国产最新精品亚洲2024不卡_九月婷婷_99热只有精品在线观看_高潮迭起!国产91在线 www.色黄,黄色片网站在线观看,日韩一三区

【導(dǎo)讀】后量子密碼，簡(jiǎn)稱PQC，如今已是眾多科技公司公開討論的熱門話題。但是，在半導(dǎo)體行業(yè)，仍有很多人難以弄懂后量子密碼的復(fù)雜原理，而真正明白為何如今亟需轉(zhuǎn)向后量子密碼的人更是寥寥無幾。不妨在這里探討一下，我們應(yīng)該如何思考這個(gè)問題，探討其當(dāng)下對(duì)決策者來說究竟意味著什么。想要理性探討后量子密碼，就必須先儲(chǔ)備些許有關(guān)量子計(jì)算的基礎(chǔ)原理的知識(shí)，了解量子力學(xué)知識(shí)，哪怕只是淺顯了解，也是必不可少的。后量子密碼學(xué)內(nèi)容龐雜，涉及面非常廣泛，一篇博文根本無法深入探討這個(gè)專題。故此，本文僅梳理幾項(xiàng)最核心的基礎(chǔ)原理，力求揭開后量子密碼的神秘面紗。

基礎(chǔ)原理

什么是量子計(jì)算？

傳統(tǒng)計(jì)算機(jī)依靠電信號(hào)存儲(chǔ)和處理信息，電信號(hào)僅有高低電壓兩種基礎(chǔ)狀態(tài)，因此，我們用由 0 和 1 組成的二進(jìn)制語言來表示這兩種狀態(tài)。無論是運(yùn)行程序，還是顯示圖片和視頻，傳統(tǒng)計(jì)算機(jī)所做的事情，歸根結(jié)底都是一長(zhǎng)串 0 和 1 的組成的數(shù)據(jù)。量子計(jì)算機(jī)的運(yùn)算基礎(chǔ)同樣是物理系統(tǒng)，但它并不用傳統(tǒng)的電信號(hào)，而是采用電子、光子等量子，量子的運(yùn)動(dòng)遵循量子力學(xué)定律。

19 世紀(jì)初托馬斯?楊完成的雙縫干涉實(shí)驗(yàn)是一個(gè)著名的解釋量子運(yùn)動(dòng)規(guī)律的例子。光線穿過兩條狹縫時(shí)，會(huì)形成干涉條紋，仿佛是光波同時(shí)穿過了兩道縫隙?？梢坏┙柚鷾y(cè)量設(shè)備觀測(cè)光線具體穿過哪條狹縫，干涉條紋便會(huì)立刻消失，此時(shí)，光線又呈現(xiàn)出粒子形態(tài)，這便是量子力學(xué)中的波粒二象性。多年來，科研人員利用各類光子或物質(zhì)多次再現(xiàn)這一特性，它也是量子計(jì)算學(xué)的核心理論依據(jù)之一。

什么是量子比特？

一臺(tái)量子計(jì)算機(jī)的近距離特寫照片

雙縫干涉實(shí)驗(yàn)與量子計(jì)算機(jī)有何關(guān)聯(lián)？簡(jiǎn)單來說，量子計(jì)算機(jī)用量子態(tài)表示量子計(jì)算機(jī)的核心基礎(chǔ)信息。傳統(tǒng)計(jì)算機(jī)用比特，而量子計(jì)算機(jī)則用量子比特，又稱Qubit。比特代表電壓范圍，量子比特則可表示光子偏振態(tài)或電子自旋狀態(tài)。無論是傳統(tǒng)計(jì)算機(jī)還是量子計(jì)算機(jī)，都需要通過測(cè)量來確定比特或量子比特的數(shù)值，而雙縫干涉實(shí)驗(yàn)證實(shí)，量子在測(cè)量前后的表現(xiàn)截然不同，這與傳統(tǒng)力學(xué)規(guī)律完全相悖。

傳統(tǒng)計(jì)算機(jī)的比特采用二進(jìn)制計(jì)數(shù)，只用0和1兩個(gè)數(shù)字，0或1 代表一個(gè)比特；量子計(jì)算機(jī)同樣設(shè)定量子比特有兩種基礎(chǔ)狀態(tài)，例如，兩種能級(jí)、兩種角動(dòng)量等。量子比特與傳統(tǒng)比特不同之處是，傳統(tǒng)比特的兩種狀態(tài)是互斥的，也就是說，比特不是 0，就是1，而量子比特可以處于兩種狀態(tài)的疊加態(tài)，如同光波能同時(shí)穿過兩條狹縫一般，兼具比特的 0 和1 兩種狀態(tài)。因此，量子比特里的 0 態(tài)和 1 態(tài)以概率幅形式存在，概率幅決定了測(cè)量結(jié)果是 0 還是 1 的概率。

