2024年12月,荷兰国家安全和情报局(AIVD)、荷兰国家数学和计算机科学研究所(CWI)、荷兰应用科学研究组织(TNO)联合发布《后量子密码迁移手册(第二版)》,是在荷兰国家安全体系支持下形成的一份系统性、操作导向极强的量子安全迁移指南。该手册在2023年3月第一版基础上,结合NIST后量子密码标准的最新进展与国际实践经验进行全面修订与扩展,定位为面向政府、关键基础设施运营方、企业及科研机构的通用参考文件,旨在帮助各类组织识别量子计算对现有加密体系构成的现实威胁,并规划向后量子密码迁移的可执行路径。
密码法治实践创新基地与江苏金服数字集团联合编译整理手册全文,相关成果在第十五届信息安全法律大会“后量子密码时代的密码法治创新”分论坛亮相。该手册共六章,现精选其中两章内容作为简报,以飨读者。本期简报聚焦第二章“量子脆弱性诊断”,系统拆解量子脆弱性诊断的实施框架、重要环节与操作要点,为启动PQC迁移提供前置指引,助力组织精准识别风险、明确方向。
一、PQC角色定位——量子脆弱性诊断的前提
量子脆弱性诊断的首要任务是明确组织的PQC角色定位,这一分类基于组织处理的数据类型、系统特性、威胁水平及供应链依赖关系,直接决定了诊断的紧迫性、范围与深度。手册将组织划分为三类主要角色,且角色定位需结合供应链传导效应综合判断。
(一)主要角色分类及特征
1.紧急采用者(Urgent Adopters)
紧急采用者是量子威胁的高暴露群体,因处理高敏感数据或提供关键/长寿命基础设施,需立即启动量子脆弱性诊断与迁移准备。手册进一步将其细分为四类子角色,各有明确的风险特征与适用场景:
(1)个人数据处理者(Personal Data Handlers):处理需长期(20 年以上)保密的个人数据(如社会安全号码、健康数据、金融账户信息),面临“现在存储、未来解密”攻击的直接风险。典型组织包括政府机构、医院、银行、保险公司等,这类组织即便当前无明确法律强制要求采用PQC,但若未来数据因量子攻击泄露,仍需承担法律责任。需注意的是,普通零售商、体育俱乐部等处理短期敏感个人数据的组织不在此列。
(2)组织敏感数据处理者(Organisationally Sensitive Data Handlers):处理国家秘密、商业机密、敏感技术资料等组织核心数据,数据泄露可能危及国家安全、丧失市场竞争力或扰乱经济秩序。典型组织包括军队、国家情报机构、科研院所、高科技企业等,数据的长期敏感性使其成为量子攻击的重点目标。
(3)关键基础设施提供者(Critical Infrastructure Providers):提供支撑社会正常运转的核心系统(如能源供应、供水、交通、通信、医疗服务),系统故障可能导致大规模民生秩序混乱、财产损失甚至人员伤亡。这类组织的密码迁移需优先保障系统可用性,同时抵御量子攻击,典型代表包括电力公司、机场、电信运营商等。
(4)长寿命基础设施提供者(Long-lived Infrastructure Providers):生产设计寿命超过10年的设备或系统(如卫星、支付终端、智能电表、工业4.0传感器网络),这类系统硬件更新困难,需在研发阶段就适配PQC的硬件要求,避免未来因无法升级陷入安全困境。
2.常规采用者(Regular Adopters)
常规采用者不涉及高敏感长期数据或关键/长寿命系统,量子攻击风险相对滞后。这类组织包括普通零售商、学校、体育俱乐部等,其数据保密周期短(通常不足10年),系统更新频率高,无需仓促启动PQC迁移。但手册强调,常规采用者需保持对PQC标准进展的关注,优先采用密码敏捷性解决方案,为未来迁移预留空间;若计划进行大规模基础设施投资、业务范围扩展或新增高敏感客户,应提前启动诊断准备。
