Побудуйте криптовалютність та сплануйте свій перехід PQC зараз до майбутнього, захищеного для дотримання та безпеки пацієнтів.
Від Наомі Шварц та Акселя Вірта, Medcrypt
Технологія квантових обчислень може одного разу скоро зламати сучасне шифрування медичних пристроїв. (На фото IBM Quantum Scientist Maika Takita в дослідницькому штабі IBM, дослідницькому центрі Томаса Дж. Уотсона) [Photo courtesy of IBM
The race to protect medical data and connected devices from quantum-enabled threats is on, but are device manufacturers ready or even aware?
Quantum computing may sound theoretical, but the implications are very real and fast-approaching, and medical device manufacturers need to start taking action. This piece outlines what PQC is, where regulatory and standards bodies are heading, and why crypto-agility must be part of device design today.
Today’s cryptography is considered secure because it would take a very long time for traditional binary computers to solve the complex mathematical equations used to encrypt information. Unfortunately, the processing power of nascent quantum computers will perform these operations much faster to break current cryptography.
Practical quantum computers are only a few years (at best a decade) away from being able to do just that. Therefore, any developer of devices or software needs to consider the imminent risks and plan a path to quantum-secure cryptography.
For example, NIST will deprecate the use of traditional algorithms like RSA and ECC by 2030 and expects to migrate legacy algorithms by 2035. Similarly, the European Union has stated that high-risk use cases must be fully migrated to PQC by the end of 2030 and the transition for medium- and low-risk systems should be completed by 2035.
Especially in the device industry with its strong regulatory oversight, long development cycles, and long product life, the transition to quantum-resistant post-quantum cryptography (PQC) must start now. This means devices developed today should be PQC-ready by implementing approved post-quantum algorithms or by providing crypto-agility and allowing for future upgrades.
However, not all risks are created equal. The above concerns are mainly applicable to asymmetric crypto schemes where more computing power will make it easier to break them. Symmetric algorithms are inherently more secure but come with the burden of having to secure the symmetric keys and still would require a brute force approach to breaking them.
PQC guidances
Naomi Schwartz is the VP of services at Medcrypt and a former FDA reviewer. [Photo courtesy of Medcrypt]
Наукові та регуляторні агентства по всьому світу надали конкретні вказівки щодо термінів (як обговорювалося вище) та рекомендації щодо управління переходом до квантових алгоритмів. NIST надав безліч інформації, а також конкретних рекомендацій щодо квантових алгоритмів.
Агентство Європейського Союзу з кібербезпеки (ENISA) застосовує інший підхід. Хоча агентство надало перегляд різних сімей алгоритмів PQC, вони ще не дали жодної конкретної рекомендації. Вони більше зосереджені на стратегіях та рекомендаціях щодо переходу до PQC, таких як використання гібридної криптографії та криптоваки.
Для регульованих медичних пристроїв FDA не викликає конкретного підходу до PQC або не потребує конкретних алгоритмів. Визнаючи довголіття медичних пристроїв, останні вказівки на кібербезпеку в червні 2025 року вимагають до стандартних криптографічних алгоритмів та протоколів, а також використання нинішніх (але еволюціонуючих) стандартів NIST для криптографії.
Обсяг та вплив змін PCQ
PQC матиме вплив скрізь криптографія використовується як контроль безпеки. Це включає захист конфіденційності та цілісності даних про медичні пристрої, а також функції безпеки, такі як захищене завантаження, підписання коду, включаючи безпечні оновлення та автентифікацію.
Крім технічних функцій безпеки, виробники пристроїв повинні підготувати регуляторну документацію щодо того, як криптографічні функції будуть застосовуватися та підтримуватися протягом життєвого циклу продукту. Це буде включати вибір правого алгоритму, відповідну ключову силу та підтримку інфраструктури для створення, забезпечення, захисту та підтримки таємного ключового матеріалу.
У випадках, коли алгоритми PQC не можуть бути реалізовані сьогодні, повинен бути визначений шлях до майбутнього оновлення PQC. Це означає, крім управління ключовими життєвими циклами, інженерам також потрібно реалізувати способи управління життєвими циклами алгоритму.
Проблеми PQC
Головний стратег безпеки Medcrypt Axel Wirth [Photo courtesy of Medcrypt]
Враховуючи складність продуктів виробників – як випущені продукти, так і виробничі, – рекомендується, щоб виробники створили інвентаризацію використовуваних алгоритмів криптовалют. Криптографічна законопроект про матеріали (CBOM) є корисним інструментом для цього. Після встановлення огляду відносні ризики можна визначити і можна визначити шлях вперед.
Довгі цикли розвитку та тривалий термін експлуатації продуктів-це унікальний виклик індустрії пристроїв і призводить до відчуття терміновості для початку переходу після кванту. Ці терміни 2030 та 2035 рр. Швидко наближаються та впливатимуть на продукцію, що розробляються сьогодні.
Конкретна територія, яка викликає занепокоєння,-це обмежені ресурсами медичні пристрої, яким може не вистачати пам’яті, обчислювальних ресурсів та живлення акумулятора для підтримки PQC сьогодні. Відсутність апаратних прискорювачів сполучає лише цю проблему. Знову ж таки, це призводить до висновку, що планування PQC має розпочатися раніше, ніж пізніше.
Нарешті, ми також повинні знати, що лікарні є складними системами систем і що відстаючі будуть утримувати кусковий перехід до квантових пристроїв. Цей виклик потребуватиме планування у більшій галузі та вплине на регуляторів, виробників, операторів та стандартів.
Медичні пристрої, що знаходяться в розробці, швидше за все, знадобиться на ринок кілька років, і вони будуть в клінічному використанні щонайменше десятиліття, що минуло, коли PQC буде знадобитися. Будівництво криптовалютності та планування вашого переходу PQC зараз є майбутнім, що захищає як дотримання, так і безпеку пацієнтів.
Наомі Шварц, віце -президент з регуляторної стратегії в Medcrypt, є колишнім рецензентом FDA Premarket та співробітником безпеки споживачів. Шварц схвалив кібербезпеку та програмне забезпечення для першої в світі регульованої автоматизованої системи дозування інсуліну (AID) і був зв'язком FDA за стандартами кібербезпеки для діабету та стандартів EMC для IVDS.
Аксель Вірт – головний стратег безпеки Medcrypt та адвокат щодо дотримання, конфіденційності, безпеки та безпеки пацієнтів.
Детальніше проводить внески MDO та дізнайтеся, як подавати свою власну
Думки, висловлені в цій публікації в блозі, є єдиним автором і не обов'язково відображають думки медичного дизайну та аутсорсингу чи його працівників.