系統(tǒng)一旦執(zhí)行測(cè)量操作，量子比特的疊加態(tài)就會(huì)坍縮為 0 或 1，量子計(jì)算就此結(jié)束，這和前文雙縫干涉實(shí)驗(yàn)中觀測(cè)光線通過哪條狹縫的原理一致。為此，量子算法利用精心設(shè)計(jì)的運(yùn)算來調(diào)整量子比特的概率幅。簡(jiǎn)單來說，量子算法就是調(diào)控概率幅，以提高正確結(jié)果概率，抑制錯(cuò)誤結(jié)果的概率，確保測(cè)量一次，結(jié)果正確一次。量子計(jì)算背后掩藏著繁雜深?yuàn)W的數(shù)學(xué)理論，一篇博文難以詳盡講解。不過，上面簡(jiǎn)要的介紹有助于我們明白為何量子計(jì)算是一個(gè)難題。

相較于傳統(tǒng)計(jì)算機(jī)，量子計(jì)算機(jī)潛在的核心優(yōu)勢(shì)是，能夠利用疊加態(tài)并行推演大量可能情況，而傳統(tǒng)計(jì)算機(jī)只能逐步依次演算。對(duì)于特定問題，量子計(jì)算機(jī)可借助量子特性減少運(yùn)算次數(shù)，實(shí)現(xiàn)算力大幅提升，不過，這并非適用于所有情況。過去，量子計(jì)算機(jī)僅在執(zhí)行特定類型任務(wù)時(shí)遠(yuǎn)超傳統(tǒng)計(jì)算機(jī)，例如，優(yōu)化運(yùn)算、量子系統(tǒng)仿真，以及部分密碼和搜索類應(yīng)用場(chǎng)景。

量子威脅

邁向后量子密碼時(shí)代：量子比特電路特寫實(shí)拍

什么是密碼相關(guān)量子計(jì)算機(jī)(CRQC)？

目前全球各大實(shí)驗(yàn)室雖已研制出量子計(jì)算機(jī)，但無一能夠?qū)鹘y(tǒng)密碼算法構(gòu)成實(shí)際威脅。業(yè)內(nèi)將這類設(shè)備定義為“非密碼相關(guān)”量子計(jì)算機(jī)，意思是這類計(jì)算機(jī)不具備密碼攻擊能力。不過，我們顯然正在邁向密碼相關(guān)量子計(jì)算機(jī)CRQC時(shí)代，這類未來量子計(jì)算機(jī)利用容錯(cuò)量子算法和海量的量子比特，能夠破解公鑰密碼加密體系。有業(yè)內(nèi)預(yù)估，此類設(shè)備還需 10 至 15 年才能問世，但目前很難做出精準(zhǔn)可靠的預(yù)判。究其原因，一臺(tái)量子計(jì)算機(jī)要想具備密碼攻擊能力，必須能夠處理海量的量子比特，還必須滿足多項(xiàng)額外硬性技術(shù)條件。

今天的量子計(jì)算機(jī)難以識(shí)別并修正運(yùn)算錯(cuò)誤與損壞的數(shù)據(jù)，而密碼相關(guān)量子計(jì)算機(jī)CRQC必須能夠?qū)崟r(shí)檢錯(cuò)和糾錯(cuò)。今天的量子計(jì)算機(jī)生成的邏輯量子比特極易出錯(cuò)，而想要具備破解密碼的能力，量子計(jì)算機(jī)必須支持處理數(shù)百個(gè)邏輯量子比特。邏輯量子比特是大量的物理量子比特通過編碼組合而成，以防止量子比特出錯(cuò)，類似于 ECC 內(nèi)存中的糾錯(cuò)碼。2024 年，谷歌已研發(fā)出由 105 個(gè)物理量子比特組成的邏輯量子比特。最后，密碼相關(guān)量子計(jì)算機(jī)還需完成數(shù)百萬次量子門運(yùn)算，并穩(wěn)定運(yùn)行至少數(shù)小時(shí)。不滿足以上全部條件，一臺(tái)量子計(jì)算機(jī)算不上真正具備密碼攻擊能力。

量子威脅是什么？

傳統(tǒng)算法

量子計(jì)算機(jī)將如何破解傳統(tǒng)密碼算法？最常被提及的破解方法便是肖爾算法，該算法以數(shù)學(xué)家彼得?肖爾命名。想要弄清它的原理，首先要明白：當(dāng)下眾多主流密碼算法都依靠一個(gè)事實(shí)：在傳統(tǒng)計(jì)算機(jī)上進(jìn)行大整數(shù)因數(shù)分解難度高，耗時(shí)長(zhǎng)。我們都知道，兩個(gè)數(shù)字相乘既簡(jiǎn)單又快捷，可要反向找出這個(gè)大數(shù)是哪幾個(gè)質(zhì)數(shù)相乘的結(jié)果則需要很長(zhǎng)時(shí)間，使得這種運(yùn)算幾乎沒有可行性。

