介绍

量子计算不再是理论物理或高级研究实验室专属的抽象概念。随着 IBM、谷歌等公司以及学术机构不断突破量子极限，能够破解广泛使用的加密技术（例如 RSA-2048 或 ECC-256）的密码相关量子计算机 (CRQC) 可能在几十年内甚至更短时间内问世。

当今加密技术面临的主要威胁并非眼前的漏洞，而是未来量子计算机的到来，这将使RSA和椭圆曲线密码(ECC)等目前安全的算法变得过时。攻击者已经在收集加密数据，期望量子计算的突破（例如Shor算法）最终能够解密这些信息，从而将敏感的长期数据（例如PCI、PHI、PII、知识产权和机密记录）置于风险之中。为了防范这一迫在眉睫的威胁，组织需要主动采用后量子密码(PQC )，并将抗量子解决方案纳入其安全和合规策略。

为此，美国国家标准与技术研究院 (NIST) 启动了一个为期多年的项目，旨在标准化抗量子密码学。2024 年的最终评选引入了旨在替代或补充易受攻击算法的新算法。这些基于硬格问题和哈希构造的新原语，代表着企业在处理密码安全问题方面将发生重大转变。

本文解读了这些算法，评估了它们的优势，并为企业制定了迁移策略。

NIST的后量子密码学计划

为什么 NIST 占据主导地位？

NIST的后量子密码学 (PQC) 项目于 2016 年启动，旨在识别和标准化能够抵御量子攻击的加密和签名方案。该项目旨在评估各种 PQC 候选方案，重点关注两个原语：密钥协商（包括密钥交换、公钥加密和密钥封装机制，简称 KEM）和数字签名。公开竞赛共收到 69 份参赛方案，全球顶尖的密码学家参与了 多轮评估，从而减少了候选方案的数量。评估阶段结束后，每个原语至少会选出一种算法，该算法“能够在未来，包括量子计算机问世之后，很好地保护敏感的政府信息”。

关注这两个因素是必要的，因为像RSA和ECC这样的非对称加密算法依赖于分解大数和求解离散对数问题的难度，而量子计算机可以使用Shor算法有效地解决这些任务。因此，足够强大的量子计算机可以解密由这些算法保护的数据，从而泄露敏感信息。

相比之下，AES等对称加密方法不易受到量子攻击。虽然像 Grover 算法这样的量子算法可能会降低对称加密的有效安全性，但它仍然比非对称加密更难破解。例如，AES-256 的密钥长度在量子攻击面前的强度只会减半，这意味着即使量子计算不断发展，AES-256 仍将保持高度安全。这种固有的弹性使对称算法成为未来密码安全的重要组成部分。

评估标准

每个候选算法都根据 NIST 的后量子密码标准化流程进行了细致评估，采用的标准如下：

• 安全

  安全性是评估过程中最重要的考量因素。评估依据是算法抵御经典攻击和量子攻击的能力，尤其关注它们在数字签名和密钥建立等实际公钥密码应用中提供的安全性。NIST 根据与现有对称密码安全级别相符的多个强度类别对方案进行评估，以确保候选方案能够抵御拥有不同计算资源的对手的攻击。

  其他属性，例如完美前向保密性，也考虑在内，它可以确保即使长期密钥被泄露，会话密钥也能保持安全。全面的安全分析确保所选算法能够有效地保护敏感信息，即使面对密码分析技术的突破或量子计算能力的进步。

• 成本

  成本考虑涵盖算法的性能和资源需求。NIST 评估了关键操作的硬件和软件效率，包括密钥生成、加密/封装、签名、解密/解封装和验证。重要指标包括公钥、密文和签名的大小，因为这些指标直接影响带宽、存储和兼容性，尤其是在受限环境或数据包大小有限的协议中。

  评估还考察了公钥和私钥操作之间的计算时间差异，涵盖了从智能卡等资源受限的设备到高流量服务器等各种用例。此外，还分析了解密失败率（即密文可能无法正确解密），以了解其对可靠性和性能的影响。

