对我而言,信息安全是一个发展变化快速且令人兴奋的领域。 几乎每天清晨业界都有新的消息。
最近,我读到一篇新闻提到中国科学技术大学正投入兴建一条长达2,000公里,从北京到上海,世界上最长的量子通讯网络(quantum communication network),并预计于2016年前完工。项目的推动人,希望通过量子加密技术提供用户最安全的通讯环境。
Fortinet创始人&CTO 谢华
这真是了不起的雄心。
理论上,量子通信网路的安全是滴水不漏的。任何想要拦截加密密钥的企图,都会改变量子数据或量子位的物理状态,触发通讯程序警报。目前,全世界不同国家还有许多实验室都在研究这项技术。
这个犹如信息安全产业的“圣杯”的量子加密技术,真的如此登峰造极么?我相信量子加密的开发人员将会努力不懈地追求这牢不可破的安全技术,但即使如此,我仍忍不住想问,单一的技术无论再完美,是否真的可以解决目前人类最复杂的问题之一,并成为最终和唯一的解决办法。
根据我的观察,量子加密要被广泛采用面临两大门坎:采用的成本效益,另一方面更重要的是,即使量子加密本身坚不可摧,但安全系统其他部分仍存在薄弱环节。
合乎成本效益吗?
目前并无法清楚估算导入量子加密技术的成本,但似乎很高,尤其在研发初期,技术尚未成熟且使用者还不多的情况下。对企业来说,增加利润、减少开支是非常重要的,加上目前现有的低成本加密技术几乎可以满足多数企业应用程序安全上的需求,因此,企业怎么可能投入更高的成本导入量子加密系统?
企业的安全由最薄弱的环节决定
更艰巨的挑战则是,信息安全并不是一个各自独立的拼图,而是一个互联的系统。如果量子加密真的难以破解,网络犯罪分子依然可以在信息安全系统中薄弱的环节中锁定攻击的目标。例如,他们可以利用社会工程来获得机密数据的信息,或者也可以像目前多数黑客一样,在用户的计算机上植入恶意软件,窃取数据。
由于量子加密只能确保数据在传输过程中的安全,但这只是整个安全链的一环,若因此而称它是一个「牢不可破的安全」技术,有点言过其实。事实上,量子技术之外还有其他的技术,正如许多产业所依赖的不仅仅是技术本身,这些道理都是一样的。
需要不断强化安全链中的脆弱环节;通过统一产业界信息共享和安全规范或要求来推动升级个体部件来达成提升整体安全性的目标。
这意味着,虽然信息安全解决方案的提供商努力共享威胁情报并发展自己的技术,但企业和消费者也必须花时间了解更多网络安全和防范攻击的相关讯息。此外,不仅在当地的CERT团队必须提高应变能力,各个地区的科研机构也同时加紧脚步培育网络安全人才。
需要努力的方向还有很多,且涉及到许多相关的领域和范畴。真正的关键在于,这些相关的业者和研究单位需要在各自的领域努力投入并相互合作,才能创造一个安全、可行的环境,而不是只单靠一个量子加密技术。
本文作者为Fortinet创始人兼CTO 谢华