這本質(zhì)上就是RSA這類加密算法的核心原理。這個(gè)大數(shù)就是加密后的數(shù)據(jù)，兩個(gè)質(zhì)數(shù)分別對(duì)應(yīng)公鑰與私鑰。如果同時(shí)持有兩組質(zhì)數(shù)密鑰，解密過程就會(huì)十分簡(jiǎn)便迅速；若僅有公鑰，靠暴力枚舉破解私鑰幾乎無從實(shí)現(xiàn)。舉例來說，用傳統(tǒng)計(jì)算機(jī)破解采用2048 位整數(shù)的 RSA 加密，大約需要300 萬億年。據(jù)一篇2021 年發(fā)表的熱門論文，如果同一破解運(yùn)算在量子計(jì)算機(jī)上執(zhí)行，只需8 個(gè)小時(shí)和2000 萬個(gè)有噪量子比特就能破解密碼。

肖爾算法與格羅弗算法

量子計(jì)算背后隱藏的無數(shù)個(gè)復(fù)雜深?yuàn)W的數(shù)學(xué)原理可以解釋，密碼相關(guān)量子計(jì)算機(jī)如何快速破解 RSA 加密算法。本文不深入探討數(shù)論與模運(yùn)算相關(guān)知識(shí)，但可以介紹兩個(gè)關(guān)注度較高的連主流刊物都引用的熱門算法：肖爾算法與格羅弗算法。本質(zhì)而言，這兩種均為量子算法，能讓量子計(jì)算機(jī)在某些情況下運(yùn)算速度遠(yuǎn)超傳統(tǒng)計(jì)算機(jī)。因此，當(dāng)各行各業(yè)談及量子計(jì)算機(jī)對(duì)現(xiàn)行密碼標(biāo)準(zhǔn)構(gòu)成威脅時(shí)，部分原因正是這些算法已從數(shù)學(xué)層面證實(shí)了這種破解的可行性。

簡(jiǎn)單來說，彼得?肖爾于 1994 年提出了肖爾算法，證實(shí)了量子計(jì)算機(jī)能夠以驚人速度完成階數(shù)求解及其他復(fù)雜運(yùn)算。深究其原理，我們不難發(fā)現(xiàn)，量子計(jì)算機(jī)可操控多個(gè)量子比特執(zhí)行模運(yùn)算和其他運(yùn)算，運(yùn)算速度遠(yuǎn)超傳統(tǒng)計(jì)算機(jī)。因此，肖爾算法能用很少的運(yùn)算步驟完成大整數(shù)因式分解運(yùn)算，以更快的速度破解 RSA 加密，極大動(dòng)搖了這類加密算法的安全根基。

1996 年，洛夫?格羅弗同樣提出了一種量子算法，這個(gè)量子搜索算法可用于暴力破解對(duì)稱密鑰，適用于 AES 這類分組密碼，以及 HMAC-SHA-256 等帶密鑰的哈希結(jié)構(gòu)算法。傳統(tǒng)暴力破解幾乎需要演算所有可能密鑰。以常用的 128 位密鑰為例，演算全部密鑰需要底層密碼算法執(zhí)行2128 次運(yùn)算，說白了，理論上，我們必須試遍所有的密鑰值。相反，格羅弗算法利用量子計(jì)算機(jī)的特性，每一次運(yùn)算都會(huì)提升正確密鑰的概率幅，經(jīng)過約264 次運(yùn)算后，就能以極高概率測(cè)出正確密鑰。

AES-192和AES-256

雖然量子計(jì)算機(jī)可一次性處理海量信息，運(yùn)算能力遠(yuǎn)超傳統(tǒng)計(jì)算機(jī)，對(duì)部分加密算法構(gòu)成安全隱患，但美國商務(wù)部國家標(biāo)準(zhǔn)與技術(shù)研究院公開表示，并非現(xiàn)行所有加密算法都會(huì)失效。例如，該機(jī)構(gòu)明確指出：192 位和 256 位高級(jí)加密標(biāo)準(zhǔn)（AES）在未來很長(zhǎng)一段時(shí)間內(nèi)依舊安全無虞。原因在于格羅弗算法在實(shí)現(xiàn)上受到限制，嚴(yán)重限制了其對(duì)此類加密方式的暴力破解能力。除了需要大量的量子計(jì)算外，它難以實(shí)現(xiàn)高效并行運(yùn)算，進(jìn)一步制約了其實(shí)用優(yōu)勢(shì)。

