当前,全球数字基础设施的安全正面临一场前所未有的挑战——量子计算的迅速崛起。这一颠覆性技术,凭借其独特的量子力学原理,展现出超越传统计算机的强大计算潜力。
特别是Shor算法的应用,使得量子计算机能够以远超经典算法的速度,破解当前广泛应用于数字通信和数据保护的公钥加密方法,例如RSA、椭圆曲线密码(ECC)和Diffie-Hellman密钥交换协议。这意味着,我们赖以信任的数字签名可能被伪造,数据完整性面临威胁,甚至包括区块链系统以及HTTPS和VPN等安全通信协议的安全性也可能受到根本性冲击。
图:一个基本流程图。展示了什么是HNDL攻击,以及它对用户和企业的危害。
来源:《Harvest Now, Decrypt Later (HNDL): A Look at This Current & Future Threat》
更为迫切的是,“先收割后解密”(Harvest Now, Decrypt Later, HNDL)攻击已成为一个现实风险。这种攻击模式是指恶意行为者在今天截获并存储加密数据,待未来拥有足够强大的量子计算机后,再对这些数据进行解密,从而窃取敏感信息。对于那些需要长期保密的数据而言,如果其保密期限超越了量子计算机实现密码破解能力的时间点,那么这些数据现在就已经处于危险之中。这种前瞻性的威胁,无疑极大地提升了后量子密码学(PQC)迁移的即时性和前瞻性要求。
图:MITRE网络技术副总裁Wen Masters
来源:MITRE官网
面对量子威胁的紧迫性,全球各组织已无法再拖延。MITRE网络技术副总裁Wen Masters明确指出,组织必须果断行动,采取积极措施保护敏感数据,以应对这些颠覆性的变化和潜在的安全威胁。尽管量子计算仍处于早期发展阶段,其对现有加密协议产生实际影响可能尚需十年或更长时间,但考虑到数据保密期的需求以及PQC迁移本身的复杂性和耗时性,现在就开始准备已是刻不容缓。
MITRE PQC联盟:共筑量子安全未来
为应对量子计算对现有加密体系的潜在威胁,全球范围内的技术专家、研究人员和网络安全专家共同组建了后量子密码学联盟(PQCC)。PQCC的使命是提供关键的外展和教育支持,促进PQC迁移,并加强互操作性标准和技术的建立与实施,以期构建一个更具韧性的数字未来。
PQCC由IBM Quantum、Microsoft、MITRE、PQShield和SandboxAQ等行业巨头共同创立,汇集了来自不同组织的125多位顶尖贡献者,共同致力于确保数字世界的安全。这种广泛而深入的合作,充分体现了PQC迁移的全球性、协同性和复杂性,它绝非任何单一组织能够独立完成的任务,而是需要跨行业、跨机构的共同努力和经验共享。
正是基于这样的背景,PQCC于2025年5月中旬发布了其《后量子密码学(PQC)迁移路线图》,旨在帮助各种规模的组织应对向量子安全密码学过渡的复杂性。该路线图并非空中楼阁,它建立在美国国家标准与技术研究院(NIST)的PQC标准和国家网络安全卓越中心(NCCoE)的PQC迁移项目基础之上,这使得组织能够根据PQCC成员的共享经验,快速、轻松地定制符合自身需求的PQC路线图。这种协作与标准化的结合,以及路线图的可定制性,是应对普遍威胁但又需灵活实施的关键。它表明PQC迁移是一项大规模的、协作的、且高度依赖全球标准化的共同事业,集体智慧的结晶对于互操作性和广泛采用至关重要。
MITRE PQC迁移路线图核心框架:四大阶段,步步为营
MITRE的PQC迁移路线图为组织提供了清晰的行动指南,旨在帮助其系统化地过渡到量子安全加密。该路线图将复杂的迁移过程分解为四个核心阶段:
图:展示了PQC 迁移路线图的四个主要类别,即准备(Preparation)、基础了解(Baseline Understanding)、规划与执行(Planning and Execution)以及监控与评估(Monitoring and Evaluation),以及这些类别在组织迁移过程中的关系。
阶段一:准备与基线理解(Preparation & Baseline Understanding)
此阶段的核心目标是识别所有相关利益攸关者,评估组织现有加密基础设施的漏洞,并将PQC迁移目标与整体组织战略和时间表对齐。同时,建立一份全面的加密资产清单,并根据业务关键性优先处理各项资源。
具体而言,组织应首先进行全面的加密资产发现,清点所有正在使用的加密技术,包括其算法、密钥长度和具体用途。这项工作有助于识别潜在的漏洞、有效管理风险并确保未来的合规性。在此基础上,还需开展细致的量子风险评估,并将其深度整合到现有风险管理流程中。通过量化不同系统的风险,组织可以更精准地确定哪些系统需要优先进行迁移,从而优化资源分配。
阶段二:规划与执行(Planning & Execution)
