我们向DPMC关键基础设施咨询提交了意见——以下是我们的陈述内容
今天,在咨询截止日,我们向总理内阁部提交了正式回应,针对其发布的关于加强新西兰关键基础设施系统网络安全的讨论文件。
我们的提交聚焦于在所有三份已发布咨询文件中发现的一个空白:没有任何实质性提及密码学、密码敏捷性、后量子密码学(PQC)或 NZISM 第 2.4 节。对主文件及两份补充文件进行全文检索,仅返回偶发性匹配——”NZISM”在定义”严重影响”事件时被顺带引用,”quantum”则以其法律含义(”罚款额度”)出现。
这一问题至关重要,因为所提议的框架将决定新西兰最重要的服务在未来十年如何保障自身安全——而在这一时期,互联网的密码学基础预计将发生根本性变化。
我们提交的内容
我们的提交提出了三项建议:
- 措施5应明确要求建立密码学清单,作为强制性风险管理计划的一部分——以便关键基础设施实体了解其基本服务所依赖的密码学原语。
- 该框架应将”现在收割、日后解密”(HNDL)列为实质性网络安全风险,适用于具有较长保密期的数据——包括医疗、法律、金融、政府相关及工业知识产权数据。
- NZISM 应被明确列入措施5下可接受的网络安全框架之中,与 NIST CSF 和 ISO/IEC 27001:2022 并列——且对任何列入框架的合规性应涵盖其密码学控制措施,而不仅限于治理和流程控制。
证据基础
本次提交以我们的新西兰关键基础设施 PQC 就绪评估为依据——该评估对跨越 DPMC 全部七个基本服务领域的 118 个新西兰关键基础设施实体进行了扫描。主要发现:52.6% 的端点协商了后量子 TLS,但其中大多数是由 CDN 透明交付的。仅有 13 个实体(11%)在其自行运营的基础设施上部署了后量子密钥交换。
我们还阐述了过去十二个月威胁时间线的进一步明朗化——Gidney 2025 年的量子比特缩减研究、Google 和 Cloudflare 的 2029 年迁移目标,以及 Google Quantum AI 2026 年 3 月发布的 ECC 论文——并说明了为何新西兰目前是五眼联盟中唯一尚未设定正式 PQC 迁移截止期限的国家。
阅读完整提交内容
完整提交 PDF 已公开发布:
我们已同意依据《1982年官方信息法》进行完全公开发布。我们认为,这一对话应在公开环境中进行。
后续步骤
DPMC 将审查各方提交内容,并以此为依据起草《关键基础设施法案》,预计将于 2026 年晚些时候提交立法。我们希望最终框架能够认识到,密码学态势并非小众关切——它是该制度所提议的所有其他网络安全控制措施的基础。
如果贵组织处理具有较长保密期的数据,并希望了解自身的密码学风险敞口,欢迎联系我们。
Kaysec 是 Spinsphere 旗下的后量子安全业务部门,Spinsphere 是一家总部位于新西兰的量子技术公司。我们为新西兰各组织提供密码学清单梳理、HNDL 风险评估及 PQC 迁移规划服务。
English
日本語
简体中文
한국어