其他
最新文件:欧盟敦促量子网络安全议程
光子盒研究院
欧盟(EU)必须为量子网络攻击做好准备,并通过一项新的协调行动计划,确保向后量子加密技术的协调过渡,以应对未来的量子网络安全威胁。这在欧洲政策中心首席数字政策分析师Andrea G. Rodríguez撰写的一份新文件中指出。
Rodríguez写道,量子计算的进步使当前的加密系统变得过时,并带来了新的网络安全挑战,从而使欧洲的网络安全面临风险。这通常被称为“Q-Day”:量子计算机将打破现有加密算法的时间点。专家认为,这将在未来五到十年内发生,在现有加密协议下,所有数字信息都可能受到恶意行为者的攻击。
报告表示,如果欧洲要认真对待其网络安全雄心,就必须制定量子网络安全议程,“在各成员国之间共享信息和最佳实践,并达成量子过渡的共同方法”。
量子计算将通过破坏密码学或促进网络攻击(如对数字身份的攻击)来破坏网络安全。利用量子计算机对加密技术进行网络攻击将使对手能够破译加密信息、干扰通信、未经许可访问网络和信息系统,从而为窃取和共享以前的机密信息打开大门。
鉴于具有重要加密意义的量子计算机能够破解加密的计算机的前景不是“是否出现的问题,而是何时出现的问题”,网络犯罪分子和地缘政治对手正急于获取今天无法读取的敏感加密信息,以便在量子计算机出现后进行解码。
这类网络攻击被称为“收获攻击”或“先下载后解密”,已经对欧洲安全构成了威胁。
Rodríguez说,尽管2020年《欧盟网络安全战略》或2022年《欧盟安全连接计划》等一些政策文件零星提到了量子计算,但量子计算对欧洲网络安全和数据保护的影响依然被排除在核心讨论之外。
Rodríguez表示,美国可以说引领了向后量子网络安全的过渡,其中后量子加密技术将是主角。美国国家标准与技术研究院(NIST)已经启动了后量子加密算法的标准化进程,而2022年制定的《量子网络安全准备法案》(Quantum Cybersecurity Preparedness Act)则制定了将政府信息迁移到后量子加密技术的路线图。
2023年,新的《美国国家网络安全战略》将防范量子网络攻击作为一项战略目标。这一优先事项包括后量子加密技术的使用,以及替换可能受到攻击的脆弱硬件、软件和应用程序的必要性。
近日,NIST还公布了PQC数字签名算法第一轮提交者名单:此名单有七个分类,总计40个加密算法。
与此同时,欧盟为确保信息免受量子网络攻击所做的努力在应对短期威胁方面则缺乏明确的战略。
Rodríguez说,欧盟层面对如何缓解短期量子网络安全挑战,特别是收获攻击和对加密的量子攻击的关注过于狭隘,使得成员国成为量子转型的前沿参与者。“截至2023年,只有少数欧盟国家公开了应对新出现的量子网络安全威胁的计划,更少的国家(如德国)已经制定了缓解这些威胁的战略。”
随着量子计算机的发展,欧洲需要采取行动,防止出现可被用作攻击载体的网络安全漏洞,并确保所有成员国对量子网络攻击具有同等的抵御能力。“我们迫切需要一个关于量子过渡的协调行动计划,该计划将列出明确的目标和时间表,并监督各国向后量子加密迁移计划的实施情况。”
“这样一项计划将弥合建立一个全面运行的欧洲量子通信基础设施(EuroQCI)网络这一远景目标与欧洲网络安全领域应对短期量子网络安全威胁的当前需求之间的差距。”
“欧洲还可以利用各国网络安全机构、专家和私营部门的专业知识,在ENISA内建立一个新的专家组,借调各国的后量子加密专家交流良好实践,并鼓励制定迁移计划。”
这一文件为欧盟量子网络安全议程提出了六项建议:
- 建立欧盟量子过渡协调行动计划,该计划应列出明确的目标和时间表,并监督各国向后量子加密迁移计划的实施情况。
- 在ENISA内部建立一个新的专家组,由借调的国家专家组成,以交流良好做法并确定向后量子加密过渡的障碍。
- 协助确定向后量子加密过渡的优先事项,推动加密灵活性,以应对后量子加密系统中新出现的漏洞。
- 促进欧盟委员会、欧盟成员国、国家网络安全机构和ENISA之间的政治协调,以确定技术优先事项,并确定量子安全技术的相关用例。
- 促进欧盟层面的技术协调,以解决量子安全技术的研究缺口,例如需要开发量子节点,以确保量子密钥分发的长距离连接。
- 探索加速量子信息技术近期应用的开发。
参考链接:[1]https://csrc.nist.gov/Projects/pqc-dig-sig/round-1-additional-signatures[2]https://www.epc.eu/content/PDF/2023/Cybersecurity_DP.pdf