Michael J. D. Vermeer：美国为后量子（密码）的未来迁移做准备

　　本文是兰德智库于2022年10月6日发布的一篇后量子密码迁移进展综述。针对美国正在推动的后量子密码迁移进程，智库如何在既有法律框架和摇摆的政策之间做出务实且前瞻的决策建议及路径选择，作者Michael J. D. Vermeer言简意赅地进行了相关总结并给出了自己的建议 。

　　以下为文章的全文翻译。

为后量子（密码）的未来迁移做准备

　　未来的量子计算机可能会使得攻击者有能力破坏美国网络通信基础设施中的某一基本安全要素，从而造成重大国家安全风险。联邦政府正在采取多管齐下、协调一致的应对措施来应对风险。目前，这项任务才刚刚开始。

　　量子计算机在未来的某一天可能会打破当前公钥加密方法所具有的安全性。2015年，美国国家安全局（NSA）为此敲响了警钟，并宣布计划过渡到新的抗量子密码算法。不久之后，美国国家标准与技术研究所（NIST）就开始了一个计划为期多年的项目以将这种算法标准化，并将之命名为后量子密码（PQC）。2020年，兰德的一份报告探讨了与量子计算相关的国家安全风险以及向（抗）量子安全算法过渡时会面临的挑战，并向美国政府提出了减少风险的建议。该报告建议采用政府一体化的模式来促进和激励向PQC迁移，并强调迁移中应关注提升密码敏捷性。

　　自此之后，联邦政府采取了一系列旨在应对这一风险的政策行动。2022年5月，白宫发布了专门的《国家安全备忘录》，发起了针对这种政府一体化模式的协调行动，积极响应了兰德的建议，即要求联邦机构将原有算法迁移到PQC，评估和盘点易受攻击的密码风险，并为提升密码敏捷性制定计划。国会（众议院）还通过了《量子计算网络安全防范法案》（Quantum Computing Cyber Security Preparedness Act），以对联邦机构的PQC迁移进行监督，法案最近在众议院获得通过，并已在两党支持下提交至参议院。

　　最近，NIST遴选了将可能成为PQC标准的一部分的“初始”算法。虽然最近几个被寄予厚望的候选算法的安全漏洞引发起了对其所提供的安全性的怀疑，但候选算法仍然有望在可预见的未来提供抗量子安全性。NIST为此主持进行了一项开放的流程，以便许多密码学界的专家多年来持续进行针对候选算法的靶向密码分析。NSA对此表示，授权在未来的商用国家安全算法要求中使用所遴选的算法。

　　在所有的安全系统中，国家安全系统可能是目前最迫切需要关注的，而最终美国所有的通信基础设施可能都需要过渡到后量子密码加密。这种迁移可能是复杂且代价高昂的，而且整个过程会持续几十年。NIST国家网络安全卓越中心（NIST National Cybersecurity Center of Excellence）发起了一个项目，以开发实践的方式简化跨基础设施的迁移。NIST还与DHS合作，来帮助组织管理过渡的过程，并制定了为PQC准备关键基础设施的流程图。

　　政府采取的行动很重要，但也仅仅只是第一步。而这其中大多数是关于评估问题的范围、制定与利益攸关方接触的计划、确定优先事项以及建立监测和报告进展情况的程序。尽管目前在大多数情况下，广泛实施能够提供量子安全的解决方案尚不现实，但对这些规划活动进行投资仍至关重要。

　　目前正处在全力开发过程中的包括在硬件和软件中实现量子电阻所需的通信协议和技术标准，这些可能都需要数年的开发时间。NSA公布了CNSA 2.0的未来需求，以便供应商和系统所有者有时间来计划实施，而他们的实施时间表，即使是NSS也至少要延长到2033年。

　　最后，政府也理应将重点放在民间机构和国防部门关于预防和风险降低的工作上。在某些时候，也可能需要评估这些工作在哪些地方已经迟了。例如，美国的对手在何处获取和存储了可能的加密敏感信息以供日后解密？这会对国家安全造成什么样的损害？对于一些组织来说，这个问题可能需要更多的关注，且而随着时间的推移，以及量子计算机的能力增强，该问题可能会变得更加重要。

　　令人鼓舞的是，正如兰德所建议的那样，美国正在采用协调一致的、政府一体化的模式来应对量子计算带来的风险。降低和减轻国家安全风险的任务紧迫性、规模和不确定性可能需要未来多年的持续努力，好在这方面的大部分工作现在已经开始。