当前英国与欧盟制定的后量子密码(PQC)采纳时间表虽提供了方向指引,却并未强制要求采取具体行动。这一区别正成为当今网络安全领域最重要却最被低估的风险之一。
在英国,国家网络安全中心(NCSC)已明确规划:2028年前完成发现与规划,2031年前优先系统迁移,2035年前实现全面采纳。而在欧盟层面,欧洲委员会与NIS合作组发布的指导意见推进略快,预期关键基础设施将于2030年起开始采纳PQC。
这些时间表具有参考价值,有助于建立结构并表明政策意图。但它们并非具有法律约束力的监管指令——目前尚无广泛适用的强制性要求推动组织立即行动,因此许多机构仍处于观望状态。
认知与准备之间的鸿沟持续扩大
多年来,密码学一直是数字基础设施中最稳定的组成部分之一。用于保障通信、金融交易及敏感数据安全的算法长期保持稳定,致使人们普遍认为加密问题已被彻底解决。
这种稳定性催生了麻痹心态。国际信息系统审计协会(ISACA)最新研究揭示了欧洲地区问题的严重性:67%的IT专业人士担忧量子计算将加剧或转移网络安全风险,但仅有4%表示其所在组织已制定明确策略;仅5%称对新兴PQC标准具备深入理解。
这一反差极为显著:组织普遍意识到风险存在,却极少付诸实质性应对措施。在缺乏监管压力的情况下,英国仍将PQC视为未来议题,尽管大量证据表明准备工作必须即刻启动。
主要风险:长期保密数据面临威胁
谈及量子威胁时,人们常想象一种未来场景:一台超强量子计算机一夜之间使所有现有加密失效。实际情况更为复杂且紧迫——最直接的危险在于“长期保密数据”:即那些在其整个生命周期内必须保持机密性与可验证性的信息,其所依赖的加密体系也需具备同等寿命。量子计算及其对经典密码学构成的威胁,正在侵蚀当前诸多加密算法的有效使用期限。
法律档案、基因数据、国家机密、医学研究成果及企业核心档案均属此类数据。它们并非临时性资料,而是支撑司法体系、科研进步与国家安全的关键基础。若在数据有效期内遭解密或泄露,所造成的损害可能极为严重甚至不可逆转。
攻击者早已洞悉此点,正积极实施“先收集、后解密”策略——即当下窃取加密信息,待量子能力成熟后再行破解。
若缺乏监管紧迫性,许多组织将继续依赖已知在量子时代易受攻击的加密算法,从而累积日益庞大的暴露数据存量:今日看似安全的信息,明日或将不再安全。
强制性时间表的缺失,正不必要地延长这一暴露窗口期。
监管滞后于风险演进
英国尚未出台具约束力的PQC要求,导致系统性延迟:供应商等待客户提出需求才优先开发抗量子方案,而组织则等待法规出台才投入资源。
这形成了一种恶性循环——恰在最需提前布局的关键阶段,各方陷入集体观望。
随着时间推移,该动态终将改变。当量子风险愈发具体可感,未能规划PQC迁移可能被视作未尽到网络安全管理责任。届时,组织不仅面临技术风险,还将承受合规与治理层面的压力。
然而,等到监管要求真正落地时,许多机构恐已严重滞后。鉴于首个迁移规划截止日期仅剩18个月有余,不少组织尚未启动相关工作,亦未列入预算。
更严峻的是量子发展时间线本身的不确定性。量子计算、纠错技术及密码学研究的进展表明,具备密码破解能力的量子计算机可能比预期更早出现。若该时间线加速,安全有序迁移的窗口将急剧收窄。
区域时间表分化与全球复杂性
尽管英国与欧盟时间表略有差异,多数跨国企业会选择遵循最严苛安排,因此区域分歧尚可调适。
真正挑战来自全球碎片化:除欧洲外,新加坡、澳大利亚、加拿大及美国等地也在各自推进PQC采纳进程,节奏不一、指导程度与监管意愿各异。
这对跨境运营企业构成显著复杂性——若缺乏全球协调,组织将被迫管理多套并行密码策略,大幅抬高成本、增加操作难度并放大整体风险。
供应链承压加剧
加密技术是现代供应链的核心,涵盖工业控制系统、数字身份认证及金融交易等环节。
因时间表不统一与监管缺位导致的PQC采纳碎片化,引发多重风险:
• 操作复杂性上升:需同时维护多种密码环境;
• 互操作性障碍:采用不同标准的系统难以安全互通;
• 合规负担加重:需应对各地不一致的监管要求;
• 暴露周期延长:滞后系统持续面临未来量子攻击威胁。
供应链依赖信任与一致性。若合作伙伴步调不一,整体信任基础将被动摇。任一环节延迟采纳PQC,都可能将风险传导至整个生态体系。
产业界领先于监管步伐
尽管监管框架仍在完善中,部分私营部门已主动提速。例如谷歌并未等待法规出台,而是自行设定了2029年完成关键系统向PQC迁移的目标。
该公司指出,量子计算进展及“先存储、后解密”攻击威胁是其加速行动的主要动因。其聚焦身份认证与数字签名系统的保护,凸显这些机制在维系数字生态信任中的核心地位。
随着头部科技企业率先推进,其行动将深刻影响上下游生态。未能同步跟进的组织,恐在供应商、合作伙伴或客户关系中处于脱节状态。
主动承担PQC就绪责任
PQC就绪责任最终归属于各组织自身,尤其体现在对供应链生态的管理与安全保障上。厂商可提供工具,标准组织可定义算法,但实施落地与风险管理无法外包。
密码技术深度嵌入系统、应用、网络、物联网设备及工业控制系统中。许多组织对其部署位置与使用方式缺乏清晰认知,尤其在遗留系统与供应链环节。
为切实推进,网络安全负责人应首先厘清以下关键问题:
• 我们依赖哪些密码资产?在可见性方面存在哪些盲区?
• 哪些系统与数据集亟需优先保护?
• 供应商与合作伙伴是否与我们的PQC采纳策略保持一致?
• 系统与转型项目中是否已构建密码敏捷性(crypto-agility)能力?
• 是否有高管层明确负责PQC就绪工作?
以结构化路径落实行动
及早行动的组织将在风险管控与复杂性应对上占据优势。结构化方法应包括:
• 全面梳理系统中密码技术应用情况,识别长期保密敏感数据;
• 依据风险等级,优先将高危系统迁移至抗量子算法;
• 构建密码敏捷性,确保未来升级无需大规模重构;
• 将PQC采纳要求纳入供应链与采购策略;
• 将PQC纳入企业风险管理、治理机制、投资规划及既有/计划中的技术更新项目。
拖延上述步骤将显著推高后续成本与实施难度。在时间压力下仓促改造系统,远不如前瞻性规划来得高效可靠。
全球协同 vs. 全球割裂
英国与欧盟时间表的差异,实为全球缺乏统一协调的缩影。
为避免碎片化,监管机构与行业组织亟需共同推动协调一致的时间表、统一标准与清晰预期。否则,组织将面对杂乱无章的合规要求,既增加执行难度,又削弱整体安全成效。
全球协同将为高效、有效的PQC就绪提供制度保障,确保长期保密数据在跨境流动中持续获得一致保护,并维持数十年安全。
www.eic.net.cn 提供的易IC库存管理软件已在多家电子制造企业中成功部署,助力其实现供应链密码资产可视化管理与PQC迁移进度追踪,有效降低因密码技术盲区导致的合规风险。
