近日，美国国家标准与技术研究院（NIST）发布全球首批3个后量子加密标准，旨在抵御量子计算机的网络攻击。 世界各地的研究人员正在竞相建造量子计算机，这些计算机将以与普通计算机截然不同的方式运行，并可能打破目前为我们在网上所做的几乎所有事情提供安全和隐私的加密。此次宣布的算法在NIST后量子密码学（PQC）标准化项目的第一个完整标准中进行了规定，并可立即使用。 这三个新标准是为未来而制定的。量子计算技术正在迅速发展，一些专家预测，一种能够破解当前加密方法的设备可能会在十年内出现，威胁到个人、组织和整个国家的安全和隐私。 美国商务部副部长Don Graves表示：“量子计算的进步在重申美国作为全球技术强国的地位和推动我们经济安全的未来方面发挥着至关重要的作用。”。“商务部正在尽其所能确保美国在量子领域的竞争力，包括NIST，处于整个政府工作的最前沿。NIST正在提供宝贵的专业知识，为我们的量子挑战开发创新的解决方案，包括组织可以开始实施的后量子密码学等安全措施，以确保我们的后量子未来。随着这项长达十年的努力的继续，我们期待着商务部在这一重要领域继续保持领导地位。” 这些标准——包含加密算法的计算机代码、如何实现它们的说明以及它们的预期用途——是NIST管理的八年努力的结果，NIST在开发加密方面有着悠久的历史。该机构召集了世界各地的密码学专家，构思、提交并评估可以抵抗量子计算机攻击的密码算法。这项新兴技术可能会彻底改变从天气预报到基础物理学再到药物设计的各个领域，但它也带来了威胁。 负责标准和技术的商务部副部长兼NIST主任Laurie E.Locascio表示：“量子计算技术可以成为解决许多社会最棘手问题的力量，新标准代表了NIST确保它不会同时破坏我们的安全的承诺。”。“这些最终确定的标准是NIST保护我们机密电子信息的努力的顶峰。” 加密在现代数字化社会中承载着沉重的负担。它保护了无数的电子机密，如电子邮件、医疗记录和照片库的内容，以及对国家安全至关重要的信息。加密数据可以通过公共计算机网络发送，因为除了发件人和预期收件人外，所有人都无法读取。 加密工具依赖于传统计算机难以或不可能解决的复杂数学问题。然而，一台功能足够强大的量子计算机将能够非常快速地筛选出这些问题的大量潜在解决方案，从而击败当前的加密技术。NIST标准化的算法基于不同的数学问题，这些问题会阻碍传统计算机和量子计算机的发展。 “这些最终确定的标准包括将它们纳入产品和加密系统的说明，”负责PQC标准化项目的NIST数学家Dustin Moody说。“我们鼓励系统管理员立即开始将它们集成到他们的系统中，因为完全集成需要时间。” Moody表示，这些标准是通用加密和保护数字签名的主要工具。 NIST还继续评估另外两套算法，这两套算法将来可以作为备份标准。 其中一组由三种为通用加密设计的算法组成，但基于与最终标准中的通用算法不同类型的数学问题。NIST计划在2024年底前宣布选择其中一两种算法。 第二组包括为数字签名设计的一组更大的算法。为了适应密码学家自2016年首次呼吁提交以来可能提出的任何想法，NIST在2022年要求公众提供额外的算法，并已开始对其进行评估。在不久的将来，NIST预计将宣布该组中的约15种算法，这些算法将进入下一轮测试、评估和分析。 虽然对这两套额外算法的分析将继续进行，但Moody表示，任何后续的PQC标准都将作为NIST此次宣布的三套算法的备份。 他说：“没有必要等待未来的标准。”。“继续使用这三个标准。我们需要做好准备，以防攻击破坏这三个准则中的算法，我们将继续制定备份计划，以确保我们的数据安全。但对于大多数应用程序来说，这些新标准是主要事件。”

近日，美国国家标准与技术研究院（NIST）已在两份出版物中最终确定了其保护敏感信息的最新指南，即受控非保密信息（CUI）：《保护非联邦系统和组织中的受控非机密信息》（NIST特别出版物[SP]800-171，第3版）及其配套出版物《评估受控非机密信息的安全要求》（NIST SP 800-171A，第3版本）。 这些指南要求组织保护CUI，如知识产权和员工健康信息。处理、存储和传输CUI的系统通常支持涉及关键资产的政府项目，如武器系统和通信系统，这些都是对手的潜在目标。 这两份出版物借鉴了NIST的安全和隐私控制源目录（NIST SP 800-53）和评估程序（NIST SP 800-53A）。在此次更新之前，这些文件的措辞与源目录的语言不匹配，可能会造成安全需求的模糊性和安全需求评估的不确定性。该更新旨在解决这些问题，并简化和协调NIST的网络安全指南组合。 “为了我们的私营部门客户，我们希望我们的指导方针清晰、明确，并与联邦机构使用的控制和评估程序目录紧密结合，”NIST的Ron Ross说，他是该出版物的作者之一。“这次更新是朝着这个目标迈出的重要一步。” NIST去年发布了指南草案供公众评论。Ross表示，该更新承认社区有兴趣以机器可读格式提供保护措施，如JSON和Excel，这将有利于网络安全工具开发人员和实施组织。这些替代格式现在可以通过NIST的网络安全和隐私参考工具获得。 他说：“工具制造商通常希望将指南的相关章节直接导入电子表格，以便更容易参考和使用。”。“以这些额外的格式提供指导将使他们能够做到这一点。这将帮助更广泛的用户群体了解需求，并更快、更高效地实施这些需求。” 此外，为了帮助已经使用修订版2的实施者，NIST发布了一份变更分析，详细说明了每项要求的演变过程。 配套出版物SP 800-171A旨在帮助用户评估SP 800-171中的安全要求，以确定是否满足了这些要求。该出版物包括一整套与安全要求变化相对应的更新评估程序，以及说明如何进行安全要求评估的新材料。 在接下来的几个月里，NIST计划修订关于保护与高价值资产和关键项目相关的CUI的其他支持性出版物。这些即将发布的更新将包括NIST SP 800-172（增强安全要求）和NIST SP 800-172A（增强安全需求评估）。