日前,国家数据局印发的《关于加强数据科技创新的实施意见》中,三次提及“数据安全”,凸显了其在国家数据战略中的核心地位。然而,在量子计算飞速发展的今天,如何真正保障数据安全,已不再是传统密码技术能够独立解答的命题。一个严峻的现实摆在面前:我国互联网采用后量子密码(PQC)的HTTPS加密流量几乎为零,这与我国数字大国的地位形成鲜明反差。本文将深入探讨,为何只有普及应用后量子密码,才能为我国数据安全筑起一道面向未来的坚不可摧的长城。
一、数据安全的“七寸”:在途加密与身份认证
数据只有在流通中才能创造价值,而流通的核心在于“在途”安全。HTTPS加密作为现代互联网的信任基石,通过在用户端与服务器之间建立加密通道,确保数据在传输过程中既无法被窃取,也无法被篡改。依据《数据安全法》,数据处理涵盖收集、存储、使用等七个环节,但其他六个环节都离不开数据传输。因此,保障数据传输安全,就是抓住了数据安全的“七寸”。依据《密码法》,这一保护必须采用商用密码算法(如国密算法)实现,即部署国密SSL证书,确保数据在全生命周期内处于持续有效的保护状态。
如果说HTTPS加密解决了数据“怎么传”的安全问题,那么以CA机构为核心的PKI体系,则解决了数据“从哪来”、“谁处理”以及“是否可信”的身份认证与责任认定问题。数字证书贯穿数据全生命周期:
• 在途加密:签发SSL证书,为HTTPS加密提供信任起点。
• 身份认证:为数据处理者与使用者签发数字身份,证明其真实可信。
• 行为确权:通过数字签名和时间戳,确保数据处理行为的不可否认性和可追溯性,为《电子签名法》所保障。
• 存储与销毁安全:加密存储的数据即使泄露,只要私钥安全,数据依然安全;数据销毁时,吊销对应加密证书即可实现先逻辑销毁。
这一套由HTTPS加密与数字签名构成的信任体系,是整个数字社会有序运行的底层逻辑。
二、量子计算:悬于传统密码体系之上的“达摩克利斯之剑”
然而,无论是HTTPS加密还是PKI体系,其安全根基都依赖于RSA、ECC、SM2等算法的经典数学难题。量子计算的崛起,正对这些难题构成“降维打击”式的根本性威胁。一旦实用化量子计算机问世,它能在极短时间内破解当前广泛使用的公钥密码,带来灾难性后果:
• 加密通道被穿透:量子计算机可解密截获的历史加密通信数据,这就是“先收集后解密”的现实威胁,用户隐私、商业秘密将完全暴露。
• 信任体系被瓦解:数字签名可被伪造,任何身份都可被冒用,基于PKI的信任链条将瞬间崩塌。
• 威胁具有“追溯性”:今天用传统算法保护的高度敏感数据(如医疗档案、国家机密),因其需长期保密,将暴露在未来量子计算机的威胁之下。
量子计算击中的,正是我们现有数据安全体系的“七寸”。对于需长期保密的数据而言,这并非遥远的前瞻担忧,而是正在发生的现实安全危机。
三、唯一的出路:加速普及后量子密码
应对这场危机,必须立刻启动后量子密码迁移,用能够抵抗量子攻击的新算法替换现有脆弱环节。这要求我们在两大核心领域快速行动:
1. 普及混合PQC算法HTTPS加密
在现有HTTPS加密中,同时结合传统密码算法与后量子密码算法(如SM2+MLKEM768或X25519+MLKEM768),替换易受量子攻击的密钥协商部分。这是全球业界推行的平滑过渡方案,既能兼容现有系统,又能确保即使面对未来量子计算机,数据传输通道的保密性和完整性依然牢不可破。令人瞩目的是,不到一年时间,全球互联网流量中采用混合PQC算法加密的占比已从28%跃升至56%,而我国在这一领域几乎处于空白状态,亟待突破。
2. 采用传统与后量子双数字签名
改造现有数字签名应用,实现传统算法与PQC算法的双数字签名。这不仅兼容现有验签体系,还能同时支持PQC验签,为电子文档、身份认证等应用重建能抵御量子攻击的长期信任基础,确保数据的真实性、完整性与不可否认性在未来依然有效。
普及这两大方案,不仅是技术升级,更是国家数据安全的战略必然。《意见》明确要求“加快数据流通利用基础设施体系建设……保障数据安全”。这需要我国在标准制定、算法研发、产品实现、生态建设等多层面加速布局,特别是在CA证书签发体系、浏览器、操作系统、服务器及关键业务系统中,率先推动支持后量子密码算法和协议栈。
数据安全是数字时代的生命线。当守护这条生命线的核心技术面临量子计算颠覆性威胁时,被动防御毫无胜算。唯有主动出击,通过实施后量子密码HTTPS加密以保障数据流通安全,采用后量子密码数字签名以维护数字信任体系,才能系统性地化解危机。这是一场关乎未来数字主权和网络安全根基的战略行动。只有赢得这场密码算法的代际升级,才能真正实现“数据供得出、流得动、用得好、保安全”,为数字中国建设奠定坚实、可信、面向未来的安全基石。
领取优惠
提交成功!