为后量子计算做准备比千年虫问题更难

今日，网络安全负责人表示，为英国各组织准备应对后量子计算所带来的威胁所需的转型，将使得 2020 年曾对计算机系统构成威胁的千年虫问题显得轻而易举。

英国国家网络安全中心 ( NCSC ) 首席技术官 Ollie Whitehouse 表示，筹备后量子密码学 ( PQC ) 将需要一项复杂的变革计划，这将是一项巨大的任务。

这项为期十年的全英国后量子密码学计划要求各组织识别所有加密代码实例，评估其是否易受到量子计算机攻击，并制定应对风险的计划。

这与英国政府和各公司在 2000 年第一天，由于程序员计算日期方法不当而导致软件可能故障时所进行的大规模修复工作相似。

如今的风险在于，未来大规模量子计算机的发展有可能危及广泛使用的加密认证技术，这些技术用于保护银行及其他交易安全，并验证网络用户身份。

各国政府还担心敌对国家可能拦截、收集并存储敏感通信，以期未来开发出能够解密其加密数据的量子计算机。

虽然难以预测首台能够破解当今加密算法的量子计算机何时问世，但科技供应商普遍认同，实用型量子计算机最早可能在 2030 年代出现。

作为 GCHQ 一部分的 NCSC 于三月发布了指南，提出了英国分阶段迁移至后量子密码学（利用不易被量子计算机破解的加密技术）的时间表，目标是 2035 年前完成。

涉及敏感工作的英国政府部门已开始部署后量子密码学标准，而大公司，如 Google，已在其云服务中开始应用该技术。

NCSC 今天宣布了一项咨询计划，将为希望在其产品或网络中部署后量子密码学的组织提供帮助和专业意见。NCSC 建议各组织识别需要升级的加密服务，并在 2028 年前制定迁移计划。

随后，在 2028 年至 2031 年期间执行高优先级升级，直至 2035 年实现所有加密技术完全迁移至 PQC。

安全官员表示，此举目的不是引发恐慌，而是确保在这十年内平稳过渡到后量子密码学。中小企业可通过托管服务提供商获得 PQC 升级支持，但对于大型组织及关键行业来说，实现 PQC 转型将需要广泛的规划和投资。

NCSC 推出这些指南，部分是为了为关键行业的信息安全主管提供支持材料，以便他们向公司董事会陈述申请资金、推动后量子密码学转型的理由。

这些指南还旨在遏制过于热情的供应商向负责关键国家基础设施的组织施压，要求它们升级到尚未完全成熟或不适合其需求的后量子密码学产品。

人工智能为公司带来了另一个挑战，令它们在修补系统以防范新安全漏洞被自动化网络攻击利用前，所剩时间更少。

Whitehouse 表示，各组织必须更好地管理其 “technical debt”，这一概念用于衡量因软件匆忙发布而导致未完全成熟或不够安全所需更新的成本。

与此同时，科技供应商需要设计和维护产品与服务，以增强其对网络攻击的抗风险能力。

Whitehouse 表示，不这样做就有可能重蹈自互联网兴起以来可被避免的安全失误覆辙。

他补充道，“如果我们不对已经显现的根本性市场失灵进行激进而持续的干预，我们确实有重演过去 30 年的风险，但后果将更加严重。”