文 | 密码法治实践创新基地 祝媛;唐梦晨江苏金服数字集团 周青

不同国家和地区在推进后量子密码(PQC)迁移方面呈现差异化路径。一些国家侧重通过主导算法标准强化技术优势,一些则更强调从制度层面统筹推进密码体系转型。相较而言,欧盟依托其多层级治理结构,通过欧盟委员会、成员国主管部门及标准化组织之间的协同机制,将PQC迁移由分散探索转化为统一推进的公共政策议题。在政策设计层面,欧盟通过制定统一迁移路线图、构建风险分级推进机制以及完善标准与认证体系,实现了从顶层规划到具体实施的制度衔接;在实践层面,欧盟通过金融基础设施与互联网通信等关键场景开展试点验证,逐步探索技术路径与实施模式。这一治理模式构建了欧盟PQC迁移的代表性制度路径。

一、欧盟PQC迁移战略的框架演进

PQC迁移是欧盟应对量子计算技术突破带来的密码体系安全危机、维护数字主权与技术主权的战略举措。通过近五年的政策演进与制度设计,欧盟形成了包括顶层战略、技术标准在内的完整路径。欧盟PQC迁移战略的演进可概括为“技术先行、框架落地、细则实施”三个阶段。

第一阶段:技术研究与储备(2021年至2023年)。在这个阶段,欧盟网络和信息安全局(ENISA)主导完成了技术与风险的基础性研究。2021年5月,ENISA发布《后量子密码:当前状态与量子缓解》(Post-Quantum Cryptography : Cur rent StateandQuantum Mitigation)报告,梳理了PQC算法标准化进展、五类算法的技术特性,首次明确提出欧盟层面的PQC迁移原则,包括优先梳理密码资产清单、采用混合实现方案应对过渡期风险等。2022年10月,ENISA发布《后量子密码集成研究》(Post Quantum Cryptography IntegrationStudy)报告,进一步聚焦PQC与现有网络协议的集成适配、新协议设计、双重加密与签名机制等落地问题,通过基准测试明确了不同PQC算法在各类场景的适配性,为后续政策制定提供了技术支撑。

第二阶段:制度化与顶层设计(2024年)。在这个阶段,欧盟委员会发布《关于向后量子密码过渡的协调实施路线图建议》(Recommendation on a Coordinated Implementation Roadmap for the Transition to Post-Quantum Cryptography)成为标志性事件。该文件以《欧盟运行条约》(TFEU)第292条与《网络与信息系统安全指令》(Network and Information Systems Security Directive)(即NIS2指令)为法律依据,虽不具备直接强制力,却对成员国具有高度政策约束力。文件明确了欧盟PQC迁移的三大目标:推动成员国制定协调统一的国家迁移路线图、建立欧盟层面的PQC算法评估与标准体系、完善过渡期准备措施。同时,欧盟正式确立在网络与信息安全合作小组(NIS合作小组)下设立PQC专项工作组,作为全欧盟迁移工作的协调平台。

第三阶段:落地实施框架(2025年至今)。在这个阶段,欧盟形成了可执行的实施路径与配套标准。ENISA于2025年5月发布欧盟通用网络安全认证框架(EUCC)密码学指南第二版(EUCC Guidelines Cryptography v2)(以下简称“EUCC密码学指南第二版”),正式将PQC机制纳入欧盟通用网络安全认证体系规范性要求,完成了从政策到认证合规的制度闭环。2025年6月,欧盟NIS合作小组正式发布《向后量子密码过渡的协调实施路线图》(A Coordinated Implementation Roadmap for the Transition to PostQuantum Cryptography),作为顶层政策建议的首个实质性交付成果,明确了风险分级原则与分阶段时间节点,要求成员国在2026年前完成国家路线图制定与高风险场景试点、在2030年前完成高风险系统的实质性迁移、在2035年前实现中低风险场景的全面覆盖。

二、欧盟PQC迁移的制度体系与特征

欧盟立足区域整体网络安全与数字经济发展全局,自上而下统筹谋划PQC整体迁移布局,逐步搭建完备且层次清晰的配套制度框架,并形成具有区域特色的推进逻辑与实施理念。

(一)四层架构的政策与制度体系

围绕顶层战略框架,欧盟构建了四层架构的立体化政策与制度体系,形成了从宏观协调到微观落地的制度支撑。

第一层级:跨主体协调治理体系。该体系以欧盟委员会为政策制定主体,以NIS合作小组PQC专项工作组为协调平台,汇集成员国网络安全主管部门、ENISA、欧洲电信标准化协会(ETSI)等机构,同时吸纳公共部门、关键基础设施运营者、产业服务商等利益相关方参与。该体系坚持经验共享、节奏协调原则。