3.密码专家(Cryptography Experts)
以提供密码标准、基础设施或专业知识为核心职能,包括标准制定机构(如NIST、ETSI、ISO/IEC)、密码基础设施供应商(如安全管理服务商、密码库开发者)及特殊密码应用提供者(如区块链、零知识证明技术服务商)。作为供应链的重要环节,这类组织需率先完成自身产品的PQC迁移,向客户明确产品量子安全性、PQC适配时间表及算法选型计划,为全行业迁移提供支撑。手册特别指出,这类组织需具备成熟的密码专业知识,其迁移进度直接影响下游组织的诊断与迁移效率。
(二)角色定位的确定方法
组织角色定位需综合考虑三个层面:自身密码基础设施、拥有的密码专业知识、供应链中的依赖关系。其中,供应链传导效应尤为关键,组织需继承其所有下游供应对象的角色定位,若为紧急采用者提供产品或服务,即便自身不属于紧急采用者,也需同步遵循紧急采用者的诊断与迁移要求,避免因供应链攻击导致下游组织面临风险。
手册提供了决策流程图辅助角色判断,主要逻辑为:先判断是否为密码专家组织,再依据数据敏感性、系统类型判断是否为紧急采用者,最后结合供应链关系确认角色继承情况。对于边界性组织(如介于紧急与常规采用者之间),建议采取保守策略,参考紧急采用者的诊断要求推进前期工作,避免因角色误判延误迁移时机。同时,角色定位并非一成不变,需随业务变化、技术发展定期重新评估。
二、量子脆弱性诊断实施环节
量子脆弱性诊断是组织启动PQC迁移的基础工程,目标是全面掌握自身密码体系现状、数据资产风险及供应链依赖,为后续迁移规划提供精准依据。手册明确了不同角色组织的诊断要求,并界定了诊断的四大任务。
(一)诊断的实施要求与优先级
1.紧急采用者:需立即启动量子脆弱性诊断,确保在量子计算机具备实用攻击能力前完成核心资产迁移准备。诊断结果需直接服务于迁移优先级划分、资源配置及供应商沟通,是后续规划与执行的核心依据。
2.常规采用者:无需立即开展全面诊断,但可提前启动部分“无悔行动”(如密码资产盘点、政策修订),待PQC标准进一步成熟后再推进完整诊断;若存在业务扩张、高敏感客户接入等情况,应同步启动针对性诊断。
3.密码专家:需率先完成自身诊断,并为客户提供诊断所需的技术支持(如产品量子安全性说明、迁移时间表),同时将客户的诊断需求纳入自身产品迭代规划。
(二)诊断任务
1.密码资产清单编制
这是诊断的基础,要求组织全面识别所有正在使用及即将接入的密码资产,包括软件、硬件中的密码算法、协议、密钥及相关设备,明确算法类型、密钥长度、使用场景、供应商信息等关键细节。手册强调,该清单不仅是PQC迁移的基础,也是识别当前密码漏洞、提升应急响应效率的重要工具,需避免因资产遗漏导致迁移不彻底,建立动态更新机制,并采取严格的安全保护措施防止泄露。
2.数据资产梳理
按数据类型(静态数据/传输中数据/使用中数据)、存储位置、价值等级(保密性/可用性要求)、分类标准及风险等级进行归类梳理。目标是明确哪些数据需长期保密、哪些数据与关键业务强绑定,为后续风险评估提供数据基础。
3.密码依赖关系盘点
聚焦供应链中的密码依赖,识别所有提供密码相关硬件、软件或服务的外部供应商,列出其供应产品、合同期限、沟通渠道等信息,尤其需关注证书颁发机构等关键第三方。同时,需明确自身密码决策对下游组织的影响,建立供应链协同沟通机制,确保迁移过程中的互操作性。供应商往往不会主动披露PQC支持情况,组织需在盘点后主动发起沟通,明确供应商的PQC迁移计划。
4.量子风险评估
