后量子密码学迁移战略规划简述

1.0 实现量子安全的战略要务

1.1. 引言：迫在眉睫的量子威胁

密码学相关量子计算机的出现，对我们当前的安全基础设施构成了根本性威胁。这些机器一旦实现，将使支撑现代数字安全的公钥算法完全过时。本战略规划是一项主动举措，旨在消除这一威胁，确保我们数据的长期机密性、系统的完整性以及业务运营的连续性。它概述了一个结构化、分阶段的方法，将我们的密码学基础迁移到新一代抗量子算法，以保护我们的数字资产应对未来十年及以后的安全挑战。

1.2. 量子威胁向量分析

量子计算机对不同类型的密码学构成的威胁并不相同。其对非对称（公钥）系统和对称系统的影响差异显著。

Shor算法与非对称密码学：最严重的威胁来自Shor算法，它将能够破解当前大多数公钥密码学赖以存在的数学难题。这将彻底危及广泛部署的算法的安全性，包括RSA、ECDH（椭圆曲线迪菲-赫尔曼）、ECDSA（椭圆曲线数字签名算法）和EdDSA。这些原语对我们数字生态系统中的密钥交换、数字签名和身份验证至关重要。
Grover算法与对称密码学：一个较小但仍然显著的威胁来自Grover算法，它为攻击对称密钥密码学和哈希函数提供了平方级的加速。这实际上将这些原语的安全级别减半。然而，这种威胁可以通过加倍密钥长度来有效缓解。例如，从AES-128升级到AES-256可提供足够的保护。

根据此分析，本次战略迁移的重点是替换易受攻击的非对称密码算法。

1.3. 关键业务风险与行动依据

拖延这项复杂的迁移工作存在重大业务风险。以下几个因素迫使我们必须立即、审慎地采取行动，开始向后量子密码学（PQC）过渡。

“现在存储-稍后解密”攻击：这是最直接的威胁。攻击者现在就可以拦截和存储我们的加密数据，即使他们目前无法解密。一旦拥有足够强大的量子计算机，这些被收集的数据将变得脆弱。任何具有长期保密要求的敏感信息（如知识产权、政府机密或个人数据）都已经处于风险之中。
长寿命系统：我们的许多系统设计使用寿命长，未来更新困难、成本高昂或根本无法更新。这包括支付终端、卫星、汽车和智能电表中的关键基础设施和嵌入式系统。由于PQC算法通常具有更大的密钥和签名，它们可能需要更先进的硬件。如果今天部署的系统没有考虑这些未来的硬件要求，可能需要进行完整的硬件更换才能实现量子安全。
复杂性与迁移时间线：历史表明，密码学过渡是复杂且耗时的。例如，从SHA-1哈希算法迁移到SHA-256，即使有了安全的替代标准，许多组织也花了五年多时间才完成。PQC迁移预计会更加复杂，需要系统的盘点、风险评估和分阶段实施。现在开始是确保有序过渡的唯一途径。
互操作性与行业最新标准：PQC正迅速成为网络安全的新标准。全球范围内的政府和工业组织已经开始它们的过渡。为了保持与合作伙伴的互操作性、满足新兴的合规要求并维持现代化的安全态势，及时部署PQC至关重要。

1.4. 战略规划的范围与目标

本计划涵盖依赖公钥密码学实现机密性、真实性、完整性和不可否认性的所有组织系统、应用程序和协议。我们的主要目标是：

评估组织完整的密码学现状，识别所有易受量子攻击的资产、依赖项和系统。
根据正式的风险分析确定迁移工作的优先级，风险分析需考虑数据敏感性、系统寿命和迁移复杂性。
实施分阶段、有序的过渡，转向标准化的抗量子算法，优先保障运营的稳定性和安全性。
实现“密码学敏捷性”，建立机构能力，以便未来能够高效、最小化干扰地适应新的密码学标准和威胁。

