行业新闻与博客

根据七国集团的说法，金融企业和公共实体最迟应在 2034 年之前完全过渡到后量子密码学 (PQC) 。

1 月 13 日发布的一份新文件中，七国集团网络专家组 (CEG) 为金融机构制定了一份建议路线图，用于测试、迁移和全面过渡到抗量子加密系统，以预测未来可能出现的量子网络攻击风险，这些攻击可能会破坏当前的加密系统。

网络安全专家组 (CEG) 是一个由网络安全专家组成的团体，负责就对金融体系安全和韧性至关重要的网络安全问题向七国集团成员国的财政部长和中央银行行长提供建议。

该路线图由来自七国集团 (G7) 各司法管辖区的金融监管机构和行业专家组成的专门 CEG 工作组制定，旨在向高级领导人介绍可能有助于组织过渡到 PQC 的各种活动类型。

它并非旨在提供具体指导，也不设定任何指导方针或监管预期。

它制定了向 PQC 过渡的六个推荐阶段，并附有相关的推荐时间表：

1. 意识提升与准备（2025-2027）：在第一阶段，七国集团量子威胁专家组建议各组织提高对量子威胁风险的认识，并绘制关键系统和敏感数据图。
2. 发现与盘点（2025-2028 年）：第二阶段可以与第一阶段并行进行，其目标是建立组织内部系统和第三方依赖关系的全面盘点，并识别潜在的差距。
3. 风险评估和规划（2026-2029）：七国集团首席专家组建议开始规划所有系统的迁移，包括那些不太关键的系统。
4. 迁移执行阶段（2027-2034 年）：这是核心阶段，在此阶段，各组织将逐步把其使用的加密系统迁移到抗量子攻击的解决方案，首先迁移优先级较高的功能。
5. 迁移测试（2032-2035 年）：七国集团量子计算专家组建议投入足够的时间测试迁移后的系统是否运行正常，并开展面向生态系统的量子弹性演练。
6. 验证和监测（2033-2035 年）：七国集团网络安全专家组建议，在测试阶段正式结束后，应继续验证和改进系统，包括在新的加密标准发布后将其纳入其中。

此外，七国集团建议向 PQC 系统过渡的组织，应以风险和标准为基础制定计划——最好是将其整合到现有的治理和风险管理框架以及技术战略中——并在迁移计划中保持灵活性，以便随着时间的推移进行重新调整。

七国集团专家写道：“各组织还可以通过在转型计划中纳入加密敏捷性目标来受益，以便适应新的加密解决方案，应对新出现的威胁和漏洞。”

加密敏捷性是指能够在不中断系统的情况下快速更换加密算法的能力，例如，通过在应用程序和加密库之间创建一个抽象层，将安全功能与代码库的其余部分隔离。

这样一来，组织可以通过修改底层库而不是重写整个应用程序，以最小的停机时间更新或替换加密方法（例如从 RSA 切换到后量子算法）。

最后，七国集团还鼓励不同司法管辖区、各种规模和类型的金融机构以及第三方开展合作。文件指出，这种合作“可以使各机构相互学习，降低因方法分散而带来的风险，从而增强互操作性”。