量子就绪,刻不容缓
CBINEWS
责任编辑:邱姣敏
电脑商情在线
时间:2026-03-26 10:52
网络安全 IT web安全
虽然具备密码破解能力的量子计算机可能还需要数年才会到来,但它对数据安全的威胁已经迫在眉睫。“先收割,后解密”的攻击模式已经成为现实——攻击者现在就开始窃取敏感数据和机密数据,等量子计算机问世后再进行解密。正因如此,企业必须立刻着手实现加密数据的量子安全,以确保即使量子计算机的时代到来,被窃取的数据依然安全。
为了实现这一目标,安全领导者需要清晰、可操作的指导,以选择既能保护企业当下安全,又能确保未来持续的量子安全解决方案。然而,对于企业级解决方案而言,要真正实现量子安全,必须具备四项核心能力:对性能影响最小化、强制性加密敏捷性、遵循标准以及增强的灵活性。
1. 对性能影响最小化:不牺牲网络体验
量子就绪不能以牺牲网络性能为代价。企业网络,特别是像SD-WAN这样的现代架构,都要求高吞吐量和超低延迟。后量子密码学 (PQC) 实现方案的主要挑战在于量子安全密钥的尺寸,这可能会显著拖慢身份验证协议的速度。
有效的量子安全解决方案必须集成高性能处理能力,以确保量子安全加密不会影响网络性能。
l 硬件加速:启用PQC可能会影响大多数供应商设备的VPN新建速率。Fortinet已获得专利的NP7 ASIC专为IPsec VPN处理卸载而设计,这些定制的处理器可以最大限度地减少量子安全防护对性能的影响,同时保持现代网络所需的高吞吐量和低延迟,从而提供面向未来的安全。
2. 加密敏捷性:通过混合模式确保无缝过渡
实现量子就绪的最大障碍是其迁移规划。如果期望通过简单的开关切换,就让全新的PQC算法在所有设备和平台上完美运行,这显然是不切实际的。Fortinet混合模式提供了一条可控的量子安全采用路径。
图1:混合模式:PQC+DH
混合模式要求在单次密钥交换过程中同时使用经典算法(如DH)和PQC算法(如ML-KEM)。这可以带来双重价值:
l 分层保护:为每个会话构建双层防护网。如果PQC算法在过渡期间失效,经典加密密钥也能保护会话安全。
l 无缝迁移:混合模式还允许企业在不牺牲现有安全的情况下,在真实环境中安全地测试PQC的性能和可靠性,从而分阶段、可控地向完全量子安全状态迁移。
有效的解决方案必须能够无缝且自动地管理这种双密钥交换,确保加密敏捷性成为一项核心的、不可妥协的功能。
3. 遵循标准:信任的基石
在网络安全领域,信任建立在可验证的标准之上。在迈向后量子世界时,依赖专有或未经审查的加密方法将引入无法承受的风险。有效的量子安全解决方案必须严格遵守国家标准与技术研究院 (NIST) 正式确定的算法。
图2:标准化和预标准化的PQC算法
NIST标准化意味着算法已经过密码学家多年公开的、全球性的严格审查。实施NIST标准可以保证互操作性和合规性,也确保安全投资建立在当前最坚实的数学基础之上。
偏离标准化算法的解决方案会引入不必要的风险,甚至可能产生新的漏洞。因此,在选择量子安全解决方案时,务必确保使用的是经过批准的PQC算法,如当前基于模块格的密钥封装机制标准 (ML-KEM),以及汉明准循环(HQC)等NIST未来将批准的其他算法。除了用于多供应商通信的标准PQC算法之外,Fortinet还为FortiGate之间的通信提供预标准PQC算法,从而为企业提供额外的灵活性。
4. 增强的灵活性:选择的力量
每个企业都面临着不同的安全挑战。因此,理想的解决方案必须为安全团队提供他们所需的灵活性,使他们能够针对特定任务部署更合适的工具,而无需拆除和更换基础现有的设施。
当前可用的主流量子安全解决方案有两种:基于数学的后量子密码学(PQC) 和基于物理的量子密钥分发 (QKD)。
l PQC: PQC是一种软件解决方案,它非常适合在云、数据中心和终端等多样化环境中进行大规模的、高性价比的部署。它还可以集成到现有的设备、防火墙和VPN网关中,以保护动态流量和数字身份。ML-KEM是当前标准化的PQC算法。
l QKD:QKD是一种高度专业化的、依赖硬件的技术,其安全性基于量子物理原理。不过,它需要通过标准化的ETSI GS QKD 014接口,与主流的QKD供应商集成,以确保互操作性和可管理性。QKD适用于高保障、关键任务链路,例如政府或金融骨干网络的保护,这些场景要求最高级别的安全保障。
一个综合平台如果能同时提供这两种选项,安全团队就能够选择最有效、最强健的防御策略,以满足其安全态势要求。
5.立即行动,布局量子安全战略
要想保护企业免受各种基于量子的威胁,需要一种主动的、可扩展的战略,兼顾实时流量、长周期数据、运营连续性以及多供应商环境。
Fortinet将量子就绪视为一种平台能力,而非单一功能。Fortinet正在全线安全产品组合中嵌入NIST标准化PQC,为高保障链路启用QKD集成,并支持强制性的混合模式,以便随着PQC的广泛采用,为客户提供安全的过渡路径。结合硬件加速的性能优势和一致性管理,这些能力使企业能够从现在开始保护自己数据,并为未来的后量子格局做好充分准备。
