【公益译文】《后量子密码技术》报告

密码技术可保障私人安全通信，较为普遍。在数字时代，传统的密码技术需要通过数学问题进行数据加密，这些数学问题较为棘手，当前无法通过计算机解决。量子计算机的计算能力较强，它的兴起为有效解决数学难题和破解加密文本提供了途径，对传统技术造成威胁。后量子密码（PQC）领域为研究和开发新密码方法应运而生，保障量子计算机的信息安全传输。

尽管量子计算的发展仍处于初级阶段，纠错量子计算机的规模和商业可行性可能在一段时间内无法实现，但专家们普遍建议，应将经典密码标准迁移到PQC视为紧迫任务，需要主要行业和组织立即采取行动。然而加密数据（未来可以使用量子工具解密）受到的网络威胁十分令人担忧。

为了维持数据生态系统的隐私和完整性，敦促各行业及其利益相关者积极采取措施进行PQC迁移，实施过程较为复杂，持续时间长，成本高昂，可能会涉及多个职能部门。迁移的范围和速度可能有所不同，可能的因素包括行业和架构的性质、经典密码标准的具体应用以及组织内数据的敏感度。

因此，PQC迁移仍取决于政府机构和政策制定者发布的标准化和监管指导。许多国家已经实施了PQC的标准化和监管措施，进行公私合作，征求和评估抗量子公钥算法。

政策制定者、安全顾问和其他决策者需要评估现有安全协议是否面临风险或存在不安全因素，保障后量子环境下关键系统、数据库和产品的安全性。

政策制定者、安全顾问和其他决策者需要评估现有安全协议是否面临风险或存在不安全因素，保障后量子环境下关键系统、数据库和产品的安全性。

本篇技术入门主要关注新兴的数字通信领域PQC，应对传统密码系统为量子技术的推广准备所需的转变。

第1节将概述PQC相关的密码学和量子计算等关键技术，以及PQC研发过程中技术间的相互作用。

第2节将概述PQC的治理和实施前景，当前的监管环境，以及技术实施的技术和组织因素。

第3节将指出量子技术及其应用对加密技术具体应用的影响，还将概述PQC开发的市场前景，其中包括技术的研发、生产和供应链生态系统。

第4节将概述PQC标准化和实施相关的新目标考虑因素。

后量子密码（PQC）指目前正处于开发阶段的密码系统，用于加强安全性保障，应对针对量子技术的入侵威胁。该领域也被称为量子安全和后量子密码。密码系统广泛应用于大多数数字通信基础设施，其对社会、政治和经济领域起着至关重要的作用，如：网页浏览、在线支付、电子邮件和其他保密数字通信方式。

鉴于量子计算机对密码系统构成的潜在威胁，技术解决方案对于保障数字通信系统的安全性至关重要。

目前讨论的内容主要聚焦两个方面：（1）量子密码技术，也称量子密钥分发系统；（2）PQC，涉及将现有密码系统更新为抗量子算法。PQC系统可能不需要全面的系统改造或大量的硬件投资（例如，基于量子技术的解决方案所需的新光纤设备和卫星技术）。与量子密钥分发系统相比，PQC系统更有可能进行改造以适应传统通信基础设施和最新技术设备。因此，PQC是本文研究的重点。

传统密码学是一门利用数学保护数据以确保隐私和完整性的科学。加密使用算法和密钥（本质上是很大的数字）将信息从明文格式（可读信息）转换为密文，密文是不可读格式，也称为加密或编码信息。加密通过算法的强度和密钥的保密性保护正在传输的信息。

从计算的角度来看，破坏技术并不可行，这是密码方案安全性的基础。

现代密码系统可分为两类：对称密钥密码和非对称密钥密码。数据传输涉及密钥交换问题的安全挑战，即如何在数据的发送方和接收方之间安全地共享公共（对称）密钥，使接收方可以成功地解密和读取信息。非对称密钥系统解决了这一问题。非对称密码学通过接收方的公钥加密信息，而这些信息只能通过不同于此的私钥进行解密。这解决了共享密钥的安全和可靠性问题，但只是不对称系统的数学基础，目前这些系统面临着量子计算进步的理论威胁。