• 算法与实现特点

  该标准侧重于适应性、易于实施以及抵御侧信道攻击的能力。评估的指标包括算法在调整安全设置方面的适应性、与各种平台（包括嵌入式设备和大型服务器）的兼容性，以及对功耗分析或时序攻击等实施缺陷的抵御能力。算法设计的复杂性及其对安全编码实践的要求是关键因素，因为确保安全高效的实施对整体安全至关重要。NIST 旨在选择能够在强大的安全保障与实际部署考量之间取得平衡的算法，以实现广泛有效的应用。

  
  

这些标准共同确保了 NIST 的后量子密码标准不仅在数学上是安全的，而且在操作上也是可行的、可扩展的，并且能够抵御量子时代的新兴威胁。

决赛入围者分为两类：

• 标准化算法
• 有前景但需要进一步研究的替代方案

2022 年 7 月，NIST 宣布了标准化以下算法的意图：

• CRYSTALS-Kyber：用于密钥建立（KEM）
• CRYSTALS-Dilithium和Falcon：用于数字签名
• SPHINCS+：一种保守的、无状态的基于哈希的签名方案

最终标准于2024年以FIPS草案的形式正式发布，随后将提供生产级实施建议。除核心算法外，紧凑型高安全性签名方案Falcon和基于代码的密钥封装机制HQC（汉明准循环）也计划很快实现标准化，HQC可提供重要的算法多样性。HQC正在IR 8545下进行，预计将于2027年左右完成。这些算法将补充现有套件，为企业提供更多安全、抗量子的加密基础设施选择。

深入研究 NIST 认可的算法

CRYSTALS-Kyber (ML-KEM)

CRYSTALS-Kyber是一种基于晶格的密钥封装机制 (KEM)，对于寻求保护 TLS、SSH和 VPN 等通信协议免受量子威胁的企业来说尤为重要。

• 类别：基于模块-LWE（带错误学习）的格密码学
• 安全强度：128位、192位和256位级别
• 性能：目前最快的 PQC KEM 之一

Kyber 专为密钥封装而设计，非常适合TLS、SSH 以及其他需要临时会话密钥交换的协议。其性能在速度和大小方面均与经典的Diffie-Hellman算法相当，甚至更胜一筹。其基于格子 (Lattice) 的算法能够抵御量子和经典攻击，并已通过学术密码分析专家的广泛审查。

企业相关性

• TLS 集成：Kyber 正在与 X25519 和 RSA 进行混合模式测试。运行大型 TLS 基础设施（例如银行门户、SaaS 平台）的企业可以使用 OpenSSL PQC 分支在测试环境中试用 Kyber。

• 物联网设备：对于资源受限的环境来说足够高效，可以确保安全固件更新的未来性。

迁移策略

• 在试点环境中启用混合密钥交换（例如，Kyber + X25519）。

• 优先确保关键系统、数据库、API 网关和身份验证服务器之间的通信安全。

CRYSTALS-Dilithium (ML-DSA)

• 类别：基于结构化格（MLWE（带错误的模块学习）、Module-SIS）。
• 安全强度：128位、192位和256位级别

• 性能：比 RSA 和ECDSA更快的签名和验证。

Dilithium速度快，抗侧信道攻击，并且具有简单的恒定时间实现。它高效地平衡了密钥和签名的大小，非常适合用于数字身份认证，包括 X.509 证书、代码签名和物联网固件身份验证。

企业相关性

• 适用于企业 PKI 和数字签名：Dilithium 的高效性能和强大的后量子安全特性使其非常适合保护企业工作流程中的数字签名，例如文档签名、软件更新和身份断言。
• 易于跨基础设施集成：其设计支持确定性签名和直接密钥管理，简化了与遗留系统、云原生服务和 CI/CD 管道的集成，而不会增加加密复杂性。

• 做好合规和标准化的准备：作为具有稳定实施库的 NIST 批准算法，Dilithium 符合监管要求和企业加密敏捷性策略，使其成为可靠的长期选择。

迁移策略

• 使用 Dilithium 和 FALCON 进行签名吞吐量和存储测试。

• 使用这些方案运行固件更新周期模拟来评估实际成本。

SPHINCS+(SLH-DSA)

