Preparati per un futuro post-quantistico con RHEL 9.7

Vorresti provare la crittografia post-quantistica in Red Hat Enterprise Linux (RHEL), ma non hai ancora eseguito l'upgrade a RHEL 10? Il nostro impegno per assicurarti che tu possa farlo e per preparare la tua organizzazione al "Q-Day" inizia ora, con RHEL 9.7. Sin da adesso puoi rafforzare proattivamente la tua sicurezza e prepararti per una transizione semplificata a RHEL 10.

RHEL 9 è stato rilasciato nel 2022 e ha rappresentato un importante passo avanti in termini di sicurezza. È stata la prima versione di RHEL a ricevere la certificazione FIPS 140-3, in linea con i requisiti di sicurezza attuali. Tuttavia, dal 2022 sono accadute molte cose. I requisiti di sicurezza sono cambiati ed è iniziata l'era della crittografia post-quantistica. Per motivi di prestazioni e stabilità, non è possibile eseguire il backporting di questi nuovi algoritmi crittografici alle versioni precedenti della maggior parte dei software, come molte organizzazioni si aspettano. Per garantire stabilità, funzionalità e protezione continua nell'era post-quantistica, l'upgrade del software è fondamentale e RHEL 9.7 può essere il tuo primo passo.

RHEL 9.7 è un passaggio fondamentale per la transizione post-quantistica. Offre l'opportunità di acquisire esperienza pratica con la crittografia post-quantistica e di comprenderne le implicazioni per i carichi di lavoro specifici. Inoltre, prima di eseguire l'upgrade completo a RHEL 10, puoi identificare le modifiche necessarie alle applicazioni o all'infrastruttura. RHEL 10 offre l'implementazione più completa della crittografia post-quantistica. 

Librerie e applicazioni di importanza critica

Una transizione improvvisa e forzata alla crittografia post-quantistica, quando le minacce quantistiche saranno alle porte (il Q-Day è stimato attualmente nel 2030), potrebbe interrompere le attività aziendali. Test approfonditi consentono di identificare e risolvere problemi di compatibilità, impatti sulle prestazioni e difficoltà di integrazione in un ambiente controllato, in modo da poter intervenire prima del Q-Day.

I governi e gli enti normativi prendono sempre più in considerazione l'adozione di mandati relativi alla crittografia post-quantistica. I test preliminari con RHEL 9.7 aiutano le aziende a soddisfare i futuri requisiti di conformità senza affrettarsi all'ultimo minuto per eseguire un upgrade importante. Offrono tutto il tempo necessario per affrontare le difficoltà riscontrate nelle prime fasi dei cicli di sviluppo e di deployment.

RHEL 9.7 offre funzionalità limitate di crittografia post-quantistica a una versione precedente e stabile di RHEL. In questo modo, puoi iniziare a sperimentare e verificare la crittografia post-quantistica negli ambienti RHEL 9 esistenti, preparandoli per RHEL 10. Una parte significativa dei componenti di RHEL si basa su tre librerie di crittografia principali: NSS, GnuTLS e OpenSSL. Per iniziare a utilizzare PQC, è necessario aggiornare queste librerie.

RHEL 9.7 include aggiornamenti stabili per OpenSSL, che supporta le applicazioni lato server, e NSS, ampiamente utilizzato nei software client. Con RHEL 9.7, le applicazioni che si basano su queste librerie possono iniziare a utilizzare la crittografia post-quantistica, offrendo preziose opportunità di test in scenari reali.

Per NSS, forniamo la versione più recente, che supporta gli algoritmi post-quantistici. Per OpenSSL, il supporto a lungo termine della versione 3.5 offre diverse funzionalità utili per la crittografia post-quantistica. 

L’innovazione, alle tue condizioni

Per evitare interruzioni immediate, RHEL 9.7 non abilita gli algoritmi di crittografia post-quantistica per impostazione predefinita. Tuttavia, puoi attivare la crittografia post-quantistica tramite policy crittografiche, che consentono test controllati e un'integrazione graduale nei tuoi sistemi, rispecchiando l'approccio simile di RHEL 10. Questo ti aiuta a capire come gestire la crittografia post-quantistica all'interno del framework delle policy crittografiche di Red Hat, prima che sia necessaria l'abilitazione completa in RHEL 10. Ti consigliamo di abilitare la crittografia post-quantistica per lo scambio di chiavi (algoritmi ML-KEM ibridi) per proteggere i sistemi dagli attacchi "harvest now, decrypt later" e per fornire la protezione di importanza critica necessaria negli ambienti regolamentati. Questa funzionalità fornisce un banco di prova per le organizzazioni con severi requisiti di conformità.

Per quanto riguarda la funzionalità e per ridurre le interruzioni negli ambienti dei clienti durante il deployment, OpenSSH in RHEL 9.7 non prevede ancora lo scambio di chiavi sicuro basato su ML-KEM post-quantistico, a causa del suo scarso utilizzo. Per iniziare a utilizzare OpenSSH post-quantistico, valuta l'upgrade a RHEL 10.

I requisiti FIPS consentono di combinare l'output di un algoritmo certificato FIPS con dati supplementari per i meccanismi di scambio di chiavi ibridi, un aspetto di importanza critica per mantenere un provider convalidato e certificato. Per proteggersi dalle minacce "harvest now, decrypt later" e per supportare i requisiti degli ambienti FIPS, i componenti basati su OpenSSL in RHEL 9.7 possono utilizzare uno scambio di chiavi ML-KEM ibrido anche in modalità FIPS, utilizzando un modulo certificato.

Fai il primo passo

Dal punto di vista della transizione post-quantistica, RHEL 9.7 è un buon primo passo per passare dalla crittografia classica a quella post-quantistica. Offre la stessa stabilità (una delle principali aspettative delle versioni secondarie) e rafforza il tuo livello di sicurezza, superando quello attualmente disponibile. Le iniziative volte a introdurre un supporto limitato per la crittografia post-quantistica in RHEL 9.7 sono progettate per facilitare la transizione e per preparare la tua organizzazione all'adozione efficace della crittografia post-quantistica completa in RHEL 10 prima del Q-Day.