前瞻布局，應(yīng)對(duì)未來

我們既不能夸大當(dāng)前密碼相關(guān)量子計(jì)算機(jī)帶來的風(fēng)險(xiǎn)，也絕不能低估其潛在威脅。隨著量子計(jì)算機(jī)技術(shù)越來越成熟，現(xiàn)在尚好的加密體系，未來將不堪一擊。這對(duì)于許多需要長(zhǎng)期穩(wěn)定運(yùn)行數(shù)十年甚至更久的數(shù)字簽名與認(rèn)證技術(shù)而言，無疑是一大隱患。同理，即便當(dāng)前基于傳統(tǒng)公鑰密碼體系的區(qū)塊鏈能滿足所有安全標(biāo)準(zhǔn)，若無法抵御二十年后的量子計(jì)算機(jī)攻擊，最終也將徹底失去使用價(jià)值。如今，攻擊者還普遍采用先盜后破的策略：提前囤積大量的涉密數(shù)據(jù)，待量子算力足以破解密鑰后，再行破解之事。

因此，不難理解，即便密碼相關(guān)量子計(jì)算機(jī)尚未問世，部分現(xiàn)有加密算法在量子計(jì)算機(jī)問世之前還有很長(zhǎng)的生命力，眾多企業(yè)已然在做后量子密碼技術(shù)升級(jí)，以抵御破解能力很強(qiáng)的量子計(jì)算機(jī)的攻擊。知名內(nèi)容分發(fā)網(wǎng)絡(luò)服務(wù)商云帆去年就推出了后量子密碼相關(guān)計(jì)劃，谷歌也剛剛宣布更新了Chrome 瀏覽器和云服務(wù)，新增一個(gè)量子安全加密工具。無獨(dú)有偶，蘋果也表示已在 iMessage 應(yīng)用中采用了后量子密碼算法，以此防范未來來自量子計(jì)算機(jī)的安全威脅。

CRQC 何時(shí)能夠問世？

各國監(jiān)管機(jī)構(gòu)相繼出臺(tái)了后量子密碼部署路線圖。像美國國家安全局(NSA)一樣，很多機(jī)構(gòu)坦言，目前無法確定密碼相關(guān)量子計(jì)算機(jī)（CRQC）具體問世時(shí)間。但各方早已啟動(dòng)相關(guān)規(guī)劃，因?yàn)閺恼綐?biāo)準(zhǔn)化到全系統(tǒng)集成，整個(gè)遷移過程往往需要十年甚至更久。簡(jiǎn)言之，抗量子破解算法技術(shù)遷移已然啟動(dòng)，行業(yè)正全面向后量子密碼轉(zhuǎn)型。各國政府機(jī)構(gòu)也已公布后量子密碼遷移建議時(shí)間表，提前布局應(yīng)對(duì)量子危機(jī)日（Q-day），迎接密碼相關(guān)量子計(jì)算機(jī)正式問世。

歐盟

2024 年 6 月，歐盟委員會(huì)要求各成員國在歐盟后量子密碼建議發(fā)布起兩年后制定出后量子密碼實(shí)施路線圖，截止時(shí)間定為2026 年底。歐盟在官方路線圖中明確：高風(fēng)險(xiǎn)應(yīng)用場(chǎng)景需盡快完成后量子密碼遷移，最晚不遲于 2030 年底；到2035 年，盡可能完成絕大多數(shù)系統(tǒng)的遷移改造。歐盟網(wǎng)絡(luò)安全局（簡(jiǎn)稱 ENISA）已發(fā)布遷移白皮書與集成研究報(bào)告，幫助各國達(dá)成上述目標(biāo)。

美國國家標(biāo)準(zhǔn)與技術(shù)研究院

同樣，美國國家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）在 2025 年的一份研究報(bào)告中提出，計(jì)劃在2030 年前逐步淘汰易受量子攻擊的加密算法，并于2035 年全面禁用此類算法。美國商務(wù)部表示，在后量子密碼遷移過渡期內(nèi)，經(jīng)由 NIST 認(rèn)證的128 位安全強(qiáng)度的傳統(tǒng)對(duì)稱密碼基礎(chǔ)算法依舊可以正常使用，各機(jī)構(gòu)也可繼續(xù)使用 112 位安全等級(jí)的公鑰算法。不過，NIST 清楚，全面切換至抗量子攻擊算法是一項(xiàng)龐大的工程，需要升級(jí)基礎(chǔ)設(shè)施，開發(fā)新的軟硬件、密碼庫等多項(xiàng)工作。因此，該機(jī)構(gòu)早在數(shù)年前就啟動(dòng)了相關(guān)標(biāo)準(zhǔn)化工作，全力推動(dòng)行業(yè)盡早完成向后量子密碼體系的轉(zhuǎn)型。