本计划之所以可行，得益于全球标准机构的广泛工作，它们为我们的迁移提供了稳定且经过审查的基础。

2.0 基础：全球化与时间线

2.1. 引言：利用国际共识

成功的密码学迁移不能孤立进行。我们的战略坚实建立在全球化机构辛勤工作的基础之上。通过与国际共识保持一致，我们利用了多年的公开审查和专家分析，确保我们采用的算法安全、稳定且可互操作。这种方法降低了采用专有或未经证实技术的显著风险，并提供了清晰的前进路径。

2.2. NIST后量子密码学标准化进程

美国国家标准与技术研究院（NIST）一直是全球PQC标准化工作的核心推动力。经过一场历时多年、有来自世界各地密码学家参与的竞赛，NIST已选择了其首批用于标准化的抗量子算法。首个标准已于2024年8月作为联邦信息处理标准（FIPS）发布。选定的算法包括：

密钥封装机制：
- ML-KEM（原名CRYSTALS-Kyber），用于通用密钥建立。
数字签名算法：
- ML-DSA（原名CRYSTALS-Dilithium），是主要推荐的签名算法。
- FN-DSA（原名Falcon），适用于需要较小签名的应用。
- SLH-DSA（原名SPHINCS+），是一种基于哈希的签名方案，因其不同的底层安全假设而受到重视。

2.3. 其他关键标准化机构和国家指令调查

虽然NIST是主要驱动者，但我们也必须关注其他有影响力的组织和指令，以确保全面的全球对齐。

ISO/IEC：国际标准化组织和国际电工委员会正在为广泛的工业应用标准化PQC。他们已经标准化了有状态的基于哈希的签名，如XMSS和LMS，并且正在考虑更保守的KEM替代方案，如FrodoKEM和Classic McEliece。
IETF：互联网工程任务组正在为在关键互联网协议中实现PQC制定标准。PQUIP等工作组正在协调将PQC集成到TLS和IPSec等协议中。
CNSA 2.0：美国国家安全局的商业国家安全算法套件2.0要求国家安全系统过渡到PQC。它要求使用ML-KEM和ML-DSA，根据应用不同，强制合规截止日期为2030年或2033年。
欧洲机构：德国（BSI）、法国（ANSSI）和荷兰的主要欧洲安全机构普遍同意PQC建议，并强烈支持在过渡期使用混合密码解决方案。

2.4. 关于量子密钥分发的战略立场

基于当前技术状态和主要安全机构的指导，本组织将优先考虑向后量子密码学（PQC）迁移，而非部署量子密钥分发（QKD）。QKD是一种利用量子力学进行密钥分发的技术，但它不是PQC的全面替代品，目前存在显著局限性。

我们的立场基于QKD的以下限制：

功能有限：QKD仅是一种密钥分发机制。它不提供数字签名功能，仍然需要经典密码方法进行身份验证。
成熟度不足：该技术尚未经历像PQC那样彻底的公开标准化过程。其安全证明通常依赖于未能完全捕获现实世界操作条件的抽象模型。
基础设施限制：QKD需要昂贵的专用量子硬件，并且受距离限制。目前，在没有可信中继器的情况下，无法实现长距离的端到端安全，而可信中继器会重新引入安全漏洞。新的硬件也带来了新的潜在攻击途径。

鉴于这些挑战，PQC提供了一条更成熟、灵活且具有成本效益的实现量子安全的路径。我们现在将转向PQC迁移的第一阶段：发现我们当前的密码学现状。

3.0 第一阶段：密码学资产盘点与量子风险评估

3.1. 引言：建立基础盘点

如果没有对我们当前密码学态势的完整和准确理解，就不可能实现成功的迁移。这个盘点阶段是我们旅程中必不可少的第一步。目标是创建一份全面的清单，涵盖整个组织使用的每一种密码算法、协议和依赖项。这是一个关键的“无悔”举措；由此产生的清单和风险评估对于整体安全管理和合规具有无价的价值，无论量子威胁的确切时间表如何。

3.2. 密码学资产盘点方法论

我们将采用多方面的策略，以确保对所有密码资产进行彻底盘点。这涉及在代码、操作和网络层面分析我们的系统。

3.2.1. 代码与应用程序分析

我们将系统地扫描源代码库和应用程序二进制文件，以识别嵌入的密码资产。这将通过使用静态分析工具来实现，例如CodeQL，它可以找到源代码中的密码函数及其位置。此过程的输出将是每个应用程序的正式密码学物料清单（CBOM），详细说明所有密码组件和依赖项。

