Компании Colt Technology Services и Ciena успешно провели «самую быструю» квантово-защищённую передачу данных через Атлантику. Трафик между Нью-Йорком и Лондоном передавался со скоростью 800 Гбит/с через 6,9 тыс. км наземной и подводной кабельной инфраструктуры Colt с применением оптической платформы Ciena WaveLogic 6 Extreme (WL6e), сообщает Converge! Digest.

Использование специальной защиты подчёркивает рост внимания отрасли к защите данных не только от актуальных сегодня угроз, но и от угроз будущего, в котором квантовые компьютеры теоретически будут довольно легко справляться с традиционными алгоритмами шифрования. При этом будет обеспечена по-прежнему высокая скорость передачи информации, что особенно важно для ИИ-нагрузок и операторов ЦОД.

Тесты направлены на борьбу с современными атаками типа «собери сейчас — расшифруй потом» (harvest now, decrypt later). В этом случае злоумышленник сохраняет защищённые данные с целью их расшифровки уже тогда, когда появятся достаточно производительные для этого квантовые компьютеры. Платформа WL6e применяет постквантовую криптографию (PQC), соответствующую стандартам NIST — она интегрирована с 1,6 Тбит/с когерентной оптической технологией. Компании заявила, что испытания подтвердили возможность совмещать «постквантовую» защиту с передачей данных на высокой скорости на одном из самых загруженных каналов связи в мире.

Источник изображения: Dynamic Wang/unsplash.com

По данным Colt, испытание стало продолжением серии инициатив, направленных на внедрение новых технологий защиты в наземной и подводной инфраструктуре компании. Colt уже предлагает постквантовую криптографию (PQC), квантовое распределение ключей (QKD), инфраструктуру симметричных ключей (SKI) и гибридные архитектуры безопасности. Также партнёры отметили стабильность оптической сети и её готовность к новым требованиям к производительности, связанным с ИИ-трафиком — в этой сфере безопасная передача данных между ЦОД становится всё важнее.

По словам Converge!, речь идёт о продолжении многолетнего взаимодействия Colt и Ciena, направленного на расширение возможностей трансокеанских ВОЛС. В 2024 года компании объявили о первой в отрасли передаче сигнала через Атлантический океан со скоростью 1,2 Тбит/с. В 2025 году они представили для нужд гиперскейлеров новую сеть терабитного уровня. Теперь акцент смещается с обычного наращивания пропускной способности на дополнительное обеспечение безопасности в преддверии начала массовых квантовых вычислений.

Компания Microchip Technology анонсировала новые решения Trust Shield для устройств с поддержкой постквантовой криптографии. В частности, дебютировали контроллеры TS1800, TS500 и TS501, которые доступны в составе предварительно сконфигурированной платформы TrustFLEX, что помогает ускорить вывод конечных продуктов на рынок.

Изделие TS1800 — это внешний контроллер Root of Trust (RoT), отвечающий за безопасную загрузку устройства, безопасные обновления прошивки, аттестацию и обработку сертификатов с использованием аппаратного ускорения алгоритмов постквантовой криптографии. Говорится о поддержке таких решений Национального института стандартов и технологий США (NIST), как ML-DSA (Module Lattice‑Based Digital Signature Algorithm), LMS (Leighton–Micali Signature) и ML-KEM (Module Lattice-Based Key Encapsulation Mechanism).

В основу контроллера TS1800 положено ядро Arm Cortex-M4F, функционирующее на тактовой частоте до 192 МГц. Достигается двукратный прирост производительности по сравнению с RoT-контроллерами Microchip предыдущего поколения. Кроме того, улучшена энергетическая эффективность. Реализована поддержка интерфейса USB 2.0 и расширенных функций безопасности, предусмотренных стандартами OCP.

Источник изображения: Microchip Technology

В свою очередь, изделия TS50x предназначены для обеспечения безопасной загрузки. Они ориентированы на оборудование, которому не требуется полный набор функций RoT, доступный в микросхеме TS1800. При этом в дополнение к алгоритмам постквантовой криптографии поддерживаются традиционные инструменты, в частности, Elliptic Curve Cryptography (ECC) P-384. Поставки контроллеров TS1800 и TS50x уже начались.

Компания Western Digital (WD) анонсировала высокоёмкий жёсткий диск Ultrastar DC HC6100 UltraSMR с постквантовой криптографией (PQC), которая обеспечит защиту от атак с отложенной расшифровкой (HNDL), поскольку злоумышленники в настоящее время могут собирать зашифрованные данные, чтобы взломать их после того, как квантовые компьютеры достигнут зрелости. Таким образом, WD присоединилась к таким компаниям, как Cohesity, Commvault, NetApp и Quantum, которые уже выпустили хранилища с новыми алгоритмами шифрования PQC.

