引言
量子计算机什么时候才会真正威胁到现在用的加密算法?
这个问题恐怕在现在需要改为:从决定迁移到完成迁移,你的系统需要多长时间?
2024年8月,NIST正式发布首批三项后量子密码标准(FIPS 203、204、205)。随后的迁移草案说得更具体:RSA-2048、ECC-256等非对称算法,将在2030年前被弃用,2035年后被全面禁止使用。2025年12月,美国战争部首席信息官发出备忘录,责令所有机构立即识别系统中的密码资产并启动后量子迁移,要求2030年底前逐步淘汰现有预共享密钥和对称密钥协议,并将密码资产完整清单的维护列为常态化任务——覆盖范围包括国家安全系统、业务平台、武器系统、云服务和移动设备。年份明确,动作具体,问责机制落实到个人。
对大多数企业来说,量子计算机不会明天就会突破,但是迁移工程本身就很重。上一次类似规模的密码更替,SHA-1从浏览器和证书体系开始被淘汰,到更多设备和系统真正完成切换,花了将近十年。那次迁移相对单纯,只是替换了哈希算法。这一次,要同时面对签名、密钥建立、报文体积膨胀、设备兼容、终端换代和多方协同并行推进。留给企业的时间,没有看上去那么充裕。
一、NIST已发布的后量子密码标准一览及适用场景
三项核心标准与两大应用方向
后量子密码标准的核心任务,是替换公钥密码体系中最脆弱的两类操作:密钥建立和数字签名。NIST首批发布的三项标准,正好分别覆盖这两个方向。
FIPS 203:ML-KEM(Module-Lattice-Based Key-Encapsulation Mechanism)
基于CRYSTALS-Kyber算法,属于格密码体系,用于密钥封装——即在通信双方之间安全地协商和传输对称密钥。这是三项标准中优先级最高的一项。当前绝大多数加密协议(TLS、IPSec、SSH)的密钥交换环节依赖ECDH或RSA,两种机制均可被量子计算机的Shor算法破解。ML-KEM提供三种安全参数:ML-KEM-512(对应AES-128安全强度)、ML-KEM-768(对应AES-192)、ML-KEM-1024(对应AES-256)。面向金融和政务高安全场景,建议选用ML-KEM-1024。
FIPS 204:ML-DSA(Module-Lattice-Based Digital Signature Algorithm)
基于CRYSTALS-Dilithium算法,用于数字签名,是ECDSA和RSA签名的替代方案。适用场景包括代码签名、证书签发、电子合同、固件完整性验证等一切需要证明数据来源和完整性的场景。ML-DSA在当前主流PQC方案中签名速度较快,公钥尺寸相对紧凑,适合嵌入现有PKI基础设施。
体积代价是工程上必须正视的硬约束:ML-DSA-44公钥约1312字节、签名约2420字节;ML-DSA-65公钥约1952字节、签名约3309字节。BNB Chain在2025年发布的实测报告显示,将交易签名从ECDSA替换为ML-DSA-44后,单笔交易体积从约110字节增至约2.5KB,2000 TPS场景下区块大小从约130KB涨至约2MB,测试环境中TPS下降约40%至50%。区块链系统与传统企业系统架构不同,但这组数字具有直接参考价值:报文体积膨胀和验签性能损耗,在高并发实时处理场景中是绕不过去的工程问题,必须纳入迁移前的性能评估。
FIPS 205:SLH-DSA(Stateless Hash-Based Digital Signature Algorithm)
基于SPHINCS+算法,安全性建立在哈希函数的抗碰撞性上,与格密码的数学假设完全不同。NIST同时标准化这一方案,是为了给企业提供算法多样性保护——一旦格密码在数学上出现意外漏洞,SLH-DSA可作为备选路径。主要缺点是签名尺寸较大(约8KB至50KB),适合签名频率低、对体积不敏感的场景,如根CA证书签发、长期存档文件签名。