3.2.2. 操作系统扫描

我们将扫描操作系统，识别可执行和不可执行的密码资产。这包括：

可执行资产：密码库（如OpenSSL）、软件和固件，它们支持VPN、身份验证和数据库静态数据加密等服务。
非可执行资产：密码数据，如X.509数字证书、密钥库、PGP密钥和个人访问令牌。

3.2.3. 网络流量监控

我们将监控OSI模型所有层的网络流量，以检测正在积极使用的密码算法和安全协议（例如TLS、SSH、IPSec）。此分析将覆盖本地、云端和不受信任网络上的通信，提供我们实际运行的密码足迹的实时视图。

3.3. 量子风险评估框架

盘点完成后，我们将应用一个正式的框架来评估和优先处理与每个已发现密码资产相关的风险。

我们风险评估的核心原则是莫斯卡定理，该定理指出，如果 x + y > z，则存在风险，其中：

x = 数据所需的安全寿命。
y = 将系统迁移到PQC所需的时间。
z = 密码学相关量子计算机可用的时间。

对于每个应用程序，我们将根据三个组成部分对风险进行评分：脆弱性、影响和迁移工作量。这三个部分将结合起来产生最终的风险评分。具有高影响力和高迁移工作量的系统将获得最高的风险评分（3），表明其为优先级，即使其密码学脆弱性尚未达到关键程度。相反，具有低影响力和低迁移工作量的系统评分较低（1），即使它们使用了易受攻击的密码学。这将产生指导我们优先级划分的最终风险评分。

风险评分	描述
0	无风险：所有量子威胁都已得到充分缓解。
1	低风险：存在长期风险，但无需立即优先处理。
2	中风险：需要采取行动，但当前密码学在短期内仍保持安全。
3	高风险：由于高影响或预计迁移时间长，需要立即优先处理。

3.4. 交付成果与优先级划分

本阶段的主要交付成果是全面的密码学资产清单与风险登记册。该登记册将把每个已识别的密码资产（从单个证书到整个协议实现）映射到其计算出的风险评分。这个优先级列表将作为指导第三阶段执行路线图的基础文件，确保我们的资源首先用于缓解最关键的风险。这种数据驱动的方法将为我们的迁移技术策略提供依据。

4.0 第二阶段：迁移策略与架构原则

4.1. 引言：定义迁移的“方法”

本节确立了将指导我们迁移的高层技术原则和战略选择。这些原则旨在最大化过渡期间的安全性，最小化运营中断，并确保我们的系统能够适应不断发展的密码学格局。该框架为所有团队规划和执行其具体迁移任务时提供了一致的方法。

4.2. 核心策略：混合方法

组织针对密钥交换和数字签名的主要迁移策略将是混合方法。这包括将一种传统的、易受量子攻击的算法（如ECDH、ECDSA）与一种后量子算法（如ML-KEM、ML-DSA）相结合。

这一选择是合理的，因为它在确保我们的安全性至少与当前受信任的经典算法一样好的同时，严格降低了量子威胁。在混合方案中，攻击者需要同时破解经典算法和后量子算法才能危害系统。这是一个“无悔之举”，被多个国际安全机构推荐为安全审慎的过渡措施。

4.3. 原则一：协议级迁移

我们的迁移工作将侧重于更新密码协议，而非直接实现密码原语。对于我们的大多数系统而言，这意味着升级到包含PQC的新版本协议，例如迁移到支持PQC的TLS 1.3版本。这是大多数组织的标准方法，因为它使我们能够利用库维护者和协议供应商进行的广泛开发和测试工作，从而降低我们自身的实施风险。

4.4. 原则二：培养密码学敏捷性

我们将把此次迁移视为建立长期密码学敏捷性的机会——即快速、低风险地用新的替代方案替换密码算法的能力。这确保我们为未来的威胁或标准变更做好准备。提高敏捷性的关键行动包括：