“可信互联网”依赖于加密工具确保数据的机密性、完整性和合法性。数字经济的完整性取决于可信程度。虚拟生态系统的安全性不仅仅取决于密码学，但密码学仍然是数字领域的核心。大多数字通信系统在一定程度上依赖于公钥密码系统。对于中等长度的密钥，用传统计算机破解常见的公钥密码系统所需的时间可能是几个月，也可能是数万亿年。

量子计算利用了量子物理的特性和光子的量子态，将有可能以指数级的速度解决许多非对称密钥密码系统。并不是所有的密码系统都容易受到量子计算机的负面影响，但随着完全纠错量子计算的出现，许多常见的系统面临风险。

关于实现能够打破当今密码标准的完全纠错量子计算机的范围和时间计划，人们仍在猜测和辩论中。与此同时，政府当局发出信号，需要迅速及时地采取行动，为加密领域的预期变化做好准备。美国最近发布了备忘录，表明了这一紧迫性，要求相关机构配合PQC标准的初步制定和实施。所提出的PQC解决方案较为可行，但并不像传统的密码方案那样经过了尝试和测试，需要进行广泛的调查和研究，证明其安全性。

量子计算机在最近几年才应用于密码分析领域，密码分析是分析和破坏安全通信的科学。这一理论和争论在过去几十年中获得了广泛关注，但量子计算机仍处于初步发展阶段，只有在完全纠错和高度准确的系统成熟后，量子计算机才能替代许多常用的密码方案。部分专家估计，这类技术最早可能在2030年开始发挥重要作用，但加密系统需要更高级的功能，意味着实现的时间可能还要延后。

各种类型的量子辅助破解密码系统都需要用户实际拥有一台量子计算机。已经建立了量子计算机的小型、初级和实验室规模的例子，提出了更大的系统，但这些系统无法用于破坏密码算法。商业上可行的量子计算机（能够攻击现实世界的系统）何时可以应用这一问题，还存在重大争议。目前的设备只有不到100个量子位，可以处理数十次运算。要使其成为对现有公钥密码技术的威胁，需要数十万量子位运行数百万次操作。

量子计算机发展相关的关键参数包括：

内存计算机的量子位数量。有些公司宣布计划在2023年底推出400多台量子位机器。

每次操作涉及多少“干扰信息”。在这种情况下，“干扰信息”可以定义为量子位随着时间的推移对环境的信息损失，这会增加错误率。

量子位在解码之前可以维持多长时间的度量。量子退相干是环境与量子位相互作用的过程，会不受控制地改变量子位的量子态，导致量子计算机存储的信息丢失。

网络安全专家和评论员向后量子解决方案过渡的紧迫性主要源于以下三个因素：

1.不对称密码学的普遍应用：不对称密码学是大多数形式的安全数字通信的基础，也是量子计算中最容易受到攻击的加密方法。

2.“先存储，后破解”对加密数据的攻击已经可行：现在用非对称密钥加密方法传输的信息都可以以加密格式存储，应用量子技术后，就可以对信息进行解密。因此，数据泄露风险不仅是未来的考虑因素，也是当前的担忧。

3.缺乏加密灵活性：向新密码系统的过渡的过程较为漫长，在某些情况下需要长达20年的时间才能完全部署。还有数十亿设备需要过渡到一套PQC算法，这很可能需要几十年的过渡过程。

因此，目前专家认为尽早采用PQC系统非常重要。寻求迁移的公共和私营组织面临的挑战是增强现有密码系统的灵活性，对其数据生态系统中的关键敏感内容保持警惕，对有关PQC开发的不断演变的管理和标准化过程有普遍的认识。

美国：PQC的标准化工作由非监管机构美国国家标准与技术研究所（NIST）牵头。自2016年以来，评估潜在量子弹性签名和加密方案的竞争一直在进行中。在此过程中，机构需与加密社区（学者、行业专业人士等）合作，将抗量子加密和签名算法标准化。

