发布日期:2025-10-05 浏览次数:
量子计算已超越学术讨论,进入实际应用阶段。无论时间线是五年还是十五年,安全界一致认同一件事:我们必须立即着手准备过渡到抗量子密码学,切勿拖延。对于首席信息安全官 (CISO) 而言,这一转变既是技术挑战,也是战略挑战,涵盖技术、治理、供应商管理和长期数据保护等各个方面。
强大的对手如今已在收集加密数据,等待明天量子计算能力的解密,这种想法已成为一个严重的隐患。这种方法在业内常被描述为“先收集,后解密”,其目标是具有长期价值的敏感信息:医疗记录、法律通信、国家安全情报或十年后仍有价值的知识产权。这里的风险微妙而重大。如果量子计算机最终成功破解 RSA 和ECC算法,任何受这些方法保护的数据都将变得可读。
图 1. PQC 阶段
在图 1 中,每个级别代表组织在迈向全面准备的过程中应经历的不同阶段:
第 1 级 - 意识:
现阶段的组织才刚刚开始了解量子计算带来的风险。他们正在学习“先收集,后解密”的含义,并开始讨论 PQC,但尚未制定结构化计划。
第 2 级 - 评估:
在此阶段,组织开始评估其加密资产。他们会识别正在使用的算法、密钥和证书,并评估哪些系统最容易受到量子威胁。此阶段主要侧重于发现和风险评估。
第 3 级 - 规划:
在这个层面上,组织开始构建正式的迁移路线图。这包括与供应商合作、选择抗量子算法(一旦标准化),以及围绕加密敏捷性制定策略,以便系统能够更快地适应。
第 4 级 - 实施:
最后阶段涉及实际部署后量子算法并替换整个企业的传统加密技术。这需要IT、安全和合规团队之间的密切协调,以确保业务连续性并将业务中断降至最低。
但问题不仅仅在于数据机密性。数字签名、代码完整性、固件更新和安全设备接入都依赖于非对称加密技术。如果这些机制可以被伪造,整个供应链的安全性都可能崩溃。量子威胁并非单一的灾难性事件,而在于我们对日常依赖的数字系统的信任正在悄然侵蚀。
对于安全领导者来说,防范的第一阶段并非技术,而是可见性。大多数组织缺乏对自身环境中加密技术应用的全面了解。公钥加密技术触及方方面面,从 TLS 连接和 VPN 隧道到电子邮件网关和移动应用程序。如果您在过去一年甚至从未进行过加密清查,那么有效管理风险几乎是不可能的。
加密清单不应仅限于证书。它必须涵盖使用或强制执行加密的应用程序、库、协议和系统。这通常涉及扫描内部应用程序和 API、识别硬编码算法,以及与开发人员和架构师合作以了解依赖关系。一些工具可以协助完成这项工作,包括代码扫描器和专用发现平台。
一旦实现了加密资产和格局的可见性,下一个目标就是敏捷性。加密敏捷性是指无需重写或重新架构整个系统即可切换算法的能力。听起来很简单,但在实践中,这是这一转变中最困难的方面之一。许多遗留系统在设计时并未考虑模块化加密,这意味着即使是微小的算法更改也可能带来操作风险。
这就是后量子转型与更广泛的IT战略相交之处。打造敏捷的基础设施不仅有利于抵御量子攻击,还能提升您应对任何加密漏洞的能力,无论这些漏洞是下周发现的,还是未来十年才发现的。敏捷性还允许您在测试传统算法的同时,测试新的量子安全算法,这一过程通常被称为混合加密。
混合密码学正迅速成为业界初期实施的首选策略。混合模型并非直接取代RSA或 ECC,而是允许两种算法(通常是一种经典算法和一种抗量子算法)协同工作。这在迁移阶段构建了一道安全网。即使一种算法被攻破或验证失败,另一种算法仍能提供持续的保护。
领先的组织已经在推出混合解决方案。谷歌云已在其密钥管理服务中部署了混合密钥交换,将椭圆曲线密码学与 CRYSTALS-Kyber 相结合。思科一直在实际场景中使用 Kyber 试行混合 TLS。另一家主要参与者 Cloudflare 承诺到 2025 年在其零信任产品套件中支持 PQC。这些并非理论上的概念验证,而是需要测试、扩展和改进的现场实施。
对于仍处于早期阶段的组织,可以从在低风险环境(例如内部开发、测试实验室或合作伙伴试点项目)中进行混合部署开始,这些环境可以提供宝贵的经验,并有助于在更广泛地推广之前识别运营挑战。