FIPS 206:FN-DSA(FFT over NTRU-Lattice-Based Digital Signature Algorithm)
基于FALCON算法,2024年底正式发布。签名尺寸极小(约666字节),适合带宽受限的物联网设备和嵌入式场景,但实现复杂度较高,需防范侧信道攻击。
NIST明确的弃用与禁用时间表
国内标准进展
国家密码管理局正在推进国产后量子密码标准的制定工作。现行国密算法中,SM2(基于椭圆曲线)和SM9(基于双线性对)均可被量子计算机的Shor算法破解;SM4和SM3受影响程度相对较小,但SM3输出长度在Grover算法威胁下等效安全强度减半,仍需关注。值得注意的是,中国人民银行已主导立项"银行业及其关键信息基础设施信息系统的抗量子密码迁移技术研究"国家重点研发计划,联合清华大学等多家机构开展研究。从监管节奏看,后量子密码迁移在国内被纳入合规框架只是时间问题,届时节奏将从"愿不愿意做"转向"必须在密评框架里做"。
二、企业密码资产梳理:哪些算法需要被替换
在制定迁移路线图之前,必须先完成密码资产盘点。这一步骤往往被低估——许多企业直到实际评估时才发现,加密算法渗透在系统的每一个角落,远超预期。
密码资产的五类分布
1. 网络传输层
TLS/SSL协议是最普遍的密码应用场景。握手过程中的密钥交换(ECDHE或RSA)和身份认证(ECDSA或RSA证书)均属量子脆弱组件。需要梳理的对象包括:Web服务器配置、API网关、负载均衡器、反向代理、内部服务间通信。VPN和IPSec隧道中的IKE密钥协商同样依赖ECDH或RSA。
2. 身份认证与证书体系
企业内部PKI体系通常包含根CA、中间CA和终端实体证书,所有基于RSA或ECC密钥对生成的证书均需在量子时代到来前完成替换。代码签名证书、设备身份证书(用于物联网设备注册和认证)同属高优先级盘点对象。
3. 数据加密与密钥管理
静态数据加密通常采用AES,AES本身的量子抵抗性相对较好(Grover算法使有效密钥长度减半,AES-256在量子时代等效AES-128,仍属可接受水平)。问题通常出在密钥的保护和传输环节:保护AES密钥的非对称加密机制往往是量子脆弱的。
4. 数字签名与电子档案
电子合同、电子发票、数字档案的签名如果在量子计算机普及后被破解,其法律效力将受到质疑。对需要长期保存(10年以上)的数字文件,迁移紧迫性显著高于短期业务数据。
5. 硬件密码设备
密码卡、密码机、智能密码钥匙、安全芯片等硬件设备的固件和算法库,直接决定迁移的可行性上限。硬件替换周期长、成本高,是整个迁移工程中最需要提前规划的环节。HSM的设计、认证、测试和部署周期从来不是"换一台机器"那么简单。
梳理的三步方法
第一步,建立密码资产台账。 记录每个系统使用的算法类型、密钥长度、证书有效期、算法来源(第三方库版本)和负责团队。实践中这一步需要借助代码库扫描、证书链梳理、密钥清单核对以及第三方产品摸底共同完成。NIST推荐使用CryptoScanner等自动化工具辅助发现量子脆弱算法分布位置。
第二步,进行量子风险评分。 评分维度:算法类型(RSA/ECDSA/ECDH得分最高,AES-256最低)、数据敏感程度、数据保存年限(超过10年的高优先级)、系统替换难度。
第三步,输出优先级矩阵。 将所有密码资产按"迁移紧迫性"和"迁移复杂度"分象限排列,作为后续阶段规划的直接输入。
三、迁移的三个阶段
后量子密码迁移是一场分阶段推进、跨越多年的系统工程。当前业界普遍认可的框架分三个阶段,与NIST发布的时间节点对应。
阶段一:密码资产识别与评估(建议周期:3–6个月,现在启动)
本阶段核心目标:建立完整密码资产台账,输出风险优先级矩阵。
