数字化转型将密码学推到了聚光灯下，成为企业安全的隐形基础。然而，对于许多组织而言，这一关键层面仍是一片广阔的未知领域。当我们站在量子时代的边缘时，这种缺乏可见性的问题已不再是可控的风险，而是关乎生存的威胁。一份全面的密码学清单不仅仅是一份清单，更是一份蓝图，它将指导您的组织迈向后量子时代。

虽然这份清单的战略重要性显而易见，但真正的挑战在于执行。这份详细的清单不仅解答了“为什么”，还提供了切实可行的“内容”和“方法”，以确保您的清单全面、可操作且足够稳健，能够应对未来的挑战。

了解关键库存原则

在开始收集数据之前，请先建立一个清晰的框架。这不是一次性的任务，而是一个持续的过程，需要持续改进和提高透明度。您的方法应遵循以下核心原则：

• 加密的六个 W：组织中的每个加密资产都必须记录以下六个关键细节：
  1. 加密组件是什么？这包括特定密钥、数字证书、软件库、硬件安全模块 (HSM)等。
  2. 它位于哪里？这标识了它的位置，是在特定的应用程序中、在数据中心的服务器上、在Azure Key Vault等云保管库中，等等。
  3. 它是什么时候创建的？什么时候会过期或轮换？这对于识别那些容易被“收割”的长期密钥至关重要。
  4. 谁是其所有者或负责其管理和生命周期的一方？
  5. 为什么要使用它？这定义了它的用途，例如保护敏感数据以符合GDPR等法规、验证用户身份、确保交易完整性等等。
  6. 它是如何被使用的？这指定了技术细节，包括特定的算法、密钥长度、配置的协议版本等等。
• 确认您的范围：明确定义哪些内容由您直接控制（您自己的密钥、硬件和应用程序），哪些内容由第三方供应商管理。对于第三方服务，您必须将其记录为“黑匣子”，并且您的责任是从提供商处获取风险声明、详细的补救计划和 PQC 路线图。
• 标准化和简化：尽可能使用一致的业务流程和部署方法。这是加密敏捷性的精髓。通过标准化方法，您不仅可以简化库存流程，还可以简化未来的更新、修补和新部署。

• 全面：您的清单必须涵盖所有可能受 PQC 改进负面影响的组件，从传统系统到尖端技术。无论系统规模大小或老旧程度，都应予以考虑。

建立你的库存

单一的扫描工具或方法无法提供完整的信息。真正全面的清单需要采用多层次的方法，结合各种技术来消除盲点。

公钥基础设施（PKI）

PKI是您组织的数字身份系统，用于实现安全通信和身份验证。对于库存而言，PKI 至关重要，因为它依赖于非对称加密，而非对称加密极易受到量子攻击。

• 加密资产清单：创建一个详细的清单，列出所有使用非对称加密的应用程序和通信渠道。这包括Web 服务器的TLS/SSL 证书、代码签名证书以及用于数字签名和身份验证的密钥。
• 密钥管理审计：验证并记录您的整个 PKI 流程，包括密钥的生成、存储和轮换方式。您最重要的密钥（例如根签名密钥）应存储在可信的硬件安全模块 (HSM)中，以提供更高级别的安全性。检查 HSM 日志是发现哪些应用程序正在进行加密调用的有效方法。

• 证书生命周期管理：记录所有证书的有效期。这对于识别长期证书（例如 25 年或更长时间）尤为重要，因为这些证书是“数据收集”攻击的主要目标。密钥大小和算法与有效期同样重要。即使生命周期较短，依赖 RSA（2048/3072/4096 位）或ECC（P-256、P-384）的证书仍然容易受到量子攻击，因为无论密钥长度如何，Shor 算法都可以破解它们。为了缓解这种情况，应创建一个流程，不仅定期审查和重新颁发生命周期较短的证书，还要对正在使用的算法和密钥大小进行分类。这种可见性将有助于确定哪些证书构成最大的量子风险，并应首先将其转换为抗量子或混合加密模型。

应用程序开发（AppSec）

加密技术通常嵌入在应用程序的深层，难以发现和管理。为了构建有效的清单，您需要利用多种发现方法：

• 自我识别：一个简单有效的起点是扩展现有的应用程序清单。要求应用程序所有者明确记录其应用程序是否使用加密、加密类型以及使用情况的简要描述。这些一线数据为进一步的技术探索提供了至关重要的起点。
• 静态扫描：将静态代码分析工具集成到您的CI/CD 管道中。这些工具可以扫描代码以查找加密函数调用。虽然它们可能并非完全精确（例如，它们可能会显示库中所有可用的算法，而不仅仅是正在使用的算法），但它们是快速识别哪些应用程序正在调用不再被视为 PQC 安全的算法（例如 RSA 和 ECDSA）的绝佳方法。
• 动态分析：为了获得更准确的运行时视图，请使用交互式应用程序安全测试 (IAST) 工具。这些工具可以洞察应用程序实际使用的加密函数，包括来自第三方库和框架组件的调用。这种方法可以显示“实际发生的情况”，从而补充静态扫描。
• 软件物料清单 (SBOM)：随着 SBOM 的普及，它们将为软件组件提供宝贵的“成分清单”。您可以使用它来映射加密库并识别已知漏洞。

