行業新聞與部落格

根據七國集團的說法，金融企業和公共實體最遲應在 2034 年之前完全過渡到後量子密碼學 (PQC) 。

1 月 13 日釋出的一份新檔案中，七國集團網路專家組 (CEG) 為金融機構制定了一份建議路線圖，用於測試、遷移和全面過渡到抗量子加密系統，以預測未來可能出現的量子網路攻擊風險，這些攻擊可能會破壞當前的加密系統。

網路安全專家組 (CEG) 是一個由網路安全專家組成的團體，負責就對金融體系安全和韌性至關重要的網路安全問題向七國集團成員國的財政部長和中央銀行行長提供建議。

該路線圖由來自七國集團 (G7) 各司法管轄區的金融監管機構和行業專家組成的專門 CEG 工作組制定，旨在向高階領導人介紹可能有助於組織過渡到 PQC 的各種活動型別。

它並非旨在提供具體指導，也不設定任何指導方針或監管預期。

它制定了向 PQC 過渡的六個推薦階段，並附有相關的推薦時間表：

1. 意識提升與準備（2025-2027）：在第一階段，七國集團量子威脅專家組建議各組織提高對量子威脅風險的認識，並繪製關鍵系統和敏感資料圖。
2. 發現與盤點（2025-2028 年）：第二階段可以與第一階段並行進行，其目標是建立組織內部系統和第三方依賴關係的全面盤點，並識別潛在的差距。
3. 風險評估和規劃（2026-2029）：七國集團首席專家組建議開始規劃所有系統的遷移，包括那些不太關鍵的系統。
4. 遷移執行階段（2027-2034 年）：這是核心階段，在此階段，各組織將逐步把其使用的加密系統遷移到抗量子攻擊的解決方案，首先遷移優先順序較高的功能。
5. 遷移測試（2032-2035 年）：七國集團量子計算專家組建議投入足夠的時間測試遷移後的系統是否執行正常，並開展面向生態系統的量子彈性演練。
6. 驗證和監測（2033-2035 年）：七國集團網路安全專家組建議，在測試階段正式結束後，應繼續驗證和改進系統，包括在新的加密標準釋出後將其納入其中。

此外，七國集團建議向 PQC 系統過渡的組織，應以風險和標準為基礎制定計劃——最好是將其整合到現有的治理和風險管理框架以及技術戰略中——並在遷移計劃中保持靈活性，以便隨著時間的推移進行重新調整。

七國集團專家寫道：“各組織還可以透過在轉型計劃中納入加密敏捷性目標來受益，以便適應新的加密解決方案，應對新出現的威脅和漏洞。”

加密敏捷性是指能夠在不中斷系統的情況下快速更換加密演算法的能力，例如，透過在應用程式和加密庫之間建立一個抽象層，將安全功能與程式碼庫的其餘部分隔離。

這樣一來，組織可以透過修改底層庫而不是重寫整個應用程式，以最小的停機時間更新或替換加密方法（例如從 RSA 切換到後量子演算法）。

最後，七國集團還鼓勵不同司法管轄區、各種規模和型別的金融機構以及第三方開展合作。檔案指出，這種合作“可以使各機構相互學習，降低因方法分散而帶來的風險，從而增強互操作性”。