很少有企業(yè)會做5或10年的戰(zhàn)略規(guī)劃，但事關數(shù)據(jù)加密，CISO卻必須擴展自己的視野。

這是因為，雖然今天的加密算法能夠抵擋現(xiàn)代計算機的攻擊。

等到量子計算機成為現(xiàn)實的時候才采取行動是毫無意義的。

量子解密系統(tǒng)投入實用的時間表可能比你想象的更短，足夠穩(wěn)定的量子計算機將在5到10年之內出現(xiàn)。

量子計算的成功是CISO的夢魘最近幾年，量子計算機以極快的速度從研究階段邁向商業(yè)實用。

量子計算機引入了全新的計算架構，能夠在幾毫秒或數(shù)分鐘之內就破解掉當今最健壯的非對稱密鑰加密。

IBM已通過其 IBM Q 服務提供量子計算機即服務訪問業(yè)務。

澳大利亞政府將南威爾士大學量子技術研究員 Michelle Simmons 教授評為2018澳大利亞年度人物，彰顯澳大利亞研究人員在商業(yè)化量子計算機方面的全球領先水平。

量子計算提供的強大算力，是復雜數(shù)據(jù)集快速建模、分子間相互作用探索、新藥研發(fā)和復雜工程問題毫秒級解決的重要支撐。

但其強大能力伴隨著信息安全代價。

信息安全如今很大程度上基于大數(shù)因數(shù)分解的復雜性——此處的大數(shù)是加密時通過兩個大素數(shù)相乘而產生的。

傳統(tǒng)電子計算機需要幾百萬年的時間才能從數(shù)萬萬億可能組合中暴力猜解出正確的那對因數(shù)，而量子計算機的迥異設計——如數(shù)學家 Peter Shor 于1994年時證明的那樣，在眨眼間就能完成因數(shù)分解問題，突破復雜RSA加密。

我們甚至無需用到量子計算機就能證明量子計算能夠突破RSA加密。

秀爾算法(Shor)已經證明了只要擁有足夠穩(wěn)定的量子計算機，就能破解RSA加密。

數(shù)據(jù)比加密方法更長壽對大多數(shù)人來說，量子計算機制或許遙不可及。

但安全人員卻能切身體會到敏感數(shù)據(jù)可被惡意黑客解密的深遠后果。

量子計算猛然突破我們的大量防御措施，就好像這世上的罪犯突然間手握每個保險箱的鑰匙一樣。

量子計算對安全的影響非常巨大，而大型公司企業(yè)做出改變需要時間，所以安全團隊必須盡快著手能做的預防工作。

量子解密攻擊不太可能是普通黑客能做的事兒，攻擊者極有可能是國家支持的黑客團隊，他們的目標明確指向敏感國家安全、金融或基礎設施資產。

CISO面臨特別嚴重的威脅，因為個人可識別信息(PII)的保護是伴隨信息所有者終生的。

信用卡如果被黑還可以換個卡號，但僅僅因為擔心量子計算機就讓人修改他們的生日和性別卻是不現(xiàn)實的。

個人數(shù)據(jù)伴隨終生，平均大約還有60年壽命。

只要能在這有生之年解密這些數(shù)據(jù)，量子計算機的威脅對人來說就是永恒的。

如果能在未來5至10年內訪問這些加密數(shù)據(jù)，黑客就能連點成線，造成比現(xiàn)今的攻擊者更加嚴重的危害。

備戰(zhàn)后量子時代DigiCert是推動建立抗量子加密標準的先行者。

互聯(lián)網信任完全基于加密數(shù)字證書，出于對即將到來的量子時代可能摧毀該互聯(lián)網信任生態(tài)系統(tǒng)的考慮，該公司在2017年年中買下了賽門鐵克的網站安全與公鑰基礎設施業(yè)務。

該公司最近與加密巨頭Gemalto和量子安全公司 ISARA Corp 合作開發(fā)抗量子數(shù)字證書，并積極參與美國國家標準與技術局(NIST)主導的后量子加密(PQC)標準化工作。

PQC項目最近提名了26個備選算法作為今年晚些時候將公布的正式標準的 “半決賽入圍選手”。

不過，DigiCert已經推出了PQC合規(guī)算法，并且開發(fā)了能夠配合傳統(tǒng)加密算法使用的混合加密方法。

該技術為現(xiàn)有數(shù)據(jù)資產提供了適應未來的一種方式，并且現(xiàn)在就可供客戶部署。

面對遷移挑戰(zhàn)即便PQC標準即將最終敲定，CISO仍面臨著一個更大的問題：如何讓公司高層支持對當今數(shù)據(jù)保護中位于核心地位的現(xiàn)有加密生態(tài)系統(tǒng)的完全顛覆?如果解決方案可用且已經通過了測試，為什么不現(xiàn)在就部署呢?這是因為，由于軟件開發(fā)上的延遲，即便MD5散列算法早已告破且被宣告不適用于加密，業(yè)界仍然難以停止使用該老舊算法。

盡管PQC實現(xiàn)從技術上看早已萬事俱備，但很多CISO仍缺公司管理層的支持這一東風——有些公司高層只愿拿出僅夠應付當前安全需求的資源，對可支持未來景氣周期的投入嚴重不足。

有些高管甚至認為量子計算根本不能成真。

讓這些高管了解量子計算技術相關風險，爭取他們的支持，是CISO面臨的一大挑戰(zhàn)。

另外還有來自第三方的風險——很多公司如今在業(yè)務職能和技術服務交付上都依賴第三方。

與其他安全風險類似，后量子時代的真正彈性，需要供應鏈每個成員都做出同樣的遷移，而這需要時間。

需對即將到來的風險做好規(guī)劃，公司董事會和員工都需要安全團隊知會量子計算即將帶來的風險。

公司企業(yè)應先用混合數(shù)字證書進行概念驗證，在傳統(tǒng)設備和物聯(lián)網設備等新型裝置上探索它們的使用。

從攻擊者的角度出發(fā)，已經在嘗試PQC解決方案的銀行、保險公司或IT公司就可以從目標列表中劃去了，因為攻擊者知道這類公司的CISO早已將量子計算機視作重大安全威脅了。