追溯至網絡通信安全起始之初，數據安全人員就不得不面對證書使用這一挑戰。網頁證書是傳輸層安全通信的基礎，增加了網絡站點連接的安全性，通常顯示為“https”中的“s”。作為用戶、服務器、機器、物聯網設備和訪問點的驗證核心部分，是用戶在各個場合下安全防護的第一步。

現在，當談及加密風險，人們似乎也越來越難以繞過證書、加密秘鑰和保護數據的算法等話題。

什么是加密風險？

加密風險是一種度量標準，用于表示加密手段下用戶數據的安全程度。在上下文中，專家使用“數據風險”來代表未受保護的敏感數據，使用“平臺風險”或者“基礎架構風險”來表示計算機系統中尚未修復的漏洞所處的實際位置或者是系統內部的安全性。

為了評定這些風險標準，企業采取了一系列工具進行檢測，從未被保護的用戶敏感數據，比如社會保險號、信用卡等信息，再到運營體系和應用的未被修補的漏洞。然而，很多企業組織卻沒有一套有效的風險測量工具，檢測加密保護手段下的數據安全程度。換句話說，當前衡量加密風險標準還沒有一種合適的方法。

創建加密風險標準有助于進一步推進數據安全的發展。該標準應考慮到所有導致加密數據不安全的因素，這或許涉及以下一些問題的回答：

使用哪種算法可以保證密碼的完整性？（比如MD-5，SHA-1，SHA-236，SHA-3等）

保護用戶數據和企業業務相一致的的加密秘鑰長度有哪些？（例如AES-128，AES-256等）

使用哪種算法使得加密具有完整性（例如，MD-5，SHA-1，SHA-236，SHA-3等）？

您的證書什么時候到期（例如12月31日午夜）？

誰簽發了您的證書、如何對其進行驗證以及可以（或已經）將其吊銷？

企業當前的系統和應用程序上安裝了哪些加密庫或軟件？它們足以保護數據嗎？

就像惡意軟件和事件管理一樣，這類問題不勝枚舉。然而，知道這個問題答案的企業則懂得如何長期使用和管理他們的加密資產，能夠持續地評估真正保護企業數據的有效資產有哪些。

“量子計算機來了！”

或許在加密風險評估方面，量子的發展已然落后了，但是故事并沒有就此戛然而止。在剛觸及算力的門檻，安全團隊就面臨了加密方面的巨大挑戰。量子時代，再進一步來說是計算時代，有望解決傳統二進制計算機目前無法解決的實際問題。

量子計算機備受期待的一個原因在于，他們可以有效實現 Shor算法和Grover算法。

Shor算法即舒爾算法，于1994年被發現，是一種針對整數分解的量子算法。Grover算法是Grover于1996年提出的量子搜索算法，這是一種對空間進行完全搜索的優化算法。

這兩種算法在追蹤加密秘鑰方面比傳統計算方法省時得多。當量子計算機能夠實現這兩種算法時，并且以合理價格在消費者之間推廣開來，這時我們將看到攻擊者會削弱現有對稱算法（如AES）的加密強度并能夠有效消除現有非對稱算法（如今常用的如RSA或者ECC）。

目前，我們尚未發展到那個程度，事實上，連一臺量子計算機也沒有，更別說消除RSA秘鑰強度了。盡管有些專家認為再過20年就能實現，但是也只是預測。美國國家標準技術研究院（NIST）已著手引入新的抗量子加密算法。這些后量子密碼術（PQC）算法有望抵抗量子計算機的強大功能。

目前，IBM和NIST開展CRYSTALS項目合作，正在評估兩種算法，希望能在未來幾年內能夠使用新算法并且標準化。使用能承受下一代計算機強大功能的加密算法，有助于為專業人員保護關鍵數據甚至是存檔數據提供新的方法。

當今的加密風險

即使沒有量子計算機問世帶來的風險，其他加密風險也迫在眉睫，比如包含一些簡單卻長期存在的問題，比如使用過時的加密算法、簡短的密鑰和來源不明或者即將過期的證書等。如果這些問題檢測不到或者不加管理，那么對于數據保護和企業的業務持久性來說就是一個緊迫的、現存的威脅。

微軟和Let’s Encrypt近期強調了證書管理不當會對企業業務連續性產生不利影響。因此，隨著業務深入，問題會越來越復雜，采取合適的方法來處理這個問題十分重要。比如，蘋果的做法是主動屏蔽任何超過一年的信任證書。否則黑客可以充分利用企業不系統的證書管理，偽造證書安全警示感染企業計算機。

因此，加密資產（比如證書、密鑰、算法和庫）的管理不當或者是沒有管理是一個很嚴重的問題，這不僅會影響業務的連續性，還會給黑客機會找到企業數據安全的漏洞。加密風險是一個很普遍的問題，需要人們加以重視，予以解決。

加強數據安全鏈

數據安全這扇大門，我們上鎖了、加鏈條了，但是現在，鎖舊了、鏈條銹了，保護強度也很薄弱。如果企業數據面臨風險，那么數據安全團隊有責任測試每個環節的保護強度并采取措施進行整個鏈條的強化。

提及加密，我們有很多個部分需要加強，比如算法、變化的密鑰大小、證書、非對稱密鑰對、對稱密鑰、輪替密鑰、密鑰分發等。為了處理加密風險，需要一種以簡化的組合視圖顯示與加密相關的風險整體趨勢的方法。如果沒有一種方法來衡量這種加密風險，安全團隊將無法對其進行管理。