本阶段旨在获取或开发量子安全解决方案,并以高度的精确性进行实施。这不仅涉及技术选型,更需要制定详细、可操作的迁移策略和部署计划。
具体行动包括组建一个专门的PQC迁移团队,并确保所有相关的业务流程都已调整到位,以促进平稳过渡。在规划过程中,组织需要明确迁移的时间点,这可以通过运用莫斯卡不等式(Mosca"s inequality,即X+Y
阶段三:监控与评估(Monitoring & Evaluation)
此阶段的目标是建立强大的跟踪和度量机制,并随着量子威胁的不断演变,持续评估组织加密安全的有效性。
具体行动要求在PQC解决方案部署过程中和完成之后,对新系统的性能和安全性进行持续监控。这包括跟踪PQC算法的采用率、评估其可能带来的性能影响(例如,由于PQC算法通常产生更大的密钥尺寸,可能增加带宽和存储需求),并确保所有系统持续保持安全合规。
路线图的灵活性与可定制性
MITRE的路线图并非一成不变的僵硬规定,而是旨在提供一个可供组织快速轻松定制的框架,以满足其自身独特需求。这种灵活性得益于PQCC成员之间广泛的共享经验,使得各组织能够根据自身情况,借鉴他人的成功实践,从而更高效地推进PQC迁移。
MITRE的通用四阶段路线图与英国国家网络安全中心(NCSC)提出的具体时间表(至2028年、2028-2031年、2031-2035年)形成互补,这种全球性的协调和分阶段的策略,为组织提供了从概念到实践的清晰路径,并暗示了2035年作为全球PQC迁移完成的共同目标。这种结构化的分阶段方法有助于管理复杂性并随着时间的推移分配资源。
图:确定后量子密码(PQC)迁移紧迫性的模型时间线
全球PQC迁移的实践与挑战:NIST与NCSC的视角
全球范围内,各大机构正积极制定并推行PQC迁移策略,其中以英国国家网络安全中心(NCSC)和美国国家标准与技术研究院(NIST)的举措最具代表性。
1、NCSC的迁移时间表与分阶段策略
英国NCSC发布了详细的指导意见,为组织过渡到量子抵抗加密方法设定了明确的三阶段时间表,目标是到2035年完成全面迁移。
至2028年:在此阶段,所有组织应完成加密服务的识别工作,并制定初步的迁移计划。这包括明确迁移的优先级、梳理对第三方供应商的依赖关系以及确定所需的投资领域。
2028年至2031年:这一阶段的重点是执行高优先级系统的升级。同时,组织需要持续完善其迁移计划,以适应PQC技术的不断发展和供应商产品的更新。在此期间,严格的测试和验证至关重要,以确保PQC算法的正确实施,并防止系统回退到旧的、易受攻击的加密方式。
2031年至2035年:这是PQC迁移的最后阶段,目标是完成所有系统、服务和产品的PQC迁移,实现全面的量子安全。
值得注意的是,NCSC的路线图也考虑到了不同行业的差异性。金融和电信等关键行业,由于其全球业务性质和较高的标准化程度,预计将率先采用PQC。然而,对于运营技术(OT)领域,如能源和制造业,由于存在大量遗留系统、设备升级受限以及物理环境的复杂性,其迁移过程将面临更为严峻的挑战。
这表明PQC迁移策略并非一刀切,而是需要根据组织的规模、复杂性和所属行业进行高度定制。OT系统通常具有极长的生命周期,难以更新,这使得PQC迁移成为一个与更广泛的基础设施升级相关的数十年挑战,需要这些行业采取高度定制的方法。
2、NIST的标准化进程与关键策略
作为全球密码学标准化的领导者,NIST在PQC领域发挥着核心作用。
(1)已标准化的PQC算法
NIST于2024年已标准化了核心PQC算法,包括用于密钥交换的ML-KEM,以及用于数字签名的ML-DSA和SLH-DSA。全球的供应商和开发者正积极围绕这些标准构建其产品和解决方案。
(2)加密敏捷性:应对未来不确定性的核心
NIST强调“加密敏捷性”是实现无缝加密过渡的关键解决方案。它指的是在不中断系统操作的情况下,替换协议、应用程序和基础设施中加密算法的能力。回顾历史,加密算法的转换(例如从DES到AES)往往耗时数十年,这凸显了在PQC迁移中,加密敏捷性不仅是必要,更是构建未来适应性数字基础设施的核心。这种能力允许组织在算法成熟或新威胁出现时快速适应,是关于面向未来的保障。
实现加密敏捷性的原则包括:模块化加密实现,即系统设计应避免硬编码算法选择,并确保加密库支持多种算法;算法协商和互操作性,确保不同实现之间即使算法发生变化也能安全通信;以及自动化加密发现和管理,通过维护加密资产清单并自动化漏洞监控来实现。
(3)混合加密算法:平稳过渡的桥梁
NIST的白皮书指出,混合加密算法是PQC过渡的即时解决方案。这种方法结合了传统公钥密码学(如ECDSA)和量子抵抗算法(如ML-DSA),旨在为量子抵抗方案中不可预见的漏洞提供保障,同时确保系统在整个过渡期内的安全。