NSA美國國家安全局

與此同時(shí)，美國國家安全局（NSA）表示，力爭(zhēng)所有國家安全系統(tǒng)（NSS）在 2035 年前全部完成抗抗量子攻擊升級(jí)改造。為達(dá)成該目標(biāo)，該局已制定商用國家安全算法套件 2.0 版（CNSA 2.0），明確列出可應(yīng)用于國家安全系統(tǒng)的各類抗量子攻擊算法。美國國家安全局指出：所有在國家安全系統(tǒng)中采用通用標(biāo)準(zhǔn)算法的產(chǎn)品，都必須使用 CNSA 2.0 規(guī)定的算法。自2027 年 1 月 1 日起，國家安全系統(tǒng)所有新采購設(shè)備均需符合 CNSA 2.0 標(biāo)準(zhǔn)；到2030 年 12 月 31 日，除特殊說明外，所有無法兼容 CNSA 2.0 的軟硬件設(shè)備與服務(wù)必須逐步淘汰；至2031 年 12 月 31 日，相關(guān)系統(tǒng)將強(qiáng)制統(tǒng)一啟用 CNSA 2.0 系列算法。

PQC時(shí)代的到來

哪里需要部署PQC？

各類基礎(chǔ)設(shè)施受量子計(jì)算機(jī)的影響程度不盡相同，各類算力設(shè)備也無需以統(tǒng)一節(jié)奏向后量子密碼遷移。但不能片面認(rèn)為，只有存儲(chǔ)國家機(jī)密的超級(jí)計(jì)算機(jī)才需要優(yōu)先完成PQC遷移。實(shí)際上，決定設(shè)備是否優(yōu)先PQC遷移的核心因素，往往不在于設(shè)備用途，而是實(shí)際使用年限。即便是普通工業(yè)設(shè)備，一旦設(shè)計(jì)周期長(zhǎng)達(dá)數(shù)十年，也會(huì)成為高敏感設(shè)備。倘若其安全啟動(dòng)、遠(yuǎn)程空中升級(jí)機(jī)制不具備抗量子攻擊能力，整套系統(tǒng)就會(huì)淪為企業(yè)整體網(wǎng)絡(luò)的安全漏洞。

正因如此，全球移動(dòng)通信系統(tǒng)協(xié)會(huì)（GSMA）在 2024 年發(fā)布指引，明確電信運(yùn)營(yíng)商向后量子密碼體系過渡的實(shí)施辦法。美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局也向全部運(yùn)營(yíng)技術(shù)（OT）類業(yè)主和企業(yè)發(fā)布了相似指引，提醒相關(guān)主體絕不能等到密碼實(shí)用型量子計(jì)算機(jī)問世后，才著手制定和落地應(yīng)對(duì)方案。該局指出，認(rèn)為僅有信息技術(shù)（IT）體系會(huì)遭受量子威脅的想法實(shí)屬誤區(qū)。文件中說明，一旦密碼相關(guān)量子計(jì)算機(jī)成型，攻擊者可在所有運(yùn)營(yíng)技術(shù)系統(tǒng)中偽裝成可信主體，悄無聲息篡改數(shù)據(jù)，或是破解保護(hù)通信鏈路的加密信息。

因此，一些看似毫不起眼、用途普通的小型設(shè)備反而面臨最大安全風(fēng)險(xiǎn)，可信平臺(tái)模塊（TPM） 便是典型代表。

這類微型安全芯片是信任根的核心載體，負(fù)責(zé)固件簽名和密鑰生成管理，以及設(shè)備啟動(dòng)流程的安全防護(hù)。倘若設(shè)備的信任根遭到攻破，全世界保護(hù)網(wǎng)絡(luò)安全的抗量子攻擊TLS證書將毫無意義，形同虛設(shè)。同理，各國政府、企業(yè)及機(jī)構(gòu)普遍采用安全身份憑證與各類安全組件存儲(chǔ)個(gè)人信息。這類身份憑證使用周期極長(zhǎng)，常被用于文件簽署與身份核驗(yàn)。一旦這類憑證存在量子安全漏洞，將會(huì)引發(fā)災(zāi)難性后果。

全新的后量子密碼標(biāo)準(zhǔn)有哪些？它們與傳統(tǒng)加密算法存在哪些差異？

更難解的數(shù)學(xué)題

在準(zhǔn)備向后量子密碼遷移的過程中，很多人想知道怎樣才能具備抗量子攻擊能力。雖然底層數(shù)學(xué)原理十分復(fù)雜，但是，核心思路是采用比大數(shù)分解運(yùn)算量更大的加密算法，格基密碼便是典型代表。簡(jiǎn)單來說，格基密碼使用一組坐標(biāo)，可以粗略理解為二維平面上的點(diǎn)，求解高維結(jié)構(gòu)化代數(shù)等數(shù)學(xué)難題。這類算法還會(huì)運(yùn)用數(shù)論變換等復(fù)雜數(shù)學(xué)手段進(jìn)一步提升運(yùn)算量，以此強(qiáng)化自身的抗量子破解能力。

