PrimiHub一款由密码学专家团队打造的开源隐私计算平台，专注于分享数据安全、密码学、联邦学习、同态加密等隐私计算领域的技术和内容。

只有加密有效，企业数据才是安全的，但企业中的加密通常被认为是理所当然的，很少进行评估或检查。

随着数字领域的不断发展和量子计算时代的临近，组织对强化加密解决方案的需求变得比以往任何时候都更加重要。随着数学和计算的不断进步，对公钥加密 (PKE) 的长期依赖可能已接近尾声，从而在传统加密方法中留下固有的漏洞。

但是，尽管现有密码系统处于支离破碎的状态，但许多决策者在企业密码方面却视而不见。 美国证券交易委员会 (SEC) 最近的规定要求组织披露任何重大网络安全事件，这可能会促进急需的观念转变，并促使企业采取更积极主动的行动，通过采用更具前瞻性的实践和政策来管理加密风险。

量子时代的来临

即使人们无视量子威胁，现代密码学也会遇到日常弱点，例如人为错误、安装不当的库以及缺乏密钥轮换。这样的事件还在不断继续。但考虑到量子时代即将到来，更换传统加密技术是不可避免的。

简而言之，组织必须应对现代攻击带来的复杂性，美国证券交易委员会的规定只是美国政府为后量子世界准备国家基础设施而采取的的一部分。

当然，当商用量子计算机真正到来时，它将改变商业和社会，带来今天难以想象的新的医学突破、工程壮举和技术进步。

但这并不意味着组织可以安于现状并等待那一天的到来。攻击者已经在大规模利用复杂的工具并采用量子技术来破坏系统、网络和数据。

以美国为例，政府已开始为这些不确定的量子时代做好准备，《国家安全备忘录 8》和《国家安全备忘录10》等指令以及《量子计算网络安全准备法案》( HR 7535 ) 的通过已经要求美国所有联邦机构采用抗量子算法。

政府供应商和合作伙伴很快就会面临满足这些要求的压力。但伴随着这样的承诺而来的是巨大的安全挑战。

量子计算机将有能力打破当今的加密标准，对国家、全球经济和数字基础设施的安全造成前所未有的威胁。使这个问题变得复杂的是有多少组织仍然不知道他们正在使用什么类型的加密。

首先，随着企业进行充满挑战的过渡，美国国家标准与技术研究所 (NIST) 支持的后量子密码学 (PQC) 取代易受量子攻击的 PKE，这在未来几年将变得至关重要。拥有现有加密系统和流程的完整可见性现在已成为现代企业为面向未来的安全立场做好准备的一个不容妥协的条件。

从问题的严重性来看，PKE 使超过 45 亿互联网用户能够安全地访问 2 亿个网站，并每年参与价值 3 万亿美元的零售电子商务。

了解安全标准

NIST 赞助了后量子密码学（ PQC ）项目，以确定增强并最终取代非对称密钥加密方法所需的标准和迁移指南。

历史表明，过去的加密转型非常困难，可能需要数年时间才能完成。

例如，高级加密标准 (AES) 在 2002 年被选为联邦政府标准，花了 20 多年的时间才完全取代了数据加密标准 (DES) 和 3DES，后者一直是黄金标准，就像 RSA 一样。

PQC 迁移将是一项重大任务，需要计算历史上最大规模的全球密码转换。NIST 警告称，最终标准发布后（预计 2024 年）还需要 5 到 15 年才能完成全面过渡。

这意味着现在不开始采取行动的组织可能会将其关键系统和长期数据置于受到损害的风险中。

为量子未来奠定基础

Gartner 强调了董事会在扩大产品线、转变工作方式和进入新市场方面愿意接受更大的风险。但正如美国证券交易委员会的规定所明确的那样，在网络防御方面忽视信托义务现在可能会产生更加重大和公开的后果。

我们生活在一个企业安全从未如此复杂的时代。在每次成为头条新闻的违规行为之后，政府加强了对数据安全标准的执行，要求报告网络安全风险和事件。

公司治理应包括加密风险管理和量子准备，作为数据安全和风险缓解的组成部分。管理人员和董事需要采取积极主动的措施来降低当前加密漏洞和量子加密攻击的风险。原因如下：

• 密码学每天都会遭受单点故障的困扰，即错误、密钥泄露、熵源较弱。

• 在 PQC 标准最终确定并全面实施之前，量子计算机可能已经可用。无法保证所选的加密标准不会被对手破坏或容易出现实施错误。必须做更多的工作，作为加强网络安全的主动措施。

• 所有基于数学的加密标准都受到数学和计算能力进步的影响，这些进步最终将削弱或彻底破解密码。

• 除了密码算法本身之外，密码学还存在重大风险，即实施错误、弱密码、不良的安全习惯、技能短缺等。

• 重大网络安全漏洞可能会对企业产生持久且往往是严重的影响，表现为收入、品牌声誉、客户忠诚度和股票价值损失。

从根本上说，向量子安全加密的过渡为组织提供了一个机会，通过重新思考其治理方法来实现其加密基础设施的现代化，特别是在政府要求不断变化的情况下。现在是建立一个密码学研究中心的时候了，该中心能够通过政策持续推动整个企业的密码学发现、评估和验证。

从内在的焦点开始

董事会官员和董事在帮助组织规划量子准备并确保采取行动并实现里程碑方面发挥着巨大作用。量子承诺将改变公司开展业务的方式，但改变是缓慢的。现在是时候发现密码风险并确定其优先级，了解量子计算机的安全影响并做出相应的计划。

以下是一些建议，旨在为领导层提供讨论、辩论并最终执行量子准备所需的见解：

• 大型遗留系统充满了陈旧且过时的加密标准，这些标准在被认为效率低下多年后仍在使用。必须优先考虑进行广泛的内部审计，以识别这些弱点以及弱签名或过期的证书。

• 安全团队必须实践加密敏捷性，并通过多样化和采用量子安全加密技术在其基础设施中注入大量冗余。

• 组织需要通过实施候选 PQC 算法，将当今经过验证和认证的算法与未来的量子安全加密相结合。

• 使用量子增强密钥保护关键的长期数据，以避免收集攻击。

• 了解并理解您合作伙伴的加密风险管理和量子加密策略，以确保他们做好量子时代准备。

• 别等了，组织必须专注于风险补救、保持合规性、执行策略，并通过主动的加密风险评估和策略控制来改善整体安全状况。

幸运的是，现在有一些经过第三方验证、技术独立、与供应商无关的良好解决方案，可以与现有的加密基础设施和投资配合使用，使其立即实现量子安全。

当然，量子威胁是非常真实的。但仍然令人担忧的是，由于缺乏意识、规划、董事会监督和问责制，现有密码学正在被削弱。但随着组织感受到不断变化的监管环境带来的压力，开始投资保护其最有价值的资产免受数学和计算持续进步带来的风险，这种情况将会发生变化。

原文作者：APRIL H. BURGHARDT
翻译 & 整理：开放隐私计算 & PrimiHub