一、基本情况

今年3月20日,英国NCSC发布新的后量子密码迁移路线图,概述了2035年之前过渡到抗量子加密方法的三个阶段时间表。该全新指导方针旨在帮助各行业与领域防范未来量子计算机带来的安全风险,并特别强调了抗量子密码技术应用在保护敏感信息方面的重要性。此次指南建议各机构立刻启动转型计划,以期实现更平稳、更可控的迁移,从而降低仓促实施和潜在安全漏洞带来的风险。指南列出了迁移的三个时间阶段,分别是:

• 2028年前:识别需升级的加密服务,并制定迁移计划;

• 2028-2031年:对高优先级系统进行升级,动态优化后量子密码实施方案;

• 2031-2035年:全面完成各类系统、服务及产品的后量子密码迁移。

NCSC指出,各组织应当未雨绸缪,在攻击者掌握量子破译能力之前完成算法升级,先发制人,采用抗量子密码技术是守护数字安全的关键防线。

二、Arqit试点计划的任务

此次Arqit加入的是英国“受保障网络安全咨询计划”(Assured Cyber Security Consultancy Scheme,以下简称“ACSC计划”)下设的试点计划,是ACSC计划的重要组成部分,由英国政府主导,目标是打造值得信赖的国家级专业技术,从而帮助英国政府机构完成向后量子密码的迁移。Arqit试点计划的任务是:为英国政府机构向后量子密码安全迁移提供迁移规划服务,帮助政府机构发现、评估和管理迁移过程中的加密风险。

三、ACSC计划——后量子密码试点的申请资质与流程

对于参与ACSC项目的成员,首先要确保企业能够对具有复杂/高风险网络安全需求的机构提供一系列网络安全相关的咨询服务;其次,如果要成为后量子密码试点,必须满足两个标准,分别是:企业标准(Company Standard)和特定标准(Specific Standard)(具体要求见下文);最后,还必须满足以下条件(除非得到NCSC的特殊批准):

•在提供“受保障服务提供者标志”(Assured Service Provider Logo)项下的服务内容时,必须满足下文的企业标准和特定标准;

•满足总体生态协议的要求;

•依据《项目工作实践》(Scheme Working Practices)文件开展工作;

•定期提供ACSC服务。

(一)企业标准

1.个人方面

必须完成本节第3条、第4条规定的所有活动。这些活动被分为两类,并为其设置了对应的职位。这些职位或许在企业中并不存在,但应当有特定的人来为此具体负责,从而确保完成这些任务。这两个职位分别是:

•负责业务方面——ACSC服务的所有者

•负责企业ACSC服务良性运行与技术监督——ACSC首席顾问

2.ACSC服务的所有者

在客观上一个人或许无法兼顾到ACSC服务的方方面面,但是被指定的服务所有者必须整体对所交付的服务负责。在该项目计划中,下列强制性任务均须完成:

(1)作为NCSC的主要联系人,负责所有方案的沟通和后续安排;

(2)为ACSC社区的扩展做出积极贡献,具体包括:为方案改进做贡献;积极参加社区会议;应NCSC的要求,不时与其会面;全面参与NCSC关于网络安全的倡议;参与有关NCSC倡议的磋商会议;从自身实践出发,对NCSC计划提供见解;

(3)全力确保企业履行本方案及相关协议项下的所有义务;

(4)按时向NCSC提交年度《信息管理报告》;

(5)当申请为ACSC服务时,记录和维护企业的质量管理程序;

(6)根据方案标准审核和更新企业流程;

(7)确保每个参与ACSC服务的人员都遵守企业所规定的流程;

(8)每年向NCSC提供企业“Cyber Essentials证书”编号;

(9)积极跟踪和管理客户关系,寻求客户反馈,以此作为客户对企业工作满意度的证据。

此外,在应急响应方面,企业必须有一个确保业务连续性的计划,在发生事故、灾难或紧急情况(包括员工没有应对能力)时,该计划有助于ACSC服务的持续性;在面对一定级别的网络安全风险(根据企业风险评估确定)时,应当可以很好地运用实践或基于自身所具备的技能来维护自身安全。

3.ACSC首席顾问

指定的首席顾问必须直接对ACSC服务的技术质量负责,包括所提供咨询的质量。首席顾问必须是永久性雇员或承包商,且不得受雇于或通过其他企业承包与ACSC相关的工作。首席顾问必须具备完成下列所有强制性任务的能力:

•作为国家安全委员会的主要联络人,负责所有与技术和咨询有关的问题及讨论,以及采取进一步行动;

