荷兰审计院近期发布了一份措辞直白的报告,对荷兰中央政府应对量子技术的准备状况作出评估。对于一个自我定位为欧洲量子领域领跑者的国家而言,这份报告读来颇为难堪。
尽管荷兰已建立起繁荣的量子研究生态系统,并在学术领域占据领先地位,但大多数政府机构至今尚未采取任何具体措施,来应对量子计算机未来将对现有密码体系构成的威胁。
这份题为《中央政府量子技术聚焦》的报告共调查了63个政府机构,结果显示:71%的机构尚未启动任何量子威胁防御准备工作;仅有4个机构(占6%)将量子威胁纳入风险管理框架;只有15个机构与供应商就量子安全产品展开过初步沟通;大多数机构也没有指定专门负责该议题的高管。
时机至关重要。荷兰情报与安全总局(AIVD)已发出警告:所谓"Q日"——即量子计算机强大到足以破解现有非对称加密算法的那一天——最早可能在2030年到来。这意味着各机构完成专家所描述的复杂、全机构范围的密码迁移工作,时间已不足四年。
威胁是真实存在的
要理解审计院为何发出警报,首先需要了解荷兰政府在哪些场景中依赖加密技术。这份清单并不短:保护公民和企业的机密信息、控制对防洪设施和桥梁等关键基础设施的访问、通过DigiD(数百万人使用的国家数字身份系统)认证用户登录,以及验证护照和官方文件的真实性。
一旦量子计算机使现有加密技术失效,上述所有应用都将面临风险,后果涵盖身份欺诈、福利支付中断、基础设施受损乃至国家机密泄露。
还有一个因素使2030年的时间节点比表面看起来更为紧迫。安全研究人员和审计院本身均已警示所谓"现在收割、以后解密"攻击的风险:包括国家级对手在内的恶意行为者正在拦截并囤积加密数据,虽然目前无法读取,但他们押注在量子计算成熟之后便能将其破解。这意味着荷兰政府当前传输的敏感数据,已有可能面临未来泄露的风险。威胁并不会等到Q日才开始。
审计院指出了阻碍进展的三大障碍:技术能力不足、专业人才短缺,以及最关键的——机构内部缺乏紧迫感。正因为Q日的确切时间仍不确定,许多机构干脆没有将其列为优先事项。
这种思路存在明显缺陷。迁移至后量子密码学(PQC)绝非一蹴而就:机构需要先梳理密码技术在系统中的嵌入位置,再与供应商协商、更新基础设施、对员工进行再培训。审计院警告,各机构有可能错过启动迁移的最佳时机。
即便是全政府层面密码学框架的出台,在大多数机构中也尚未转化为具体行动。2025年3月,荷兰首席信息官委员会正式采纳了《中央政府密码学政策框架》,要求所有中央政府机构强制执行密码学政策,但审计院发现,许多机构尚未将自身政策与该框架对齐。
治理层面的问题进一步加剧了困境。大多数机构没有指定专门负责量子准备工作的高管。缺乏明确的责任归属,迁移工作往往停留在"原则上认可、实际上无人推进"的状态。
法律框架的滞后
这一安全缺口还牵涉法律层面的复杂性。在阿姆斯特丹执业、长期追踪荷兰数字政策动态的ICT律师维克托·德普斯(Victor de Pous)指出,现行信息安全法律的构建方式存在一个结构性悖论。
现行立法,包括《通用数据保护条例》(GDPR)、NIS2指令以及《网络弹性法案》,均刻意采用技术中立的表述。其初衷是让各机构能够自主识别并应用适当的安全措施,遵循监管机构所说的"技术最新水平"原则。
德普斯在其Newsware新闻简报中写道:"在后量子密码学监管领域,一个悖论由此产生。"他指出,信息安全立法被设计为技术中立,然而量子威胁之深远与复杂,使得各机构"显然无法独立跟上这一领域的'技术最新水平'"。
他认为,这种依赖开放规范和自我监管的方式在实践中行不通。信息安全法的历史经验反复证明,开放规范和自我监管不足以及时提供足够高水平的安全保障,因此他得出结论:进一步监管几乎不可避免。
从NIS1到NIS2的演变过程说明,立法者如何逐步赋予这些开放规范更具体的形态——不仅通过司法解释,更通过补充立法、指导文件和实施细则。他认为,量子威胁将遵循同样的路径。
德普斯列举了多个近期案例,包括1995年《档案法》的现代化改造、政府开源发布的竞争法适配,以及NIS2指令的国内转化,将其描述为"荷兰数字领域立法进程长期滞后的典型案例",并认为这是荷兰监管生态的结构性特征,而非个例。他没有理由相信量子专项法规会走得更快。