部署密码算法扫描工具,对网络流量、应用代码库、配置文件进行自动化扫描,识别所有量子脆弱算法的使用位置。针对自研系统,要求各研发团队提交密码使用清单,说明引用的加密库(OpenSSL、BouncyCastle、国密SDK等)版本和配置。针对采购系统,向供应商发函询问其后量子迁移路线图,评估第三方依赖风险——供应链密码合规断层是实际迁移中最容易被忽视的风险点。
阶段二:混合过渡——传统算法与后量子算法并行(2026–2030年)
混合密码(Hybrid Cryptography)是当前业界最推荐的过渡策略,也是NIST迁移草案明确支持的路径。核心思路:在同一次密钥协商或签名操作中,同时运行传统算法和后量子算法,将两者输出组合使用。攻击者必须同时破解两种算法才能成功,保留了传统算法成熟的工程可信度,也为格密码的潜在数学风险留了回退余地。
具体实施示例:TLS 1.3混合密钥交换在握手阶段同时协商ECDHE(X25519)和ML-KEM,将两者生成的共享密钥通过KDF组合,用于最终会话密钥生成。IETF已发布相关草案(draft-ietf-tls-hybrid-design),主流TLS库正在跟进实现。证书体系方面,可为TLS服务器同时颁发一张传统ECDSA证书和一张ML-DSA证书,支持后量子的客户端优先使用ML-DSA,传统客户端自动回退。
本阶段还需同步:更新加密库(OpenSSL 3.x系列已集成部分PQC支持);对关键系统进行性能基准测试,提前评估报文体积膨胀和验签性能损耗;完善密钥管理策略,确保后量子密钥生命周期管理机制就绪。
阶段三:完全迁移(2030–2035年前完成)
彻底移除量子脆弱算法。NIST草案的截止线是2035年,美国战争部要求2030年底前完成相关工作,中国监管时间表尚未正式公布。参考国际节奏,企业内部规划以2030年为关键系统目标、2035年为全系统目标较为合理。
完全迁移的重点工作包括:吊销所有基于RSA/ECC的根证书,重建基于后量子算法的PKI体系;完成所有硬件密码设备的固件升级或物理替换;更新应用层密码调用接口,移除传统算法依赖;对历史存档的加密数据进行密钥再封装(无需重新加密文件本体,只需用后量子保护的新密钥封装旧密钥);通过安全审计和密码合规检测,验证迁移完成情况。
四、迁移过程中的典型风险与应对策略
风险一:"现在收集,未来解密"攻击(HNDL)
"现在收集,未来解密"(Harvest Now, Decrypt Later,HNDL)是当前阶段最紧迫的威胁,因为它不依赖量子计算机现在就能运行。攻击者只需今天批量截获加密流量并存储,等量子计算机具备足够能力后再行解密。对于政府机密、金融合同、医疗档案等敏感性保持期超过10年的数据,即使量子计算机2030年后才成熟,今天传输的数据已经处于风险敞口。
应对策略: 优先为长期敏感数据传输部署混合密钥交换机制,不等完全迁移再动手。可在TLS层率先部署ML-KEM混合握手,确保今天加密的数据即使被截获也无法被未来量子计算机解密。
风险二:报文体积膨胀与实时性压降
参考BNB Chain实测数据:ML-DSA-44使单笔交易体积从约110字节涨至约2.5KB,TPS在测试环境下降约40%至50%。对传统企业系统而言数字会有所不同,但方向一致——后量子签名进入高并发实时交易流程后,时延评估必须重做。
应对策略: 阶段一评估中强制包含性能基准测试。高并发场景优先考虑部署支持硬件加速的密码设备(密码卡、密码机),以硬件卸载算力压力。推广TLS会话复用,减少完整握手频率。对物联网和带宽受限场景,优先考虑FN-DSA(FALCON)的小签名方案。
风险三:HSM替换周期过长