结合上述三项任务的结果,量化评估组织面临的量子威胁。风险评估依据多个参数进行,包括信息的价值、系统的漏洞以及潜在威胁。有关量子风险评估的内容将在本文第四部分详细展开。
三、密码资产管理
密码资产管理不仅为量子脆弱性诊断提供全面的资产基础,也是提升组织整体密码安全治理能力的“无悔行动”。无论量子威胁发展节奏如何,完善的密码资产管理都能帮助组织识别和修复当前密码漏洞、提升应急响应效率。手册围绕政策、发现策略、执行、清单格式、工具五个维度,构建了完整的密码资产管理框架。
(一)密码政策修订与完善
密码政策是资产管理的顶层指引,需在诊断前完成修订优化,确保资产管理工作与法律要求、组织安全目标保持一致。密码政策需涵盖:密钥全生命周期管理(生成、分发、存储、轮换、销毁)流程;数据加密、完整性保障的算法及参数标准;身份认证与授权机制;允许及禁止使用的协议及版本;迁移路线图与截止日期;相关角色的职责分工。
同时,政策需充分考虑合规要求,不同行业和地区的具体规定对密码技术有明确要求,政策需确保与这些法规保持兼容,并预留对未来PQC标准的适配空间。此外,政策还应关联数据分类、ICT风险管理、第三方风险管理等相关领域,形成协同治理体系。
(二)密码资产发现策略制定
在政策指导下,需制定结构化的密码资产发现策略,明确发现的目标、范围、方法、数据分析标准、报告格式及更新周期。具体而言,目标需聚焦PQC迁移需求,重点识别量子脆弱型密码资产;范围需覆盖软件开发、运营系统、网络通信等所有密码应用场景;方法需结合自动化工具与人工核查,明确工具选型、系统排查范围及团队分工;数据分析需明确评估指标,包括算法脆弱性、合规性、风险等级等;报告格式需标准化,便于后续风险评估与迁移规划;更新周期需与组织业务变化、系统迭代保持同步,确保资产清单的时效性。
(三)密码资产发现的执行
执行阶段需全面覆盖三大场景,确保资产无遗漏:
1.软件开发生态:重点排查使用的密码库、导入的密码功能及相关凭证(密钥、令牌),建议将静态/动态分析工具集成到软件开发生命周期(SDLC),自动化识别密码资产。
2.运营系统与应用:涵盖VPN连接、双因素认证、数据库加密、操作系统安全启动等场景,识别可执行密码资产(软件、固件、硬件、库文件)与非可执行密码资产(个人访问令牌、PGP密钥、X.509证书)。
3.网络通信:通过监控网络流量来识别哪些IT组件在使用加密。使用开源端口和网络扫描工具对TLS流量进行扫描,确保覆盖内部网络、云环境及外部通信渠道。
(四)清单格式:加密物料清单(CBOM)
手册推荐采用加密物料清单(CBOM)作为标准化清单格式,该格式基于CycloneDX软件物料清单(SBOM)扩展而来,为机器可读格式,便于组织内部管理及与供应商、客户的协同。CBOM可详细记录密码协议、算法、密钥、证书等各类资产信息,同时支持追踪密码组件间的依赖关系,为风险传导分析提供支撑。
手册提醒,尽管CBOM格式功能全面,但扫描工具可能无法完全捕获所有依赖关系及关键要素,且对密钥管理流程的记录存在不足,需结合人工核查补充完善。
(五)密码清单编制工具
清单编制需结合自动化工具,工具功能应覆盖资产发现、分析、修复建议及清单管理。手册列举了常用工具类型,包括开源工具、商业安全扫描工具及NCCoE等机构推荐的专用工具。需注意的是,工具存在固有局限性,无法扫描硬件安全模块(HSM),难以建立数字证书与密钥对的关联,需通过人工核查弥补;同时,清单的解读与应用需依赖专业判断,不能完全依赖工具输出。
四、量子风险评估
量子风险评估是量子脆弱性诊断的收官环节,通过密码脆弱性、攻击影响、迁移难度等维度,形成量子风险评分,为组织制定迁移优先级、配置资源提供量化依据。手册构建了完整的评估方法论,确保评估结果科学、可落地。
