美国敦促联邦机构在采购流程中纳入后量子密码学标准

5月14日，据联邦新闻网报道，作为多年数据安全保护计划的一部分，美国正在敦促联邦机构在政府采购流程中纳入后量子密码学标准，以防止敏感数据遭未来量子计算攻击的威胁。

网络安全与基础设施安全局（CISA）、国家网络主任办公室（ONCD）、国家标准与技术研究院（NIST）及国家安全局（NSA）正主导后量子密码学推广工作。CISA战略技术部副主任Garfield Jones表示，这些机构近期已与600多名联邦IT官员召开会议，探讨后量子密码学的实施路径。

全力推进

“我们正全力推进认知普及工作，”Jones在5月13日AFCEA贝塞斯达分会举办的华盛顿会议上表示，“随着技术供应商逐步采用新标准，我们已开始建议各机构将后量子密码要求纳入采购文件。”

尽管实用化量子计算机预计至少十年后才可能问世，但美国官员担忧对手可能会采取“现在窃取，未来解密”的策略，这威胁到当前的数据安全。

2022年的《国家安全备忘录》中，拜登要求各机构在2035年前最大限度降低量子计算风险。行政管理和预算局（OMB）随后要求各部门清点关键IT资产，并制定详细的后量子密码迁移计划。拜登政府还在今年1月发布的紧急网络安全行政令中更新了后量子密码要求，值得注意的是，特朗普政府未撤销拜登任内的两项网络安全指令。

根据该行政令，CISA需在7月中旬前公布支持后量子密码（PQC）的产品类别清单。清单发布90天后，各机构必须对可支持PQC的产品采购提出明确技术要求。NIST去年已正式发布三项后量子密码标准。Jones称，CISA正与供应商合作测试其加密方案，以完善PQC产品清单。“我们将确保供应商产品符合技术规范，”Jones强调。

认知依然不足，推广阻力大

然而多数机构仍处于标准迁移初期。数字证书公司DigiCert近期调查显示，尽管69%的组织意识到量子计算风险，仅5%部署了量子安全加密。联邦调查局（FBI）网络技术分析行动部主任Todd Hemmen指出，十年过渡计划需兼顾紧迫性与系统性。

“考虑到‘现在窃取，未来解密’的威胁，迁移工作刻不容缓，”Hemmen在AFCEA会议上表示，“当前数据可能成为未来攻击武器，但过渡过程仍需审慎规划——这涉及全局性变革，时间压力虽大，但不可仓促决策。”

Jones同时提醒，PQC算法复杂度高于传统加密，机构需预判实施挑战，尤其在工控系统等关键领域。“我们建议各方提前布局，要求供应商提供技术路线图，将其整合至采购文件与政策框架，避免被动应对。系统架构升级需要充分时间。”

除技术整合难题外，资金缺口也成为迁移障碍。OMB预估联邦政府全面过渡将耗资71亿美元（不含国防部及情报界涉密系统）。国务院技术应用战略高级顾问Landon Van Dyke指出，相较于人工智能等显性技术，后量子密码的预算争取更具挑战。

“在资源分配与高层支持方面，后量子密码的推广阻力更大，”他坦言，“它不像能登上头条的颠覆性技术，也无法直观展示成果。我们只能警示‘若不行动，后果严重’，但决策者仍会质疑投资回报——而‘无风险之日’本身就是最佳回报。”

参考链接

https://federalnewsnetwork.com/cybersecurity/2025/05/agencies-explore-post-quantum-cryptography-in-acquisitions/

声明：本文来自光子盒，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。