Ultrastar DC HC6100 UltraSMR с поддержкой PQC в настоящее время проходит квалификацию у крупных компаний, и WD заявила, что со временем расширит возможности PQC на другие линейки корпоративных жёстких дисков. Реализация PQC от WD в новом накопителе разработана для защиты цепочек доверия устройств от производства до сервисного обслуживания. Основное внимание уделяется обеспечению доверия на уровне устройства, включая целостность прошивки и управление ключами, а не шифрованию данных в состоянии покоя (data at rest).

Ключевые элементы реализации PQC от WD:

• Выбор алгоритма: ML-DSA-87 (NIST FIPS 204) для высоконадёжной подписи кода, с использованием метода RSA-3072 с двумя разными алгоритмами, сочетающим проверенные и новые криптографические стандарты для обеспечения надёжной и отказоустойчивой безопасности.
• Готовность инфраструктуры: развёрнуты инфраструктуры открытых ключей (PKI) и аппаратных модулей безопасности (HSM) с поддержкой PQC для поддержки выпуска, ротации и управления жизненным циклом ключей.
• Операционная непрерывность: защита от двойной подписи и отката, разработанная для поддержки развёртывания в различных системах без нарушения текущих операций.

Источник изображения: FlyD/unsplash.com

Технический директор и старший вице-президент WD, отметил, что по мере накопления данные, получаемые с помощью ИИ, становятся всё более ценными и долговечными, поэтому растёт актуальность их защиты в будущем. Технологии квантовых вычислений развиваются быстрее, чем ожидалось и архитектуры безопасности, которые защищали корпоративные хранилища более десяти лет, должны эволюционировать. «Интеграция постквантовой криптографии в Ultrastar является частью нашего обязательства помогать клиентам опережать угрозы, которые уже присутствуют в виде атак HNDL», — заявил он. «Соответствуя стандартам NIST и CNSA 2.0 уже сегодня, мы помогаем предприятиям создавать простой и удобный путь к инфраструктуре хранения данных, устойчивой к квантовым атакам», — добавил он.

По мере развития цифровых систем вопрос доверия к инфраструктуре играет всё более важную роль. Microsoft объявила об открытии аппаратных модулей безопасности Azure Integrated Hardware Security Module (Azure HSM), которые позволяют сделать аппаратную криптографическую защиту базовым элементом облака.

Аппаратный модуль Microsoft Azure Integrated HSM встроен в каждый новый сервер Azure (и ВМ V7). Модуль соответствует стандарту FIPS 140-3 Level 3 и защищает криптографические ключи непосредственно в месте выполнения задач, а не только на централизованном уровне. В результате системы устойчивы к физическому вмешательству и защищены от извлечения ключей логическими средствами.

Компания объявила об открытии ключевых компонентов Azure Integrated HSM (прошивки, драйверов и программного стека) — они будут опубликованы в рамках OCP. Прошивка уже доступна в репозитории GitHub вместе с материалами независимой проверки, включая аудит OCP SAFE. Azure Integrated HSM также поддерживает отраслевые стандарты, включая TDISP, что позволяет связать HSM и среды, участвующие в конфиденциальных вычислениях.

Источник изображения: Microsoft

Новейшее решение дополняет сервисы вроде Azure Key Vault и Azure Managed HSM, обеспечивая новый уровень защиты индивидуальных серверов. Ключи защищаются не только во время хранения, но и во время использования. С Azure Integrated HSM ключи шифрования генерируются, хранятся и используются полностью внутри защищённого аппаратного контура. Они не появятся в памяти виртуальных машин, в программных процессах и во время активных криптографических операций. В результате блокируются целые классы атак, нацеленных на получение данных из памяти или программного слоя.

В отличие от вариантов с «централизованными» HSM-технологиями, хотя и эффективными, но имеющими проблемы с масштабированием, новый подход позволяет привязать криптографическую защиту непосредственно к серверу. За счёт аппаратных RoT, проверяемой загрузки и аттестации Azure Integrated HSM обеспечивает доказательство корректности аппаратно-программных конфигураций оборудования. В совокупности с другими инструментами защиты, включая Azure Boost, технология Azure Integrated HSM обеспечивает создание вертикально интегрированной цепочки доверия, от чипов до программного обеспечения.