(一)现实攻击者分析
评估的前提是明确潜在攻击者类型及动机。当前阶段量子攻击的主要潜在主体为国家行为体或高动机、高能力攻击者,其目标集中在关键基础设施、敏感数据处理机构等,动机主要是针对政治、军事、经济的间谍活动;随着量子计算云服务的发展,未来十年内,具有经济动机的攻击者可能具备量子攻击能力,大型跨国企业、高科技企业等高价值目标需提前防范。组织需结合自身行业特性、数据敏感性判断是否属于攻击者目标范围。
(二)评估维度与方法
1.量子脆弱性评估
聚焦应用层面的密码脆弱性,将算法及应用的脆弱性划分为三个等级:0级(量子安全,无需迁移)、1级(暂不面临量子攻击风险,但需未来关注)、2级(量子不安全,需立即规划替换)。
对于组合使用多种算法的应用,脆弱性评分遵循“短板原则”:若为可选算法组合,取最高脆弱性等级;若为混合组合(即多层算法叠加),取最低脆弱性等级。
2.攻击影响评估
评估密码被量子攻击破解后的后果,划分为三个等级:1级(无显著影响,如非敏感系统、无现实攻击者目标)、2级(中长期影响,如敏感数据但保密周期短)、3级(即时高影响,如需长期保密的国家秘密、商业机密、个人敏感信息,面临“现在存储、未来解密”风险)。
影响评估需结合数据类型、存储状态、攻击者可达性综合判断,手册提供了详细流程图,主要逻辑为:优先判断数据保密周期是否超过10年,再结合数据敏感性、拦截可能性确定影响等级。需注意的是,影响评估结果为动态值,需随数据敏感性、量子技术发展定期更新。
3.迁移难度评估
评估将量子脆弱型密码资产迁移至PQC的时间与资源投入,划分为三个等级:1级(迁移周期0-2年,无重大挑战)、2级(迁移周期5-8年,存在一定依赖但无重大障碍)、3级(迁移周期超过8年,面临多重依赖、硬件限制、技术瓶颈等难题)。
迁移难度主要受六大因素影响:组织密码管理成熟度、对标准与法规的依赖、供应链依赖、硬件兼容性、设备性能限制、内部技术专业知识。难度评估需结合历史迁移经验,充分考虑长寿命系统、嵌入式设备等特殊场景的迁移挑战。
(三)量子风险评分与应用
通过将脆弱性、影响、迁移难度三个维度的评分综合考虑,形成0-4级的量子风险评分,各等级含义为:0级(无风险,已充分防护)、1级(低风险,长期关注即可)、2级(中等风险,需制定迁移计划)、3级(高风险,短期内优先迁移)、4级(急性风险,需立即启动迁移)。
风险评分的应用是确定迁移优先级。紧急采用者需优先处理3-4级风险资产,2级风险资产需纳入短期迁移计划;常规采用者可重点关注3-4级风险资产,待标准成熟后启动迁移;密码专家组织需根据客户风险评分调整产品迁移优先级,优先支持高风险客户的需求。
五、小结
手册传递的共识是,PQC迁移不是单纯的技术升级,而是涉及政策、流程、合规、供应链等多维度的系统工程,需融入组织整体风险治理与合规管理体系。对于组织而言,量子脆弱性诊断是需持续迭代的动态过程,随着PQC标准的完善、量子技术的发展及业务的变化,应定期重新开展诊断,调整风险评分与迁移策略。当前,各国及行业的政策框架和实践正在逐步完善,组织需将PQC迁移纳入长期战略规划。下期简报将聚焦手册第五章“最新进展”,解析全球PQC标准制定、法规政策及实践案例,提供迁移规划与执行参考。
本期简报聚焦手册第五章内容“最新进展(Recent Developments)”,梳理全球PQC标准化进程、相关立法动态、指南共识及典型迁移实践经验,为组织推进PQC迁移提供政策对标与实践参考(* 因手册发布于2024年12月,文中所涉内容未囊括2025年至今进展)。
一、全球PQC标准化进程