資源消耗更高

此外，后量子密碼還采用一些直觀卻十分有效的方式提升安全強(qiáng)度，增大密鑰長(zhǎng)度便是其中之一。正如高級(jí)加密標(biāo)準(zhǔn)（AES）所體現(xiàn)的，即便其底層加密原理在理論上可被量子計(jì)算機(jī)破解，只要密鑰長(zhǎng)度足夠大，攻擊者破解所需耗費(fèi)的時(shí)間與資源就會(huì)達(dá)到難以實(shí)現(xiàn)的程度。除此之外，部分抗量子算法將會(huì)啟用狀態(tài)值，原理類似隨機(jī)數(shù)值，每次生成簽名時(shí)，計(jì)數(shù)器都會(huì)生成對(duì)應(yīng)的狀態(tài)值，系統(tǒng)通過核驗(yàn)該值來確認(rèn)消息來源是否可靠、數(shù)據(jù)是否遭到劫持篡改。RSA、橢圓曲線數(shù)字簽名算法（ECDSA）等傳統(tǒng)傳統(tǒng)算法均為無狀態(tài)值設(shè)計(jì)，而部分后量子密碼機(jī)制采用有狀態(tài)值設(shè)計(jì)，以此增添一重安全防護(hù)，有效杜絕簽名被冒用的風(fēng)險(xiǎn)。

PQC算法清單

2024 年，美國國家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）正式發(fā)布三個(gè)后量子密碼標(biāo)準(zhǔn)：ML-KEM（FIPS 203）、ML-DSA（FIPS 204）、SLH-DSA（FIPS 205）。ML 代表模格密碼；KEM 即密鑰封裝機(jī)制，用于在不安全通信信道中安全傳遞會(huì)話密鑰。后兩個(gè)標(biāo)準(zhǔn)屬于數(shù)字簽名算法，用于核驗(yàn)數(shù)據(jù)真實(shí)性與合法性。SLH 指代無狀態(tài)哈希基密碼，依靠哈希運(yùn)算實(shí)現(xiàn)加密，而非格結(jié)構(gòu)數(shù)學(xué)難題。這三個(gè)標(biāo)準(zhǔn)算法為抗量子攻擊安全奠定了堅(jiān)實(shí)的基礎(chǔ)。例如，蘋果已啟用 ML-KEM；谷歌選用了 ML-DSA 與 SLH-DSA，但是，谷歌云密鑰管理系統(tǒng)是三個(gè)標(biāo)準(zhǔn)全都支持。

業(yè)界仍在持續(xù)推進(jìn)新算法標(biāo)準(zhǔn)化工作，以適配各類特殊應(yīng)用場(chǎng)景。例如，美國國家標(biāo)準(zhǔn)與技術(shù)研究院已批準(zhǔn)另外兩種有狀態(tài)哈希簽名算法：LMS（萊頓 - 米卡利簽名算法）與XMSS（擴(kuò)展默克爾簽名方案）；同時(shí)還在推進(jìn)另一款格基簽名算法 FN-DSA（FIPS 206）的標(biāo)準(zhǔn)化進(jìn)程。該算法融合格密碼與快速傅里葉變換技術(shù)，既能縮減密鑰長(zhǎng)度，又可保障抗量子攻擊能力。但是，這個(gè)算法依賴浮點(diǎn)運(yùn)算，實(shí)現(xiàn)難度較大，并不適用于主打抗側(cè)信道攻擊的產(chǎn)品場(chǎng)景。

向后量子密碼遷移面臨哪些挑戰(zhàn)？

資產(chǎn)梳理

企業(yè)團(tuán)隊(duì)往往只聚焦將要采用的抗量子攻擊算法，卻忽視了遷移過程中的其他各類難題。事實(shí)上，美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局發(fā)布量子安全就緒指南時(shí)，并未提及任何具體算法名稱，而是重點(diǎn)列出多項(xiàng)要求，指導(dǎo)企業(yè)梳理加密資產(chǎn)清單，此舉可幫助機(jī)構(gòu)評(píng)估安全風(fēng)險(xiǎn)，甄別存在安全隱患的通信協(xié)議，明確認(rèn)證限制要求，同時(shí)摸清向后量子加密算法遷移會(huì)波及的所有關(guān)聯(lián)問題。舉例來說，不少企業(yè)一心著手升級(jí)云端基礎(chǔ)設(shè)施，卻徹底忽略員工訪問云端服務(wù)所用的智能卡、硬件安全模塊以及虛擬專用網(wǎng)絡(luò)等設(shè)備與工具。