硬件评估：系统评估当前硬件是否具备足够的处理能力、内存和带宽来应对PQC算法更大的密钥和签名。如果发现不足，则规划必要的硬件升级或更换。
系统设计：推广将密码功能与业务逻辑分离的软件和系统架构。这使得“可插拔”更新更加容易，可以在无需重新设计整个应用程序的情况下换入新算法。
应急规划：制定正式的备份计划，以确保在量子计算取得突然突破或对现有密码标准发起攻击时业务的连续性。

4.5. 推荐的PQC算法套件

下表规定了在迁移期间和之后批准使用的密码原语。所有新实现必须遵守这些标准。

功能	类型	推荐	可接受	已弃用
密钥交换 / 封装	非对称	ML-KEM¹	FrodoKEM¹, Classic McEliece¹	ECDH³, RSA³
数字签名	非对称	ML-DSA²	SLH-DSA, FN-DSA²	ECDSA³, EdDSA³, RSA³
哈希函数	哈希	SHA-2, SHA-3	BLAKE2	MD5, SHA-1
分组密码	对称	AES	Camellia	(T)DES, IDEA, Blowfish

建议与ECDH以混合组合方式部署。
建议与ECDSA或EdDSA以混合组合方式部署。
能抵抗经典攻击，可以作为混合方案的一部分，但绝不可单独使用。

确立了这些架构原则后，我们现在可以定义迁移核心系统的详细执行计划。

5.0 第三阶段：分阶段实施与执行路线图

5.1. 引言：基于风险的推广

本阶段将我们的战略转化为具体的行动计划。实施将是一个分阶段推广的过程，由第一阶段创建的基于风险优先级的资产清单指导。这确保我们首先保护最关键的系统，同时允许我们在风险较低的应用上积累专业知识和完善流程。本节详细介绍了我们核心安全协议的迁移计划，并吸收了行业先驱的关键经验教训。

5.2. 核心安全协议迁移计划

5.2.1. 传输层安全协议

推荐方法：在TLS 1.3中实现混合密钥交换机制。此混合方法将经典密钥交换（如X25519）与后量子KEM（如ML-KEM）相结合。对于经过身份验证的加密，所有连接应使用强大的密码套件，如AES-256-GCM或ChaCha20-Poly1305。
关键考量：像谷歌、Cloudflare和Meta这样的早期采用者报告了性能挑战。PQC中更大的密钥大小可能导致初始的ClientHello消息超过单个网络数据包的大小，从而造成数据包分片和延迟增加。这需要在真实负载条件下进行仔细的性能基准测试，并可能需要在协议层面寻找解决方案。

5.2.2. 安全外壳协议

推荐方法：采用混合密钥交换方法。SSH协议不接受用于此目的的预共享密钥，这使得混合方法至关重要。实现应遵循IETF相关草案中关于SSH混合密钥交换的指导。
关键考量：系统管理员必须在供应商提供支持后，将SSH服务器和客户端配置为使用混合方法。需要与SSH供应商积极沟通，以了解他们的PQC支持路线图。

5.2.3. 公钥基础设施

推荐方法：迁移到混合证书模型。目前正在出现两种主要形式：“复合证书”，将经典和PQC签名及密钥合并到单一结构中；以及“催化剂证书”，将PQC数据嵌入标准X.509扩展中以实现向后兼容。
关键考量：此过渡需要与我们的证书颁发机构密切协调。我们必须及时了解CA提供的后量子证书产品，并规划对所有验证证书链的系统进行必要的更新。

5.2.4. IP安全协议

推荐方法：为作为我们虚拟专用网络基础的IPSec实现混合密钥交换方法。
关键考量：系统管理员必须根据供应商文档为IPSec网关和客户端配置混合方法。联系我们的VPN和网络设备供应商，询问他们的PQC实施时间表和支持情况至关重要。

