Visualizzare gli insight sulla crittografia post-quantistica (PQC) asimmetrica

Questa pagina descrive come utilizzare il grafico Approfondimenti sulla crittografia post-quantistica (PQC) nella Panoramica della gestione delle chiavi di Cloud KMS nella consoleGoogle Cloud per valutare l'inventario delle chiavi asimmetriche e prepararsi per la futura modernizzazione della crittografia.

L'avvento del computing quantistico rappresenta una potenziale minaccia per gli algoritmi crittografici a chiave pubblica ampiamente utilizzati. Il grafico Approfondimenti su PQC ti aiuta a identificare e inventariare le chiavi asimmetriche classiche, fornendo la visibilità necessaria per pianificare la modernizzazione futura e garantire la resilienza a lungo termine.

Le chiavi simmetriche (come quelle utilizzate per ENCRYPT_DECRYPT) sono generalmente considerate resistenti agli attacchi dei computer quantistici e non sono incluse in questa dashboard. Per ulteriori informazioni sugli algoritmi supportati da Cloud KMS, consulta Scopi e algoritmi delle chiavi.

Prima di iniziare

Per ottenere le autorizzazioni necessarie per visualizzare gli approfondimenti PQC, chiedi all'amministratore di concederti il ruolo IAM Cloud KMS Viewer (roles/cloudkms.viewer) nel progetto.

Visualizzare gli insight PQC

Il grafico Insight PQC asimmetrici fornisce una suddivisione visiva di alto livello delle tue chiavi asimmetriche in base alla classificazione degli algoritmi che utilizzano.

  1. Nella console Google Cloud , vai alla pagina Key Management.

    Vai a Gestione delle chiavi

  2. Fai clic sulla scheda Panoramica e poi sul grafico Insight PQC asimmetrici.

  3. (Facoltativo) Fai clic su un segmento del grafico per visualizzare il numero di chiavi che rappresenta. Puoi anche fare clic su Visualizza per un segmento per visualizzare una tabella dei Dettagli degli insight PQC asimmetrici.

Questo grafico classifica le chiavi in due gruppi principali:

  • Post-quantistiche: chiavi che utilizzano algoritmi crittografici specificamente progettati per resistere agli attacchi dei futuri computer quantistici.
  • Classiche: chiavi che utilizzano algoritmi asimmetrici classici (come RSA o ECC) che oggi rimangono sicure contro gli attacchi classici, ma sono suscettibili agli attacchi di futuri computer quantistici.

Il grafico segmenta ulteriormente queste chiavi in base allo scopo crittografico e al tipo di crittografia.

Informazioni sulla tabella dei dettagli

La tabella in questa pagina elenca le chiavi asimmetriche all'interno del progetto attuale e fornisce le seguenti informazioni:

  • Nome chiave:il nome della chiave. Fai clic sul nome per accedere alla pagina Dettagli chiave per quella chiave specifica.
  • Posizione:la posizione in cui si trova la chiave.
  • Livello di protezione:il livello di protezione della chiave.
  • Scopo:lo scopo crittografico della chiave, ad esempio ASYMMETRIC_SIGN.
  • Tipo di crittografia:indica se la chiave utilizza un algoritmo PQC o classico.

Puoi utilizzare la barra dei filtri sopra la tabella per perfezionare l'elenco delle chiavi in base a uno qualsiasi di questi attributi.

Valuta le chiavi classiche per la modernizzazione futura

Devi esaminare le chiavi asimmetriche esistenti per gli algoritmi asimmetrici classici che potrebbero essere convertiti in alternative post-quantistiche. Queste chiavi offrono comunque una protezione efficace contro gli attacchi classici. Tuttavia, l'adozione di algoritmi post-quantistici contribuisce a garantire la resilienza a lungo termine contro potenziali minacce quantistiche future. La tabella seguente elenca gli scopi e gli algoritmi delle chiavi e indica se ciascuno è considerato sicuro post-quantistico.

Finalità Algoritmi Tipo di crittografia Alternativa post-quantistica
ASYMMETRIC_SIGN EC_SIGN_* Classica ASYMMETRIC_SIGN con PQ_SIGN_* algoritmi
ASYMMETRIC_SIGN RSA_SIGN_* Classica ASYMMETRIC_SIGN con PQ_SIGN_* algoritmi
ASYMMETRIC_SIGN PQ_SIGN_* PQC Sicuro per il post-quantum
ASYMMETRIC_DECRYPT RSA_DECRYPT_* Classica KEY_ENCAPSULATION algoritmi
KEY_ENCAPSULATION Tutti PQC Sicuro per il post-quantum

L'adozione degli standard PQC prima possibile offre i seguenti vantaggi:

  • La sostituzione delle chiavi ASYMMETRIC_DECRYPT con le chiavi KEY_ENCAPSULATION contribuisce a proteggere i tuoi dati criptati dagli attacchi "Harvest Now, Decrypt Later" (HNDL), in cui un malintenzionato intercetta il testo cifrato senza alcun modo di decriptarlo, ma lo memorizza nella speranza di decriptare un giorno la crittografia.
  • La sostituzione delle chiavi ASYMMETRIC_SIGN che utilizzano gli algoritmi EC_SIGN_* o RSA_SIGN_* con un algoritmo PQ_SIGN_* fornisce una non ripudiabilità a lungo termine per le tue firme.

Identificare le chiavi con Cloud Asset Inventory

Puoi utilizzare Cloud Asset Inventory per elencare e filtrare in modo programmatico gli asset Cloud KMS in base al tipo di algoritmo.