标准化是PQC大规模落地的基础支撑。当前,全球范围内已形成以美国国家标准与技术研究院(NIST)标准为引领、多机构协同推进的格局,不同标准化路径针对不同应用场景形成互补,为组织提供技术选型依据。
(一)NIST的PQC标准化:全球引领
NIST的PQC标准化进程是目前全球影响力最为广泛的标准化工作,自2016年启动以来,历经四轮筛选与公开评审,已形成阶段性成果并持续完善。2022年7月,NIST确定首批候选算法,包括密钥封装机制ML-KEM(CRYSTALS-Kyber)和数字签名算法ML-DSA(CRYSTALS-Dilithium)、FN-DSA(Falcon)、SLH-DSA(SPHINCS+)。2024年8月,NIST以联邦信息处理标准(FIPS)形式发布ML-KEM(FIPS 203)、ML-DSA(FIPS 204)、SLH-DSA(FIPS 205)三项正式标准,标志着PQC进入标准化落地阶段。
NIST标准化的主要评估维度包括安全性、性能、兼容性。其中,安全性是最重要的标准。候选算法必须能够形式化地证明其满足强安全属性,并且除了理论上的安全性外,还需在已知攻击下实现一定程度的实际安全性。为此,NIST提出了5个安全强度等级,作为比较不同密码方案安全性的度量基准。大多数提交方案集中在安全级别1、3和5,分别对应AES-128、AES-192和AES-256。
(二)其他国际标准化努力
除NIST外,多个国际组织针对不同领域需求推进PQC标准化,形成多元互补的格局。
1.国际标准化组织(ISO)/国际电工委员会(IEC)
作为全球覆盖行业最广的标准化组织,ISO与IEC通过联合技术委员会(JTC 1)负责信息与通信技术标准制定。两者已联合发布文件,系统阐述后量子迁移的必要性及其数学基础,并在ISO/IEC 14888-4中完成了对有状态哈希签名算法(LMS、XMSS、HSS、XMSS-MT)的标准化。同时,JTC 1正在推进ISO/IEC 18033-2的修订,计划在NIST标准之外,引入FrodoKEM和Classic McEliece等更为保守的KEM算法。
2.互联网工程任务组(Internet Engineering Task Force, IETF)
IETF主要聚焦PQC在网络协议中的应用,成立PQUIP工作组协调协议层标准化,目前重点推进TLS、IPsec、SSH等协议的PQC适配,相关方案以互联网草案(Internet-Draft)形式推进。IETF的工作重点在于解决PQC算法与现有协议的兼容性问题,如密钥协商、证书格式适配等,为网络层PQC迁移提供技术规范。
3.欧洲电信标准协会(ETSI)
ETSI是欧盟认可的电信标准组织,支持NIST已选定算法的工程化落地。自2020年起,ETSI先后发布了PQC迁移总体指南以及量子安全混合密钥交换的实施建议,包括PQC迁移策略、混合密钥交换方案、算法技术描述等,重点服务于电信、关键基础设施等领域,为欧洲地区组织提供符合区域需求的标准化解读与实施指南。
4.区域性及特定领域标准化工作
在区域与行业层面,多项后量子标准化探索同步展开。韩国PQC研究中心启动KpqC竞赛,推进本土PQC算法标准化,计划2035年前完成国家密码系统的PQC转型;中国密码学会(CACR)通过算法竞赛鼓励PQC创新,为未来标准化储备技术资源;美国国家标准学会(ANSI)较早面向金融行业制定并持续更新格基方案标准;全球移动通信系统协会(GSMA)于2024年发布指南,推动后量子密码在移动通信场景中的分阶段迁移。
二、全球PQC相关立法框架
