随着量子计算技术的快速发展,量子计算对传统密码算法以及相关基础设施安全等产生重大威胁。国际组织、各国和地区相继发布后量子密码政策立法。美国政府问责局(GAO)于2024年11月向美国参议院提交了题为《网络安全的未来:全面制定量子威胁缓解策略所需的领导力》(Future of Cybersecurity: Leadership Needed to Fully Define Quantum Threat Mitigation Strategy)的问答报告。报告表明,目前美国联邦机构及关键基础设施均依赖密码学保障敏感数据与系统安全,然而,随着量子计算机的研发进程加速,将使联邦机构和关键基础设施系统面临重大风险。报告梳理了相关国际主体应对量子计算威胁的战略现状,并重点分析了美国国家量子计算网络安全战略及其中心目标,同时对战略要点与问题等提出重要建议。本期简报对该报告的主要内容进行了编译和梳理。
一、密码学与量子计算机
密码学是通过数学函数等特定变换方式对信息等加以保护和安全认证的相关实践。鉴于传统计算机计算能力有限,当前广泛采用公钥加密等传统手段对关键信息基础设施等予以保护。随着量子计算的快速发展,具备强大处理能力的量子计算机势必对传统加密手段造成巨大冲击。
二、国家量子计算网络安全战略
(一)相关国际主体应对量子计算威胁的战略现状
七国集团和北大西洋公约组织等鼓励使用后量子密码学(PQC)应对量子计算机的威胁。而欧盟和互联网工程任务组(The Internet Engineering Task Force,IETF)则倾向于使用“混合”方法进行PQC的部署。这种方法涉及同时使用新的PQC方法和经典方法。“混合”方法有助于在密码相关量子计算机(Cryptographically Relevant Quantum Computer,CRQC)投入使用之前增强保护,但也可能带来一些挑战。
(二)美国国家量子计算网络安全战略的目标
美国国家量子计算网络安全战略,是指通过各项活动,应对量子计算对非机密系统加密技术相关威胁的策略。过去八年来,美国为形成国家量子计算网络安全战略制定了各种文件,这些文件确定了该战略的三个中心目标:
(1)后量子密码标准化;
(2)制定和实施向后量子密码迁移的计划;
(3)鼓励美国所有相关部门(包括关键基础设施部门)遵循联邦政府的模式,做好应对量子威胁的准备。
(三)美国国家量子计算网络安全战略事项
根据美国政府历年相关文件,我们将量子计算网络安全战略核心事项及内容整理如下。
(四)问题所在
GAO通过分析发现,国家量子计算网络安全战略实施的重要问题在于缺乏具体细节以及负责协调和监督的专门机构。
2021年1月,国会成立了国家网络主任办公室(ONCD),为美国提供网络安全领导,其职责为领导国家网络政策和战略的协调和实施。此外,联邦法律要求主任每年向国会报告网络安全威胁,包括任何可能影响国家安全的新兴技术,如量子计算对密码学构成的威胁。GAO认为,总统行政办公室及其组成的某些组织(包括ONCD),有能力领导国家量子计算网络安全战略的协调。因此,GAO建议国家网络主任(National Cyber Director)可以对战略进行相关协调,具体职责之一是牵头协调制定国家量子计算网络安全战略,二是确保该战略下的各种文件满足国家总体战略的所有要求。
(五)结论
GAO认为,联邦机构和关键基础设施所有者和运营商迫切需要向PQC迁移,以解决美国依赖的密码学所面临的威胁。联邦机构认识到量子计算的威胁,并采取了一些行动试图解决这一问题。如前所述,充分执行国家战略是确保成功的关键,ONCD很好地填补了这一空白,并为向PQC迁移提供了一个全面的路线图。
三、总结与展望
报告分析了美国国家量子计算网络安全战略的中心目标以及在应对量子威胁时的各方面特性及问题所在,强调了ONCD等组织在协调和监督国家量子计算网络安全战略方面所发挥的重要领导作用。量子计算的快速发展对现行加密体系构成了潜在重大挑战,亟需国家层面设立专门机构统筹协调并引领量子网络安全的战略布局。
应对量子计算的威胁是当前国际社会亟需共同应对的一项重要议题,我国在制定并执行国家量子计算网络安全相关计划时也可以从中吸取经验,主要包括:
(1)以总体国家安全观为指导,制定国家量子计算网络安全战略,清晰规划向后量子密码迁移的实施路线图,内容应涵盖各项任务的具体时间节点、目标等,确保在此项战略框架下的各项文件均符合国家整体战略的要求;
(2)确定专门机构负责国家量子计算网络安全战略的协调和监督实施,确保各执行机构清晰明确自身职责与共同目标;
(3)政府和公共事务部门发挥其作为早期采用者的引领作用,政府部门在提升自身网络安全意识和能力的同时,需通过政策引导、教育培训以及公众宣传等手段,全面提高社会各界对量子计算威胁的认识和重视程度;
(4)呼吁产业界和社会各界踊跃投身关键及新兴技术工作与研究,为积极应对量子计算威胁做好准备。
(审核:原浩 朱莉欣 方婷)
完
文章所涉观点内容谨代表作者本人,为方便排版,已略去脚注
声明:本文来自苏州信息安全法学所,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。