HSM是密码体系最深的那层硬件锚点,也是整个迁移工程中最难换的部件。发卡行的PIN加密与验证、清算网络的机构间报文MAC生成、证书体系中的关键签发动作,背后都离不开HSM。只要HSM这一层还没能力承接后量子算法,上层应用即便改好,也很难真正跑起来。存量HSM的替换周期普遍按多年计,从今天写进采购计划到实际完成换代,可能已经到下一个十年的前半段。
应对策略: 将后量子算法支持列为新采购HSM的强制要求;对存量HSM核查固件升级路径,能升则升,不能升则立项替换;分级排序,优先替换保护最高价值密钥的HSM。
风险四:供应链密码合规断层
企业完成了内部迁移,但上游软件供应商、SaaS平台、SDK提供商仍在使用量子脆弱算法,导致整体安全链条出现断点。
应对策略: 将"后量子密码迁移路线图"纳入供应商准入审核条件。对关键供应商签订附有时间节点的密码合规承诺函。对无法替换的高风险SaaS依赖,在网络层加装混合密码网关进行二次封装。
风险五:算法标准不确定性
2022年7月,SIKE算法刚进入NIST第四轮评估约一个月,便被传统计算机在数小时内破解。这件事的启示是:即使经过严格审查的PQC候选算法,仍可能存在未被发现的数学漏洞。2025年,中国研究团队成功破解"Bochum Challenges"中的Kyber-208弱化版实例——这并不说明ML-KEM标准有漏洞,此类研究通过分析弱化参数来确认标准方案的安全裕度,类似工程师压测桥梁承重极限,目的是验证正式版本的稳健性。但SIKE的前车之鉴说明,单一算法押注的风险始终存在。
应对策略: 采用算法敏捷性(Crypto Agility)设计原则,将算法选择与业务逻辑解耦,通过配置而非硬编码指定算法,确保算法需要更换时无需修改业务代码。同时支持多种PQC算法路径(格密码+哈希密码),避免单点押注。
五、中安云科全线产品对后量子密码的支持情况
量子密码领域的工程经验
中安云科(SINOCIPHER)成立于2016年,是国家高新技术企业、省市专精特新及瞪羚企业,持有50余项商用密码产品认证、20余项网络安全专用产品安全检测证书,通过CMMI5、ISO9001、ISO27001及信息安全服务资质认证。
在量子密码领域,2020年承建中国人民银行量子密码服务平台项目,是国内最早在金融行业完成量子密码应用落地的厂商之一——与人民银行主导的国家重点研发计划"银行业抗量子密码迁移技术研究"形成直接呼应。
中安云科构建四大核心能力域(密码安全、网络安全、数据安全、身份安全),以下按域说明后量子密码的支持情况。
密码安全:国密核心能力底座
硬件密码模块层: PCI-E密码卡已于2023年通过ISO/IEC 19790国际安全标准首批认证,获BIS颁发认证证书——国产密码卡中少数具备国际合规资质的产品。ISO/IEC 19790所依据的安全标准体系与后量子算法硬件安全模块实现要求高度兼容,为固件级PQC算法集成奠定了合规基础。M.2密码卡、Mini PCI-E密码卡、QAT加速卡等多形态板卡产品覆盖从服务器到边缘节点的不同算力卸载需求。
密码整机层: 服务器密码机和云服务器密码机正在推进后量子算法固件集成,将支持ML-KEM和ML-DSA的硬件加速运算,以硬件卸载方式应对报文体积膨胀和验签性能压降问题。2025年,多款三级密码产品已获国密局认证,具备支撑四级信息系统密码应用改造的能力,覆盖关键信息基础设施的最高等级密码合规要求。
密钥管理层: 密钥管理系统和证书密钥管理系统支持后量子算法密钥对的全生命周期管理(生成、分发、更新、备份、销毁),并可实现传统国密密钥与后量子算法密钥的并行管理,满足混合过渡阶段的实际操作需求。
网络安全:构建可信通信边界
IPSec/SSL VPN综合安全网关是HNDL攻击的主要风险入口,也是混合过渡阶段优先加固的对象。中安云科VPN网关产品线已将TLS 1.3混合PQC密钥交换纳入规划路线,后续将支持ML-KEM混合握手,确保VPN隧道数据对量子截获攻击免疫。