PQC迁移通常成本高昂、周期较长,其安全收益在短期内并不明显,尤其是在量子威胁尚未完全显现的背景下,组织往往倾向于优先考虑短期经济利益。因此,立法是推动PQC迁移的强制力保障,通过立法规范密码学部署,有助于形成公平竞争环境,避免安全投入成为竞争劣势,同时也能保护缺乏专业能力的中小型组织。此外,由于密码学广泛用于保护公共安全、国家安全和隐私权等公共利益,仅依赖市场机制往往不足,立法亦有助于推动标准的统一实施与互操作性。
全球主要经济体已通过通用法规、专项法案、行业规范等多层次立法,明确PQC迁移的合规要求与时间节点,形成“标准引领、立法保障”的推进格局。
(一)通用网络安全标准与立法
1.ISO/IEC 27000系列
ISO/IEC 27000系列是全球应用最广泛的信息安全管理体系标准,旨在确保组织信息安全管理流程的系统性与稳健性。尽管该系列标准本身并非强制性法规,但在实践中被普遍视为最佳实践,并在部分行业和监管环境中被要求遵循。该系列强调基于风险评估制定密码策略并部署适当的密码控制措施,具体的密码学技术规范由其他ISO/IEC标准补充,例如ISO/IEC 18033所定义的标准化密码原语。目前该标准尚未涵盖后量子公钥密码,但ISO/IEC JTC 1 SC27 WG2正在推进相应的后量子修订工作。
2.欧盟NIS-2指令
《网络与信息系统指令》(NIS)旨在提升欧盟整体网络安全水平,其继任法规《NIS-2指令》于2023年生效,并显著扩大了适用范围。NIS-2覆盖18个关键行业,要求欧盟境内相关中大型组织履行统一的网络安全义务。NIS-2明确要求组织在评估风险暴露程度及技术发展现状的基础上,采取适当且成比例的加密与安全防护措施,这一原则性要求为未来将PQC纳入合规框架预留了空间。
3.欧盟《通用数据保护条例》(GDPR)
GDPR是欧盟最具影响力的数据保护立法,自2018年生效以来已通过高额罚款机制显著强化了合规约束力。GDPR由各成员国数据保护机构负责执法,违规成本高昂。GDPR第32条中明确提出,应在“考虑最新技术水平”的前提下采取包括加密在内的适当技术和组织措施。
4.美国《联邦信息安全现代化法案》(FISMA)
FISMA要求美国联邦机构及其承包商实施系统化的网络安全控制措施,并授权NIST制定相关密码标准。为满足FISMA要求,所使用的密码算法必须通过联邦信息处理标准(FIPS)进行标准化。FIPS体系已涵盖多类传统密码算法,并随着NIST后量子密码竞赛的推进,逐步引入新的PQC相关FIPS标准。更高层级的FIPS文件将进一步规定可接受算法集合,并通过引用具体算法标准形成模块化结构。
(二)专项法案与行政指令
1.美国白宫备忘录与PQC迁移总体战略
2022年白宫发布《国家安全备忘录:关于在推动美国量子计算领导力的同时降低易受量子攻击密码学系统风险》,阐述了美国政府在量子计算领域的政策,重点分析量子技术所带来的风险与机遇。该备忘录明确了美国政府各机构应采取的具体行动,要求启动PQC迁移进程,以确保能够及时应对量子威胁。
2024年7月,白宫管理与预算办公室(OMB)根据该备忘录发布了一项关于将联邦信息系统迁移至PQC的总体战略。战略提出,在NIST采纳首批PQC标准后的约一年内,OMB将与国土安全部网络安全与基础设施安全局(CISA)、NIST以及国家网络主任办公室(ONCD)协调,共同发布指导文件,指示各机构制定并优先实施PQC迁移计划。
2.美国商业国家安全算法套件(Commercial National Security Algorithm Suite,CNSA)
美国国家安全局(NSA)在《商业国家安全算法套件》(CNSA)中要求使用一组特定的密码算法,以保护美国国家安全系统(NSS)。相关要求参照了NIST的联邦信息处理标准(FIPS)。2022年,CNSA2.0发布,旨在告知NSS的所有者、运营方及供应商未来的密码学要求。