SPHINCS+是一个基于哈希函数的无状态数字签名方案，它仅基于哈希函数提供强大的安全保障。与基于格的方法不同，SPHINCS+ 不依赖于经典哈希函数之外的假设，这使得它具有高度的保守性和抵御未来各种密码分析突破的弹性。

• 类别：基于哈希（SHA-256/SHA-3）
• 安全强度：SPHINCS+-128 / -192 / -256

• 性能：签名和验证缓慢

SPHINCS+ 并非最高效的后量子签名算法。尽管如此，它的优势在于对复杂数学或代数结构的依赖极小，这使得它具有极强的弹性——即使其他类型的算法失效。

企业相关性

• 长期档案完整性：SPHINCS+ 非常适合对长期文件或记录进行数字签名，其中信任的持久性至关重要，并且针对不可预见的加密进步的未来防护至关重要。
• 监管和法律文件签名：其确定性和无状态性使其对于必须保持数十年可验证的审计跟踪、监管备案和法律证明工作流程具有吸引力。

• 高保证环境：需要高度保守的安全态势的国防、法律、科学或政府部门的企业可以采用 SPHINCS+ 作为基于格的方案的备份或替代方案，从而增强加密灵活性。

迁移策略

• 针对高保证、低吞吐量的应用，有选择地使用 SPHINCS+。
• 将其作为混合证书链中的后备，特别是对于档案 PKI 或时间戳服务。

• 评估性能限制并采用签名大小可管理的非交互式、时间不敏感的系统。

Falcon (FN-DSA)

Falcon（基于快速傅里叶格的紧凑签名）是一种后量子签名方案，旨在实现高安全性和较小的签名尺寸，这使其特别适用于需要带宽效率和严格数据约束的应用程序。

• 类别：NTRU格子+快速傅里叶采样
• 安全强度：Falcon-512（≈128位）、Falcon-1024（≈256位）
• 性能：验证速度快；由于数值复杂，签名速度较慢

Falcon 通过其先进的数学结构（涉及格上的离散高斯采样）实现了紧凑性。尽管签名方面的计算量较大，但它提供了非常快速的验证和紧凑的签名，使其在受限环境中的身份验证和大规模数字操作中具有吸引力。

企业相关性

• 代码签名和安全启动链：Falcon 的紧凑签名大小非常适合签署固件和软件包，特别是在带宽和存储受限的情况下（例如嵌入式系统、汽车 ECU、物联网）。
• PKI 认证：其高速验证有利于高吞吐量证书验证（例如，在 SSL 卸载设备或认证流中的身份断言中）。

• 边缘和 CDN 部署：Falcon 的小签名大小减少了全球分布节点的有效载荷开销，使其成为 CDN 节点、边缘设备和外围轻量级身份验证的理想选择。

迁移策略

• 开始在优先考虑签名紧凑性的系统中集成 Falcon（例如，边缘计算和嵌入式固件）。
• 在 PKI 环境中将 Falcon 与混合签名模型（例如 Falcon + ECDSA）配对，以逐步推出并保证兼容性。

• 在软件签名工作流程中测试 Falcon，以确保签名延迟在操作阈值范围内。

HQC（Hamming Quasi-Cyclic）

HQC（汉明准循环）是一种基于代码的密钥封装机制 (KEM)，其安全性源于汉明度量中随机线性码解码的难度。它是 NIST 选定的三种后量子加密和密钥交换标准化算法之一。

• 类别：基于代码的加密（选择密文攻击下的不可区分性 - IND-CCA）
• 安全强度：HQC-128 / HQC-192 / HQC-256

• 性能：高效的密钥生成和封装；相对较大的密文和公钥大小

HQC 建立在数十年历史的纠错码理论之上，并基于经过深入研究的难题提供强大的安全保障。其设计注重简单性以及对已知量子攻击的抵御能力。

企业相关性

• 通过不受信任的通道进行安全密钥交换：HQC 非常适合在 TLS、VPN、SSH 和加密消息传递等环境中建立加密会话密钥，确保对量子对手的前向保密性。
• 在低信任基础设施中可靠：由于依赖于纠错码和低加密假设，HQC 在敌对或扭曲的通信环境中具有弹性，包括卫星通信、物联网网络和远距离现场设备。
• 企业 PKI 中的混合加密：HQC 非常适合与传统算法（例如 RSA 或 ECC）一起用于混合证书链，提供量子安全保证，而不会破坏传统兼容性。