投入与落实的落差
与量子领域的投资力度相比,上述安全准备的滞后显得格外刺眼。自2021年以来,荷兰已通过国家增长基金向Quantum Delta NL注入6.15亿欧元。这是一个公私合营项目,旨在围绕代尔夫特、埃因霍温、莱顿、特文特和阿姆斯特丹五个区域中心,发展荷兰量子生态系统。该项目已取得切实成果:建成连接海牙与代尔夫特的量子网络,建立三个量子传感器测试设施,并设立量子初创企业专项基金。国家增长基金咨询委员会对该项目的进展给予高度评价。
审计院的调查结果使荷兰政府处于尴尬境地。作为一个在量子技术上大举投资、将自身定位为欧洲领导者的国家,其雄心壮志与内部安全准备之间的落差,已昭然若揭
Quantum Delta NL预测,到2040年,量子技术有望为荷兰创造8000至18000个就业岗位,仅Quantum Delta项目就可能产生15亿至25亿欧元的经济价值。量子技术已被列为荷兰《国家技术战略》确定的10个优先技术领域之一。2026年3月,荷兰与德国联合启动了TechBridge计划——这是一项聚焦量子技术在航空航天领域应用的合作研发项目,由Quantum Delta NL与空客荷兰技术中心共同参与开发。
在量子机遇侧的投入是真实的、持续的,也获得了国际认可。但在量子威胁侧的准备工作上,情况截然相反。
在对审计院报告的正式回应中,荷兰政府将迁移至后量子密码学定性为"并非可选项,而是必要举措",同时承认迁移过程因涉及大量依赖关系而颇为复杂。
全政府层面的量子战略目前正由经济事务部会同其他部委共同制定,预计于2026年第二季度提交议会审议。截至本文撰写之时,该战略的具体目标和预算均尚未公开。
这一时间节点并非巧合。欧盟委员会预计在同一时期发布拟议中的《量子法案》,该法案将为各成员国设定具有约束力的要求和投资框架。荷兰已表示欢迎欧盟层面的量子战略,同时希望为本国的政策选择和生态系统保留一定空间。两条时间线如何交汇,荷兰政策究竟是主动塑造还是被动回应欧盟框架,目前尚难定论。
全欧共同挑战
荷兰在这一问题上并不孤单。目前没有任何一个欧盟成员国完成了向后量子密码学的全面过渡,欧盟委员会也承认,相关迁移工作在各成员国都将是一项艰难而耗时的任务。
但审计院的调查结果确实令荷兰政府陷入了尴尬境地。作为一个在量子技术上大举投资、将自身定位为欧洲领导者的国家,其雄心壮志与内部安全准备之间的落差,已昭然若揭。
71%这一数字之所以有分量,正是因为它来自一个独立机构,而非商业供应商或游说团体,而是专门负责审计荷兰国家财政管理和政策效力的独立机构。审计院认定大多数政府机构尚未启动准备工作,这一结论迄今未受到公开质疑。
荷兰政府已承认问题的严重性,也认识到需要加快后量子密码学准备工作的步伐,但目前尚未提出一份有资金保障、有明确时间节点的解决方案。对于正在权衡自身PQC迁移计划的机构,以及任何与荷兰政府系统交换敏感数据的实体而言,这一差距才是报告中最值得关注的数字。
Q&A
Q1:荷兰政府在后量子密码学迁移方面面临哪些主要障碍?
A:荷兰审计院指出三大主要障碍:一是技术能力不足,二是专业人才短缺,三是机构内部缺乏紧迫感。由于Q日的确切时间仍不确定,许多机构未将此列为优先事项。此外,大多数机构未指定专门负责量子准备的高管,导致迁移工作缺乏明确责任人,始终停留在"原则认可、无人推进"的状态。
Q2:"现在收割、以后解密"攻击是什么?为什么对荷兰政府构成威胁?
A:"现在收割、以后解密"是指恶意行为者(包括国家级对手)当前拦截并囤积加密数据,虽然目前无法解密,但押注在量子计算成熟后能够破解这些数据。这意味着荷兰政府现在传输的敏感数据已面临未来泄露的风险,威胁不会等到Q日才开始,而是已经在进行中。
Q3:荷兰在量子技术上投入了多少资金,主要用于哪些方向?
A:自2021年起,荷兰通过国家增长基金向Quantum Delta NL注入了6.15亿欧元,围绕代尔夫特、埃因霍温、莱顿、特文特和阿姆斯特丹五个区域中心建设量子生态系统。项目成果包括:建成连接海牙与代尔夫特的量子网络、三个量子传感器测试设施,以及量子初创企业专项基金。预计到2040年,量子技术将为荷兰创造8000至18000个就业岗位。
热门跟贴