5.3. 借鉴早期采用者的经验教训

谷歌和Meta等组织的经验为我们自身的实施提供了宝贵的实践教训。所有迁移团队必须遵守以下“实施观察点”清单：

全面的性能基准测试：不要依赖简单的基准。在高并发生产负载下测试延迟、吞吐量和CPU使用率，以发现如谷歌所经历的意外瓶颈。
网络数据包大小验证：积极测试TLS等协议，确认PQC更大的密钥和签名大小不会导致某些网络中间设备的数据包分片或连接失败。
第三方库审查：不要假设开源库（如liboqs）已为生产环境准备就绪或无错误。进行严格的内部测试，特别是针对像Meta所经历的多线程崩溃等问题。
迭代式推广：从所有端点均由本组织控制的内部系统开始迁移。这允许在影响外部合作伙伴或客户之前识别和修复错误。

成功的实施必须有稳健的治理和验证流程来支撑。

6.0 第四阶段：治理、验证与持续改进

6.1. 引言：确保长期韧性

向后量子密码学的迁移不会随着实施而结束。这最后阶段建立了维护安全和敏捷的密码学态势所需的持续验证、政策管理和治理流程。这确保我们对PQC的投资能提供持久的韧性，并使我们为下一代密码学挑战做好准备。

6.2. 测试与验证协议

任何迁移完成后，所有系统都必须经过严格的测试和验证协议，以确保其安全性、稳定性和性能。该协议将包括：

性能测试：强制对PQC实现进行全面评估，以评估其处理速度和资源消耗（CPU、内存）。此测试必须确认性能保持在可接受的限度内并满足所有业务要求。
兼容性与互操作性测试：要求进行全面测试，以验证新迁移的系统和协议与现有基础设施完全兼容。这包括确保与不同供应商和外部合作伙伴系统的正确互操作性。
安全验证：对新的PQC实现进行正式的安全评估，确保其配置正确，遵循安全最佳实践，并且没有在环境中引入新的漏洞。

6.3. 更新安全政策与程序

为了在全组织范围内正式确立新的密码学标准，负责团队必须更新所有相关的政策和程序。需要修订的关键政策包括：

密码学标准政策：更新该政策，强制使用第4.5节中详述的经批准的PQC算法。该政策还必须正式弃用所有新部署中的易受攻击算法（如单独使用的RSA和ECDSA）。
密钥管理政策：修订与密码密钥生命周期相关的所有程序。这包括生成、分发、存储、轮换和撤销PQC密钥及混合密钥的新流程。
供应商安全政策：更新所有采购和供应商管理政策，要求任何新的软件、硬件或服务都必须完全符合我们组织的PQC标准。

6.4. 协作与生态系统参与

PQC迁移是一项全球性挑战，任何单一组织都无法单独解决。我们将积极与行业同行、标准机构和信息共享团体合作。这种参与将使我们能够分享经验和教训，贡献最佳实践，确保整个生态系统的持续互操作性，并及时了解新的密码学发展和新出现的威胁。

7.0 结论与后续步骤

7.1. 战略规划总结

本文档概述了一个全面的、分为四个阶段的战略规划，旨在将我们的组织过渡到后量子密码学。它建立在全球标准的基础上，并由基于风险的方法论指导。该计划从彻底评估我们的密码学现状开始，转向以混合实施和密码敏捷性为核心的审慎战略，详细阐述了分阶段执行路线图，并以持续治理框架结束。这种方法旨在确保一次安全、有序和有韧性的迁移，保护我们的组织免受量子威胁。

7.2. 立即行动与建议

为了有效动员实施本计划，必须立即启动以下行动：

成立PQC迁移指导委员会：组建一个跨职能团队，成员来自IT、网络安全、法律、采购和关键业务部门，以监督本战略计划的执行。
确保第一阶段的资金：分配必要的预算和资源，立即开始密码学资产盘点和风险评估过程。这是一项“无悔”的投资，可立即提供安全价值。
启动供应商沟通：开始与我们关键的软件、硬件和云服务供应商进行正式询问，了解他们的PQC路线图、支持时间表和混合实施计划。
启动试点项目：识别少数适合进行初步迁移试验的低风险、高影响内部系统。这些试点对于积累内部专业知识、验证我们的迁移战略以及在可控环境中发现未预见的挑战具有无可估量的价值。

本文为基于AI技术的总结改写，若需了解详细信息，可参考相关白皮书及迁移计划。