2023年12月19日,美国国家安全局(NSA)发布《2023年NSA网络安全年度回顾》(2023 NSA Cybersecurity Year in Review),作为最重要的年度总结报告,该文件梳理和展示了NSA在通过网络安全加强国家安全方面取得的成就。这是2020年以来NSA发布的第四份网络安全年度回顾性报告,强调了NSA与美国政府机构、国际盟友和国防工业基地(DIB)的合作价值,以及应对复杂网络安全威胁的集体努力。报告发布当天,NSA网络安全主任罗布·乔伊斯(Rob Joyce)曾表示,“我们合作伙伴的综合实力才是我们应对当今日益复杂的威胁的最大竞争优势”。

2023年NSA在网络安全协作中心内启动人工智能安全中心,以促进国家安全系统(NSS)和DIB中人工智能的安全开发、集成和采用。NSA在2023年度报告中介绍了其在加强应对全球威胁的网络防御方面所做的努力,中国和俄罗斯仍然是其重要的“假想敌”和防范对象。NSA曾与美国网络安全和基础设施安全局(CISA)、联邦调查局(FBI)和国家标准与技术研究院(NIST)等机构协调,在识别和打击中国对美国基础设施的秘密网络入侵方面“发挥关键作用”。

实际上,现在的NSA/CSS(官网统称为NSA)是美国国家安全局和中央安全局(CSS)的合并,为美国所有的信号情报活动提供资金、方向和指导,主要职能包括“在密码学方面领导美国政府”。其中,CSS负责监督军事密码系统的功能,为军事密码学界提供及时、准确的密码支持、知识和帮助,同时促进NSA与武装部队密码学部门间的伙伴关系。“促进密码技术的发展和应用”是NSA的重要职能,在2023年度报告中,这一问题同样被置于重要位置,并且涵盖军事目的的密码应用。自2020年至2023年,NSA在四份年度报告中涉及的密码工作都包括军事系统的加密技术现代化升级、抗量子密码算法的研发及应用等核心事项(寰球密码简报第5期和第79期分别对2020和2022年度报告的密码工作做了评述),体现出明显的任务延续性。由于NSA的保密性质,其大部分工作内容不向社会公开,年度报告只是脱密后可见的较少部分,但仍然足以展现美国政府持续关注的密码工作要点,以及在未来几年内的密码工作动向,具有较大的跟踪研究价值。

2023年度报告长达36页,一如既往聚焦安全目的,总结NSA八个方面的网络安全努力,在保护最关键网络、通过密码现代化解决方案保护数据和通信、保护作战人员和支援作战司令部、培养当前和下一代网络专家等四个问题上,均涉及与密码相关的工作内容和任务要求。

本期简报对此进行归集梳理,内容如下:

一、保护最关键网络

NSA参与了国防部(DoD)国家安全和武器系统及其密码的设计和建造。NSA继续保护全球数百万台设备的安全,并通过密钥、代码和加密任务管理基础设施以便对这些设备进行加密,这包括生产和分发美国政府和军方用来保护武器、卫星、通信和国家安全系统(NSS)严重依赖的许多其他系统的密钥、代码和加密材料。

NSA负责保护美国最核心的国家秘密,NSA负责保护美国最重要的秘密,防止来自美国最有能⼒的对⼿、拥有⽹络能⼒的民族国家以及个人进⼊美国网络或攻击美国加密系统。

NSA认为,其当前的密钥、代码和加密技术能够确保从NSA认证的战术无线电和美国士兵、水手、飞行员和海军陆战队员的任何加密装备,到包括核指挥和控制系统在内的关键武器平台在内的一切安全。NSA确保美国作战人员使用的这些系统能够抵御网络安全攻击,并保护美国在冲突中的战略优势。

二、通过密码现代化解决方案保护数据和通信

该部分主要聚焦向抗量子密码的过渡问题。NSA认为,与密码分析相关的量子计算机⼀旦实现,将改变游戏规则,给美国最关键的信息系统带来威胁,并将破坏正在保护全球互联网和信息系统安全的密码系统。这种威胁迫在眉睫,而抗量子密码是应对威胁的最佳防御措施。

因此,NSA继续战略性地执行国家安全备忘录《促进美国在量子计算领域的领导地位并降低密码系统易受攻击的风险》(NSM-10)。该备忘录明确提出提升美国在量子计算领域的领导地位,同时降低易受攻击的密码系统的风险,指示美国政府机构必须将易受攻击的密码系统迁移到抗量子的密码学系统上,此迁移将耗时数年。