Cercare in un'organizzazione

  1. Per elencare le chiavi che utilizzano algoritmi post-quantistici come PQ_SIGN_*, ML_KEM_* o KEM_XWING, esegui questo comando:

    gcloud asset list \
      --organization=ORGANIZATION_ID \
      --asset-types="cloudkms.googleapis.com/CryptoKey" \
      --content-type=resource \
      --filter='(resource.data.purpose = "ASYMMETRIC_SIGN" OR resource.data.purpose = "ASYMMETRIC_DECRYPT" OR resource.data.purpose = "KEY_ENCAPSULATION") AND (resource.data.versionTemplate.algorithm:PQ_SIGN* OR resource.data.versionTemplate.algorithm:ML_KEM* OR resource.data.versionTemplate.algorithm = "KEM_XWING")' \
      --format='table(name.segment(1):label=PROJECT, name.segment(-3):label=KEY_RING, name.segment(-1):label=CRYPTO_KEY, resource.data.purpose:label=PURPOSE, resource.data.versionTemplate.algorithm:label=ALGORITHM)'
    
  2. Per elencare le chiavi asimmetriche che non utilizzano algoritmi post-quantistici, in altre parole, le chiavi asimmetriche che utilizzano algoritmi classici, esegui il seguente comando:

    gcloud asset list \
      --organization=ORGANIZATION_ID \
      --asset-types="cloudkms.googleapis.com/CryptoKey" \
      --content-type=resource \
      --filter='(resource.data.purpose = "ASYMMETRIC_SIGN" OR resource.data.purpose = "ASYMMETRIC_DECRYPT" OR resource.data.purpose = "KEY_ENCAPSULATION") AND NOT (resource.data.versionTemplate.algorithm:PQ_SIGN* OR resource.data.versionTemplate.algorithm:ML_KEM* OR resource.data.versionTemplate.algorithm = "KEM_XWING")' \
      --format='table(name.segment(1):label=PROJECT, name.segment(-3):label=KEY_RING, name.segment(-1):label=CRYPTO_KEY, resource.data.purpose:label=PURPOSE, resource.data.versionTemplate.algorithm:label=ALGORITHM)'
    

Cercare in un progetto

  1. Assicurati che Google Cloud CLI abbia come target il progetto corretto:

    gcloud config set project PROJECT_ID
    
  2. Per elencare le chiavi che utilizzano algoritmi post-quantistici come PQ_SIGN_*, ML_KEM_* o KEM_XWING, esegui questo comando:

    gcloud asset list \
      --project="$(gcloud config get-value project)" \
      --asset-types="cloudkms.googleapis.com/CryptoKey" \
      --content-type=resource \
      --filter='(resource.data.purpose = "ASYMMETRIC_SIGN" OR resource.data.purpose = "ASYMMETRIC_DECRYPT" OR resource.data.purpose = "KEY_ENCAPSULATION") AND (resource.data.versionTemplate.algorithm:PQ_SIGN* OR resource.data.versionTemplate.algorithm:ML_KEM* OR resource.data.versionTemplate.algorithm = "KEM_XWING")' \
      --format='table(name.segment(-3):label=KEY_RING, name.segment(-1):label=CRYPTO_KEY, resource.data.purpose:label=PURPOSE, resource.data.versionTemplate.algorithm:label=ALGORITHM)'
    
  3. Per elencare le chiavi asimmetriche che non utilizzano algoritmi post-quantistici, in altre parole, le chiavi asimmetriche che utilizzano algoritmi classici, esegui il seguente comando:

    gcloud asset list \
      --project="$(gcloud config get-value project)" \
      --asset-types="cloudkms.googleapis.com/CryptoKey" \
      --content-type=resource \
      --filter='(resource.data.purpose = "ASYMMETRIC_SIGN" OR resource.data.purpose = "ASYMMETRIC_DECRYPT" OR resource.data.purpose = "KEY_ENCAPSULATION") AND NOT (resource.data.versionTemplate.algorithm:PQ_SIGN* OR resource.data.versionTemplate.algorithm:ML_KEM* OR resource.data.versionTemplate.algorithm = "KEM_XWING")' \
      --format='table(name.segment(-3):label=KEY_RING, name.segment(-1):label=CRYPTO_KEY, resource.data.purpose:label=PURPOSE, resource.data.versionTemplate.algorithm:label=ALGORITHM)'
    

Per mitigare i rischi derivanti da attacchi quantistici, abbandona le chiavi asimmetriche che utilizzano algoritmi classici.

  • Per le chiavi di decrittografia asimmetrica:per le chiavi utilizzate per la decrittografia asimmetrica, puoi modernizzare l'inventario sostituendo la crittografia asimmetrica con la crittografia ibrida a chiave pubblica (HPKE). In HPKE, utilizzi chiavi con lo scopo KEY_ENCAPSULATION che utilizzano un algoritmo post-quantistico come ML_KEM_768 per condividere un segreto. Per saperne di più, consulta Meccanismi di incapsulamento delle chiavi.
  • Per le chiavi di firma asimmetriche:per le firme digitali, puoi modernizzare il tuo inventario creando nuove chiavi con lo scopo ASYMMETRIC_SIGN che utilizzano un algoritmo post-quantistico come PQ_SIGN_ML_DSA_65.

Resilienza post-quantistica delle chiavi simmetriche

A differenza delle chiavi asimmetriche al centro del grafico Insight PQC asimmetrici, le chiavi simmetriche sono generalmente considerate resistenti agli attacchi dei computer quantistici. L'eccezione degna di nota sono le chiavi MAC che utilizzano l'algoritmo HMAC-SHA1. Per saperne di più sui diversi algoritmi, consulta Scopi e algoritmi delle chiavi.

Passaggi successivi