具体而言,CNSA2.0明确规定了四种抗量子公钥算法——CRYSTALS-Kyber、CRYSTALS-Dilithium(现已标准化为ML-KEM和ML-DSA)、XMSS和LSS,并宣布这些算法的部署将成为强制要求。此外,CNSA2.0还设定了迁移期。根据不同的密码应用场景,自2030年或2033年起,部署PQC将成为强制性要求。
(三)特定行业立法
除通用监管框架外,许多行业还制定了符合其特定需求的专门法律法规。例如,《数字运营韧性法案(DORA)》旨在提升欧盟金融部门的运营韧性水平,要求金融机构在密码学领域采用“先进的实践和标准”。美国《健康保险可携性与责任法案(HIPAA)》规定医疗保健行业必须保护患者记录,部署适当的密码学技术手段。《欧洲电子通信法典(EECC)》规范了欧盟的电子通信网络及其服务,并要求采用强密码技术,以最大限度地降低安全事件的影响。
三、国际PQC指南与建议
除立法与正式标准外,国际及国家层面的政策性指南和官方意见同样在推动PQC迁移方面发挥着重要作用。这类文件通常不具有法律强制力,但通过明确风险判断、技术路线与时间预期,为组织提供了灵活的实施参考,成为立法强制要求的重要补充。
(一)欧盟委员会
2024年4月,欧盟委员会发布关于PQC迁移的综合性建议,明确强调PQC在实现欧盟高水平网络安全中的关键作用,并与NIS-2指令的风险导向要求形成呼应。委员会鼓励成员国在PQC迁移过程中加强协调,制定统一而清晰的路线图。在技术立场上,倡导在欧盟层面推进标准化并开展深入分析;在部署层面,建议采用将现行算法与PQC算法相结合的混合加密方案。
(二)德国、法国和荷兰
德国联邦信息安全办公室(BSI)、法国国家信息系统安全局(ANSSI)和荷兰国家网络安全中心(NSCS-NL)均发布了较为具体的PQC迁移指南,其总体立场与欧盟委员会保持一致,并支持混合部署策略。三国认为,相较于密钥封装机制,数字签名的迁移更为容易,因为可通过双签名方式实现平滑过渡。在算法选择上,强调安全性优先,虽参考NIST标准化算法,但明确指出FN-DSA在侧信道防护方面实现难度较高,不予推荐;同时,对FrodoKEM与Classic McEliece等设计更为保守的方案表现出高度信任。三国还主张采用最保守的参数集合,并强调密码敏捷性的重要性。法国ANSSI进一步给出了分阶段时间表,德国BSI通过开源密码库Botan支持相关实施。
(三)英国
英国NCSC的指南与NIST标准高度对齐,推荐ML-KEM作为通用密钥封装机制,ML-DSA作为通用签名算法,SLH-DSA、LMS/XMSS适用于固件签名等特定场景。与欧盟不同,英国NCSC对混合方案持谨慎态度,仅建议在系统复杂、难以快速替换传统密码的场景中使用,强调最终应过渡到纯PQC方案,以避免混合带来的复杂度与性能开销。此外,NCSC提醒组织关注遗留系统和受限资源设备的PQC迁移挑战,建议通过软件更新“静默迁移”,减少业务中断。
四、PQC迁移典型案例实践经验
部分科技巨头与关键基础设施运营者已率先开展PQC迁移试点,多以内部通信或可控生态为起点,通过混合部署方式逐步引入PQC,为全球组织提供了实践参考。
(一)Google的后量子迁移
Google是最早在其内部基础设施中部署后量子加密的企业之一,通过自研的应用层传输安全协议ALTS保障内部通信安全,该协议在升级至后量子版本时采用了混合部署策略,以降低迁移风险。早期阶段选用NTRU-HRSS作为主要方案,并计划在标准成熟后切换至ML-KEM。迁移过程中,Google强调密码敏捷性的重要性,因为实践中暴露出与密钥尺寸、内存分配和并发会话相关的实现问题。这些问题通过协议调整逐步缓解,其经验表明,PQC迁移需要长期规划与多场景测试。