• 文件系统发现：使用 Tanium 或 Varonis 等工具进行文件系统扫描，查找密钥、密钥库和证书等加密组件。请注意，此方法可能会产生大量干扰，因此最好与其他方法结合使用，以确认实际正在使用的内容。

其他重要考虑因素

加密技术不仅限于传统的服务器和应用程序。您的资产清单还必须考虑以下特殊资产类别：

• SaaS 提供商：不要仅仅因为数据在云端就认为它安全。记录 SaaS 提供商使用的加密算法。了解他们的密钥管理模型：是 SaaS 托管、自带密钥 (BYOK)，还是允许客户管理密钥？询问他们的 PQC 计划和时间表，尤其是在他们使用较旧算法的情况下。
• 硬件安全模块 (HSM)： HSM 包含组织最重要的密钥。它们必须包含在您的清单中。除了简单列出 HSM 之外，您还应该检查它们的日志，以识别哪些应用程序正在调用加密函数，从而提供更详细的使用情况视图。

• API、物联网和区块链：这些是独立的资产类别，各自存在独特的 PQC 风险。对于 API，请记录其加密使用情况，并确保其连接密码强大。对于物联网，请对所有设备及其嵌入的加密进行分类，因为更新固件可能是一项挑战。对于区块链，您必须了解其公钥加密的使用情况，这容易受到 PQC 风险的影响。

持续改进之旅

建立和维护这份清单是一个过程，而非终点。它需要持续的努力和明确的流程，才能保持准确性和相关性。

• 从 CBOM 开始：使用您的初始库存创建加密物料清单 (CBOM)，它提供加密使用情况的全面、结构化视图。
• 扫描频率：根据风险和变更活动确定适当的扫描频率。越关键的区域，扫描频率就越高。
• 解决盲点：承认某些密钥可能处于离线状态或位于无法访问的位置。开发其他方法来查找它们，或者在无法验证的情况下做出假设。
• 培养意识：为您的开发和安全团队提供培训，将加密敏捷性嵌入到您的文化和流程中。
• 监控和响应：创建一个流程来处理监控触发的异常和警报（例如，算法被弃用或密钥过期）。

揽阁信息可提供的帮助

• PQC评估

  我们首先会绘制您当前的加密环境。这包括发现和清点所有加密资产，例如证书、密钥和相关依赖项。然后，我们会评估哪些系统容易受到量子威胁，并审查您的PKI、HSM和应用程序的就绪情况。最终，我们会提供详细的加密清单、量子风险影响分析以及清晰的优先行动计划。

• PQC 战略和路线图

  接下来，我们将根据您的业务目标，量身定制迁移策略。这包括根据 NIST 和 NSA 指南更新加密策略、创建治理框架，并嵌入加密敏捷性原则，以确保您的系统保持灵活应变。这将最终形成全面的 PQC 策略、加密敏捷性框架，以及根据您的优先事项和时间表构建的分阶段迁移路线图。

• 供应商评估和概念验证

  选择合适的解决方案至关重要。我们帮助您明确 RFP/RFI 要求，筛选出最合适的 PQC 算法、密钥管理和 PKI 供应商，并在您的环境中进行概念验证测试。这将为您提供供应商比较报告和定制建议，以支持您做出明智的决策。

• PQC实施

  制定计划后，我们将协助您在基础设施（例如 PKI、企业应用或更广泛的生态系统）中部署后量子算法。我们还支持混合加密模型，确保跨云、本地和混合环境的无缝集成。这有助于提供经过验证的互操作性、强大的文档和实践培训，使您的团队能够自信地管理和维护系统。

• 试点测试和扩展

  在企业范围部署之前，我们会进行受控的试点测试，以验证性能并解决集成问题。优化完成后，我们将分阶段部署，以取代传统算法，最大限度地减少中断并保持合规性。这可实现顺畅、可扩展的部署，并通过持续监控和优化，确保您的系统安全可靠，并在未来保持稳定。

结论

量子时代不会等待组织迎头赶上。全面的加密清单是真正做好后量子时代准备的基石，它能为您提供保护关键资产所需的可见性和控制力。通过超越理论，构建结构化、可操作的清单，您可以发现隐藏的风险，增强加密敏捷性，并为不可避免的转型做好基础设施的准备。

凭借正确的方法和合适的合作伙伴，您可以将今天的不确定性转化为明天的韧性。立即开始构建您的加密库，确保您的组织不仅具备量子感知能力，而且做好应对量子挑战的准备。

揽阁信息 · 值得您信赖的信息安全顾问！

相关文章：

• 2026年密钥安全的新挑战和应对
• 香港证监会关于监管虚拟资产交易平台的安全要求
• 如何有效地向董事会传达量子风险
• PQC准备情况评估：在为时已晚之前识别并优先处理您的加密风险
• SSH密钥管理如何增强安全性？
• 如何选择一款最适合的HSM？