• 操作灵活性：与 Kyber 等基于格的 KEM 相比，HQC 提供了强大的 IND-CCA2（自适应选择密文攻击下的不可区分性）安全性、恒定时间操作以及对某些侧信道和时序攻击的抵抗力，使其对高保证环境具有吸引力。

迁移策略

• 在混合密钥交换中集成 HQC：在 TLS 1.3 或QUIC（快速 UDP 互联网连接）中将 HQC 与传统算法（例如 ECDH）一起使用，使用 [x25519-HQC] 等混合方案来确保后量子安全性，同时保持向后兼容性。
• 评估带宽影响：在带宽敏感或嵌入式环境中部署 HQC 时，请考虑相对较大的公钥和密文大小。在需要时采用压缩或选择性部署。
• 在量子弹性 VPN 或 TLS 网关中试点：开始在内部 VPN、TLS 终端器或边缘基础设施中测试 HQC，您可以在其中控制环境并评估负载下的性能。

• 在长期安全消息传递中部署 HQC：对于需要前向保密和长期保密的内部消息传递或电子邮件加密系统，HQC 与其他 NIST PQC 决赛入围者一起提供了可行的选择。

比较算法：适用性和权衡

每种 PQC 算法在速度、签名/密钥大小和实现难易程度方面都有不同的权衡。例如，Falcon 最适合需要小签名的协议（例如 DNSSEC），Dilithium 适用于代码签名和证书，而 Kyber 则专为 TLS 等安全通信中的密钥封装而设计。尽管 SPHINCS+ 的签名较大且性能较慢，但在长期安全性和保守设计至关重要的情况下，它更受青睐。

PQC 算法将如何取代当今广泛使用的算法

随着量子计算的进步，传统的公钥密码系统 RSA、Diffie-Hellman 和 ECC 将会被逐步淘汰，因为它们容易受到 Shor 算法及类似攻击。过渡计划包括：

• 直接替换：  Kyber 等 PQC 密钥封装机制 (KEM) 将在 TLS 等协议中取代 RSA 和 ECC，实现安全密钥交换。
• 数字签名：  Dilithium 和 Falcon 等方案将在代码签名、数字证书和文档认证中取代经典的数字签名算法（RSA/ECDSA）。
• 混合方法： 最初，许多应用程序将部署混合加密，结合经典和 PQC 方案，以确保迁移期间的向后兼容性和纵深防御。
• 回滚算法： 如果在新的 PQC 算法普及之前发现其中的漏洞，则可以迅速采用回滚机制或替代的 PQC 候选算法（最近在 NIST 的流程中进行了评估）作为应急措施。

组织应规划分阶段集成，更新库和基础设施以支持经典算法和量子安全算法，并准备管理混合使用传统证书和 PQC 凭证的证书生命周期。早期准备是保护数据免受未来量子威胁并遵守新兴安全标准的关键。

预计 PQC 会带来什么变化？

向后量子密码学 (PQC) 的过渡将对技术格局和安全最佳实践产生深远的影响。预计会出现以下几个关键变化：

• 协议和算法更新： 许多广泛使用的安全协议（例如 TLS、SSH 和 VPN 标准）将需要集成新的 PQC 算法。与传统升级不同，这种转变并非“即插即用”；采用这些协议可能需要对协议规范和实现进行重大更新。
• Dilithium :PQC 算法生成的公钥、密文和数字签名通常比 RSA 或 ECC 算法生成的公钥、密文和数字签名更大。这种规模的增加可能会带来与网络带宽、存储和计算效率相关的挑战，尤其是在嵌入式或资源受限的环境中。
• 从 Diffie-Hellman 和传统密钥交换迁移： 依赖 Diffie-Hellman 或椭圆曲线 Diffie-Hellman 进行密钥交换的协议将需要转向密钥封装机制 (KEM)，例如 Kyber，以抵御量子攻击。
• 混合实现： 鉴于现有算法与新的 PQC 方案相比相对成熟且经过严格审查，许多应用将采用混合模型，将经典方案与抗量子方案相结合。这种方法可以提供纵深防御，并随着 PQC 信心的增强而支持更平稳的迁移。
• 实施信心与警惕性： 由于 PQC 算法较新，且不像 RSA/ECC 那样经历了多年的实际密码分析，因此持续的分析和监控至关重要。组织必须保持灵活性，以便在未来发现漏洞时能够快速缓解。

