關鍵後量子密碼學見解來自於加強與促進國家網路安全創新的行政命令

自從美國國家標準與技術研究所 (NIST) 設定 2030 年為淘汰舊有加密演算法（如 RSA 和 ECDSA）的最後期限以來，公鑰基礎設施 (PKI) 行業開始活躍起來。現在已經非常清楚，轉向後量子加密技術 (PQC) 不是選擇，而是必須立即進行的必要措施。隨著時間的推移，準備好後量子加密技術已成為國家安全的優先事項，受到政府高層的指導。

在 1 月 16 日，白宮發布了一項新的行政命令，旨在加強和促進國家的網絡安全創新。這項行政命令概述了幾個關鍵措施，以保護美國的數位基礎設施免受日益增加的網絡攻擊。其中最重要的措施是加速聯邦政府採用後量子加密技術。

像 RSA、ECDSA、EdDSA 和 DH 等公鑰加密演算法目前保護著美國及全球數以百萬計的數位系統。量子電腦的威脅可能會摧毀數位安全的基礎，對國家的國家安全和經濟安全造成不可逆轉的影響。白宮在 2022 年 5 月 4 日的國家安全備忘錄 (NSM-10) 中首次承認並警告了量子威脅，並概述了應對量子計算對政府和關鍵基礎設施系統風險的更廣泛國家戰略和措施。

這項最新的行政命令建立在 NSM-10 的基礎上，強調我們的加密系統面臨的生存危機，並加強了立即行動的必要性。它為聯邦機構建立 PQC 準備和保障聯邦通信制定了關鍵任務。了解這些任務對於任何負責保護數位基礎設施的人來說都是至關重要的，因為這可以幫助他們為轉向量子抗性加密技術做好準備。以下是你需要知道的內容。

聯邦機構建立 PQC 準備的關鍵任務：

採購 PQC 兼容解決方案

為了加速後量子加密技術 (PQC) 的採用，在這項行政命令發布後的 180 天內，國土安全部長必須確定並發布一份產品類別清單，包括支持 PQC 的廣泛可用產品。這份清單將定期更新，以反映市場發展。在清單發布後的 90 天內，聯邦機構必須在所有與政府相關的產品採購招標中強制要求支持 PQC。此外，機構應優先購買隨著時間推移而變得廣泛可用的 PQC 產品，以加強網絡安全並促進全球 PQC 市場。

啟用量子抗性密鑰建立

為了保護政府通信免受「現在收集，稍後解密」攻擊，聯邦機構必須儘快在其現有網絡中實施 PQC 密鑰建立或混合密鑰建立，包括一個 PQC 演算法，或其支持的網絡安全產品和服務。

推動 PQC 轉型的國際合作

在這項命令發布後的 90 天內，國務卿和商務部長必須確定並與關鍵國家的外國政府和行業團體接觸，以促進採用 NIST 標準化的後量子加密技術 (PQC)。

轉向 TLS 1.3

在這項命令發布後的 180 天內，為了為轉向 PQC 做準備，國防部長必須為聯邦機構建立支持傳輸層安全 (TLS) 1.3 或其後續版本的要求。機構必須儘快進行此轉型，最遲在 2030 年 1 月 2 日之前，以支持轉向後量子加密技術 (PQC)。

閱讀我們的部落格，以更好地了解如何使用量子抗性演算法建立 TLS 1.3 連接，以及成功進行 PQC 遷移所需的關鍵依賴項。

加強加密密鑰安全性

聯邦政府被鼓勵使用商業安全技術和架構，例如硬體安全模組 (HSM)、受信執行環境和其他隔離技術，以保護和審計對具有延長生命周期的加密密鑰的訪問。

為了支持這項努力：

• 在這項命令發布後的 270 天內，商務部長必須制定安全管理雲服務提供商使用的訪問令牌和加密密鑰的指導方針。
• 在發布這些指導方針後的 60 天內，總務管理局局長必須更新 FedRAMP 要求，以包括加密密鑰管理安全實踐的指導方針。
• 在發布指導方針後的 60 天內，OMB 主任應採取適當措施，確保 FCEB 機構遵循有關保護和管理 HSM、受信執行環境或其他隔離技術的最佳實踐，以便在提供服務給機構時使用雲服務提供商的訪問令牌和加密密鑰。

那麼，這對你的組織意味著什麼？

無論是 2022 年的 NSM-10 還是最新的指令，白宮傳達的信息非常明確：量子對加密的威脅是真實的，現在採取果斷行動以準備後量子加密技術是保護你的組織免受量子攻擊的關鍵。