尽管混合方法可能增加计算开销,但它为那些不愿立即全面转向PQC的组织提供了一条实用路径。在实施时,至关重要的是采用“混合AND”模式,即要求两种算法都成功验证,以防止攻击者通过降级攻击强制使用较弱的、量子脆弱的算法。
NIST的白皮书指出,通过系统化的“三步迁移法”,组织可以高效、安全地完成迁移。
三步迁移法:诊断阶段、规划阶段、规划阶段。
量密局,公众号:量密局抗量子密码学迁移:应对量子计算挑战的行动指南
(4)NIST的最新迁移截止日期与统一安全分类
NIST在其2024年11月12日发布的IR 8547报告中,重申了国家安全系统在2035年前过渡到量子抵抗算法的迁移截止日期。这一截止日期与白宫的国家安全备忘录和美国国家安全局(NSA)的商业国家安全算法套件2.0网络安全咨询意见保持一致。
该报告还对经典加密算法的弃用和禁用时间表进行了重要更新:对于安全强度为112比特或更低的经典非对称加密算法(例如RSA-2048或SHA-224),NIST计划在2030年后“弃用”(deprecate),即逐步淘汰这些算法,并将在2035年后完全“禁用”(disallow)。这一改变旨在实现“一步到位”的过渡,尽快实施量子抵抗算法,而非分两步进行。
来源:Infosec Global
IR 8547报告最引人注目的新信息是引入了所有NIST加密算法的统一后量子安全分类,从1级(最弱)到5级(最强)。这一分类扩展到包括所有对称加密算法,而经典(2018年前)非对称加密算法如RSA则不在此列,因为它们不具备后量子安全性。这种统一的安全分类使得组织能够更精确地确定其所需的后量子安全级别,并利用工具进行合规性检查,确保所有算法参数均符合要求。
NIST标准化算法、供应商基于标准构建产品,以及TLS等通用协议标准预计在2027-2028年成熟,这揭示了PQC采纳的复杂依赖链。迁移的进度不仅取决于单个组织,更严重依赖于底层标准和供应商支持的成熟度和广泛实施。组织不能简单地决定“转向PQC”,他们需要算法、软件/硬件实现以及更新的通信机制,如果这个链条中的任何一个环节薄弱或延迟,都会影响整个迁移。这意味着组织需要积极与供应链合作并监控标准发展。
表格1: 全球PQC迁移关键时间表概览
来源(Source) | 阶段/目标 (Phase/Objective) | 关键行动/说明 (Key Actions/Notes) |
NCSC | 至2028年 | 识别加密服务,制定迁移计划。所有组织完成发现阶段,建立初步迁移计划。 |
NCSC | 2028-2031年 | 执行高优先级升级,完善计划。计划需根据供应商产品更新和标准演变调整。 |
NCSC | 2031-2035年 | 完成所有系统、服务和产品的PQC迁移。 |
NIST (IR 8547) | 2030年后 | 弃用经典非对称加密(112比特及以下,如RSA-2048)。 |
NIST (IR 8547) | 2035年 | 国家安全系统完成量子抵抗算法迁移;完全禁用经典非对称加密(112比特及以下)。 |
PQC迁移的深层考量:技术与运营挑战
PQC迁移是一个复杂且多维度的过程,它不仅仅是算法的简单替换,而是一项涉及网络、存储、协议、应用、硬件及第三方服务的全面系统性改造。这揭示了迁移的复杂性、相互依赖性以及对组织IT基础设施的深远影响,需要高度协调的跨部门合作。
技术层面的八大关键因素:
在PQC迁移过程中,组织必须深入考量以下八个关键技术因素,以确保平稳和安全的过渡:
1、带宽:
PQC算法通常产生更大的密钥尺寸、更长的签名和密文。例如,CRYSTALS-Kyber的公钥可达6000比特,CRYSTALS-Dilithium可达10000比特,远超传统RSA和Diffie-Hellman的2000比特。这种数据量的增加将直接导致网络流量和延迟的增加。组织需确保现有网络基础设施能够处理额外的负载,可能需要升级网络、优化数据流或增加带宽容量。
2、存储:
密钥尺寸的增大意味着PQC证书将需要更多的存储空间。在过渡期间,组织可能还需要额外存储空间来同时维护混合加密系统和传统加密系统。因此,评估现有存储解决方案并规划必要的扩展至关重要。
3、协议:
现有通信协议,如传输层安全协议(TLS)、安全外壳协议(SSH)、安全/多用途互联网邮件扩展(S/MIME)和互联网协议安全(IPsec),必须进行更新以支持PQC算法的密钥交换和签名机制。这需要对当前协议进行全面审查、严格测试,并规划底层基础设施的任何必要变更,以确保通信的安全性。
4、应用/软件升级:
PQC过渡要求对现有软件和应用程序进行重大更新,以使其支持PQC算法和新的加密标准。这可能涉及对现有软件进行大量修改以确保与PQC库和协议的兼容性,这是一个复杂且耗时的过程。建议首先建立现有加密和相关应用软件的全面清单,优先迁移关键任务资产,并进行彻底的测试和验证。
5、硬件升级:
