挑战与威胁
量子计算的兴起对各领域的数字安全系统构成潜在的重大威胁——包括健康档案、金融交易、银行与加密货币系统、关键基础设施控制、政府机密、私人信息与通信等,不胜枚举。
量子计算机目前尚无法破解保护上述系统的密码体系,但对手已在实施 HNDL(”现在收割,以后解密”)攻击:在当下截获加密数据,期待在能够解密的那一天将其破解。威胁正在于此——针对当下数据的实际威胁,包括传输中的数据与静态数据。
Shor 算法使量子计算机能够高效分解大整数并计算离散对数,从而破解 RSA 与 ECC 密码算法——这些算法是当今安全通信的基石。
这一威胁并非假设:五眼联盟国家已在设定硬性迁移期限。美国(CNSA 2.0)要求在 2035 年前完成全面迁移。澳大利亚 ASD 要求在 2026 年底前提交完善的过渡计划,并于 2030 年前完成关键系统迁移。英国 NCSC 的目标期限为 2035 年,欧盟则将高风险系统的迁移期限定为 2030 年。
新西兰 NZISM 第 2.4 节要求各机构监测 PQC 发展动态、建立密码系统清单并制定迁移计划——然而目前尚无 PQC 算法获得 NZISM 批准使用,也尚未设定迁移期限。等待政策强制要求的组织将面临措手不及的风险。
挑战在于,向后量子密码学(PQC)的过渡并非一蹴而就。这需要全面的评估、研究、规划、系统升级以及对新密码标准的整合。鉴于其复杂性与所需时间,各组织必须主动采取行动,以保障其数字资产免受未来量子威胁的侵害。
我们的价值主张——量子安全服务与解决方案
Kaysec 是 Spinsphere 旗下的后量子安全部门,致力于为新西兰及全球组织提供量子安全解决方案。美国国家标准与技术研究院(NIST)于 2024 年 8 月正式发布首批 PQC 标准:用于密钥封装的 ML-KEM(FIPS 203,前身为 CRYSTALS-Kyber)、用于数字签名的 ML-DSA(FIPS 204,前身为 CRYSTALS-Dilithium),以及用于基于哈希签名的 SLH-DSA(FIPS 205,前身为 SPHINCS+)。凭借我们在上述标准方面的专业能力以及对监管框架和政策的深入理解,我们提供以下服务:
- 评估:全面的 PQC 就绪性审计——识别量子脆弱系统,梳理密码依赖关系,并对照 NZISM 第 2.4 节及国际框架进行基准测试。
- 清单:对具有长期保密要求的敏感数据集进行编目,并梳理其密码依赖关系。
- 优先排序:根据资产价值、数据敏感性、运营依赖关系及数据寿命,对系统迁移进行优先级排列。
- 策略:制定包含时间表、资源需求和混合过渡策略的具体迁移路线图,并与您所适用的监管环境保持一致,无论是 NZISM、CNSA 2.0、NCSC 还是 ASD 指南。
- 实施:将经 NIST 及监管机构批准的 PQC 算法(ML-KEM、ML-DSA、SLH-DSA 等)部署至现有基础设施,并采用混合迁移策略。
- 咨询与支持:就合规性、新兴标准(包括 FN-DSA / FIPS 206)及密码敏捷性最佳实践提供持续指导。
与 Kaysec 合作,您的组织将站在网络安全的前沿,从容应对量子时代的挑战。
