如何为后量子密码学迁移做准备

量子计算机很快将能够破解现有的加密算法，如公钥加密。随着计算能力的进步，这个被称为“Q日”的时刻正在临近，使得后量子威胁变得非常真实。一些安全专家认为Q日将在未来十年内发生，这将使当前加密协议下的数字信息变得脆弱。

因此，后量子密码学（PQC）——能够抵御后量子威胁和未来攻击的加密技术——已成为重要议题。PQC迁移不仅提供了保护数据和系统的机会，还促使我们重新评估更广泛的网络安全格局。

《网络安全中心》与萨里大学萨里网络安全中心电子工程与计算机科学学院的著名网络安全学者Alan Woodward教授就PQC迁移的重要性和向抗量子加密过渡进行了对话。

网络安全中心：量子计算将以何种方式影响企业网络安全？

Alan Woodward教授：大多数人听说过的与量子计算相关的安全威胁是，使用Peter Shor在1996年开发的算法可以破解各种公钥加密方案（当前正在使用的）。Shor算法的关键在于它只能破解基于所谓隐藏子集问题的密码学：RSA、ECC等。Shor算法不能破解对称加密，如AES。还有一种称为Grover算法（一种搜索算法）的算法可以暴力破解某些对称加密中的密钥，但其速度不像Shor算法那样呈指数级增长。

CSH：PQC对网络安全的未来有多重要？

AW：PQC是组织适应Shor算法风险的方式。这就是美国国家标准与技术研究院（NIST）举办竞赛并选出新的抗量子公钥加密标准的原因。许多设备供应商已经在发布使用新PQC方案的产品。除非组织替换其当前的公钥基础设施和使用公钥加密的产品，否则他们面临敏感数据暴露或（例如）浏览器会话被窃听的风险。

CSH：组织现在就应该为PQC迁移做准备吗？

AW：虽然目前还没有能够运行Shor算法并足以破解当前公钥加密实现的量子计算机，但恶意行为者可能正在收集加密数据，以备将来拥有足够大的量子计算机时使用。这种风险对组织的影响很大程度上取决于受加密保护数据的寿命。

英国国家网络安全中心（NCSC）为公司迁移到PQC提供了广泛的建议。我建议组织采纳这些建议并尽快采取行动。这些建议是务实的，并认识到这种迁移不会在明天发生，但如果组织希望有机会做好准备并减轻那些为未来解密收集数据的风险，就需要现在开始行动。

CSH：对大多数企业来说，PQC迁移的最大挑战是什么？

AW：最大的挑战是在实施PQC的同时，与尚未更新到PQC的组织和用户保持互操作性。与未更新者打交道会面临一种我们多年来看到的攻击风险：降级攻击，即攻击者迫使您降级到为向后兼容而保留的旧密码套件。关于何时切断这些历史密码套件，将需要做出一些艰难的决定。总会有些滞后采用者，您必须决定是否以加密被削弱的风险来容纳他们。

CSH：企业如何最好地为PQC迁移做准备，哪些因素最重要？

AW：每个组织将有不同的迁移方式。您首先需要了解潜在脆弱的公钥加密在何处被使用。这包括那些不总是明显的产品。一个典型的例子是磁带备份系统。一旦您知道潜在脆弱的加密在何处实施，您需要为这些在您控制下的元素制定变更计划，并且您需要咨询您使用产品的供应商，以确定他们将如何升级到PQC。