第二层级:技术标准与认证规范体系。该体系包括两大分支:一是ENISA主导的网络安全认证标准。EUCC密码学指南第二版已将美国国家标准与技术研究院(NIST)选定的后量子密钥交换算法CRYSTALS-Kyber、后量子数字签名算法CRYSTALS-Dilithium等纳入推荐清单,同时,明确了PQC与传统加密算法混合部署的技术要求,使PQC适配成为ICT产品进入欧盟公共采购市场的合规要求。二是ETSI主导的行业技术标准。2020年发布的规范《量子安全混合密钥交换》(Quantum-safe Hybrid Key Exchanges)(即ETSI TS 103 744)和2025年3月推出的《具有隐藏访问策略的高效量子安全混合密钥交换》(Efficient Quantum-Safe Hybrid Key Exchanges with Hidden Access Policies)(即ETSI TS 104 015)引入结合访问控制的密钥封装机制(KEM),为行业场景混合部署提供统一技术规范。

第三层级:科研与技术支撑体系。欧盟通过2018年启动的“量子旗舰计划”在10年内投入10亿欧元,动员2000余名科研人员与产业专家,为PQC算法研究、协议适配、场景测试提供持续的科研资源支撑。ENISA作为技术执行机构,持续开展PQC迁移的跟踪研究、基准测试与指南更新,形成了对政策落地的常态化技术支撑。同时,欧盟成员国国家级网络安全机构同步开展技术研究与指南制定,形成了欧盟与成员国两级技术支撑体系。

第四层级:成员国国别落地的衔接机制。欧盟明确要求成员国制订与欧盟路线图对齐的国家PQC迁移计划,同时赋予成员国根据本国基础设施现状、产业特点调整实施节奏的弹性空间。法国、德国、荷兰等成员国已率先发布本国PQC迁移指南等文件,与欧盟顶层政策形成衔接与呼应。

(二)战略政策的特征分析

欧盟PQC迁移战略政策呈现以下特征。

第一,主权导向、安全优先。欧盟将PQC迁移置于数字主权与技术主权的战略高度,坚持安全优先原则,并未完全盲从NIST的算法选择,认可“非NIST选定”却具备高安全强度的算法合规性,强调通过双重加密、混合部署等机制实现迁移过程中的安全兜底。

第二,协调统一、弹性适配的平衡兼顾。欧盟通过统一的路线图推动形成协同一致的迁移节奏,同时,并未采取“一刀切”式的强制模式,为成员国保留了充分的弹性空间,不强制限定具体算法选择与实施细节,旨在实现欧盟层面协同与国别化适配的有机平衡。

第三,技术研究、产业应用相互联动。欧盟通过ENISA的系统性研究完成技术储备,同步配套标准与认证体系推动产业适配,通过金融等场景试点验证完善技术路径,实现了技术研究、政策制定与产业实践的深度联动。

三、欧盟PQC迁移的实践路径

在战略与政策指引下,欧盟已在PQC迁移技术适配和场景试点等方面开展了系统性实践,从基础试点开始逐步推广并落地实践。

第一,基础技术研究与协议适配实践。ENISA作为技术牵头机构,完成了对NIST候选算法的全维度性能测试,明确了基于格的算法在KEM场景的性能优势,以及不同签名算法在资源受限设备、高负载车联网等场景的适配性。同时,欧盟科研机构与产业界协同开展PQC与主流网络协议的适配实践,包括TLS1.3协议的PQC密钥交换集成、WireGuard VPN协议的后量子版本改造、IPSec/IKEv2协议的PQC适配,验证混合密钥交换、双重签名等机制在现有协议中的可行性。在开源实现层面,OpenSSH自2019年起已支持Streamlined NTRU Prime算法,并于2022年在服务器端默认启用,成为全球较早实现PQC默认启用的应用实例。

第二,金融关键基础设施试点落地与验证。金融领域是欧盟PQC迁移的先行场景,其中,最具代表性的是由国际清算银行与欧洲央行、德意志联邦银行、法兰西银行联合发起的“跃迁”(LEAP)计划。该计划是全球金融领域最具系统性的PQC迁移试点项目,在2023年完成了第一阶段Kyber、FrodoKEM等密钥封装算法,CRYSTALS-Dilithium、Falcon、SPHINCS+等数字签名算法的全场景测试。2025年,LEAP计划完成了第二阶段拓展,将试点场景延伸至欧元体系大额支付系统(TARGET2,T2),聚焦流动性转移交易的后量子密码签名验证,完成了端到端的功能、性能与互操作性测试。

