联邦后量子加密时间表激进，企业需提前备战

美国国防部已将量子计算机视为国家安全威胁，并为联邦政府推动量子加密提供了有力支撑。该部门宣布计划建立后量子加密集中监管架构，涵盖漏洞系统扫描、迁移路线图协调，以及面向国防需求的后量子密码学研发。

国防部同时发布了一份战略文件，明确表示将更新网络安全成熟度模型认证（CMMC），纳入后量子密码学（PQC）相关要求。自今年11月起，联邦承包商将被要求通过第三方认证来证明CMMC合规性，此前允许自我证明的低标准做法将成为历史。

国防部的上述公告发布前一天，总统行政令要求所有联邦承包商在2030年底前遵守NIST后量子密码学标准。此外，总统还要求商务部长在未来180天内启动PQC迁移试点项目，该试点须于2027年底前完成。

"采用后量子密码学对国家安全和经济安全都至关重要，"博思艾伦咨询公司高级量子科学家Jordan Kenyon表示，"美国政府刚刚设定了一个激进的时间表。"

行政令设定的截止日期为：2030年12月完成高影响系统与资产的密钥建立，2031年12月完成数字签名迁移。

Gartner在周二发布的报告中警告称，企业应为更多政府干预做好准备，并应对随之而来的混乱与复杂局面。"美国政府的行政令可能会推动所有主要政府和地区政治集团加速跟进，"该机构表示，"首席信息安全官（CISO）应做好应对法规冲突和数据主权要求的准备，这将使合规工作更加复杂。"

Gartner建议企业在2026年建立PQC资产清单和修复计划，并与供应商就其PQC迁移时间表展开沟通。此外，企业应在2027年过渡到自动化密码物料清单，2028年迁移至TLS 1.3，并在2030年前将所有高价值、高影响力系统迁移至后量子加密体系。

据Gartner统计，目前支持后量子密码学用于高价值数据和系统的组织不足10%，但预计到2030年这一比例将升至80%。"那些在2027年前尚未启动PQC试点的组织，完成全面PQC迁移的成本至少会高出200%，"Gartner分析师预测。

"留给我们的窗口已经不是十年了，"网络安全厂商QuSecure高级副总裁Garfield Jones表示，"现在只有两年半的时间来推动迁移。"

Jones指出，迁移过程中最大的挑战来自遗留系统。"云厂商已经开始提供相应支持，实现了算法集成和TLS部署，但那些无法迁移到云端的本地化部署方案、运营技术解决方案、遗留IT系统，以及边缘技术，这些领域才是真正需要关注的重点。"

他表示，许多运营技术（OT）系统的生命周期长达20至30年，企业可能并不希望立即将其替换。

在某些情况下，旧系统甚至关乎生死。"医疗设备承载着极其重要的信息，如果医生获取的患者信息有误，后果将非常严重，"Jones说道。

他认为一个可行的解决方案是为遗留系统加装安全封装层，"这样就不必强行淘汰所有OT设备，而是让它们按照自然的更新周期逐步替换。"

然而，国防部对此并不赞同。该部门在其后量子密码学战略文件中明确指出："应避免采用PQC代理解决方案，而应聚焦于将网络实际升级至后量子密码学体系。"

相关延伸阅读

IBM承诺投资100亿美元用于量子计算，并宣布"量子时代已经到来，不再是未来展望"。

AWS推出新工具，利用AI驱动的数字孪生技术降低量子纠错研发门槛，相关工具已在AWS平台上线。

量子计算距离实用越来越近，但后量子加密的普及仍面临挑战，许多企业尚未做好实施准备。

中国的"天河星光"超级计算机荣登2026年6月TOP500榜单首位，终结了美国El Capitan的领先地位，这也是自2017年神威·太湖之光以来中国系统首次登顶。

ISC2发布了30分钟量子网络安全入门课程，IBM、AWS等机构也提供了多种量子计算培训资源。

2025年量子计算十大突破性进展盘点已发布，涵盖多个重要里程碑领域。

Q&A

Q1：后量子密码学（PQC）的迁移截止日期是什么时候？

A：根据美国总统行政令，联邦承包商需在2030年底前遵守NIST后量子密码学标准。具体而言，高影响系统的密钥建立须在2030年12月前完成，数字签名迁移须在2031年12月前完成。商务部还需在180天内启动迁移试点，并于2027年底前完成。

Q2：企业如果没有及时启动PQC迁移，会付出多大代价？

A：根据Gartner的预测，若企业在2027年前尚未开始PQC试点，其完成全面迁移的成本至少会高出200%。目前支持后量子密码学的组织不足10%，到2030年预计将升至80%，因此越早行动，成本越可控。

Q3：遗留系统在PQC迁移中面临哪些具体挑战？

A：遗留系统的最大挑战在于其生命周期长（部分OT系统长达20至30年）、难以直接升级，且可能涉及医疗设备等关键场景。虽然有观点建议为遗留系统加装安全封装层作为过渡，但美国国防部明确反对这种代理方案，建议直接将网络升级至后量子密码学体系。