近期,加拿大政府通过其网络中心发布了其在联邦各部门和机构内将非机密 IT 系统迁移至PQC的路线图。
关键里程碑包括:
-
在2026年4月前,制定初步的部门 PQC 迁移计划;
-
在2031年底前,完成高优先级系统的迁移;
-
在2035年底前,全面完成剩余系统的迁移。
加拿大的这一方案概述了三个执行阶段:
-
准备阶段(包括角色、财务规划和采购政策);
-
识别阶段(通过加密发现以清点易受攻击的系统);
-
过渡阶段(规划和执行系统升级、替换、隧道或隔离)。
第一阶段:准备
在准备阶段,各部门和机构将负责制定部门 PQC 迁移计划,以迁移其负责使用 PQC 的系统。 部门 PQC 迁移计划需要在后续阶段的执行过程中不断修订和完善,部门 PQC 迁移计划的初始版本应明确以下职责的负责人:
-
计划执行
-
财务规划
-
教育策略,让员工了解量子威胁以及组织内部迁移的进展
-
新设备采购政策
-
过渡清单
第二阶段:识别
确定密码学的使用位置和方式是迁移到 PQC 的关键步骤。 使用密码学的系统包括:网络服务、操作系统、应用程序、代码开发管道、所有物理 IT 资产,例如服务器机架、台式机、笔记本电脑、移动电话、网络设备、打印机、硬件安全模块、智能卡、硬件令牌。 各部门必须确定哪些系统是迁移到 PQC 的优先考虑对象。
由于“先收集后解密”(HNDL)威胁,网络安全可能比预期更早面临风险。
在识别阶段,各部门应利用清单与相关 IT 供应商和承包商沟通,以确定其产品和服务中实施 PQC 的计划。了解哪些系统组件适合升级或更换,将有助于下一阶段制定过渡计划。
第三阶段:过渡
在过渡阶段,需利用识别阶段所建立的资产清单,规划并执行系统升级、替换、隧道封装及隔离等操作。 除资产清单数据外,过渡阶段的计划还必须考虑各部门在识别与评估解决方案、执行必要采购、测试和部署方面的资源。
针对每个系统的过渡计划通常需要分多个阶段推进,并应与现有的 IT 变更管理流程集成,以确保充分准备,包括:
-
影响评估
-
变更测试的预部署环境
-
变更实施后的运行监测与验证
许多系统在迁移过程中需要保持向后兼容性,以便在一段时间内继续与尚未完成迁移的系统协同运行。
系统过渡的第一阶段可能是支持使用 PQC,第二阶段则为禁用存在漏洞的传统加密算法。
对于某些传统系统,若无法通过升级实现 PQC 支持,则可能需要对整个系统进行替换。为实现迁移里程碑要求,也可能需将此类系统在网络中隔离,或将其流量通过 PQC 保护的封装层进行隧道传输。此类决策应在过渡阶段的规划中予以确定。
尽管早期版本的部门级 PQC 迁移计划可能在过渡阶段部分的细节较为有限,但随着识别工作的推进,该部分内容应持续扩展与完善。
《加拿大政府后量子密码学迁移路线图》.pdfpdf文件633.9K -
暂无评论内容