5月14日,据联邦新闻网报道,作为多年数据安全保护计划的一部分,美国正在敦促联邦机构在政府采购流程中纳入后量子密码学标准,以防止敏感数据遭未来量子计算攻击的威胁。
网络安全与基础设施安全局(CISA)、国家网络主任办公室(ONCD)、国家标准与技术研究院(NIST)及国家安全局(NSA)正主导后量子密码学推广工作。CISA战略技术部副主任Garfield Jones表示,这些机构近期已与600多名联邦IT官员召开会议,探讨后量子密码学的实施路径。
全力推进
“我们正全力推进认知普及工作,”Jones在5月13日AFCEA贝塞斯达分会举办的华盛顿会议上表示,“随着技术供应商逐步采用新标准,我们已开始建议各机构将后量子密码要求纳入采购文件。”
尽管实用化量子计算机预计至少十年后才可能问世,但美国官员担忧对手可能会采取“现在窃取,未来解密”的策略,这威胁到当前的数据安全。
2022年的《国家安全备忘录》中,拜登要求各机构在2035年前最大限度降低量子计算风险。行政管理和预算局(OMB)随后要求各部门清点关键IT资产,并制定详细的后量子密码迁移计划。拜登政府还在今年1月发布的紧急网络安全行政令中更新了后量子密码要求,值得注意的是,特朗普政府未撤销拜登任内的两项网络安全指令。
根据该行政令,CISA需在7月中旬前公布支持后量子密码(PQC)的产品类别清单。清单发布90天后,各机构必须对可支持PQC的产品采购提出明确技术要求。NIST去年已正式发布三项后量子密码标准。Jones称,CISA正与供应商合作测试其加密方案,以完善PQC产品清单。“我们将确保供应商产品符合技术规范,”Jones强调。
认知依然不足,推广阻力大
然而多数机构仍处于标准迁移初期。数字证书公司DigiCert近期调查显示,尽管69%的组织意识到量子计算风险,仅5%部署了量子安全加密。联邦调查局(FBI)网络技术分析行动部主任Todd Hemmen指出,十年过渡计划需兼顾紧迫性与系统性。
“考虑到‘现在窃取,未来解密’的威胁,迁移工作刻不容缓,”Hemmen在AFCEA会议上表示,“当前数据可能成为未来攻击武器,但过渡过程仍需审慎规划——这涉及全局性变革,时间压力虽大,但不可仓促决策。”
Jones同时提醒,PQC算法复杂度高于传统加密,机构需预判实施挑战,尤其在工控系统等关键领域。“我们建议各方提前布局,要求供应商提供技术路线图,将其整合至采购文件与政策框架,避免被动应对。系统架构升级需要充分时间。”
除技术整合难题外,资金缺口也成为迁移障碍。OMB预估联邦政府全面过渡将耗资71亿美元(不含国防部及情报界涉密系统)。国务院技术应用战略高级顾问Landon Van Dyke指出,相较于人工智能等显性技术,后量子密码的预算争取更具挑战。
“在资源分配与高层支持方面,后量子密码的推广阻力更大,”他坦言,“它不像能登上头条的颠覆性技术,也无法直观展示成果。我们只能警示‘若不行动,后果严重’,但决策者仍会质疑投资回报——而‘无风险之日’本身就是最佳回报。”
参考链接
https://federalnewsnetwork.com/cybersecurity/2025/05/agencies-explore-post-quantum-cryptography-in-acquisitions/
声明:本文来自光子盒,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。