后量子发现作为治理能力:关键服务提供商中基于证据的密码学可见性和暴露优先级
后量子密码学(PQC)就绪的制约因素日益不再来自算法可用性,而是密码可见性、依赖关系复杂性及碎片化治理。本文呈现了一个欧洲大型关键服务提供商的匿名案例研究,该机构通过"先发现"策略启动PQC就绪工作,利用工具支持的密码清单建立迁移规划前的循证基线。发现阶段揭示了系统性挑战,包括密码所有权分散、传统与现代环境间证据质量不均衡,以及对第三方密码路线图的高度依赖。为将这些发现可操作化,该组织引入了结构化的暴露登记册,基于资产关键性、机密寿命和迁移可行性实现优先级排序。该团队认为,PQC发现应被理解为一种治理能力,能够稳定组织知识并将密码不确定性转化为可衡量的问责机制,从而支持基于风险的决策和生态系统协调。研究结果为在"先收后解"威胁模型下追求密码敏捷性和韧性的机构提供了可操作的经验教训。
