量子啟示錄即將到來。聽起來很嚇人？嗯，可以。如果您有需要保持安全和私密的信息、系統和設備，您的組織需要做好準備。

專家估計，在未來6-10年內，加密算法現在作為我們用來保護當今連接工業應用幾乎每個方面的安全技術的基石，可能很容易被下一代量子計算機擊敗。

量子計算使RSA和ECC加密算法過時的不可避免的一天可能對社會造成嚴重損害，以至于安全部門將其視為“量子密碼啟示錄”。這種炒作并非沒有根據。RSA 和 ECC 加密用于保護各行各業的每個數據源和系統：工廠、數據農場、公用事業、電子商務和銀行系統、運輸、通信網絡等等。

是的，量子計算機是大型、龐大、復雜和昂貴的系統，起初只有主要的國際技術組織才能負擔得起。然而，它們的使用隨后可以傳播到各個民族國家，并最終傳播到網絡犯罪分子和黑客。

好消息是，制造業和科技行業現在可以采取一些措施。

分階段遷移到量子安全加密

遷移到量子安全加密算法將需要規劃和更新多個系統。最終，這將包括制造業使用的機器和在裝配線上推出的產品。他們都需要得到保護。此外，該公司的內部數據管理和通信系統，以及第三方應用程序、服務器和系統都需要更新。

工程師和開發團隊必須立即開始計劃遷移到量子安全加密。對于工廠和大型企業來說，這些措施將是一項重大任務。

幸運的是，不必同時更新所有系統。

通過使用“混合證書”（同時具有傳統 RSA 或 ECC 密鑰和新的量子安全密鑰的安全證書），制造商和開發人員可以進行漸進但安全的遷移。混合證書將使尚不支持量子安全加密的設備能夠同時與支持量子安全加密的新系統配合使用。因此，支持關鍵系統逐步遷移到量子安全加密。

為了完成遷移，一旦所有系統都升級為支持量子安全加密，就可以丟棄混合證書，轉而使用純量子安全證書。但是，對于這種演變，有多種途徑需要考慮。

一些公司可能會選擇直接從傳統加密轉移到量子安全加密，而無需混合證書過渡期。

對于所有系統可以同時升級到純量子安全證書的工業和企業環境，可以跳過混合證書的過渡期。但是，這種更快的直接遷移會帶來更大的風險。如果任何系統未正確更新，它將不再能夠與其他系統通信。

直接或混合遷移計劃的步驟

直接或混合遷移計劃需要執行以下六個步驟。

（組織成功遷移到量子安全加密需要六個步驟，無論是直接升級還是使用混合證書。

升級到量子安全的 PKI 安全基礎架構

遷移到量子安全加密的第一步是升級公鑰基礎結構 （PKI），包括證書頒發機構，以便利用量子安全加密算法。與其嘗試升級內部PKI系統，這可能是公司遷移到商業證書頒發機構（CA）的理想時機，例如Sectigo，它可以為量子安全加密算法提供商業支持。

無論是遷移到內部 PKI 系統還是調整商業供應商的解決方案，CA 都必須為量子安全加密算法和量子安全證書頒發提供支持。如果 IT 安全團隊選擇使用混合證書，則必須選擇同時支持混合證書和純量子安全證書的 CA。

組織升級其現有 CA 或選擇新 CA 后，CA 必須頒發新的量子安全根證書和中間證書。

更新服務器應用程序以識別和使用新的加密算法

遷移到量子安全加密需要更新服務器應用程序使用的加密庫，以支持新的加密算法和新的量子安全證書格式，包括混合證書（如果使用）。如果使用混合證書，服務器應用程序將需要識別和處理傳統的 RSA/ECC 證書和包含量子安全加密密鑰的混合證書。這要求服務器應用程序區分兩種不同的證書類型，并使用該證書類型的正確加密算法處理每種證書類型。

更新客戶端加密算法

接下來，IT和開發團隊還需要更新各種客戶端應用程序，以使用量子安全加密算法。完全安全地升級后，管理員可以停止在客戶端應用程序中使用傳統的 RSA/ECC 密鑰/證書，轉而使用新的量子安全等效項。

此策略的例外是客戶端應用程序與多個服務器應用程序通信，這些應用程序可能不會同時升級到量子安全加密。在這種情況下，混合證書將允許客戶端使用支持傳統RSA/ECC加密的服務器，同時，對支持這些新算法的服務器使用量子安全算法。

在所有系統上安裝量子安全根

每個使用 PKI 的安全系統都有一個受信任的根存儲。此根存儲包含在 PKI 系統中頒發證書的根 CA 和中間 CA 的證書。更新系統以支持量子安全加密算法后，還必須更新這些根存儲以添加新的根證書和中間證書。

向連接的設備和應用程序頒發新的量子安全證書

在 IT 團隊更新公司的所有系統以支持量子安全加密后，他們必須頒發新證書并將其安裝在所有端點上。完成后，每個設備都可以開始使用量子安全的加密算法，如新證書所啟用的那樣。

最后一步 – 擺脫舊的

遷移到量子安全加密的最后一步是棄用傳統的加密算法，以便不再使用它們。這可以在遷移到新算法的應用程序和系統上逐步完成。遷移完所有系統后，應吊銷根 ECC 和 RSA 證書，確保它們不被任何系統使用。

轉向自動化證書管理的好時機

遷移到新的加密算法和PKI系統將需要頒發大量新證書，因為每個設備/應用程序都需要新證書。對于尚不支持自動證書管理的組織，現在是考慮實施自動化工具的絕佳時機。

如今，有一些易于使用的證書管理平臺既支持自動證書發現和續訂，以確保系統不會因證書過期而失敗，又減輕在設備和系統上安裝新證書的管理負擔。對于考慮新的PKI解決方案的安全團隊來說，對自動化工具的支持應該是重中之重。

審核編輯：郭婷