欧洲联盟：《欧盟网络安全战略》将量子计算和后量子加密列为实现弹性、技术主权和领导力以及推进全球开放网络空间的关键技术。欧洲电信标准协会（ETSI）成立了工作组，专注于量子安全密码系统的实施。ETSI还与量子计算研究所合作多次举办了“量子安全密码学”研讨会，邀请全球政府、行业和学术界参加。欧盟网络安全局（ENISA）密切关注NIST PQC的竞争和专家，还发表了对量子抵抗算法家族的分析。

中国：中国密码研究协会从2018年开始举办比赛，评选最强的PQC算法。值得注意的是，该比赛只翻译了有限的部分文件，对中国开发者开放，但预计未来会有国际比赛以及标准化进程。

2020年宣布了获奖者，这些技术结合了基于格、代码和其他数学课程。鉴于许多中国大学和研究人员也向NIST的PQC比赛提交了作品，中国可能希望在国际上参与数据安全行业和量子后发展，保持加密发展的领先地位，平衡商业隐私市场与国家安全利益。

尽管NIST等主要政府机构处于PQC标准化的前沿，但在大多数司法管辖区，这些规定仍只是指导方针，而无法执行。在美国，NIST标准对联邦机构和政府合同是可执行的法规，但对于私营行业而言，无法执行。尽管如此，行业应适当采用这些标准，避免在无意中违背现有隐私、数据保护和其他网络安全法律的监管规定。

美国：数据的网络安全威胁很可能会对无法充分适应威胁的商业实体产生严重后果，甚至可能承担法律责任。美国的《加州消费者隐私法》等法律，要求企业在处理个人信息时合理使用安全措施。《健康保险便携性和责任法案》和《格雷姆-里奇-比利雷法》等行业特定法律包括保护财务和健康数据的要求。量子时代的安全协议不太可能满足这些阈值。此外，在网络安全极为重要的时代，联邦一级的消费者金融保护局和联邦贸易委员会的权利逐渐增强，加强对消费者的保护。

欧洲联盟：欧盟《通用数据保护条例》（GDPR）第5条和第32条等法规对某些级别的安全性和针对未经授权用户的保护提出了要求，还要求适当设立安全级别，减轻风险。根据第25条，欧盟采取了灵活的方法，通过GDPR条例的“设计隐私”核心原则监管安全领域的技术。采取更具活力的立法方法，避免过于线性，尽量反映技术发展步伐的活力。目前尚不清楚这是否足以应对量子计算产生的后果。ENISA最近还发表了研究，评估了当前的标准化过程，包括对NIST专家的详细了解，但尚未明确要求实施NIST或特定标准，以符合GDPR关于保护个人数据安全的“适当技术和组织措施”的要求。

中国：《个人信息保护法》《网络安全法》和《数据安全法》都有条款保护用户在使用数字服务时的隐私权，而量子计算机的引入可能会影响隐私权。中国的高端计算及相关技术的发展涉及更多国家。中国“十四五”规划（2021-2026年）中，中国宣布量子技术的发展成为优先事项，中国已向该技术投入了大量的资金。中国科技巨头公司百度、阿里巴巴和腾讯都建立了量子技术研究机构。

行业、政府和其他组织目前面临选择，主动迁移还是延迟迁移到PQC解决方案。NIST敦促主动采取措施，建议各组织开始清点重要信息，检查内部数据对泄露的敏感性。这并不意味着对非联邦实体有明确的合规预期，但由于内部和外部利益相关者之间数字通信的隐私和安全问题，解决量子威胁的延迟方法表明组织的运营完整性面临重大风险。

可以说，对于数据生态系统而言，PQC迁移的紧迫性更高，因为大规模量子驱动的网络攻击的风险将产生连锁的社会影响。因此，首席信息安全官员需要生成系统中漏洞的视图，特别是自由传输的数据。因此，需要在三个广泛的数据特征下解释与PQC迁移相关的组织需求，数据特征通常封装了当前公钥基础设施的主要量子后漏洞。以下内容并非详尽无遗，在所引用的行业中特征可能改变：