Компания Intel представила на конференции ISSCC чип Heracles с поддержкой полностью гомоморфного шифрования (FHE), который превосходит топовый серверный процессор Intel по скорости вычислений с FHE в 5 тыс. раз, сообщил ресурс IEEE Spectrum. FHE позволяет выполнять вычисления над данными в зашифрованном виде без их расшифровки, но на стандартных процессорах и видеокартах оно работает крайне медленно.

Heracles построен на основе 3-нм технологии FinFET и примерно в 20 раз больше большинства исследовательских чипов FHE, имеющих размеры 10 мм² или менее. В основе Heracles лежат 64 вычислительных ядра — так называемые пары тайлов, — расположенные в сетке восемь на восемь и служащие в качестве SIMD-движков для полиномиальных вычислений, манипуляций и других операций, составляющих вычисления в FHE, а также для их параллельного выполнения. Встроенная в кристалл сеть 2D-mesh соединяет тайлы друг с другом широкими шинами по 512 байт.

На чипе данные размещаются в 64 Мбайт кеша, откуда они могут передаваться по массиву со скоростью 9,6 Тбайт/с, переходя от одной пары тайлов к другой. Чтобы предотвратить взаимное влияние перемещения данных и математических вычислений, Heracles использует три синхронизированных потока инструкций: один для перемещения вне чипа, один для перемещения внутри чипа и один для арифметических операций. Чип размещён в корпусе с жидкостным охлаждением вместе с двумя стеками памяти HBM по 24 Гбайт (суммарно 48 Гбайт с ПСП 819 Гбайт/с).

Источник изображения: Intel

Данная конструкция позволяет Heracles, работающему на частоте 1,2 ГГц, выполнять критически важные математические преобразования FHE всего за 39 мс, что в 2355 раз быстрее, чем может предложить Intel Xeon, работающий на частоте 3,5 ГГц. По семи ключевым операциям Heracles быстрее него в 1074–5547 раз в зависимости от объёма необходимых операций перераспределения (shuffling).

Компания продемонстрировала на ISSCC возможности Heracles на примере простого частного запроса к защищённому серверу. Он имитировал запрос избирателя на проверку правильности регистрации его бюллетеня. В данном случае у штата есть зашифрованная база данных избирателей и их голосов: избиратель шифрует свой идентификационный номер и голос, а сервер проверяет совпадение без расшифровки и возвращает зашифрованный ответ, который пользователь затем расшифровывает на своей стороне. На Xeon этот процесс занял 15 мс, а Heracles справился с задачей за 14 мкс. Казалось бы, эта разница незаметна для отдельного человека, но проверка 100 млн бюллетеней занимает более 17 дней работы Xeon против всего 23 минут на Heracles.

Проект Heracles был запущен пять лет назад в рамках программы DARPA по ускорению FHE с помощью специализированного оборудования. Разработкой подобных чипов также занимается ряд стартапов, включая Fabric Cryptography, Cornami и Optalysys. Сану Мэтью (Sanu Mathew), руководитель исследований в области защищённых схем в Intel, считает, что у компании есть большое преимущество, поскольку её чип может выполнять больше вычислений, чем любой другой ускоритель FHE, созданный до сих пор. «Heracles — это первое оборудование, работающее в масштабе», — говорит он.

В дальнейшем компания планирует повышать скорость вычислений чипа за счёт тонкой настройки ПО. Она также будет испытывать более масштабные задачи FHE и изучать улучшения аппаратного обеспечения для потенциального следующего поколения. «Это как первый микропроцессор… начало целого пути», — отмечает Мэтью.

Удостоверяющий центр Let's Encrypt начал выдачу сертификатов для IP-адресов. PositiveSSL, Sectigo и GeoTrust тоже могут выдавать TLS/SSL для IP-адресов, но за $40-$90/год, тогда как Let's Encrypt делает это бесплатно, сообщает The Register. Благодаря этому владельцы ресурсов в Сети смогут предложить безопасное соединение, привязанное к «числовому» адресу ресурса, избегая расходов на доменное имя. Общедоступным сервис станет до конца 2025 года.

Впрочем, никаких веских причин использовать IP-адреса при обращении к ресурсам у большинства пользователей нет. Логичнее и привычнее использовать DNS. Кроме того, в отношении доменных имён установлены правила арбитража, существует единая политика Uniform Domain Name Dispute Resolution Policy (UDRP), а споры относительно IP-адресов могут быть очень запутанными.

