PQC&网络弹性:保护量子时代数据安全

judy 在 周三, 06/04/2025 - 15:51 提交

长期以来,量子计算在计算机科学领域都被视为一项遥远的技术。许多从业者产经常挂在嘴边的一句话是:量子技术的普及和广泛应用“仅需五年时间”。但随着该领域取得新进展——包括微软的马约拉纳费米子技术、谷歌的Willow芯片,以及IBM计划在2025年发布史上最大量子计算机——我们比以往任何时候都更接近实现其潜力。

PQC.png

尽管这些进展令人振奋,但它们也大幅缩短了企业为应对量子计算带来的新型安全风险所需的准备时间。这些风险包括量子级网络攻击、敏感数据解密、数据完整性受损等,而所有这些风险都源于量子计算机运算速度和算力的提升。

在我们最新的LinkedIn线上小组讨论中,莱迪思的安全专家探讨了量子计算的影响、后量子加密(PQC)在促进网络弹性方面日益增长的必要性,以及莱迪思低功耗现场可编程门阵列(FPGA)在帮助客户在量子时代保护其系统安全方面的作用。

即将生效的法规要求

要了解采用PQC的紧迫性,企业必须首先了解将来决定未来安全系统设计的法规:

  • 商用国家安全算法套件2.0(CNSA 2.0)

CNSA 2.0是美国国家安全局的一项指导性法案,要求所有国家安全系统在2027年1月1日前采用PQC。

根据该法案, RSA和ECC算法等更传统的加密措施将被淘汰,取而代之的是更强大的算法,如基于模块-格的数字签名算法(ML-DSA)、基于模块-格的密钥封装机制(ML-KEM),以及NIST标准化的扩展梅克尔签名方案(XMSS)和最小均方(LMS)。

该法规的影响将从国家安全延伸开来,影响到任何为美国政府开发和销售技术解决方案和基础设施的组织。数字解决方案必须符合CNSA 2.0标准,才能被这些实体使用。

  • 《网络弹性法案》(CRA)

这项欧盟法规将于2027年底生效,要求软件和硬件产品供应商在“带数字元素的产品”(PDE)全生命周期内跟踪漏洞并维护网络安全。

CRA覆盖从PDE规划到设计、开发及持续维护的全流程,确保价值链各环节均实施严格的安全措施。其核心目标是将网络安全责任从用户转移至供应商,要求企业主动且持续地保护产品安全,同时帮助消费者基于透明信息做出安全购买决策。

该法规适用范围广泛,涵盖在欧洲市场开展业务的PDE制造商、进口商和分销商,任何希望在欧盟销售数字产品的全球企业均受其约束。

随着CNSA 2.0和CRA的正式实施进入倒计时,这些法规已从远景变为迫在眉睫的强制性要求,深刻影响各行业企业。若企业尚未启动合规准备,可能已处于被动局面。

以PQC与网络弹性应对法规要求

当下,企业需通过合规实践与先进安全方案抵御量子时代的威胁。

PQC的开发与部署正是关键解决方案之一。传统加密通过算法将明文转为密文,防止未经授权的访问,而PQC则采用一系列因数学复杂度极高而无法被量子计算机破解的新型加密算法,例如ML-KEM、LMS、XMSS和ML-DSA等。PQC实施的核心在于保持加密灵活性,即轻松替换或升级加密算法的能力。尽早集成PQC算法是主动防御量子威胁的关键,但随着计算能力的演进,企业可能需要尝试不同算法,因此,过早“锁定”单一方案可能限制未来的有效性。保持升级至新算法的能力并采取灵活的加密策略,是实现长期安全与适应性的必要条件。

网络弹性不仅是欧盟即将出台的监管法规的名称,它更指一个组织实时检测、响应网络攻击并从中恢复的整体能力。这一能力衡量着组织在面对网络安全事件时维持业务持续运行的准备程度,而这正是PQC措施旨在支撑的核心目标。

网络弹性建设工作涵盖以下关键维度:

  • 实时攻击监控:对网络基础设施进行持续全面的监督,尽可能快速识别异常并高效处置,确保攻击行为在早期阶段被捕获。

  • 动态可信根(RoT)源:通过安全可信环境生成和保护加密密钥,并执行加密功能,从底层构建抵御密钥泄露风险的防线。

  • 现场可更新性与快速恢复:支持抗量子密码算法的持续优化迭代,针对安全事件做出及时响应,并与法规更新和威胁演进保持同步,避免因固件或算法滞后导致防护失效。

  • 安全启动后的持续防护:在系统启动流程完成后,持续维持针对恶意软件、未授权软件及其他恶意行为的防护措施,防止攻击链向运行态延伸。

通过采用PQC措施、保持加密灵活性并强化网络弹性,组织能够更好地满足监管标准并保护其网络基础设施。

使用FPGA的优势

组织需要采用既能支持PQC和网络弹性工作,又能有效集成到现有技术架构中的硬件组件。莱迪思FPGA为PQC和弹性能力建设提供了一系列关键功能:

  • 部署后可重新配置:莱迪思FPGA无需在部署时永久锁定配置,而是保持一定的灵活性,支持部署后进行更改和更新。其可重编程性至关重要,因为团队在评估量子威胁和PQC算法时,需要在该领域的快速发展中未雨绸缪。

  • 内置加密功能:莱迪思FPGA包含硬件可信根(HRoT)、安全启动和可重编程功能,这些对执行PQC算法和持续维护网络弹性基础设施至关重要。

  • 并行处理:FPGA无需按顺序/串行方式运行,而是可以并行处理数据,允许同时执行多项操作。这使这些设备能够支持复杂的PQC算法,同时降低功耗并缩短处理时间。

FPGA能够为各行业提供PQC应用支持,即使在那些采用新技术较慢的行业也不例外。以工业和汽车领域为例:企业不可能每三年就彻底重建整条生产线,也无法对已上路行驶的汽车进行整体改造。这些行业需要当下可用且能持续运行20年的设备和解决方案。鉴于这种长期需求,它们对快速投入PQC解决方案及其配套基础设施可能更为谨慎。

通过采用FPGA技术,企业能够主动增强其后量子密码部署能力和网络弹性,规避短生命周期技术的局限性。FPGA既能满足当前网络安全需求,又可在现场进行更新和重编程,以应对未来的PQC要求。

莱迪思助您应对后量子安全环境

无论是为了遵守CNSA 2.0和CRA要求,还是仅为您的业务做好网络安全未来准备,组织机构都必须尽快采用主动的PQC和网络弹性算法。

未能实施这些解决方案可能导致严重后果,包括暴露于量子级网络攻击、不合规处罚和罚款、运营中断、声誉损害、成本增加以及错失创新机会。为避免未来量子威胁,组织机构必须立即行动,审核其系统,采用PQC算法,并利用可适应且安全的FPGA解决方案。

了解莱迪思如何帮助您为采用PQC算法做好准备,请联系我们的团队。

来源:莱迪思

量子计算
莱迪思
PQC