后量子密码学 (PQC)是我们保护当今数据免受未来量子计算机威胁的方法。美国国家标准与技术研究院 (NIST)通过制定 NIST PQC 标准引领这项工作。NIST 已发布算法和指南，供应商和机构可以放心实施。

2024年8月13日至14日，NIST 发布了前三个最终版 PQC 标准，标志着全球向抗量子密码学迁移的重要里程碑。

前三项最终 NIST PQC 标准（2024 年）

NIST 发布了三项联邦信息处理标准 (FIPS)，您现在就可以部署：

1. FIPS 203：ML-KEM（基于 CRYSTALS-Kyber）

   它是一种密钥封装机制 (KEM)，用于建立共享密钥（例如，在 TLS 握手、VPN 中）。它提供三个参数集（ML-KEM-512、-768 和 -1024），以平衡性能和安全性。

2. FIPS 204：ML-DSA（基于 CRYSTALS-Dilithium）

   它是一种基于格的数字签名方案，适用于通用代码签名、文档签名和协议认证。它提供三个参数集（ML-DSA-44、-65 和 -87）。

3. FIPS 205 – SLH-DSA（基于 SPHINCS+）

   一种基于哈希的无状态签名方案，可提供保守的、基于哈希的安全性，且签名规模更大。在长期稳健性至关重要的场合，它非常有用。SLH-DSA 支持 12 个参数集，可在三个安全类别中提供灵活的选择：

   • 第 1 类 –相当于暴力破解 AES-128 或 SHA-256。为通用应用程序提供强大的保护。
   • 第 3 类 –相当于破解AES -192。适用于需要更强抵抗传统和量子攻击的环境。
   • 第 5 类 –相当于破解 AES-256。提供最高级别的长期安全性，适用于关键基础设施、国防以及必须保密数十年的数据。

根据《联邦公报》的通知，所有三项 FIPS 均于 2024年8月14日 生效。这意味着它们已获准在美国联邦政府使用，并向业界发出了开始采用的明确信号。

较新的 NIST 标准：FN-DSA (FALCON) 和 HQC

• FALCON（将标准化为 FN-DSA / FIPS 206 - 草案）

  NIST 表示，基于 FALCON 的第四个数字签名标准将以FIPS 206 草案的形式发布。FALCON 是一种紧凑、快速的基于格的签名算法，适用于小型签名和高吞吐量应用。截至 2025 年，该标准正在推进标准化进程。

• HQC 被选为标准化（KEM）

  2025年3月，NIST从其“第四轮”候选方案中，将HQC选为新增的KEM进行标准化。标准化草案工作将在HQC入选后进行。计划实施加密敏捷性的组织应跟踪HQC的进展，以便将其与ML-KEM一起进行评估。

  
  

如何思考算法

1. 用于密钥建立的 KEM
   • ML-KEM（FIPS 203）：当今大多数应用程序的主要高性能默认设置。
   • HQC（选定于2025年）：即将进入标准轨道的更多基于代码的KEM。各组织应关注草案，以比较性能和实现权衡。

2. 数字签名

   • ML-DSA (FIPS 204)：它是最通用的选择。它在安全性和效率之间取得平衡，使其成为代码签名、文档签名和身份验证协议等任务的强大默认选择。
   • SLH-DSA (FIPS 205)： 它采用了一种更为保守的方法。它基于哈希，因此签名较大，但其安全假设简单易懂，因此在长期稳健性方面尤其具有吸引力。

   • FN-DSA / FALCON（FIPS 206 草案）：目前仍处于草案阶段。它提供紧凑的签名和极高的性能，在带宽有限或速度至关重要的场景中极具吸引力。各组织机构应密切关注其最终批准的进展。

为什么 NIST PQC 标准现在如此重要

• 它们已经最终确定并生效：前三个 FIPS 不是实验性的，而是已经获得批准并准备供联邦和商业采用。
• 量子时间线尚不确定，但数据却拥有很长的保质期：即使大型、可破译密码的量子计算机尚未问世，对手也可以先收集数据，然后再解密。迁移到 NIST 认可的 PQC 可以降低这种风险。
• 它们实现了加密灵活性：设计系统来交换算法（例如，今天使用 ML-KEM，以后如果需要则使用 HQC）可确保您不会被锁定。