•确保在整个ACSC服务中,顾问都要采取适当的方法,力求每一项业务既满足客户的要求,又符合行业公认的最高质量标准;

•确保每位顾问提供的技术建议都是基于最新的理念和实践。这就要求每位顾问都能熟悉NCSC发布的最新建议和指南,并将其应用到实际工作中。该项要求并不是要ACSC首席顾问亲自领导和把控每一项业务,只是希望ACSC首席顾问能够对企业的质量控制程序负责,具体内容包括:确保团队成员具备相当的专业知识和经验,以满足客户的需求;按照企业的要求进行业务审计;确保企业的建议输出符合企业质量标准;对企业的行为和建议负责;从“咨询”和“技术”两方面着手,维持顾问团队的整体竞争力;

•在提供ACSC服务之前,必须确保已经了解NCSC网站上发布的最新指南和相关技术建议。必须能够将这些知识应用到客户环境中,或者能够向客户解释为什么有些内容是不适用的;

•必须能够展示如何让自身及所有顾问保持及时了解实际/潜在的网络威胁与相关技术,以及有效的缓解措施。必须能够将自身的威胁意识应用到客户环境中。

4.咨询的生命周期

企业必须具有一个制式的、可重复的过程,以便为每个业务提供最合适的咨询方法,这些方法必须从行业标准咨询生命周期的范围中选择,并涵盖从合同到终止的整个业务。

缔约阶段的活动必须至少包括:

•确定客户的需求,包括探讨客户所述的需求是否达到预期的结果,以及客户所承担的风险水平是否适当以及是否合乎道德;

•证明企业有能力承担拟议的一揽子工作;

•记录并与客户就以下内容达成一致:工作背景;服务和交付成果,例如,风险评估报告,架构计划,正式/非正式的定期更新,中期和最终报告;工作方法和相关内容;各自角色和职责;验收标准;条款和条件。

“执行”阶段,企业必须筛选合格且有经验的人员负责执行商定的工作。企业对上述人员的交付工作也必须严格把控,并保证与客户定期联系,以确保对相关工作的认可和接受。如果出现无法解决的分歧,企业和客户应将分歧问题和采取的行动记录在案。

项目“终止”后,需要完成的工作包括:最终的客户评估和一揽子计划有效交付的协议;契约义务的完成情况;将经验教训纳入持续服务改进过程中;寻求和接收客户反馈。

(二)特定标准

对于后量子密码学试点而言,其任务内容是:后量子密码学的发现和迁移计划,以及后量子密码学建议。

1.后量子密码学:发现和迁移计划

该服务的目的是对未来可能遭受量子计算机威胁的受加密保护的数据和服务进行识别并将其纳入优先迁移级别,从而帮助客户完成向后量子密码学迁移的计划。

对于这一任务的要求应当具备一定的灵活性。因为,后量子密码发现和迁移计划是一项庞大而复杂的活动,一些企业会采取自上而下、系统主导的方法,而另一些企业则会采取更加深层次的以密码为主导的专业知识。具体方案因企业策略的不同而有所差异。除此之外,其他的要求具有统一性,具体包括:

(1)网络安全要求

企业必须具备最新的“Cyber Essentials证书”,并致力于让所有存储和处理客户合同信息的系统都获得Cyber Essentials Plus (CE+)认证。

(2)人员要求

除了上文“企业标准”部分所列的人员要求外,首席顾问还必须具备足够的学术或商业方面的个人专业知识,以确保企业具有充足的后量子密码学核心知识。这包括但不限于:通过NIST PQC标准化项目获得的标准化算法技能,不限于硬件或软件,以及相关的实践案例;对复杂企业中通用加密协议、服务和体系结构的使用有深刻的理解。

(3)技术能力要求

企业必须证明自身在以下至少一个方面具备专业知识:

•安全系统集成——识别和管理信息技术和操作技术系统(包括关键加密组件)中的关键组件,以及彼此之间的数据流;

•加密安全架构——识别用于保护传输数据或静态数据的加密服务,以及这些服务是如何在客户组织及其供应链中与更广泛的系统进行交互;

•网络发现——对能够识别加密组件配置的这些工具与技术的应用。

此外,企业必须确保其工作成果能体现对后量子加密技术发展的认识,即认识到部署后量子解决方案的产品仍在不断进步和成熟,以及包含后量子密码的协议也在逐步标准化。而对于客户的咨询服务,企业的意见输出必须足够清晰和详细,以使客户能够基于此做出技术和业务决策,从而帮助他们向后量子密码的迁移。因此,意见输出必须包括以下内容:

•依据数据价值和预期信息时效,协助客户评估其数据风险;

