内我的博客去年年底,我们讨论最近对量子计算的进展和关注已引起IT专业人员安全顾虑量子计算机高效解决离散对数和整数分解问题对当前公钥交换、加密和数字签名机制构成威胁此类算法广泛用于协议和产品提供IKEV2/IPsec、MACsec和TLS等加密
多数加密协议都要求在密钥交换认证机制中引入数组后算法以成为抗量机制多厂商喜欢思科市,微软,云花,谷歌,AWS系统并IETF研究将量子阻抗加入协议
并非所有协议都自发失效正像我们所解释的PQMACSEC白纸媒体存取控制安全协议,当配置正确参数和认证方法时,可提供量子抗衡校验交通加密MACsec基于标准图层802.1AE双跳加密协议提供媒体访问独立协议的数据保密性与完整性建立macsec安全会话前,Mcsec密钥协议使用为控制协议MKA选择密码器加密并交换所需密钥和参数MKA使用局域网扩展认证协议IEE802.1X定义作为传输MKA消息分配密钥的运输协议MKA使用预共享密钥或802.1X扩展验证协议框架提供认证
MKA/MACsec密钥层次包括连接式密钥(CAK),由密钥协议法建立(或带外配置)。安全协会定义协会成员之间的安全关系SA安全密钥组成安全通道SAK加密取自CAK或MKA键服务器随机生成SAKs由键服务器向同行分发MKA消息-目标多播地址EAPOL协议数据单元带MACsec加密密钥的MKA消息用密钥加密并用完整性检验密钥认证,该密钥取自CAK
量子安全MACsec配置基本需要配置
- 256位psk
- 256-bitAES-CMAC编译SAK、KEK和ICK密钥
- 256位AES-GCM数据认证加密算法
注意使用EAP-TLS认证MACsec对等并生成用于获取其他密钥的主密方法
更多细节描述Cisco平台后macsec通道PQMACSEC白纸.
追加资源访问trust.cisco.com.
复杂度太高容易
超级
最优之事
对,太复杂容易
感谢评论
显示引用白纸https://www.cisco.com/c/dam/en_us/about/doing_business/trust-center/docs/configuring-post-quantum-macsec-in-cisco-switches.pdf配置抗量MACsec系统仅3条配置线(键串设置.,密码算法设置.,macsec密码装饰.无法简单化
其余文本提供协议背景并解释MACsec量子阻抗
最优之事
期望问责制透明性在技术界稀有谢谢 克拉拉
里图沙乌