密碼敏捷性

因此，行業(yè)定義了密碼敏捷性這一概念。美國國家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）將其定義為：在保障安全與業(yè)務(wù)持續(xù)運(yùn)行的前提下，替換和調(diào)整協(xié)議、應(yīng)用程序、軟硬件、固件及基礎(chǔ)設(shè)施中的加密算法的能力。簡(jiǎn)單來講，就是能夠在盡可能不影響日常業(yè)務(wù)運(yùn)轉(zhuǎn)的前提下，完成向后量子密碼的平穩(wěn)遷移。具體包含這些舉措：全面梳理有加密功能的產(chǎn)品目標(biāo)；搭建可通過應(yīng)用程序接口（API）對(duì)算法進(jìn)行抽象封裝的底層架構(gòu)；確保所有軟件均可便捷、安全地更新升級(jí)。同時(shí)，密碼敏捷性還是指機(jī)構(gòu)能否多算法并行使用，一旦發(fā)現(xiàn)現(xiàn)有算法存在安全漏洞，能否及時(shí)無縫切換至全新加密算法的能力。

密碼敏捷性是所有后量子密碼遷移工作的核心要求。它既能減少設(shè)備停機(jī)時(shí)長(zhǎng)，降低業(yè)務(wù)損失，也能保障遷移過程安全可控。例如，若在遷移工作中舍棄密碼敏捷性原則，對(duì)證書規(guī)范、通信協(xié)議、密鑰容器等進(jìn)行硬編碼固定，企業(yè)不僅會(huì)因部署不當(dāng)承受更高安全風(fēng)險(xiǎn)，后續(xù)安全方案的迭代更新也會(huì)變得極為困難，進(jìn)而引發(fā)更長(zhǎng)時(shí)間的停機(jī)時(shí)間與更大的業(yè)務(wù)損失。

量子攻擊防護(hù)技術(shù)轉(zhuǎn)型帶給我們的啟示是：網(wǎng)絡(luò)信息安全技術(shù)始終在不斷發(fā)展演進(jìn)，搭建具備密碼敏捷能力的企業(yè)架構(gòu)，是順應(yīng)安全發(fā)展趨勢(shì)的最佳途徑。

互通性與混合部署

密碼敏捷性的另一大核心原則是互通兼容性，即確保各系統(tǒng)無論處于何種遷移階段，彼此之間都能正常通信。

倘若某套系統(tǒng)升級(jí)為抗量子攻擊算法后，無法與其余基礎(chǔ)設(shè)施正常通行，將會(huì)引發(fā)嚴(yán)重故障。正因如此，眾多企業(yè)開始采用混合部署模式，在同一系統(tǒng)內(nèi)，傳統(tǒng)加密和后量子密碼兩種算法都用，兩者之間實(shí)時(shí)動(dòng)態(tài)切換，以此保障設(shè)備互聯(lián)互通。混合部署雖會(huì)提升架構(gòu)復(fù)雜度，增加運(yùn)算資源開銷，但對(duì)于大型機(jī)構(gòu)而言，這往往是平穩(wěn)完成后量子密碼遷移的最優(yōu)方案。

資源受限型系統(tǒng)

工程師們清楚，在部分資源受限型系統(tǒng)上推進(jìn)后量子密碼遷移同樣困難重重。這類設(shè)備通常內(nèi)存配額緊張、帶寬偏小，搭載的微控制器算力也十分有限。即便部分設(shè)備自帶加密功能，也往往缺少可高效運(yùn)行抗量子攻擊算法所需的驅(qū)動(dòng)程序、中間件以及應(yīng)用程序接口。因此，嵌入式系統(tǒng)研發(fā)人員必須提前做好后量子密碼適配規(guī)劃。部分已投入使用的產(chǎn)品尚可升級(jí)支持后量子密碼算法，但還有不少產(chǎn)品很難甚至無法完成改造，除非設(shè)計(jì)階段就提前預(yù)留了后量子密碼適配方案。

PQC對(duì)計(jì)算機(jī)系統(tǒng)有哪些影響？

向后量子密碼(PQC)遷移將給計(jì)算機(jī)系統(tǒng)的設(shè)計(jì)、部署與運(yùn)維方式帶來深遠(yuǎn)影響。為應(yīng)對(duì)遷移過程中固有的各類難題，工程師需從硬件、軟件兩大層面多維度著手推進(jìn)。硬件層面，部分后量子加密方案需要更長(zhǎng)的密鑰、簽名和密文，要求更高的運(yùn)算量，這就要求系統(tǒng)配備更大內(nèi)存和外存，以承載更長(zhǎng)的密鑰和證書，以及更多的中間數(shù)據(jù)；同時(shí)還需提升處理器性能，或搭載專用加密加速器，將處理延遲與功耗控制在合理范圍。此外，部分設(shè)備平臺(tái)還需更新系統(tǒng)架構(gòu)與安全模塊，適配全新的加密流程。