•识别系统或加密组件,使客户能够确定迁移的优先级别;

•建议增加额外的发现活动,包括识别供应链的依赖度;

•当企业使用专用工具进行分析时,必须向客户清楚地说明分析结果和风险评估,从而利于客户做出决定。

2.后量子密码学:建议

对于该部分的技术能力要求主要是,企业必须对NCSC发布的后量子密码学和其他密码学主题相关的技术立场非常熟悉,并证明有能力胜任以下工作:

•给出与这些技术立场相一致的建议;

•使用该建议为客户将来向后量子密码迁移做出贡献;

•为未来的密码选择提供更深入的咨询。

一个企业或许同时拥有英国政府部门或更广泛的公共部门客户,该条款的设置可以确保企业精确匹配NCSC的要求,保证企业与英国具有相同的立场。

四、对我国后量子密码迁移工作的启示

向后量子密码迁移是一个系统性工程,需要整个生态系统的协同努力,单纯依靠政府力量是无法实现的,究其原因主要包括:

经济因素:将包含关键业务系统在内的政府数字基础设施向后量子密码迁移需要耗费巨大的财政成本,这项开支如果完全由公共财政来承担必将给政府部门带来巨大的经济压力。

人才因素:后量子密码学仍然是全球前沿领域,世界范围内的专家极其稀缺,政府部门更是人才缺乏,顶尖的科技公司反而拥有更多的人才储备,因此可以弥补政府部门在人才方面的空缺。

风险因素:在量子计算机正式问世之前,网络攻击者主要采取的是“现在窃取,将来解密”的模式,而在此期间如何对关键系统和敏感数据实施高水平的保护,以及如何应对未来随时可能出现的风险,对政府部门来说是极为棘手而紧迫的问题。面对战略性威胁,显然需要更为专业的团队介入,实现危险预防和风险共担。

因此,在向后量子密码迁移中,进行明确的角色区分和任务划分是最合理的路径。总体而言,政府应当作为主导,在战略上指导,尖端企业作为专业技术团队,配合政府部门并落实相关计划。

一是尽快发布国家层面向后量子密码迁移战略。在战略中,应确立政府系统优先级别,对不同优先级别的系统设定不同的迁移时间节点,规划迁移路径,提供明晰的后量子密码迁移蓝图。

二是号召后量子密码领域头部企业参与。基于上述经济因素、人才因素、风险因素等考量,单纯依靠政府部门实现向后量子密码迁移几乎不可能实现。此外,不同政府部门之间也存在一定的差异,若独立迁移势必会影响未来的互操作性。因此,为了促进信息共享与业务协同,亟需一个可信任的外部力量来进行统一规划和落实。让熟练掌握后量子密码领域技能的企业参与到后量子密码迁移,可以提供更专业的知识和服务,提升政府部门和关键产业部门的迁移效率,节约成本,确保政府系统安全。

三是对参与后量子密码迁移的企业进行严格的资质审查,设定详尽的筛选条件。由于政府部门信息系统中的关键数据和敏感数据事关国家安全和国计民生,对整个国家安全具有举足轻重的意义,因此,遴选参与企业也是极其关键的事项。根据英国ACSC后量子密码试点项目的申请流程来看,一共包含商业问卷与检查、申请评估、合约签署与入选等三个环节,且申请过程中只有完成上一步才能进入下一各环节,只有通过上述所有环节才能成功申请到相关资质。此外,英国还设置了极为严格的层层筛选机制。参与试点项目的企业都必须持有“Cyber Essentials证书”,且应当尽力让所有系统都获得Cyber Essentials Plus (CE+)认证。而且,成为试点项目的企业在任务完成后也并不必然参与ACSC项目,还需要额外的严苛条件。因此,我国届时也须建立强制性或自愿性认证体系,设定严格的资质审查流程,为后量子密码迁移工作设置较高的准入门槛,避免为后量子密码迁移引入新的风险。

四是定期对后量子密码迁移工作进行评估,及时调整。首先,必须按照设定的时间节点和技术标准落实迁移工作;其次,参与企业还需要建立应急响应机制,对可能发生的事故、灾难和紧急情况制定应对计划,确保政府系统的稳定性和业务的连续性;最后,对于迁移工作进度、迁移工作成果和应急方案等进行定期评估,根据不断出现的新情况进行适时调整与更新,确保迁移工作的高效。

编译:冯潇洒

审核:原浩 朱莉欣 马宁

作者编译观点仅代表个人

不代表密码法治实践创新基地

为方便排版,已略去脚注

声明:本文来自苏州信息安全法学所,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。