量子防御并非纯粹的技术举措。它需要治理、法律、风险和采购职能部门的参与。首席信息安全官必须帮助将加密风险转化为企业风险,这种语言能够引起董事会和高管利益相关者的共鸣。
这包括将 PQC 与风险登记册保持一致,将其纳入业务连续性战略,并将其纳入并购尽职调查、供应商风险评估和监管规划。如果您身处受监管的行业,例如金融服务或医疗保健,量子就绪性很可能在未来几年内成为合规问题。NIST 已选择 Kyber、Dilithium、Falcon 和 SPHINCS+ 作为首批标准化 PQC 算法。随着 FIPS 预计将于 2025 年发布,受联邦或行业要求约束的组织应该已经在审查其路线图了。
与供应商沟通是这一治理流程的必要组成部分。在 RFP 和供应商评估中开始询问后量子密码学的相关问题。寻求明确的时间表、对混合模式的支持,以及供应商是否计划满足即将出台的合规性基准。如果第三方服务正在管理加密操作,尤其是在云环境中,了解他们计划如何以及何时进行调整至关重要。
最成功的 PQC 转型将是循序渐进、深思熟虑且循序渐进的。这不是彻底的推倒重来,而是一个分阶段的成熟度模型。
从加密转换风险较低的系统入手:开发管道、内部 API、服务间通信。然后向外扩展,将 PQC 保护措施分层部署到您的证书颁发机构、身份系统、电子邮件、移动应用和面向公众的服务中。
您的长期路线图应包含以下要素:建立量子就绪度指标(例如,启用混合加密的系统百分比)、安排定期的供应商一致性审查、维护中央加密清单,以及进行模拟当前加密标准失效的内部桌面演练。这些活动有助于在整个组织文化(而不仅仅是代码库)中规范化 PQC。
图 2. PQC 时间线
图 2 列出了 PQC 迁移的预期时间表,从现在到 2035 年:
现在——数据收集正在进行中:
对手已经开始收集加密数据,意图在量子计算机足够强大时解密。这意味着即使实际的量子威胁还需要数年时间才能实现,时间也已经紧迫。
2025 年——NIST 标准最终确定:
美国国家标准与技术研究院(NIST)正在最终确定官方后量子密码算法。这些标准将成为全球采用的基础。
2028年——早期合规压力:
据英国国家网络安全中心 (NCSC) 称,各组织机构将开始感受到采用 PQC 的监管和合规压力。金融、国防和医疗保健等行业由于其敏感性,可能会更早地面临强制要求。
2035年——PQC全面迁移的目标:
预计到那时,各组织将完全过渡到 PQC。虽然这看起来似乎遥不可及,但大规模的加密迁移通常需要十年甚至更长时间,因此现在就开始规划至关重要。这个时间表凸显了紧迫性:虽然最终期限可能还要十年,但准备工作必须立即开始。
重要的是,不应将量子变革视为孤立事件,而应将其视为数字信任的转型阶段。我们现在在架构、标准、供应商选择和风险管理方面做出的决策,将塑造后量子时代企业安全的未来。
做好准备并非要预测量子计算机何时会破解当今的加密技术,而是要确保你的组织能够随时应对。这种韧性并非源于恐慌或被动观察,而是源于领导力。
对于首席信息安全官 (CISO) 来说,这是一个清晰的时刻。后量子时代即将到来,我们的责任是制定计划来应对它,这不仅是为了生存,更是为了战略优势。
量子计算代表着网络安全领域迄今为止最具颠覆性的力量之一。向后量子密码学的转变不仅仅是技术升级,更是企业保护数据、维护信任和构建未来数十年韧性的根本性变革。对于首席信息安全官 (CISO) 而言,任务明确:提升加密资产的可视性,增强 IT 和安全基础设施的敏捷性,并使治理和风险管理流程与这一新现实相协调。那些及早采取行动的人不仅能抵御未来的威胁,还能在韧性和可信度方面获得战略优势。量子时代即将到来,现在正是做好准备的时候。
揽阁信息可以为您提供PQC迁移的全方面帮助,欢迎联系我们获取更多信息。
揽阁信息 · 值得您信赖的信息安全顾问!
沪公网安备31011202021337号 网站地图
友情链接: Thales官网 芯片产品网站 服务热线