PQC算法对处理能力提出更高的要求,这可能需要进行硬件升级。这可能包括投资新的服务器、处理器、专用硬件加速器,以及更新或更换当前支持经典加密算法的硬件安全模块(HSM)。首先,应清点当前硬件,并对涉及关键数据保护的组件进行分类,以确定优先升级或更换的顺序。
6、第三方应用和服务:
如果组织依赖第三方供应商的技术、应用程序和服务(例如电子邮件服务、VPN),则必须确保这些服务也支持PQC。与供应商进行积极沟通,了解其PQC集成路线图和时间表至关重要,以确保在迁移过程中或之后,性能影响和互操作性问题能够得到有效解决。
7、标准与指南:
遵守新兴的PQC相关RFC(请求评论)、标准和指南是PQC迁移的关键一步。这要求组织整合并维护最新的PQC库和随机数生成器(RNG),并及时了解NIST和欧洲电信标准协会(ETSI)等机构发布的最新标准,以确保不同系统和平台之间的互操作性和安全性。
8、监管合规性:
预计监管机构将更新其合规要求以纳入后量子密码学标准。组织需要确保其加密实践符合这些新规定,包括更新合规政策、定期审计和维护详细文档以证明符合后量子安全标准。
表格2: PQC迁移主要技术挑战与影响
技术挑战(Technical Challenge) | 具体影响/要求 (Specific Impact/Requirement) |
1. 带宽 | PQC算法密钥尺寸增大,导致数据流量和延迟增加;需网络升级、优化。 |
2. 存储 | PQC证书需要更多存储空间;过渡期需额外存储,并规划扩展。 |
3. 协议 | 现有通信协议(TLS, SSH等)必须更新以支持PQC算法的密钥交换和签名。 |
4. 应用/软件升级 | 软件和应用程序需大量修改以兼容PQC库和新标准;需全面清单和测试。 |
5. 硬件升级 | PQC对处理能力要求更高,可能需新服务器、处理器、HSM或专用加速器。 |
6. 第三方应用和服务 | 组织依赖的第三方供应商技术需支持PQC;需与供应商沟通,协调集成。 |
7. 标准与指南 | 需遵守新兴PQC相关RFC、标准和指南;需整合和维护最新的PQC库。 |
8. 监管合规性 | 需符合新的PQC监管要求;需更新合规政策、定期审计和维护文档。 |
参考链接
[1]https://www.thesslstore.com/blog/harvest-now-decrypt-later-hndl/
[2]https://www.paloaltonetworks.com/cyberpedia/what-is-quantum-computings-threat-to-cybersecurity
[3]https://www.infosecglobal.com/posts/nist-post-quantum-cryptography-deadlines-ir-8547
[4]https://www.mitre.org/news-insights/news-release/post-quantum-cryptography-coalition-unveils-pqc-migration-roadmap
[5]https://www.coinbase.com/learn/crypto-basics/is-quantum-computing-a-threat-for-crypto
[6]https://publications.tno.nl/publication/34643386/fXcPVHsX/TNO-2024-pqc-en.pdf
[7]https://www.appviewx.com/blogs/8-essential-considerations-for-post-quantum-cryptography-migration/
[8]https://www.ncsc.gov.uk/news/pqc-migration-roadmap-unveiled
[9]https://qbn.world/uks-roadmap-to-post-quantum-cryptography-pqc-a-clear-path-to-2035/
[10]https://thequantuminsider.com/2025/03/07/nist-outlines-strategies-for-crypto-agility-as-pqc-migration-stalls-available-for-public-comment/
[11]https://www.tripwire.com/state-of-security/preparing-quantum-future-insights-ncscs-pqc-migration-roadmap
声明:本文来自量密局,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