后量子密碼遷移絕非僅僅啟用新算法那么簡(jiǎn)單，還需要強(qiáng)化針對(duì)物理攻擊與代碼實(shí)現(xiàn)層面攻擊的防護(hù)能力。即便選用安全性頂尖的抗量子攻擊算法，一旦攻擊者能夠利用其代碼實(shí)現(xiàn)中的漏洞發(fā)起攻擊，算法防護(hù)也會(huì)徹底失效。舉例來說，若缺乏完善防護(hù)手段，黑客可通過監(jiān)測(cè)設(shè)備功耗、電磁輻射、運(yùn)算時(shí)間差，或是向系統(tǒng)注入故障等方式，破解獲取私鑰與各類敏感數(shù)據(jù)。為抵御此類側(cè)信道攻擊，系統(tǒng)必須集成各類防護(hù)機(jī)制與硬件級(jí)防御手段，確?？沽孔用艽a算法不會(huì)因非量子類安全缺陷遭到攻破。換言之，如果一套高安全等級(jí)的后量子密碼算法代碼極易被普通設(shè)備攻破，那么它所帶來的安全防護(hù)也只是形同虛設(shè)。

ST如何應(yīng)對(duì)PQC帶來的各項(xiàng)挑戰(zhàn)？

The ST33KTPM

ST33KTPM 可信平臺(tái)模塊

意法半導(dǎo)體積極應(yīng)對(duì)后量子密碼時(shí)代帶來的各類挑戰(zhàn)，為通用及安全微控制器提供全套的軟件庫與硬件IP模塊，為行業(yè)后量子密碼遷移賦能。代表性解決方案包括適配 STM32 系列的X-CUBE-PQC后量子密碼軟件包，以及ST33KTPM可信平臺(tái)模塊，該產(chǎn)品支持主流后量子密碼算法的核心功能。例如，該模塊的有狀態(tài)哈希簽名方案采用LMS 萊頓 - 米卡利簽名算法，保障固件身份真實(shí)可信；同時(shí)支持后量子密鑰封裝機(jī)制ML-KEM與后量子數(shù)字簽名算法ML-DSA。這個(gè)模塊還是意法半導(dǎo)體首款具備抗量子攻擊能力的TPM。

ST33KTPM 已通過FIPS 140-3 安全認(rèn)證，證明其滿足嚴(yán)苛的安全規(guī)范要求，也標(biāo)志著該產(chǎn)品已全面做好迎接后量子時(shí)代的準(zhǔn)備。作為一個(gè)TPM，ST33KTPM 可用作服務(wù)器、個(gè)人電腦、物聯(lián)網(wǎng)設(shè)備及各類嵌入式系統(tǒng)的硬件信任根。意法半導(dǎo)體將后量子密碼機(jī)制直接集成至這一核心安全基石中，確保各類系統(tǒng)核心的數(shù)據(jù)完整性、身份驗(yàn)證和密鑰管理功能具備很強(qiáng)的防御韌性，甚至能夠抵御未來的量子計(jì)算機(jī)的攻擊。

實(shí)現(xiàn)密碼敏捷性與PQC就緒能力

除全新硬件產(chǎn)品外，意法半導(dǎo)體還持續(xù)投入研發(fā)各類軟件庫與開發(fā)工具，助力現(xiàn)有及新一代產(chǎn)品準(zhǔn)備好迎接后量子密碼時(shí)代的到來，實(shí)現(xiàn)密碼敏捷性是其中一個(gè)重要目標(biāo)，即在不重新設(shè)計(jì)整體系統(tǒng)的前提下，逐漸靈活部署、整合或替換各類加密算法的能力。借助這類軟件庫，開發(fā)人員可整合后量子密碼算法與傳統(tǒng)加密算法，搭建混合加密方案，讓遷移過程更平穩(wěn)、更安全。隨著行業(yè)標(biāo)準(zhǔn)迭代，新型安全威脅出現(xiàn)，技術(shù)團(tuán)隊(duì)還能通過系統(tǒng)更新靈活切換加密算法、調(diào)整密鑰長(zhǎng)度。

即便在密碼相關(guān)量子計(jì)算機(jī)尚未大規(guī)模普及前，現(xiàn)有平臺(tái)提前做好準(zhǔn)備是防御量子計(jì)算機(jī)攻擊的最高效的方式之一。