NSS的管理者即NSA局长,负责监督50多个使用NSS的政府部门和机关向抗量子密码过渡。在这一问题上,NSA将“与政府和私营机构持续建立伙伴关系和加强协作”作为应对这⼀网络安全挑战的关键举措。为此,NSA与美国政府商业算法审批牵头机构NIST以及CISA、国家情报总监办公室科学技术办公室(ODNI S&T)、DoD和外部标准组织开展合作。

NSA指出,包括行业、政府和学术界等在内的网络安全社区,现在必须计划推动密码学的现代化。2023年,NSA在《商用国家安全算法套件2.0》基础上,向NSS所有者、运营商以及供应商通报了未来在所有NSS中使用抗量子密码算法的要求。NSA于2023年3月和6月分别发布指导意见,以帮助美国政府识别和清点易受量子影响的、脆弱的密码学问题,加强当前密码学研究,并计划迁移到抗量子密码。向抗量子密码的过渡包括识别密码技术并确定优先级,调度和应用于量子抵抗工作的相应资源,以及计划采用NSA抗量子密码算法套件和NSS、NIST的密码学标准。

向抗量子密码过渡只是NSA在“如何保护美国最敏感数据”方面领先于对手国家的一个实例。NSA正在不断对其网络安全解决方案实施现代化改造,使其在多领域运营中更加敏捷、可适应威胁和可扩展。NSA网络安全主任Rob Joyce明确指出:抗量子密码是指主动开发和构建能力,以确保关键信息和系统不因使用量⼦计算机而受到损害。向安全量⼦计算时代的过渡需要长期、高强度的社区努力,以及政府和行业间的广泛合作。关键是今天就踏上这段旅程,而不是等到最后一刻。

三、保护作战人员和支援作战司令部

该部分全面阐述NSA对美军的网络安全支持工作,在支持军队、评估系统并创建路线图、协助互操作任务、使用商业解决方案保护NSS等四个方面都涉及到具体的密码工作。

一是支持军队方面。NSA与政府合作伙伴一起,共同帮助确保DoD使用的关键管理功能、网络、系统和通信设备的安全,提供通信安全最佳实践,以确保这些系统和设备所使用的加密材料得到安全处理。提供加密安全产品,以满足计划外的紧急需求并支持紧急任务。2023年,NSA部署约550个通信安全设备,以支持全球危机期间的任务行动,并在全球范围内交付234415个篡改指示产品。这些篡改指示产品可在全球运输或部署期间防止或检测对加密设备和加密材料的物理利用。NSA继续努力推动美国作战司令部实现密码现代化。通过与美国网络司令部和联合部队总部-国防部信息网络(DoD的网络防御主体)合作,减少美国对手获取作战⼈员通信和敏感数据的机会。

二是评估系统并创建路线图方面。NSA为美国各作战司令部联盟伙伴完成加密路线图。利用美国作战司令部与其合作伙伴之间的指挥与控制互操作性委员会会议,来识别使用过时加密技术的风险,实施直接由任务驱动的现代化关键任务,并以此种方法确定合作伙伴的加密态势基线,将加密映射到特定武器平台,以及将任务支持映射到平台。

三是协助互操作任务方面。NSA与有能力的北约合作伙伴共享先进的密码技术,以帮助北约企业和联盟实现现代化。2023年NSA特别强调了NIST在开发抗量子能力方面所做的工作。

四是使用商业解决方案保护NSS方面。NSA的机密商业解决方案(CSfC)计划使用“客户分层”的商业解决方案来保护机密信息。2023年,CSfC继续改进和更新其公开可用的“能力包”,引导客户实施自己的解决方案。此外,CSfC还发布了针对瘦终端用户设备和私钥创建的补充指南。

四、培养当前和下一代网络专家

NSA继续执行网络安全学术战略,通过与学术界合作激励未来的网络战士,采取的举措之一便是开展密码破解挑战赛。密码破解挑战赛为就读于美国学术机构的学生提供提高网络技能的平台,并在以NSA任务为中心的现实场景中获得经验。截至2023年12月21日,参赛学生正在努力解释和识别美国海岸警卫队发现的未知信号来源,其包含九个日益复杂的任务,重点定位和分析未知信号产生的原因,发现由恶意服务器正积极进行的收集操作,并破坏恶意服务器以阻止收集设备信息。(何治乐 马宁)

声明:本文来自苏州信息安全法学所,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。