跳转至

后量子密码概观

后量子密码(Post-Quantum Cryptography,PQC)要回答的问题:未来十年内密码学会被谁打破、什么时候打破、现在该换哪些。可运作的大型量子电脑距离实际攻破 RSA 与椭圆曲线还有距离,但「现在加密、未来解密」的威胁让转换不能等到那一天。NIST 在 2024 年确立第一批后量子标准,主流浏览器、TLS 库、Signal Protocol 已开始导入。这篇整理三个面向:威胁模型与时程、NIST 标准的选型、实际系统的转换进度,以及一般人和组织需要关心的时间点。

后量子密码迁移时程:从 2023 Signal PQXDH、2024 NIST FIPS 与主流浏览器启用、到 2030–2035 主要系统应完成转换、2040 旧密码学硬时间表

Harvest Now, Decrypt Later 威胁模型

「现在加密、未来解密」(Harvest Now, Decrypt Later,HNDL)是后量子转换的核心动机。攻击者今天录下你的加密通讯,存在硬盘里,等十年后手上有大型量子电脑时,再用 Shor 算法把当时的密钥交换破出来,还原所有录到的密文。

这个威胁对谁实际成立?

  • 资料的长期价值高:政府机密、医疗记录、商业情报、长期身份资料(社会安全号、护照)。
  • 攻击者有储存能力:国家级情报机构(NSA Bluffdale、中国情报单位)长期被外界推测在做这件事。
  • 内容今天无法重新加密:如果今天传出去的密文无法回收,未来解密的风险就确定存在。

对个人即时聊天、短期 session token,HNDL 风险低(内容过期、价值降低)。对银行 KYC 文件、医疗影像、人权工作者的访谈记录,风险高。

NIST、NSA、ENISA(欧盟信息安全机构)都把 2030–2035 视为「主要系统应已完成转换」的目标,2040 视为「旧密码学不应再有重要部署」的硬时间表。这个时程意味着新部署从现在起就应该规划 PQC 路径。

NIST 2024 三大标准

NIST 从 2016 年启动 PQC 竞赛,2022 年初步选定算法,2024 年 8 月正式发布 FIPS 标准。

ML-KEM(FIPS 203)— 密钥封装

  • 全名 Module-Lattice-based Key Encapsulation Mechanism。
  • 基于 CRYSTALS-Kyber 算法。
  • 用途:取代 RSA-OAEP、ECDH 在 TLS、SSH、加密消息中的密钥交换角色。
  • 效能:密钥大小约 800–1500 bytes(比 X25519 的 32 bytes 大),但运算速度快、硬件加速友善。

ML-DSA(FIPS 204)— 数位签章

  • 全名 Module-Lattice-based Digital Signature Algorithm。
  • 基于 CRYSTALS-Dilithium 算法。
  • 用途:取代 RSA-PSS、ECDSA 在凭证、软件签章、区块链中的角色。
  • 签章大小约 2–4 KB(比 ECDSA 的 64 bytes 大)。

SLH-DSA(FIPS 205)— Hash-based 签章

  • 全名 Stateless Hash-based Digital Signature Algorithm。
  • 基于 SPHINCS+。
  • 用途:作为 ML-DSA 的备援,安全性只依赖 hash 函数的抗碰撞性,数学基础最保守。
  • 缺点:签章大(10–50 KB)、速度慢,适合长期凭证、不适合高频签章。

NIST 还在第四轮评估其他基于 code-based、isogeny-based、multivariate 的算法作为长期备援。但短期内 ML-KEM + ML-DSA 是业界主流。

真实系统的转换时程

业界 2024–2025 的实际进度:

浏览器与 TLS

  • Chrome 124(2024-04):默认启用 X25519MLKEM768 混合密钥交换。
  • Firefox 132(2024-10):默认启用同上。
  • Safari:跟进中。

混合(hybrid)的意思是「同时做传统 ECDH + ML-KEM 两次密钥交换,把结果结合」。万一 ML-KEM 将来被发现有漏洞,传统 ECDH 仍提供保护。这是业界普遍采取的保险策略。

Cloudflare、AWS、Google Cloud

  • Cloudflare 2024-09 起所有客户连线默认支援 PQC,是全球部署最积极的 CDN。
  • AWS 2024-10 在 KMS、ACM、Secrets Manager 启用 PQC。
  • Google Cloud 对企业客户提供 PQC 选项。

Signal Protocol

  • Signal 2023 年发布 PQXDH(Post-Quantum Extended Diffie-Hellman),把 ML-KEM 加入密钥交换流程。
  • 对前向保密与 PCS 的设计没影响,仅在初次握手加上 PQC 层。
  • 这是对 HNDL 威胁最直接的回应。

SSH 与 PGP

  • OpenSSH 9.0(2022)加入 sntrup761x25519 hybrid,9.9(2024)支援 ML-KEM hybrid。
  • age、Sequoia PGP 等较新工具开始实验 PQC,传统 GnuPG 进度较慢。

区块链与加密货币

  • 比特币的 ECDSA 与 Schnorr 签章在大型量子电脑下不安全,但实际威胁取决于量子电脑的时程。
  • 以太坊已有提案讨论 PQ 签章选项,但短期内优先序低。
  • Zcash、Monero 等隐私币的零知识证明系统也面临 PQ 转换挑战。

个人与组织的时间表

不需要明天就动的事:

  • 即时通讯(Signal、Matrix)已自动处理,用户端无感。
  • 一般网页浏览(Chrome、Firefox 已启用),用户端无感。

需要规划的事:

  • 企业 PKI 与凭证:用于签章、认证、长期存证的凭证需要规划 ML-DSA 或 SLH-DSA 路径。CA/B Forum 已开始讨论 PQC 凭证标准。
  • VPN 与 IPSec:商用 VPN 对 PQC 的支援不一致,公司网络规划时要纳入评估。
  • 长期文件加密:法务文件、医疗记录、研究资料需要评估「这份文件十年后仍要保密吗」,是的话要选 PQC 加密。
  • 硬件安全模组(HSM):金融、医疗领域的 HSM 需要供应商提供 PQC 算法支援,更新周期长。

在地脉络:政府、金融、医疗的合规时程

台湾的合规时程目前还在跟随 NIST 与 ENISA 的步调:

  • 政府机密通讯:国家通讯传播委员会(NCC)与信息安全研究院尚未发布明确 PQC 时程,但已启动评估。
  • 金融:金融监督管理委员会跟进 BIS、ECB 的指引,预计 2026–2028 对银行核心系统提出 PQC 要求。
  • 医疗:医疗影像与电子病历的长期保存(30 年以上)对 HNDL 风险高,可能是国内最早需要主动规划 PQC 的领域。

对个人与一般组织,现在不需要急着手动部署 PQC。优先动作是:

  • 采用会自动更新到 PQC 的工具(Chrome、Firefox、Signal、Cloudflare)。
  • 评估自家的「长期保密资料」清单,把 HNDL 风险高的资料优先处理。
  • 采购硬件与 SaaS 服务时把 PQC 路线图纳入评估。

关于密码学基础概念的延伸阅读,见 端对端加密如何运作零知识身份验证与支付

一同了解

下一步可参与的项目