这些变化凸显了加密敏捷性的重要性，即在不中断基础设施或工作流程的情况下快速无缝地切换加密算法和协议的能力。对于企业而言，加密敏捷性将成为应对PQC采用和持续加密演进过程中不确定性的一项基础能力。

实际实施考虑

硬件就绪性和平台兼容性

虽然 NIST 批准的 PQC 算法主要是为了提高软件效率而设计的，但硬件支持正日益受到关注：

• 选择 CRYSTALS-Kyber 和 Dilithium 的部分原因是它们的实现简单。它们避免了浮点运算，因此在通用 CPU、ARM 微控制器和嵌入式 SoC 上都非常高效。这使得它们成为企业服务器、台式机和物联网设备的理想选择。
• 另一方面，Falcon 使用快速傅里叶变换 (FFT) 和高斯采样，需要高精度浮点运算。不安全的实现可能会因侧信道攻击而泄露私钥，除非它们在恒定时间内精心实现。为了安全使用，Falcon 可能需要硬件加速或具有严格侧信道保护功能的软件库。

• 一些硬件安全模块 ( HSM ) 和可信平台模块 (TPM) 开始支持 PQC 算法，但普及速度缓慢。企业应评估即将推出 PQC 固件支持的供应商。

生命周期和证书管理

1. CSR 大小：随着 Dilithium 等后量子算法的采用，证书签名请求 (CSR) 的大小自然会因公钥规模增大而增大（例如，约 1.5kB）。这为组织提供了一个机会，可以升级其 PKI 基础设施、更新带宽规划并调整 API 限制，从而确保安全运营面向未来。
2. 证书膨胀：嵌入后量子公钥的证书（尤其是在同时使用 ECC 和 PQC 的混合模式下）体积会显著增大。这可能会影响：
   • TLS 握手时间：由于 HQC 签名比传统签名更大，因此在 TLS 握手期间传输它们可能会增加建立安全连接所需的时间，尤其是在速度较慢的网络上或启动许多并发连接时。
   • 证书透明日志大小：证书透明日志用于保存已颁发证书的记录。签名越大，证书整体大小就越大，从而对证书透明日志的存储和处理要求也就越高。
   • OCSP 和 CRL 分发：在线证书状态协议 (OCSP) 响应和证书吊销列表 (CRL) 均包含证书数据。公钥和签名的规模越大，这些响应/列表的大小就越大，从而导致证书状态检查所需的带宽和处理成本增加。

3. 签名验证性能：虽然 Kyber 和 Dilithium 效率较高，但 SPHINCS+ 会显著增加签名生成和验证所需的时间。企业必须对证书验证性能进行基准测试，尤其是在客户端设备和移动平台上。

监管要求

随着 PQC 的采用成为强制性要求：

• 在PCI DSS、FIPS 140-3、NIST、NIS 2、HIPAA等监管标准或合规框架下运营的企业将面临 PQC 就绪度的强制要求。随着 PQC 要求的强制执行，合规性审计将不再仅限于验证加密强度，还将要求提供量子安全就绪度的证据。这意味着组织必须维护一份全面的算法清单，详细列出当前在系统、应用程序、API、数据库和网络组件中使用的所有加密算法。
• 此外，审计人员将期待一份明确的过渡时间表，其中概述了何时以及如何将现有的经典算法（例如 RSA 和 ECC）替换为 NIST 批准的 PQC 算法，包括 CRYSTALS-Kyber（用于密钥交换）和 Dilithium（用于数字签名）。这些步骤将确保组织能够在监管审查期间展示针对量子弹性的主动措施。