Источник изображения: FlyD/unsplash.com

Тем не менее сертификаты для IP-адресов стали востребованы, как минимум, с 2017 года и есть по крайней мере несколько сценариев, когда их использование оправдано. Так, хостинг-провайдер может создать целевую страницу на случай, если кто-то введёт в браузере IP-адрес вместо доменного имени. Некоторые компании и вовсе не хотят платить за доменное имя, им тоже будет достаточно сертификата для IP. Кроме того, DoH-серверы тоже могут выиграть от использования таких сертификатов.

Ещё один сценарий — использование прямых IP-адресов для безопасного удалённого доступа к определённым домашним устройствам вроде NAS или короткоживущих подключений для администрирования серверов. Краткосрочные соединения с отдельными сертификатами, вероятно, через несколько лет станут нормой отрасли. В таких случаях придётся автоматизировать обновление сертификатов владельцами, но инструменты для этого уже существуют.

Let's Encrypt ограничивает действие сертификата для IP-адреса шестью днями по соображениям безопасности. В апреле всемирная организация CA/Browser Forum проголосовала за сокращение сроков действия SSL/TLS-сертификатов. С весны 2029 года они будут действовать не более 47 дней, а не 398 дней, как сейчас.

Центральный орган, объединяющий разработчиков веб-браузеров, эмитентов сертификатов безопасности и прочих причастных — CA/Browser Forum — проголосовал за сокращение сроков действия SSL/TLS-сертификатов. С 15 марта 2029 года они будут действительны не более 47 дней, сообщает The Register. Сегодня сертификаты, лежащие в основе, например, HTTPS действуют до 398 дней до того, как их будет необходимо обновить.

В прошлом году Apple выдвинула предложение сократить время их действия и, похоже, получила поддержку IT-гигантов. Основной довод «за» — короткое время обновления означает, что скомпрометированные или украденные сертификаты будут действительны относительно недолго, что теоретически позволит снизить возможный ущерб. С другой стороны, это усложнит жизнь продавцам и покупателям сертификатов, если они не хотят или не могут пользоваться сервисами вроде Let's Encrypt.

Голосование о сроках сокращения действия сертификатов прошло в минувшие выходные, 25 участников проголосовали «за», а Entrust, IdenTrust, Japan Registry Services, SECOM Trust Systems и TWCA воздержались. Apple, Google, Microsoft и Mozilla единогласно проголосовали за предложение. По словам представителя CA/B Forum, такое единодушие свидетельствует о желании отрасли укрепить цифровую безопасность для всех. Помимо прочего, как ожидается, это поможет приготовиться к рискам «эры квантовых вычислений».

Источник изображения: Greg Martínez/unsplash.com

Таким образом, с 15 марта 2026 года все новые сертификаты будут действовать 200 дней, в том числе речь и о Domain Control Validation (DCV). С 15 марта 2027 года сроки действия сократятся до 100 дней. Наконец, с 15 марта 2029 года новые SSL/TLS-сертификаты будут валидны 47 дней, а DCV — всего 10 дней. Примечательно, что с января 2020 года Apple уже и так отказывается принимать TLS-сертификаты со сроком действия более 398 дней (13 мес.).

Постепенно ужесточение требований, как ожидается, поможет компаниям адаптироваться к изменениям. Вероятно, системным администраторам в скором будущем придётся перейти на автоматизированные системы работы с SSL/TLS-сертификатами.

Cloudflare внедрила новые источники случайных чисел для шифрования сетевого трафика — в своём блоге компания объявила, что создала «стену энтропии» из 50 генераторов волн в новой европейской штаб-квартире в Лиссабоне. Совершенно непредсказуемый рисунок волн записывается камерой и оцифровывается. Истинно случайный характер получаемых данных служит для защиты десятков миллионов HTTPS-запросов, ежесекундно обрабатываемых Cloudflare.

Компания разработала собственную, безостановочно работающую волновую машину. Прозрачный параллелепипед длиной 45 см заполнен полулитром уникальной жидкости Hughes Wave Fluid Formula (в составе две несмешивающихся жидкости) разных цветов для создания реалистичных «океанских волн». Ёмкость с жидкостью качается из стороны в сторону 14 раз в минуту или 20 тыс. раз в день. Стену внедрили в марте 2025 года, но в компании заявляют, что разработка велась 15 месяцев, а сама идея появилась ещё в 2023 году. Большая часть времени ушла на повышение надёжности механических компонентов.

