2024年4月11日,欧盟委员会发布《向后量子密码迁移的协同实施路线图建议》(Recommendation on a Coordinated Implementation Roadmap for the transition to Post-Quantum Cryptography,以下简称“建议”),鼓励成员国制定统一战略,确保不同成员国及其公共部门之间向后量子密码的协调和同步迁移,包括明确的目标、关键里程碑和时间表,以实现保护欧盟公共管理部门数字基础设施及其他关键基础设施服务的目的。

欧盟非常重视加密对数字世界的重要保护作用,《欧盟安全联盟战略》《欧盟网络安全战略》等战略性文件反复强调加密是保护网络安全的关键技术。鉴于量子计算机对公钥加密体系带来的冲击,欧盟加速向后量子密码迁移的战略布局和顶层设计,通过财力支持、人才赋能、统筹协调、产业互动等多方位支撑欧盟向后量子密码迁移。此次发布的建议是欧盟推动整个联盟层面实施后量子密码迁移的又一重要举措,将促进国家间数字系统的互操作性,帮助确保欧盟数字基础设施和服务在下一个数字时代的安全,对于我国的后量子密码迁移进程具有重要参考意义。

建议以《欧盟网络安全战略》提出的政策目标为基础,包括范围和目标、向后量子密码迁移的协同实施路线图、联盟层面行动、评估等四大方面内容,主要聚焦以下两个方面:

一是成立专门机构,推动向后量子密码的迁移。欧盟委员会建议成员国利用联盟层面网络安全领域的现有架构,建立NIS合作小组的分组,即后量子密码分组。分组可以包括国家安全机构的代表和网络安全专家,尤其是来自国家网络安全机构和欧盟网络安全局(ENISA)的代表。后量子密码分组应考虑采取适当、有效和适度的措施制定“向后量子密码迁移的协同实施路线图”(以下简称“路线图”)。鼓励分组与其他相关机构(例如欧洲刑警组织、北约或其他机构)进行讨论,以避免重复工作并确保采取一致的方法应对新挑战。路线图应在两年后发布,随后各成员国根据路线图规定的原则,制定和调整后量子密码迁移计划。

二是强化欧盟委员会的监督和评估。明确欧盟委员会将与成员国的专家代表合作,定期对整体工作进行监督和评估。为保证监督工作顺利进行,成员国应向委员会提交相关信息,以确保委员会能够监督路线图的起草进展,并验证采取措施的有效性。欧盟委员会可以根据成员国提交的信息评估是否需要采取额外行动,包括提出具有约束力的联盟法律。

以下为《向后量子密码迁移的协同实施路线图建议》的中文翻译:

欧盟委员会,

考虑到《欧洲联盟运作条约》,特别是其中的第292条,

考虑到《2022年12月14日欧洲议会和欧盟理事会关于在欧盟范围内实现高共同水平网络安全措施的(欧盟)2022/2555号指令,修订第910/2014号条例和第2018/1972号指令,并废除第2016/1148号指令》(NIS2指令)。

鉴于:

(1)保护数据和敏感通信安全对欧盟的社会、经济、安全和繁荣至关重要。网络安全对于建设“适合数字时代的欧洲”具有重要战略意义,也是数字十年政策的关键目标。

(2)《欧盟安全联盟战略》和《欧盟网络安全战略》都强调,加密是实现弹性、技术主权和建设预防网络攻击行动能力的关键技术。实际上,加密对数字世界至关重要,可以确保数字系统和交易的安全,保护一系列基本权利并确保防御能力。各国和私营实体竞相发展量子计算能力,挖掘新的潜在机遇,对当前密码标准构成威胁。这些标准在确保数据保密性和完整性、保护敏感通信以及支持网络安全基本要素方面发挥着关键作用。

(3)未来量子计算机的潜在发展能够破解当今的密码技术,因此欧洲有必要寻求更强大的保障措施,确保敏感通信的保护和机密信息的长期完整性,即尽快向后量子密码迁移。这种新型密码将消除当前非对称加密技术的已知漏洞,并增强抵御恶意使用量子计算机所造成威胁的能力。

(4)十多年来,委员会一直在资助后量子密码的研究和开发,因为已经认识到量子计算对目前公钥密码构成潜在威胁。

(5)成员国应考虑尽快将其当前的数字基础设施和为公共管理及其他关键基础设施提供的服务向后量子密码迁移,从而引发加密算法、协议和系统的根本性转变。正如欧盟委员会最近发布的《如何掌握欧洲数字基础设施需求白皮书》中所强调的,这需要政府机构、标准化机构、行业利益相关者、研究人员和网络安全专业人员的共同努力。

(6)本建议鼓励成员国制定一项关于后量子密码的全面战略,以确保不同成员国及其公共部门之间进行协调和同步的迁移。该战略应制定明确的目标、里程碑和时间表,从而确定路线图。这将促使后量子密码技术通过混合方案部署到整个联盟的现有公共管理系统和关键基础设施中,可将后量子密码与现有加密方法或量子密钥分发相结合。