个人数据密集型产业：指管理个人和私人信息的大型数据生态系统的商业部门。数据的保质期越长（个人数据通常也是如此），就越容易受到后量子攻击。风险行业包括金融服务、医疗和保险等。

以互联网协议（IP）为中心的行业：量子计算的进步也对重要知识产权构成了竞争威胁，无论是在相互竞争的公司还是相互竞争的政治行为者之间。通过重要知识产权获得商业竞争力或与国家安全利益相关的行业必须考虑面临的量子攻击，以及对公钥基础设施的使用。风险行业包括制药公司、生物技术、国防和其他依赖知识产权的行业。

关键基础设施较为复杂的系统可能意味着多个攻击层都存在漏洞。关键公共基础设施相关的因素是系统生命周期的寿命，包括为此类设施和系统的运营管理和维护制定的合同。

关键基础设施项目的管理必须考虑早期采用与中期甚至后期迁移到PQC系统的可行性之间的权衡和范围。

风险行业包括能源系统、供应链物流和政府/公共部门管理等。

PQC标准的应用面临的挑战是技术限制，其中包括：

（1）处理能力的提高：PQC算法突出了安全性和计算成本之间的权衡问题。通常，较小的密钥和长度较短的公钥降低了公钥数据传输的计算成本，但这种密码系统的安全性也较低。NIST标准化PQC的工作重点在于确定在权衡（密钥/签名大小和计算复杂性之间的权衡）中的最佳算法，但PQC解决方案通常需要比传统密码系统更高的计算能力。

（2）高延迟：当前的PQC协议具有高延迟问题，意味着这些协议内的数据传输时间比传统的密码协议更长，可能会限制这些算法在有需要传输大量数据（即与数字通信相关的金融服务）的运营需求的组织中的广泛使用。

（3）现有硬件/软件系统不兼容：希望采用PQC协议的组织可能面临着将现有硬件/软件系统改装为新协议的限制。对于应用程序专用硬件的密码系统而言，该限制十分敏感，产品的整个生命周期内硬件是不可改变的。行业正在研究新兴PQC解决方案的硬件/软件系统兼容问题，但在市场上较难获得这些产品，可能会对早期PQC迁移的供应链产生限制。

（4）缺少决定性测试：传统密码标准面临量子威胁，仍然是理论上的漏洞。因此，目前正在分析和确定的PQC解决方案还不能与量子工具进行量子电阻的最终测试。学术界普遍认为，这些密码系统面临的量子威胁已存在且不断增加，行业参与者需要应对早期采用可能产生的风险。

后量子密码解决方案的市场开发是在动态生态系统中进行的，该生态系统主要由以下部分组成：

（1）研发和（2）早期PQC迁移产品化。

监管机构和标准制定机构关于最佳PQC标准的不断发展的指导，是该职能的核心。

公私伙伴关系：美国领先的技术公司以公私合作的方式密切合作，主要是与NIST合作，NIST正在引领PQC标准化过程。亚马逊Web服务、SandboxAQ和思科系统等公司已与NIST32签署了合作研发协议，支持正在进行的PQC标准化过程。协议的范围要求确定公钥算法的所有“实例和目的”，包括确定量子漏洞，通过风险权衡优先考虑加密应用程序的后量子迁移，以及最终开发迁移到PQC的系统流程。

开源研究：生态系统中的各利益相关者（科技公司、风险投资支持的初创公司和学术/公共机构）除了采取合作的标准化和产品化方法外，还在进行独立的专有研究。致力于协同PQC开发和增强的开源软件库是协同过程的核心，有助于将密码标准迁移到新算法的原型设计。“开放量子安全”项目（Open Quantum Safe）就是如此，支持涉及的活动，得到了亚马逊Web服务、IBM研究实验室和微软研究院等主要科技公司的资金支持。

