介绍

想象一下这样一个世界，黑客可以轻易破解保护您最敏感信息的加密。随着量子计算的潜在挑战即将到来，这种情况可能会成为现实。密码学在保护数据和验证其真实性方面发挥着至关重要的作用，但传统方法很容易受到这些强大机器的攻击。

本文探讨了两个关键指南，CNSA 2.0 和 FIPS 140-3，以帮助您为向后量子密码 (PQC) 算法（安全数据保护的未来）的过渡做好准备。

了解 CNSA 2.0 和 FIPS 140-3

• CNSA 2.0：强大算法的基础
  美国国家安全局 (NSA) 的 CNSA Suite 指定了一套强大且安全的加密算法，用于保护敏感的美国政府信息。它侧重于“什么”——针对加密和数字签名等任务的推荐算法。CNSA 2.0 于 2022 年 9 月发布，引入了 PQC 算法的首批建议，为更平稳的过渡铺平了道路。CNSA2.0 已声明以下过渡时间表，概述了实施 PQC 的紧急用例以及截止日期：

• 软件和固件签名：立即开始过渡，到2025 年支持并优先使用 CNSA 2.0 ，到 2030 年专门使用 CNSA 2.0。

• 网络浏览器/服务器和云服务：到2025 年支持并优先使用 CNSA 2.0 ，到 2033 年专门使用 CNSA 2.0。

• 传统网络设备（如虚拟专用网络、路由器）：到2026 年支持并优先使用 CNSA 2.0 ，到 2030 年专门使用 CNSA 2.0。

• 操作系统：2027年支持并优先使用CNSA 2.0 ，2033年专门使用CNSA 2.0。<

您可以在此处的官方常见问题解答中找到有关分阶段方法的更多详细信息。https://media.defense.gov/2022/Sep/07/2003071836/-1/-1/0/CSI_CNSA_2.0_FAQ_.PDF

• FIPS 140-3：确保安全实施
  NIST 发布的 FIPS 140（联邦信息处理标准 140）是一项独特的标准，概述了加密模块的安全要求。与 CNSA Crypto 不同，它专注于“如何”——确保实施这些算法的模块在整个生命周期内都是安全的。由于注重最佳实践，FIPS 140 在全球范围内得到了更广泛的采用。虽然 FIPS 140-3（自 2019 年 9 月起生效）本身尚未纳入 PQC，但基础已经奠定，以便未来的更新可以适应 PQC 实施。以下是 FIPS 140-3 中关键更新的摘要（https://csrc.nist.gov/pubs/fips/140-3/final）：
• 支持混合部署，包括硬件、固件、软件和组合。
• 纳入 ISO 标准以实现更广泛的兼容性（与 ISO/IEC 19790:2012(E) 一致）。

• 为PQC算法认证做准备。

类比：加密货币的食谱和餐厅

想象一下，CNSA Crypto 是一本食谱书，其中包含用于安全数据保护的可信食谱（算法）。FIPS 140-3 的功能类似于餐厅认证程序。无论使用哪种具体食谱，它都可以验证厨房（加密模块）是否保持清洁安全的环境（安全措施）。获得 FIPS 140-3 认证是一个复杂的过程，需要对加密和实施环境进行评估。

保障你的加密未来

毫无疑问，过渡到 PQC 算法对于确保持续的数据安全至关重要。以下是帮助您入门的路线图：

1. 随时了解最新信息：定期查看 NIST PQC 项目页面了解最新信息。还可考虑订阅相关资源，如 NIST PQC 项目页面和揽阁信息官网更新的文章，了解最新信息。ANSSI、BSI 等全球监管机构都将根据 NIST PQC 项目更新其指导方针，因此请务必随时了解您所在地区的法规。

   
   

2. 评估您的加密环境：进行风险评估以了解您当前的加密用例和依赖关系。考虑利用 Thales PQC 评估工具。

   
   

3. 制定全面的分阶段过渡计划：与安全顾问合作制定迁移到 CNSA 2.0 和 PQC 算法的完整计划，并根据您的特定需求和 CNSA 指南确定优先顺序。过渡将需要相当长的时间，因此抢占先机对于确保顺利过渡至关重要。

   
   

4. 拥抱 PQC 准备：探索 Thales Luna PQC 入门套件，这是一个用于测试和集成 PQC 算法的安全环境。这款经 FIPS 140-3 认证的 HSM 解决方案可让您在过渡方面领先一步（Thales Luna PQC 入门套件）。对于动态数据，Thales HSE（高速网络链路加密机）产品也提供了 PQC 入门套件。

通过遵循这些步骤并利用专家的指导，您可以确保组织的加密基础设施具有稳健性并能够应对量子计算的挑战。

欢迎您联系揽阁信息，我们作为Thales的合作伙伴，可以为您提供支持PQC的Thales Luna HSM和Thales HSE等产品的全部您所需要的资料和信息。

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• 什么是 SafeNet Luna Network HSM 7 和 Thales Luna Network HSM 7？

• 后量子密码学 (PQC) 迁移：保护您的数据免受量子威胁

• 配有HSM的自动化证书生命周期管理，如何帮助减轻TLS/SSL证书风险？

• 使用代码签名信任链预防网络威胁

• 后量子密码（PQC）解决方案