(7)为有效向后量子密码迁移,路线图应提供成员国需要采取的行动清单,包括对后量子密码算法的考虑,为不同阶段要达到的里程碑制定时间表,同时考虑各阶段的相互依存关系及参与的利益相关方。

(8)为在联盟层面统一实施后量子密码,必须制定共同的欧洲标准,并建立一个用于识别和选择后量子密码算法的框架,以便在全联盟的数字网络和服务中进行部署。通过欧盟资助的研究人员的积极参与,欧盟已经在国际后量子密码选择过程中对后量子密码算法候选标准的开发和测试提供支持。本建议鼓励成员国在联盟层面与欧盟网络安全专家、NIS合作小组和ENISA密切合作,评估和选择适当的后量子密码算法,并将其作为欧盟标准在欧盟统一实施。

(9)成员国和联盟应继续与国际战略伙伴积极合作,制定后量子密码国际标准,以确保未来通信的互操作性。

(10)一旦成员国达成一致意见,路线图应成为确定国家向后量子密码迁移计划的蓝图,或在已有国家计划的情况下,使其与路线图保持一致。

(11)为确保在实现本建议的目标方面取得进展,委员会计划密切监督根据本建议采取的行动。因此,鼓励成员国根据委员会的要求,提交委员会可合理预期其提供的所有相关信息,以确保这种监督。委员会将根据由此获得的信息和所有其他可用信息,评估本建议的影响,并确定是否需要采取其他步骤,包括提出具有约束力的联盟法律行为。

本建议以《欧盟网络安全战略》提出的政策目标为基础,旨在提高欧盟数字基础设施及公共管理和其他关键基础设施服务的端到端安全和弹性;本建议服务于数字单一市场和就《欧洲经济安全战略》向欧洲议会、欧洲理事会和欧洲委员会联合致函(10919/236)中的目标;本建议考虑了关键基础设施面临的物理风险和网络安全风险,以及在最近进行的量子技术风险评估中确定的风险。本建议尊重基本权利保障原则,特别是《欧盟基本权利宪章》(第7条、第8条和第11条)和《欧洲人权公约》(第8条和第10条)所承认的原则,这意味着政府有积极的义务将非法获取和控制信息的风险降至最低,这就需要保护和推广密码技术。

已经采纳本建议:

1.范围和目标

本建议旨在促进向后量子密码的迁移,以保护欧盟公共管理部门和其他关键基础设施的数字基础设施和服务,使成员国能够:

(1)确定路线图,使成员国能够同步设计和实施国家迁移计划,同时确保跨境互操作性;

(2)在网络安全专家帮助下,支持评估和选择相关的后量子密码欧盟算法,将其作为欧盟标准和路线图的一部分在整个欧盟实施;

(3)采取适当和适度措施为向后量子密码迁移做好准备。

2.路线图

(4)本建议鼓励成员国通过专门的成员国论坛在联盟层面协调其行动。为此,委员会建议成员国利用联盟一级在网络安全领域的现有架构,建立NIS合作小组的分组。分组可包括国家安全机构的代表和网络安全专家,特别是来自国家网络安全机构和ENISA。分组可邀请利益相关方的代表参与其工作,如公共组织、行业、服务提供商和运营商的咨询机构代表,就不同部门数字基础设施和公共管理部门及其他关键基础设施的服务向后量子密码迁移的问题收集意见和交流信息,根据欧盟竞争规则和欧盟数据保护法,协调各国作出的努力并制定路线图。

(5)后量子密码分组应考虑采取适当、有效和适度的措施,以确定并协调路线图的制定工作。鼓励后量子密码分组与其他相关机构,如欧洲刑警组织、北约或其他机构进行讨论,以避免重复工作,确保采取协调一致的方式应对新挑战。

(6)为此,在本建议发布后不久,请成员国根据欧盟委员会执行决定(EU)2017/179成立后量子密码分组,并任命与欧盟委员会密切合作的专家代表,由其负责确定和制定路线图。

(7)路线图应在本建议发布两年后出台,随后各成员国根据路线图确定的原则,制定并进一步调整各自向后量子密码迁移的计划。

3.联盟层面的行动

(8)委员会将与成员国的专家代表合作,定期对整体工作进行监督和评估。

(9)为此,委员会可要求成员国代表提交可合理预期其提供的所有相关信息,以确保监督路线图的起草进展以及上述措施的有效性。

(10)委员会将根据上述资料和所有其他现有信息,评估所设计的措施和成员国代表的网络运行情况,并确定是否需要采取额外行动,包括提出具有约束力的联盟法律。

4.评估

成员国应与委员会合作,在本建议发布最长三年后对其影响进行评估,以确定适当的前进方向。评估应考虑到各国专家组成的后量子密码分组的工作成果。

建议原文链接:

https://digital-strategy.ec.europa.eu/en/library/recommendation-coordinated-implementation-roadmap-transition-post-quantum-cryptography

声明:本文来自苏州信息安全法学所,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。