硬件兼容性：PQC兼容硬件的开发也是新兴的研究和开发领域。根据数据生态系统中加密需求的范围和应用，加密算法可以用硬件、软件或两者的结合来实现。硬件安全模块由智能卡（芯片和微处理器）组成，是加密算法最常用的架构，尤其是在规模化用例（即财务安全）中。给定应用程序的安全性较低时，通常使用软件来实现加密算法。

IBM公司和恩智浦等半导体公司开始考虑、测试和开发智能卡与NIST选择的PQC算法的兼容性。与PQC智能卡的标准化、研究和设计相关的公私合作关系也在兴起。行业参与者表示，将现有硬件重新配置为PQC算法的主要障碍是与在现有处理器中实现PQC算法所需的大小和内存容量相关的限制，但这种压缩降低了密码系统的性能。

行业和学术界在密码学领域的合作和伙伴关系反映了私营部门所产生的新兴的PQC标准和迁移需求。产品类型包括：

密码系统的混合：包括使用PQC密钥建立机制和传统密钥建立机制的公钥加密。在此过程中，混合加密数据较为安全，除非两个系统都被破坏。这类混合产品类型的标志是新兴的PQC软件开发套件和应用程序编程接口，它们是量子抵抗性工具，有助于现有应用密码标准向PQC加密标准的迁移和系统到系统的交互。

PQC虚拟专用网络（VPN）：微软和威瑞森等公司也在测试VPN的量子抵抗算法的功能。这些功能将成为数据传输点之间的安全链路，使得它们像在同一网络中一样运行。研究人员表示，试验有效性证明，PQC加密的VPN可以作为临时量子抵抗解决方案部署，直到数据生态系统与PQC解决方案完成集成。

PQC迁移咨询服务：一些公司还为客户提供现有加密系统的历史和态势分析，确定数据生态系统中的特定量子漏洞。

该咨询服务还包括为向PQC的过渡设计框架，以及为迁移提供便利。

向PQC的过渡还引出了其他值得注意的问题，包括：

（1）获取：目前，NIST等领先的标准化机构开始了公开透明的过程，利用全球专业知识确定能够有效对抗量子威胁的算法，以及代码在当前系统中的执行效率。大多数机构通过学术界、工业界和涉及其他国家的公开参与过程，针对标准化建议持开放态度。拥有更好的公私生态系统关系、更多的资源用于多样化和研究，以及保持对量子计算发展的了解的方法的公司可能更适合加密货币的敏捷性，更能化解早期使用时出现的风险。这可能导致资源相关的过渡层次结构，而非公共风险因素导致的过渡层级结构。

集成：实施过渡的负担可能落在对用户安全和隐私要求很高的行业和系统上，如上文提到的行业和系统（金融服务、医疗、能源等）。对于产品具有长期生命周期的行业而言尤为严重，如长期项目和政府系统，其产品开发时间和寿命可能长达几十年，需要考虑未来的密码升级问题。

（2）采用点：根据不同行业和组织的最佳采用点，上述成本和因素可能会有所不同，每种情况都需要进行权衡。PQC的早期采用者具有先发优势，能够从业务开发的早期阶段构建PQC集成所需的流程和硬件。系统生命周期长的公共部门数据系统（即医疗）等部门需要考虑这一选择，但如果在未来，集成协议被证明存在量子漏洞，部门将面临需要对PQC基础设施进行再投资的风险。相反，中后期采用者也有其优势，可以在确定最有效的PQC协议后再采取行动，但他们面临的量子攻击的风险增加，还会面临恢复现有加密系统相关的问题。组织需要对所有问题进行权衡，确定最佳计划。

消费者福利：SNDL攻击是对消费者数据潜在的重大威胁，量子计算机投入使用后，可以收集极具价值的数据并进行解密。鉴于尚未充分评估所有情况下的风险，行业/政府和消费者/个人面临不确定性，后者不太可能意识到潜在的风险和信息保护的方式。

（3）开放：PQC开发涉及多个国家，是公共/私人进行合作和开放的过程。在整个PQC迁移和跨数据生态系统的集成过程中，保持开放、协作的环境对于缓解密码强度的不平衡至关重要，否则可能加剧量子战略竞争和量子对抗性活动的威胁。