Источник изображения: Cloudflare

По словам представителя Cloudflare, компании не удалось приобрести достаточного количества генераторов волн необходимого размера на eBay и из других источников. В результате она договорилась о партнёрстве с американской Hughes Wave Motion Machines для создания собственного оборудования.

Источник изображения: Cloudflare

Cloudflare уже известна тем, что использует стену из 100 лавовых ламп в штаб-квартире в Сан-Франциско для получения истинно случайных чисел. Стену точно так же непрерывно снимает камера, оцифровывающая перемещение потоков жидкости в лампах. В Лондоне применяется массив двойных маятников, тени от которых в разных условиях освещения так же фиксируются камерой. В техасском офисе компания использует коллекцию подвесных полупрозрачных элементов (мобили), отбрасывающих тени на стены — потоки воздуха, освещение и прочие факторы создают требуемый хаос. А в Сингапуре компания и вовсе задействовала счётчик частиц, «наблюдающий» за естественным распадом урана.

ГК «Аквариус» совместно с разработчиками «Аладдин» и «Актив» интегрирует крипточипы в свои устройства на аппаратном уровне. Это решение позволит российским предприятиям повысить безопасность своей ИТ-инфраструктуры без дополнительных программных доработок. Разработанные чипы безопасности обеспечивают хранение криптографических ключей, а также поддерживают критически важные процессы: аутентификацию доверенных устройств, безопасную загрузку ПО и защиту каналов передачи данных.

Модули безопасности могут быть эффективно использованы при создании доверенных изделий для КИИ-отраслей: промышленности, энергетики, медицины и финансового сектора. Пока проект находится на стадии пилота, по его завершению будет запущено серийное производство.

Как отмечают в «Аквариусе», в отрасли все больше внимания уделяется вопросам аппаратной безопасности. Предстоящие изменения в регуляторной базе подтверждают необходимость интеграции чипов безопасности в устройства. До 1 января 2025 года на объектах КИИ должен быть завершен процесс импортозамещения всего ПО и программно-аппаратных комплексов (ПАК).

Источник изображения: «Актив»

Согласно данным ФСТЭК России, около 47 % из 170 российских организаций критической информационной инфраструктуры (КИИ), защита от киберугроз находится в критическом состоянии. Лишь у 13 % из них установлен минимальный базовый уровень защиты, а у около 40 % он относится к низким. В числе типовых недостатков в защите КИИ представитель ФСТЭК назвал отсутствие двухфакторной аутентификации и критические уязвимости на периметре IT-инфраструктур.

Компания «Актив» анонсировала аппаратные ключи Guardant Chip, которые позволяют защищать и лицензировать ПО, а также всевозможные устройства, внутри которых работает программный код. Это могут быть медицинские приборы, камеры видеонаблюдения, телекоммуникационное и промышленное оборудование и пр.

Ключи выполнены в виде чипов QFN48 с размерами 5 × 5 мм. Они монтируются непосредственно на плате устройства, что повышает уровень защищённости по сравнению с USB-решениями и экономит место. Такой подход, как утверждается, позволяет защищать от реверс-инжиниринга и минимизировать риски утечки интеллектуальной собственности, а также лицензировать функциональность оборудования на уровне ПО.

Источник изображения: «Актив»

Ключи Guardant Chip обладают встроенным криптомодулем и уникальным ID. Изделия содержат до 64 Кбайт защищённой памяти для лицензий и данных, а также до 128 Кбайт защищённой памяти для загружаемого кода. Гарантированный срок хранения сведений составляет не менее 10 лет. Диапазон рабочих температур простирается от -40 до +85 °C.

Новинки используют ряд механизмов обеспечения безопасности: это симметричное шифрование AES-128, электронная подпись на эллиптических кривых ECC160 и туннельное шифрование трафика протокола обмена. Возможна работа в виртуальных средах. Ключи не требуют установки драйверов и поддерживают широкий спектр операционных систем, включая Windows и Linux для архитектур x86, x86_64 и Arm.

Базовая схема защиты выглядит следующим образом. Сначала приложение «привязывается» к лицензии при помощи автоматических инструментов защиты, загружаемого кода и специального API. Далее лицензия записывается в память Guardant Chip. Во время работы защищённое приложение постоянно обменивается информацией с ключом: если тот хранит неподходящую или истекшую лицензию, то воспользоваться программой не удастся. Аппаратные ключи могут содержать как локальные лицензии, так и раздавать их по сети на другие устройства.

Компания «Актив» подчёркивает, что решения легко интегрируются в экосистему Guardant, а благодаря своему небольшому форм-фактору открывают новые возможности для производителей умных устройств и оборудования.