• ISO、欧洲电信标准协会 ( ETSI ) 和互联网工程任务组 ( IETF )等标准机构已开始为 X.509、TLS 和 S/MIME 开发兼容 PQC 的更新。企业必须跟踪这些更新，以确保其法律适用性、责任保护和向前兼容性。

企业用例和 PQC 应用场景

企业应根据其加密用例的敏感性和寿命来评估 PQC 的采用情况。随着向后量子密码学过渡的展开，拥抱加密敏捷性（即快速切换加密算法的能力）对于在不中断遗留系统的情况下维护前向安全性至关重要。考虑结合经典算法和量子安全算法的混合实现也至关重要。以下是 NIST 认可的算法直接映射到企业工作流程的具体场景：

• Web 基础设施中的 TLS/SSL： 受量子威胁影响最严重的领域之一是 Web 基础设施，而 TLS 是其中安全通信的基础协议。传统上，TLS 依赖于 RSA 或椭圆曲线 Diffie-Hellman (ECDH) 等公钥算法进行密钥交换，而这两种算法在量子计算机面前都变得不安全。采用 Kyber 作为混合密钥交换的一部分（例如，将 Kyber 与 X25519 或 ECDHE 结合使用），使组织能够协商安全的会话密钥，从而抵御经典攻击和量子攻击。这种方法已在现代加密库（例如集成了开放量子安全 (OQS) 项目的 OpenSSL 3.0）中得到支持，并且已在 Google Chrome 等浏览器中进行了试用。虽然证书大小可能会略有增加，延迟开销也略有增加（通常为 2-5 毫秒），但 Kyber 封装的性能比传统的 RSA-2048 更快，使其成为 Web 平台非常实用的量子安全升级方案。
• 代码签名和软件分发： 随着量子攻击威胁的日益加剧，代码签名和安全的软件分发变得至关重要。如果攻击者掌握了量子技术，他们就可以伪造 ECDSA 或 RSA 签名，从而可能引发灾难性的供应链攻击。为了降低这种风险，企业应该迁移到 Dilithium 或 Falcon 等 PQC 数字签名方案来签名软件更新。在迁移阶段，可以使用混合签名，将经典签名和 PQC 签名相结合，以确保向后兼容性和增强的安全性。集成这些签名的实用工具可以保护移动应用程序更新、容器镜像和其他分布式代码。这可以确保整个软件交付生命周期免受未来量子威胁的侵害。
• 物联网和嵌入式固件： 物联网 (IoT) 和嵌入式设备面临着独特的挑战，包括有限的内存、处理能力以及对高效无线更新的需求。对于这些环境，Falcon 签名的紧凑特性（小至 666 字节）和 Kyber 密钥建立的高效性使其成为绝佳选择。通过采用这些算法，制造商可以确保智能电表、家用路由器和可穿戴设备等设备能够安全地验证固件更新，即使在资源高度受限的情况下也能保护关键基础设施。
• PKI 和身份管理： 企业身份基础设施，例如支撑 Active Directory 的基础设施、用于安全电子邮件的 S/MIME 或用于身份验证的智能卡，都依赖于强大的公钥基础设施 (PKI)。将这些系统迁移到抗量子算法需要精心规划。切实可行的第一步是颁发包含 Dilithium 公钥的测试证书，以便组织能够大规模试行撤销和续订流程。在过渡期间，组织可以创建双路径 PKI 或支持 PQC 的中间层，以同时管理传统证书和抗量子证书，从而降低风险并简化最终的切换。

• 长期存档和法律数字签： 某些类型的数字记录，例如法律、财务或医疗文件，需要数十年保持机密性和完整性。由于保存期较长（20-50年），这些记录特别容易受到未来的量子攻击。对于这些高可信度场景，建议使用基于哈希函数的签名方案，例如 SPHINCS+。SPHINCS+ 完全依赖于哈希函数，即使未来发现针对其他签名算法的数学攻击，也能提供强大的安全保障。这使得它非常适合数字公证系统、托管服务和区块链时间戳等需要长期信任的敏感记录应用。