第三,产业界与互联网企业先行适配实践。欧盟的科技企业已同步开展PQC产品适配与落地,形成了产业端的先行实践。网络设备厂商思科(Cisco)发布路由器产品的PQC MACsec配置指南,实现二层网络通信的量子安全加固;云服务厂商亚马逊云科技(AWS)的密钥管理服务(KMS)支持PQC TLS协议;微软(Microsoft)推出PQC VPN完整解决方案,实现云服务场景的PQC适配。此外,谷歌(Google)、科赋锐(Cloudflare)等企业的欧盟区域服务已开展TLS 1.3协议的PQC混合密钥交换试点,验证了大规模互联网场景PQC部署的可行性。

四、欧盟PQC迁移落地面临的挑战与制约

尽管欧盟PQC迁移已取得阶段性成效,但在落地过程中仍面临技术性能、产业供应链、标准化协同等挑战与制约。这成为欧盟PQC迁移工作的重点与难点。

第一,PQC与现有系统的兼容性“瓶颈”。从性能维度看,LEAP计划第二阶段的测试数据显示,PQC签名验证耗时较传统算法高出一个数量级,对高并发、低延迟要求的业务场景形成了性能压力。从协议兼容性维度看,PQC算法普遍存在密钥与签名尺寸偏大的问题,部分大尺寸算法无法在现有协议中直接部署。从系统架构兼容性维度看,现有核心业务系统在设计之初并未考虑PQC适配需求,普遍存在架构问题。例如,LEAP计划测试显示,欧元T2支付系统的签名验证软件仅支持单一密码算法的并行处理,无法实现传统算法与PQC算法的混合签名验证。若要实现混合部署,需要对系统架构进行大规模重构,而这将带来极高的改造成本与周期压力。

第二,供应链与产业生态的适配挑战。PQC迁移高度依赖解决方案供应商的软件与硬件更新,重要系统的PQC适配需要设备厂商、软件服务商、芯片厂商的深度协同,而大量中小厂商的PQC技术储备不足,无法及时完成产品适配,形成了明显的供应链短板。尤其是硬件安全模块(HSM)PQC适配进度严重滞后,使LEAP计划只能采用软件密钥文件替代其完成测试,导致无法模拟生产环境的真实部署场景。此外,现有系统的软件版本不兼容问题普遍存在,例如LEAP计划出现供应商软件与Java运行时环境的版本冲突。这类问题进一步增加了PQC迁移的复杂度与成本。

第三,标准化与跨境互操作性的协同难题。尽管欧盟致力于推动全欧盟的协调统一,但成员国之间仍存在技术选择的差异。例如,法国国家网络安全局(ANSSI)明确认可FrodoKEM等非NIST首选算法的安全价值,而德国联邦信息安全办公室(BSI)发布独立的算法推荐清单。这类国别化技术选择可能导致欧盟内部跨境系统出现互操作性障碍。同时,互联网工程任务组(IETF)、国际标准化组织(ISO)、ETSI等机构的后量子密码相关协议标准仍在持续更新,标准细节的变动增加了迁移的不确定性。此外,欧盟与美国、亚太地区的PQC技术标准及迁移节奏存在差异,也给跨境业务系统的PQC迁移带来了互操作性挑战。

五、欧盟PQC迁移路径评析与启示

与美国通过推动和主导PQC作为现代密码学的应然升级换代不同,欧盟在跟进国际主流标准、开展核心技术研发的同时,也不断探索具备自主性的替代发展路径。在量子密码路径选择上,欧盟对量子密钥分发和后量子密码并行关注,从而在一定程度上影响其整体部署节奏与发展方向。欧盟量子战略的整体性安排已超越单纯的技术竞争范畴,升格为国家网络安全和创新体系整体效能的重要评判指标,关系欧盟在未来世界格局中的发展定位。借鉴欧盟经验,我国应结合自身制度优势,思考如何在激发市场活力与保护供应链安全之间找到更优平衡点,走出一条兼具效率与韧性的发展道路。

第一,强化顶层统筹和战略规划。尊重科技规律,将量子安全与密码韧性纳入国家网络空间安全与发展总体布局,强化跨部门协同与立法保障,辩证和开放地推动政策、科研、产业、监管高效联动。

第二,兼顾现实安全与长远防御。在PQC迁移策略上,欧盟提倡“混合加密过渡、分步迁移落地”方针,同时重视密码灵活性,特别关注与供应链自主可控的关系。欧盟《网络韧性法案》(Cyber Resilience Act)正是这种供应链安全整体思路的立法体现。这对我国应采用何种PQC迁移路径,以及如何基于重要性原则在政务、金融、能源等关键领域优先推进PQC迁移试点等,均有启发。

第三,平衡自主创新与国际协同。欧盟在标准问题上有着清醒认识和落地的“执念”,努力抢占标准主导权。我国应考虑在坚持核心技术自主可控的基础上,借助PQC算法、标准重大升级迭代的契机,深度参与全球PQC、量子计算安全标准制定,提升国际话语权,为量子时代注入安全新方法。

(本文刊登于《中国信息安全》杂志2026年第5期)

声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。