• 密码学转型需要时间：向新密码标准的转变是一个缓慢而复杂的过程。它需要更新整个系统的硬件、软件和协议。这是一项耗时多年的工作，涉及大量的规划、测试和部署。

NIST PQC 标准主要常见问题解答

NIST 认可的 PQC 算法是否可以直接替代？
对于 KEM 和签名来说，通常可以，但密钥/签名会更大，性能配置文件也会有所不同。请在您的环境中进行基准测试。

我是否需要同时使用 ML-DSA 和 SLH-DSA？
不一定。大多数情况下，ML-DSA 会用于通用应用。SLH-DSA 则适用于对长期安全性有绝对最高要求的情况。

• ML-DSA 快速高效，非常适合大多数用例，如代码签名、固件更新和安全通信协议。
• SLH-DSA 的安全性依赖于易于理解的哈希函数，可提供非常强大的长期保障。您可以将其用于需要数十年可验证安全性的数据，例如政府档案、法律文件和关键基础设施数据。

那么经典的 McEliece 或 BIKE 呢？
NIST 评估了多个第四轮 KEM，并选择 HQC 在 2025 年进行标准化。其他方案可能会在其他论坛上继续讨论，但 NIST 的前进之路是 ML-KEM 加 HQC。

FALCON 何时最终确定？
NIST 已标记 FIPS 206 (FN-DSA/FALCON) 草案发布及后续最终确定步骤。请关注 NIST 公告，了解采用计划。

揽阁信息如何提供帮助？

如果您仍不确定如何开启后量子时代之旅，我们将为您提供指导。作为您值得信赖的合作伙伴，我们将在每个阶段为您提供支持，提供清晰、可靠的信息和成熟的专业知识。

• PQC评估

  我们首先会绘制您当前的加密环境。这包括发现和清点所有加密资产，例如证书、密钥和相关依赖项。然后，我们会评估哪些系统容易受到量子威胁，并审查您的PKI、HSM和应用程序的就绪情况。最终，我们会提供详细的加密清单、量子风险影响分析以及清晰的优先行动计划。

• PQC 战略和路线图

  接下来，我们将根据您的业务目标，量身定制迁移策略。这包括根据 NIST 和 NSA 指南更新加密策略、创建治理框架，并嵌入加密敏捷性原则，以确保您的系统保持灵活应变。这将最终形成全面的 PQC 策略、加密敏捷性框架，以及根据您的优先事项和时间表构建的分阶段迁移路线图。

• 供应商评估和概念验证

  选择合适的解决方案至关重要。我们帮助您明确 RFP/RFI 要求，筛选出最合适的 PQC 算法、密钥管理和 PKI 供应商，并在您的环境中进行概念验证测试。这将为您提供供应商比较报告和定制建议，以支持您做出明智的决策。

• PQC实施

  制定计划后，我们将协助您在基础设施（例如 PKI、企业应用或更广泛的生态系统）中部署后量子算法。我们还支持混合加密模型，确保跨云、本地和混合环境的无缝集成。这有助于提供经过验证的互操作性、强大的文档和实践培训，使您的团队能够自信地管理和维护系统。

• 试点测试和扩展

  在企业范围部署之前，我们会进行受控的试点测试，以验证性能并解决集成问题。优化完成后，我们将分阶段部署，以取代传统算法，最大限度地减少中断并保持合规性。这可实现顺畅、可扩展的部署，并通过持续监控和优化，确保您的系统安全可靠，并在未来保持稳定。

结论

首批 NIST PQC 标准的最终发布标志着企业数据安全方式的转折点。ML-KEM、ML-DSA 和 SLH-DSA 已实现标准化，我们现在拥有构建能够应对量子计算时代的系统的清晰路线图。即将出台的 FIPS 206 标准将进一步强化我们的数字签名防御。通过尽早采用这些标准，同时兼顾加密敏捷性，您不仅可以降低“先收集后解密”攻击的风险，还可以确保您的基础设施在未来数十年保持安全。企业越早采用 NIST PQC 标准，就越能为量子计算的未来做好准备。

无论您是初探起步，还是已准备好实施，关键在于迈出第一步，并持续积累动力。如果您正在寻找一位值得信赖的合作伙伴来一路指引您，揽阁信息随时为您服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关文章：

• 2026年密钥安全的新挑战和应对
• 如何有效地向董事会传达量子风险
• PQC准备情况评估：在为时已晚之前识别并优先处理您的加密风险
• 了解 NIST CSWP 48 中的 PQC 迁移和安全框架
• Luna HSM安全性的专题介绍
• 构建包含关键里程碑的 PQC 路线图