零信任安全网关基于"永不信任,始终验证"架构,从身份、设备、环境、应用、数据五个维度进行动态验证。该架构天然契合后量子迁移的混合过渡需求——在同一套访问控制体系下,可并行支持传统国密认证和后量子认证机制,客户端按能力自动协商,无需分批改造业务系统。链路密码机产品覆盖数据中心间骨干链路加密场景,为高吞吐量跨域数据传输提供加密保护。
数据安全:守护数据全生命周期
数据库加密网关、数据库审计系统、数据库脱敏系统三款产品构成数据库安全能力闭环。数据库加密网关正在评估集成混合加密模式,为结构化敏感数据提供面向量子时代的加密层。HTTPS加速网关(2026年新品)可作为应用层TLS终结点,在统一位置完成PQC混合握手改造,避免分散改造各后端应用。
对需要长期保存的敏感文件,文件加解密系统和数据可信保障平台支持后量子迁移阶段的密钥再封装——对历史加密文件的密钥进行后量子算法保护的新封装,实现前向保密加固,无需重新加密文件本体。
身份安全:筑牢信任安全防线
证书认证系统(CA)和远程电子签名平台支持双证书体系架构,可同步颁发传统国密(SM2)证书和后量子签名证书,适应混合过渡阶段的部署需求。对医疗、政务、司法等需要长期存档签名文件的行业,安全电子签章系统结合时间戳服务器提供长期签名(Long-Term Signature)能力,通过时间戳和证据保全机制延长已签名文件的可信有效期,覆盖量子计算机成熟前的过渡窗口。
密码服务:迁移咨询与密评支持
中安云科密码服务团队提供后量子密码迁移全周期咨询服务:企业密码资产盘点与量子风险评分、迁移路线图制定、混合过渡方案设计、密码合规差距分析,以及配合密评整改中关于后量子密码准备度的专项评估支持。当前,后量子密码迁移准备度评估已纳入面向金融、政务、能源、交通、医疗客户的密码体系规划服务标准模块。
结语
量子计算机什么时候跨过临界点,今天没有人能给出精确日历。但NIST 2035年的禁用时间线已经写进标准文件,美国战争部的2030备忘录已经发出,HNDL攻击的时钟从今天就在走。
SHA-1的退出是一个参照:从浏览器和证书体系开始被淘汰,到更广泛完成替换,前后将近十年。而那次迁移相对单纯,只是替换了哈希算法。这一次,要同时处理签名、密钥建立、报文体积、设备兼容、终端换代和多方协同,难度不在一个量级,可用的时间却没有更多。
最现实的动作并不复杂:先完成第一轮密码资产盘点,先识别量子脆弱算法依赖,先把后量子能力要求写进新采购,先把HSM、终端和证书体系列入中长期更新计划。
FAQ
Q:我们现在用的国密算法(SM2/SM4)还安全吗?需要立刻替换吗?
A:SM4是对称算法,量子威胁有限,当前无需替换。SM2基于椭圆曲线,理论上可被量子计算机的Shor算法破解,但现有量子计算机尚不具备实际威胁能力。当前最优策略是:继续使用SM2满足现行合规要求,同步启动密码资产盘点和混合迁移规划,优先保护敏感性保持期超过10年的数据,因为HNDL攻击今天就在发生。
Q:中国研究团队破解了Kyber-208,是否说明ML-KEM标准本身不安全?
A:不是。Kyber-208是专为安全研究设计的弱化参数版本,参数远低于标准方案。这类研究的目的是通过分析弱化实例了解当前攻击算法的极限,从而反向验证标准版Kyber(ML-KEM-512/768/1024)的安全裕度。现有研究成果反而印证了标准版方案在现有算力和分析方法下仍具备足够的安全余量。
Q:什么时候是启动迁移的合理时间节点?
A:密码资产盘点现在就应该开始,不存在"太早"的问题。混合过渡方案的部署,建议在2026至2027年内完成高优先级系统。完全迁移参考NIST路线图,以2030年为关键系统目标、2035年为全系统目标。对于存档数据保存期超过10年的机构(医院、档案馆、金融机构),应将HNDL攻击的应对列为立即行动项,而非等待监管强制要求。