五年後或更早，我們今天依賴的加密演算法，如 RSA、ECDSA、EdDSA、DH 和 ECDH，將不再安全。如果你的組織在那時還沒有準備好後量子加密技術，你的關鍵系統和敏感數據將面臨嚴重的暴露和破壞風險。

聯邦機構已經有了一個轉型的路線圖，私營組織也應該注意。為聯邦機構推薦的指導方針是私營組織加速其 PQC 旅程的行動手冊。PQC 準備不是可以推遲的事情。現在是時候開始著手提升你組織的加密靈活性，並徹底改造你的安全基礎設施，以確保你的組織在 2035 年之前就已經準備好 PQC。

簡而言之，你的 PQC 準備計劃應該包括什麼？

• 在你的基礎設施中發現加密技術（證書和密鑰），並建立加密材料清單 (CBOM) 或加密元數據數據庫 – 對所有公共和私有信任證書的全面清單，以獲得完整的可見性。
• 評估加密系統及其保護的數據，以優先考慮你的高價值敏感資產的轉型。
• 評估新標準並範圍其對現有加密系統的影響。
• 識別需要升級或更換的系統，並了解其供應鏈依賴性。
• 與第三方供應商合作，確保他們將新的 PQC 標準整合到他們的產品/平台中，以實現互操作性並確保性能。
• 建立有關演算法替換和強制執行的政策。
• 建立加密靈活性，以便在需要時高效且安全地大規模轉向 PQC。

要獲得更全面的視角並獲得有關 PQC 準備的實用指導，請觀看我們最新的隨選網路研討會 – 《保護未來：PQC 準備證書指南》，由 AppViewX 的身份安全總經理兼副總裁 Ganesh Gopalan 和 Utimaco 的高級總監 Kevin Mckeough 主持。

今天就開始你的加密靈活性和後量子準備之旅，與 AppViewX 一起

AppViewX 支持白宮對後量子加密技術 (PQC) 的強烈承諾及其明確的轉型路線圖。準備 PQC 的關鍵方面之一是加密靈活性。多年來，AppViewX 一直在推動加密靈活性，因為它使組織能夠迅速適應行業變化 – 無論是管理更短的證書生命周期、遵守不斷變化的安全要求，還是轉向 PQC – 都不會對業務造成干擾。

這正是我們為 AVX ONE CLM 打造加密靈活性的核心原因。我們的先進證書生命周期管理 (CLM) 解決方案提供完整的可見性、端到端自動化和強大的政策控制 – 所有這些都在一個解決方案中。這三個加密靈活性的支柱使得在 PQC 轉型過程中更容易減少複雜性，並確保每一步的安全。

隨著向 PQC 的轉型加速，優先考慮加密靈活性的組織將是那些能夠保持領先的組織 – 安全、合規，並為未來做好準備。

了解更多關於 AppViewX AVX ONE CLM 的資訊。

此外，為了進一步支持組織在其 PQC 旅程中的成功，並確保未來成功實施 PQC，AppViewX 提供：

• PQC 測試中心 – 一個專門的免費在線資源，旨在幫助你評估組織的 PQC 準備情況，通過生成和測試量子安全的私有信任證書，然後再將其整合到現有系統、工作負載和機器中。你可以快速建立自己的量子安全 PKI 層級，生成 PQC 準備的證書和密鑰，以測試它們在你環境中的兼容性。訪問 AppViewX PQC 測試中心開始。
• PQC 準備的 PKI – 傳統的本地 PKI 實施難以擴展，這使得它們不適合 PQC 轉型。AppViewX 通過 AVX ONE PKIaaS 解決了這一挑戰，這是一個現代、靈活且安全的私有 PKI 解決方案，旨在支持 PQC 兼容的證書發放。它支持所有新的 NIST 標準化 PQC 加密演算法 – CRYSTALS-Dilithium、SPHINCS+ 和 Falcon（尚未公布）。你可以無縫地發放 PQC 兼容的證書，用於內部 PKI 使用案例，並採取主動措施，為你的加密系統未來抵禦量子威脅做好準備。此外，與 AVX ONE CLM 的整合，簡化了 PQC 兼容證書的發現、發放和自動化，確保在大規模管理中的無縫管理。

下載 AVX ONE PKIaaS 解決方案簡介以了解更多資訊。