设置。 采用PQC不会引入额外的操作复杂性。 配置模型与现有的IPsec管理流程保持一致。

何时启用PQC

如果您的组织运营关键基础设施、管理受监管环境或传输具有长保留要求的敏感数据,则应该考虑启用PQC为了IPsec隧道。

如果您主动与新兴加密标准保持一致并为后量子时代准备您的网络架构,PQC也是相关的。

这篇文章有帮助吗?

0 人中有 0 人觉得有帮助

0 条评论