主要挑战、风险和行业差距

尽管 NIST 批准的 PQC 算法具有良好的特性，但在实际企业采用中仍存在几个关键挑战：

• 基础设施开销： PQC 密钥和签名的规模不断增加，尤其是在结合了传统算法和量子安全算法的混合部署中，可能会给传统系统带来巨大压力。例如，具有硬编码缓冲区限制的网络设备可能无法容纳大型证书，从而导致操作失败或需要进行昂贵的基础设施升级。这些较大的文件还可能在 TLS 协商或 S/MIME 验证等操作中引入可测量的延迟，尤其是在涉及 SPHINCS+ 等算法并处理超大签名的用例中。此外，签名密集型应用程序（例如带附件的 S/MIME 或 PDF 中的数字签名）必须考虑存储和带宽需求的指数级增长。
• 软件生态系统不成熟： 虽然 liboqs 和部分 OpenSSL 版本的开放库现已提供 PQC 支持，但大多数商业加密堆栈仍然滞后。密钥供应商解决方案的 PQC 功能有限。此外，向密钥封装机制 (KEM) 和新抽象接口的转变使集成变得复杂，因为现有 API 通常并非完全兼容。专门用于 PQC 的安全测试工具（包括用于模糊测试、侧信道分析或渗透测试的工具）仍未得到充分开发，这增加了出现细微实施缺陷的风险。
• 实现复杂性： 许多 PQC 方案所依赖的基于格点的算法，如果实施不当，很容易受到缓存时序或功耗分析等旁道攻击。例如，Falcon 要求正确使用恒定时间浮点运算，这在许多嵌入式或传统环境中并不常见。组织还必须升级硬件安全模块、密钥库和密钥库软件，以适应新的密钥类型和大小，这进一步增加了部署复杂性。

• 运营挑战： 在运营方面，PKI 和证书生命周期管理存在诸多障碍。许多证书颁发机构 (CA) 系统和生命周期工具尚未集成与 PQC 兼容的格式，导致自动注册、续订、撤销和监控繁琐或无法获得支持。主流互联网标准（包括 TLS、S/MIME、SSH 和 IPsec）仍在更新以实现 PQC 的无缝集成，而混合协商策略也正在逐步成熟。依赖传统 CA 供应商或专有封闭式加密硬件的企业可能会发现自己被“锁定”，需要等待数年才能获得供应商的支持，从而延迟整体迁移进度。

NIST 实施后持续开展的工作

NIST 在后量子密码学 (PQC) 领域的参与远不止于算法标准化。其重点之一是对其密码模块验证程序 (CMVP) 进行现代化升级，以应对 PQC 和混合密码模块日益增长的数量和复杂性。这确保了供应商能够及时获得认证，从而加快部署抗量子解决方案的能力，同时保持严格的安全标准。

为了支持 PQC 的实际应用，NIST 提供指导、最佳实践和工具，帮助组织识别其环境中的加密用例并有效实施 PQC。NIST 也是 ISO/IEC 和 IETF 等国际标准机构的重要参与者和领导者，致力于在全球范围内协调 PQC 标准和协议，并减少跨国组织管理跨境数据流的障碍。NIST 还促进互操作性测试并与国际标准机构合作，以简化跨行业部署。

除了技术支持之外，NIST 还通过国家网络安全卓越中心 (NCCoE) 等计划与公共和私营部门的利益相关者合作，试行实用的 PQC 部署用例。这些合作包括开发参考架构、安全控制措施和实施蓝图，以便组织机构根据自身特定需求进行调整。重要的是，NIST 认识到 PQC 是一个不断发展的领域。该机构已建立持续评估和面向未来 PQC 标准的机制，包括监测密码分析的进展和量子计算能力的发展。通过协调持续的评估和修订，NIST 帮助确保 PQC 生态系统保持安全性和适应性，使组织机构有信心过渡到量子安全的未来。

