CISA发布后量子密码学产品分类 加速联邦迁移进程

CISA发布后量子密码学产品分类 支持联邦迁移工作

美国网络安全与基础设施安全局（CISA）近日发布并将定期更新一份涵盖后量子密码学（PQC）标准的硬件和软件产品分类清单。此举旨在响应2025年6月6日签署的第14306号行政令（EO 14306）——《持续加强国家网络安全的特定工作，并修订第13694号和第14144号行政令》。

核心内容

CISA的资源旨在通过提供结构化框架，帮助联邦机构识别符合新兴密码标准的技术，从而加速PQC采用。该清单将产品分为硬件和软件两大类别，并提供示例分类，以指导采购和实施工作。尽管完整细节可在CISA官方资源页面查阅，但这些分类旨在帮助组织从量子脆弱性密码算法（如RSA和ECC）过渡。

技术背景

后量子密码学指被认为能抵御经典计算机和量子计算机攻击的密码算法。随着**美国国家标准与技术研究院（NIST）**于2024年完成PQC标准化流程，联邦机构现已被要求优先采用符合PQC标准的解决方案。CISA的产品分类与NIST批准的算法保持一致，包括：

• CRYSTALS-Kyber（密钥封装）
• CRYSTALS-Dilithium（数字签名）
• SPHINCS+（基于哈希的签名）

影响与后续步骤

此次产品分类的发布凸显了联邦机构和关键基础设施提供商PQC迁移的紧迫性。CISA建议各组织采取以下措施：

1. 评估当前密码依赖性，识别依赖量子脆弱性算法的系统。
2. 审查CISA的产品分类，评估适用于硬件和软件的PQC合规替代方案。
3. 制定分阶段迁移计划，与NIST指南和联邦要求保持一致。
4. 持续关注CISA的更新，因该机构将根据标准演进和市场供应情况调整分类。

CISA的资源为联邦机构应对向量子抗性密码学的复杂过渡提供了关键工具，确保符合EO 14306要求，同时降低长期网络安全风险。