风险应对有道驱动后量子时代的数据保护.pdf

居家办公、虚拟银行和在线购物的出现提高了人们对数字世界的依赖度，随之而来的是日趋激化的量子霸 权争夺战 。 层出不穷 的 新兴技术 ， 使企业的 各 类操作系 统 逐渐难以 抵 御来自量 子 计算机的 网 络攻击。 以下问答中，普华永道中国数字化办公室合伙人季瑞华及网络安全与隐私保护服务合伙人冼嘉乐均强调： 企业应即 刻 开始为后 量 子时代的 数 据保护做 准 备 。 问 量子计算将带来哪些风险？对信息安全有哪些影响？ 答 传统或 经典 计算目 前已 经发展 到了 第4代。19 世 纪 初以 来， 计 算机 的技 术 进步 从未 间 断， 从最初的 真空管、晶体管和集成电路，到现在的微处理器，不一而足。但所有这些技术发展的基础都是电 路在给定时间在单一状态 （开通 “1” 或关断“0” ）下的 使用。 而量子计算的基础是量子力学现象，它能够以多种状态出现。经典计算机以“位”（用1 或0 表 示）为单位保存和处理数据，而量子计算机则以“量子比特”（其可为1 或0 ，并处于1 和0 的叠加 状态）为 单 位保存和 处 理数据。 这 一特性使 量 子计算机 具 备了经典 计 算机所不 具 备的功用 。 量子计算对信息安全的影响是不难理解的。现在的所有机密、有价值数 字 信 息和资产都通过使用加密技术来保护。即便使用功能更强大的计算机， 要 用 现在的计 算 技术找到 安 全漏洞也 需 要花费数 万 亿年。 而量子计算出现后，其将大幅缩短找到并突破安全漏洞所需的时间，从 而 将 现在用加 密 技术保护 的 所有资产 置 于风险之 下 。 1 后 量子时 代的数字 安全， 行动刻不 容缓！ 的数据保护 风险应对有道 驱动后量子时代问 哪些行业更易受量子威胁的影响？ 答 日常生活 的 方方面面 都 依赖加密 技 术来保护 重 要信息资 产 ，例如： 电信网络是加密的，选 择在家 办公时 ，人们 与办公 系统之 间的通 信通道 也是加 密的。 信用卡和付款详情、银 行账户 ，甚至 是加密 资产的 数字钱 包也都 依赖于 加密技 术。 各类敏感和机密信息， 从健康 记录到 商业合 同，都 通过同 一套加 密技术 保护。 因此，量子计算的影响是无处不在的，任何行业部门都不例外。部分行业或部门还因为较多地 依赖于加密技术而将遭受更多的量子威胁，如电信、银行与金融、医疗健康、认证机构，以及 一些新兴 的 数字资产 或 分散金融 领 域。 2 后 量子时 代的数字 安全， 行动刻不 容缓！ 问 什么是后量子密码（PQ C）？后量子密码为何很重要？ 答 后量子密码，有时也称为量子安全或量子抵抗密码，是密码算法领域的一个术语，设计用于当今的 经典计算 机 ，但具备 抵 御经典计 算 机和量子 计 算机的潜 在 攻击能力 。 之所以需要部署这一新一代的加密方案，是因为现在所使用的很多系统内均深 入部署了各类加密技术，且很多这些加密技术之间还是相互联系的。要了解当 前正在使用何种加密工具，并在确保互操作性的前提下将其替换为新的加密工 具，这一过程将可能耗时颇巨。考虑到量子计算技术的高速发展，明智的做法 是提前规 划 ，以应对 这 一新的安 全 威胁问 后量子加密方案是否有完备的行业标准可支持商业应用？ 答 作为世界领先的技术标准 制定者 之一， 美国国 家科技 学会（NIST ） 指出量 子计算 机可能 带来的 潜在 威胁，因其用时二十年才 部署完 成现在 的公钥 基础设 施，可 满足人 们当前 的通信 和安全 需求。NIST 的结论是 ： “或许尚 无 法准确估 计 量子计算 时 代的确切 到 来时间， 但 必须从现 在 开始做准 备 ，确保 人们的信 息 安全系统 能 够抵御量 子 计算威胁 。 ” 3 后 量子时 代的数字 安全， 行动刻不 容缓！ 问 既然还没有相关标准，那为何需要企业 即刻开始准备应对量子风险呢？ 答 以此次疫 情 为例，没 有 疫苗并不 意 味着什么 都 不做。网 络 安全领域 也 一样，采 用 相同的方 法 来抗击 计算机病 毒 ：除配备 防 病毒工具 之 外，还建 立 了一套强 大 的预防性 控 制措施， 从 提高意识 到 采取一 系列预防 和 检测措施 ， 以最大程 度 降低病毒 攻 击的风险 。 现在，加 密 方案的广 泛 使用意味 着 ，当量子 计 算技术的 进 步实质威 胁 到当前使 用 的所有公 钥 加密方 案时，对 人 们有价值 的 所有信息 资 产都将面 临 风险。加 密 模块（通 常 存在于应 用 程序和技 术 基础设 施中）的 升 级或修改 需 要严格规 划 和协调， 更 何况这还 是 一个高度 专 业化的领 域 ，需要主 题 专家的 投入和参 与 。需要严 格 规划和协 调 ，更不用 说 这还是一 个 高度专业 化 的领域， 需 要主题专 家 的投入 和参与。 因此，企 业 应将后量 子 安全纳入 其 总体网络 安 全战略之 中 。企业高 管 和董事 会都应重视这一点。事实 上，Visa 、JP Morgan Chase 、Google 等公 司都已 经率先开 始 准备应对 这 一潜在风 险 。监管机 构 和政府也 应 时刻关注 此 类新出 现的风险 。 在后量子 加 密标准发 布 前，需要 先 提供必要 监 管指导的 可 能性较 大。 2016 年12月发起了一场为后量子加密算法提名的竞赛。完成了前两轮的竞赛 后，第三轮竞赛的候选人（包括7 名决赛选手和8 名替补选手）已于2020 年7 月 公布csrc.nist.gov/projects/post-quantum-cryptography/round-3- submissions 。根据该 竞赛的时间计划，预计标准的草案将于2022-2024年期间 发布。 换言之， 后 量子加密 算 法的最终 行 业标准至 少 要两年之 后 才会出台问 企业现在可以开始做哪些工作来准备应对量子挑战呢？ 答 1. 增强对这一潜在威胁的认 识，了 解为何 需要现 在采取 措施。 2. 制定相关流程以识别对企业至关重要的数据资产，编制此类资产清单，并确定保护此类资产的时 间长度。 3. 关注后量子加密标准的制定进度，了解各类密码方案的用途，确保企业可在标准出台后随时采用 这些标准 。 季瑞华 合伙人 数字化办 公 室 考虑系统间的相互连接，上述标准的采用可能还需要与同行或行业机构协 调，甚至 可 能还需要 接 受监管机 构 的指导。 普华永道将继续跟踪后量子加密标准的制度进度，在这一重要问题上与主 题专家协作，并计划与客户和监管机构分享更多见解和良好实践，探索适 用的技术 方 案，确保 现 在使用的 安 全基础设 施 的持续有 效 性。 2021 普华永道版权所有。普华永道系指普华永道香港成员机构，有时亦可指普华永道网络。普华永道网络中的成员机构各自相互独立。 详情请进入 。 联系我们 冼嘉乐 合伙人 网络安全 与 隐私保护 服 务