战略建议：企业现在应该做什么

业内专家一致认为，向后量子密码学 (PQC) 的过渡正处于关键时刻。鉴于 NIST 公布了 PQC 算法最终候选名单，以及近期一些重要算法的最终确定，许多公司和供应商已开始规划迁移。为了在不断变化的环境中保持领先地位，企业必须积极主动地评估这些发展可能带来的影响，并制定高效的PQC 准备计划。

进行加密发现审计

识别使用加密或数字签名的每个实例：

• 负载均衡器中的 TLS 配置
• VPN 和 IPsec 隧道
• 代码签名和软件更新机制
• PKI 层次结构和证书颁发平台

• SSH 密钥和电子邮件签名基础设施

启动 PQC 试点项目

• 设置颁发基于 Dilithium 的证书的测试 PKI
• 使用 OpenSSL 启用 Kyber 混合 TLS
• 评估档案系统中 SPHINCS+ 签名的性能

• 在 CI/CD 工作流中测试 PQC 以签署和验证软件版本

在系统中构建加密敏捷性

避免对任何加密算法进行硬编码。使用模块化库、可配置的密码套件和版本化协议。推荐使用以下协议栈：

• 具有命名组的 TLS 1.3
• 具有可自定义密钥类型的 SSH

• 带有算法标识符的 S/MIME

与供应商和行业机构合作

参与：

• 您的 CA 和 PKI 提供商请求 PQC 支持时间表
• 云供应商（AWS、Azure、GCP）跟踪其 PQC 基础设施产品

• 标准化机构（ETSI、IETF）及时了解协议变化

定义三阶段迁移路线图

• 2024-2025：库存、试点项目、供应商参与
• 2026-2028：开始分阶段将关键系统迁移到混合模型

• 2029-2035：全面取代传统的基于 RSA/ECC 的加密技术

结合培训计划和董事会层面的意识，以确保预算一致性和业务连续性。

揽阁信息可以在 PQC 提供的帮助

过渡到后量子密码学需要仔细规划、风险评估和专家指导。我们提供结构化方法，帮助组织将 PQC 无缝集成到其安全基础设施中。

• 通过多年的行业经验，以及成为顶级安全厂商的合作伙伴，我们根据您的业务场景和现状进行评估，为您提供定制化的解决方案。

• 评估加密环境的现状，找出当前加密标准和控制（如密钥生命周期管理和 加密 方法）中的差距，并对加密生态系统的任何可能威胁进行彻底分析。

• 根据加密资产和数据对 PQC 迁移的敏感性和关键性进行识别和优先排序。

• 确定可在组织网络中实施以保护敏感信息的 PQC 用例。

• 我们协助确定您的组织所面临的加密挑战、危害和威胁。

• 我们支持无缝迁移到新的 CA、证书和 PQC 算法。

• 我们支持自动化证书和密钥生命周期管理，以实现更强的安全性和持续合规性。

• 确保符合行业标准。

• 我们帮助您了解新的 PQC 算法及其在您的组织中的使用和利用情况。

• 协助认识和克服向后量子加密算法过渡期间的挑战，确保顺利、安全地迁移。

  
  

结论

后量子时代并非遥不可及，它正在迅速逼近，企业迫切需要重新思考如何保障数字信任。NIST 对 Kyber、Dilithium、Falcon 和 SPHINCS+ 等后量子算法的标准化，标志着密码防御策略的重大转变。这些算法不仅仅是替代，它们重新定义了在量子威胁面前保持韧性的意义。对于企业而言，这种转变不仅仅是一项技术挑战，更是业务需求。密码敏捷性、库存评估、风险优先级排序和混合部署模型必须融入企业安全战略。

从安全通信和软件签名到证书管理和硬件集成，堆栈的每个领域都必须通过量子抗性的视角进行审查。最终，这是为了在充满不确定性的未来中构建韧性，确保安全的唯一方法是不断适应。

揽阁信息 · 值得您信赖的信息安全顾问！

相关文章：

• Luna HSM安全性的专题介绍
• 构建包含关键里程碑的 PQC 路线图
• ML-DSA 如何取代 ECC 和 RSA 进行数字签名
• 为金融业的量子转变做好准备
• 审计加密资产清单的首要原因
• 为什么后量子信任始于硬件内部