(二)Google和Cloudflare的后量子传输层安全协议(TLS)
Google与Cloudflare于2019年联合开展了TLS1.3量子安全变体的早期实验,提出并测试了混合密钥交换方案(CRPQ2),将传统的X25519与基于格的NTRU-HRSS相结合,随后逐步过渡至ML-KEM。实验表明,基于格的KEM在计算性能上的额外开销较小,但密钥和密文尺寸显著增大,可能导致TLS握手消息超出网络最大传输单元,从而暴露出客户端与服务器实现中的兼容性问题。针对量子安全认证,证书链大小成为新的挑战。相关协议改进方案仍在研究与标准化过程中,目前IETF正推动混合密钥交换机制的正式标准化。
(三)Meta的TLS实践
Meta在内部通信系统中推进PQC迁移,优先选择其能够完全控制的内部流量作为试点场景,并采用混合策略,将Kyber(ML-KEM)与X25519结合使用。最初,Meta计划使用ML-KEM-768作为默认参数,但在遭遇ClientHello报文尺寸问题后,转而采用参数规模更小的ML-KEM-512。此外,实践中还暴露出多线程环境下的实现稳定性问题,进一步凸显了在生产部署前进行充分测试的必要性。
(四)消息应用中的PQC
在即时通信领域,Signal于2023年引入了PQXDH协议,将原有X3DH密钥交换扩展为支持混合后量子机制,并在实际部署中使用ML-KEM。由于Signal控制协议的所有端点,其迁移过程未遭遇显著实现障碍,但后续的形式化验证发现了早期设计中的新型攻击,从而促使协议修订。
Apple于2024年通过PQ3协议增强iMessage的安全性,使其支持基于ML-KEM的后量子保护,并完成了形式化验证。这些案例表明,在封闭生态中部署后量子机制具有一定可行性,但仍需严格的安全验证流程。
五、结语
荷兰《后量子密码迁移手册(第二版)》第五章的“最新进展”清晰呈现了全球PQC迁移的“标准、立法、指南、实践”协同推进格局。在国际层面,尽管直接强制采用PQC算法的立法仍然有限,但以NIS-2、GDPR、FISMA及ISO/IEC 27000系列为代表的法规与标准框架,已通过“考虑最新技术水平”等原则性要求,为PQC迁移提供了法律基础。随着PQC标准逐步成熟,预计相关立法将进一步细化PQC迁移规定。
产业界的实践案例则揭示了PQC迁移在工程层面的现实复杂性。现有经验表明,混合密钥交换是一种可行且相对易于部署的路径,能够在过渡阶段提供量子安全的机密性保障。然而,在实际系统中,大尺寸公钥和密文可能带来显著的性能与内存管理挑战,尤其是在资源受限或高并发环境下。因此,在将PQC算法投入生产前,有必要在不同体系结构和负载场景中进行广泛测试。与此同时,形式化验证结果也表明,混合方案本身可能引入新的攻击向量,从而强调了持续安全分析的重要性。
PQC迁移是一项长期且系统性的工程,既依赖政策、立法与标准所提供的合规牵引,也高度依赖工程实践中的经验积累与技术成熟度。各类组织需结合自身角色定位与风险等级,综合考量国际标准、法律法规、官方指南及先行实践,制定差异化、可演进的迁移策略,逐步构建稳固而可持续的密码防护体系。
编译:祝媛 周青
报告翻译校对:方婷 洪璐
审核:原浩
完
作者编译观点仅代表个人
不代表密码法治实践创新基地
为方便排版,已略去脚注
声明:本文来自苏州信息安全法学所,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
