# PQC算法 | NIST制定2025-2035年抗量子密码算法迁移规划及方案(推荐参考) By [Raqcoin](https://paragraph.com/@raqcoin) · 2025-03-06 --- **【正文】{转载}** **美国国家标准技术研究所(NIST)已经制定了明确的时间表,计划在全球范围内逐步淘汰广泛使用的加密算法,包括**RSA-2048和ECC-256。根据最新发布的指导文件,这些算法将在2030年前被弃用,并**在2035年后完全禁止使用**。这一果断的决策凸显了为后量子时代做准备的紧迫性,也发出了清晰的信号:量子计算革命不再是遥不可及的担忧,它已经来临,现在就必须采取行动。 美国国家标准与技术研究院(NIST)发布了过渡到后量子密码学(PQC)标准的初始公开草案(**《Transition to Post-Quantum Cryptography Standards》**),包含迁移的路线与时间表。 ![](https://storage.googleapis.com/papyrus_images/45d762c31dc2746b8bbab0ea8ff00f6afd93daf80c98fc940bfc808ad026c777.png) **NIST希望到2035年将政府机构的加密系统转变为后量子加密**。根据草案,NIST将在2030年前弃用112位及以下安全强度的加密算法,并于2035年前禁用这些算法。 ![](https://storage.googleapis.com/papyrus_images/d3a5d202b8cdffb3088160bc342024ddd4d5465bc79e012e055b596f380380fe.png) **一、NIST已发布算法** ![NIST 已发布的PQC算法名称及规范](https://storage.googleapis.com/papyrus_images/a78adf212bee554a94f85d43104348175687c4f22e5b522c146962b1e1987193.png) NIST 已发布的PQC算法名称及规范 **二、明确迁移目标与时间表** **2.1 总体目标** NIST规划,到2035年全面完成从传统加密算法(如:RSA、ECC)到后量子加密算法的过渡,确保所有系统在量子计算威胁下的安全性。 **2.2 关键时间节点** NIST设定的**RSA-2048和ECC-256**弃用时间表,不仅仅是为了应对所谓的“**量子末日**”。更重要的是,它旨在主动应对当前存在的风险,例如“**现在先收集,未来再解密**”的攻击策略。这种情境下,恶意行为者会利用当前的技术收集加密数据,在将来利用量子计算能力进行快速解密。使得将现有非对称密码体系尽快过渡到量子抗性加密成为保护长期数据隐私的迫切需求。 ![](https://storage.googleapis.com/papyrus_images/beadeccf10e7ade3b87c2e4f06c8c34ce50d215b0f86514872d5be27bc35dd90.png) * 2025-2028年:完成对1**12位**及以下安全强度加密算法的弃用,逐步淘汰RSA-2048等低安全级别的算法。 * 2030年前:**全面淘汰**仅提供112位安全强度的经典非对称加密算法。 * 2035年前:**全面禁用**易受量子攻击的加密算法,完成所有系统的后量子密码迁移。 **三、现有系统算法安全评估** **3.1 识别量子脆弱性** * 清点现有加密算法:对组织内所有系统使用的加密算法进行全面清点,识别哪些算法易受量子攻击(如RSA、ECC等)。 * 使用自动化工具:利用NIST推荐的自动化工具(如CryptoScanner)发现和清点广泛部署的量子脆弱加密算法。 * 建立加密资产清单:记录每种算法的使用位置、用途和依赖关系,为后续迁移提供基础数据。 **3.2 数据分类与优先级排序** * 数据敏感性评估:根据数据的敏感性和保密需求,对系统进行分类(如:高、中、低敏感性)。 * 优先迁移系统:优先迁移涉及长期敏感数据的系统,例如:政府机密、医疗记录、金融交易等。 * 制定迁移优先级表:根据数据分类结果,制定详细的迁移优先级表,明确各系统的迁移顺序。 **四、选择合适的后量子密码技术** * **密钥封装机制(KEM**): CRYSTALS-Kyber:基于模块格的密钥封装机制,已通过FIPS 203标准。 **导读:**[**PQC算法 | NIST标准抗量子算法之CRYSTALS-Kyber(ML-KEM)算法笔记**](https://mp.weixin.qq.com/s?__biz=MzIyNDQxNjQzOQ==&mid=2247490065&idx=1&sn=404d27d2abbb1a029a2331d367cf22ee&scene=21#wechat_redirect) * **数字签名算法**: 1) CRYSTALS-Dilithium:基于模块格的数字签名算法,已通过FIPS 204标准。 **导读:**[**PQC算法 | NIST标准抗量子算法之CRYSTALS-Dilithium(ML-DSA)算法笔记**](https://mp.weixin.qq.com/s?__biz=MzIyNDQxNjQzOQ==&mid=2247490082&idx=1&sn=f36cd63e19e37bb41b6bc6de50ab9e10&scene=21#wechat_redirect) 2)SPHINCS+:基于无状态基于哈希的签名算法,已通过FIPS 205标准。 **导读:**[**PQC算法 | NIST标准抗量子算法之SPHINCS+(SLH-DSA)算法笔记**](https://mp.weixin.qq.com/s?__biz=MzIyNDQxNjQzOQ==&mid=2247490092&idx=1&sn=93db660bb4569b87672aae0e82a6fc9d&scene=21#wechat_redirect) **五、分阶段迁移策略** **5.1 第一阶段(2025-2028年)** * 内部培训:组织技术团队和管理层学习后量子密码学的基本原理、技术路线及应用。 * 试点项目:在非关键系统中试点后量子密码技术,积累经验,优化实施流程。 * 行业合作:加入行业联盟(如:PQC Coalition),获取技术支持和教育资源。 **5.2 第二阶段(2028-2030年)** * 关键系统迁移:逐步在关键系统中引入后量子密码技术,优先替换密钥建立和数字签名算法。 * 协议更新:更新安全协议(如:TLS、IPSec等),以支持后量子密码算法。 * 供应链安全:与技术供应商合作,确保供应链中的加密技术符合量子抗性标准。 **5.3 第三阶段(2030-2035年)** * 全面淘汰:全面淘汰易受量子攻击的加密算法,完成系统向后量子密码的全面迁移。 * 系统更新:定期更新系统中的加密算法,以应对后量子密码技术的演进。 * 持续优化:根据实际应用中的反馈,持续优化后量子密码算法的实现。 **_具体国家PQC算法迁移计划表举例,如下:_** ![加拿大量子准备计划时间表](https://storage.googleapis.com/papyrus_images/16b17021bfa2f404a1b3238e392bfc2976139cfbc61e7547482a9ce953c0ea85.png) 加拿大量子准备计划时间表 ![韩国国家密码向PQC的过渡规划](https://storage.googleapis.com/papyrus_images/56ac9ff66cddbdbad26631b5c4f5f20ea50f393f1d62195532e83e86edec0188.png) 韩国国家密码向PQC的过渡规划 **六、抗量子密码算法迁移方案** **6.1  评估与规划阶段** * 现状评估:评估现有PKI系统的架构、使用的密码算法、密钥管理策略以及依赖PKI的应用系统。 * 需求分析:确定迁移的目标,包括安全性要求、性能要求、合规性要求等。 * 制定迁移计划:制定详细的迁移计划,包括时间表、资源分配、风险评估和应对策略。 **6.2 混合密码体系阶段** * 双算法支持:在PKI系统中同时支持传统公钥密码算法(如RSA、ECC)和抗量子密码算法(如:NIST候选算法),形成混合密码体系。 * 双证书策略:为每个实体颁发两种证书,一种基于传统算法,一种基于抗量子算法。 * 协议扩展:扩展TLS、IPSec等协议,支持混合密码体系,确保向后兼容。 * 过渡策略:在迁移初期,采用传统加密算法与后量子密码算法结合的混合方案。例如,使用XKyber-768混合机制,结合椭圆曲线算法和量子抗性密钥封装方法。 * 混合方案的优势:确保过渡期间的安全性,同时保持向后兼容(支持混合算法向全抗量子算法迁移的过渡),减少对现有系统的影响。 **6.3 逐步迁移阶段** * 密钥更新:逐步更新密钥对,使用抗量子算法生成新的密钥对,并逐步替换传统密钥对。 * 证书更新:逐步替换现有证书,使用抗量子算法签发的证书替换传统算法签发的证书。 * 应用系统适配:更新依赖PKI的应用系统,确保其能够完美支持抗量子密码算法。 **6.4 全面迁移阶段** * 停用传统算法:在所有系统和应用中停用传统PKI公钥密码算法,全面使用抗量子密码算法。 * 系统优化:对抗量子密码算法的性能进行优化,确保系统的高效、安全、稳定的运行。 * 安全审计:进行全面的安全审计,确保迁移后的系统满足安全性要求。 **七、抗量子密码算法迁移面临挑战** **7.1 现有业务系统量子脆弱性发现及风险评估难** 现有的业务系统错综复杂,内生安全模块的量子脆弱点位置及使用方式难感知。业务系统通常由多个子系统和模块组成,这些模块之间通过各种接口和协议进行通信。内生安全模块嵌入在这些复杂系统中,负责数据加密、身份验证、权限管理、日志记录等安全功能。多种传统密码算法被广泛使用以保障系统的安全性。底层硬件利用对称密码 AES 和公钥密码 RSA、ECC 等来提供安全服务;在应用层,签名认证则需要用到数字签名技术;而在通信过程中使用的安全协议则是密码算法的综合运用,如SSL/TLS 协议。基于场景的差异,即使是同一个系统,其内部的密码算法也需要进行修改和更新,这也是造成系统内部密码算法复杂的原因之一。如何及时准确地发现易受量子计算攻击的密码算法所在位置及使用方式是当前面临的关键挑战。 针对量子攻击的行业风险评估模型滞后,如何针对不同的场景对所发现的量子脆弱点进行风险评估并给出迁移的优先级也是一个重要挑战。在完成企业内部信息系统的后量子脆弱性发现后,一些企业可能更倾向于组建一个专门的技术团队,并持续安排和组织后续的改造任务。但由于人力物力成本的限制,同时对企业的所有系统进行改造是不现实的。根据安全风险的高低,依次对相应的组件进行改造,才能及时保障企业整体利益的最大化。 **7.2 现有后量子密码算法安全实现及热迁移难** 迁移实施过程中首先面临的挑战是如何在不影响现有系统正常运行的同时完成密码算法的热迁移。后量子密码算法标准处于初步完成阶段,一些后量子密码的交互逻辑与旧系统不兼容,例如基于哈希函数的 SPHINCS+ 签名算法需要双方维护一个长期存在的密钥,而调用签名算法的旧系统则未必具有维护长期密钥的能力。还有一些后量子密码的性能开销导致无法在旧系统正常运行Kyber768 在实现 TLS 的三次握手时,过大的 HelloClient可能会超出旧有底层硬件的处理能力,进而导致协议的异常中断。后量子密码算法与传统密码算法有不同的交互和性能特性,如何在不影响现有系统正常运行的同时完成密码算法的热迁移成为迁移平稳过度的关键挑战。 另外,迁移实现还需要支持不同后量子密码算法的可插拔设计以及互联互通,并且当算法失效时,业务机制还需要支持回滚。这里的算法失效指的是:有可能选用的后量子密码在量子计算机出来之前就已经被经典电子计算机攻破,这种事情也有可能发生,比如SIKE算法在刚进入第四轮评估一个月就被攻破,这时,现阶段系统要有能力退回到之前不抗量子的系统,或者迅速切换到其他未被攻破的算法。 **八、抗量子密码算法的应用场景** 抗量子密码技术在金融、通信、电力、物联网、云计算、政府与国防以及区块链等领域均有广泛应用。通过引入抗量子密码算法,这些领域能够有效抵御量子计算带来的潜在威胁,确保数据传输和存储的安全性。 * 金融领域:量子计算威胁传统密码体系,金融领域引入混合算法电子签名,将传统SM2算法与NIST的抗量子密码Dilithium算法结合,形成双重防护机制。在手机银行和证券集中交易系统中,通过逐步替换密码产品,实现抗量子密码算法的支持。 * 通信领域:通信网络是抗量子密码技术的另一重要应用场景,尤其是移动通信和关键信息基础设施的保护。在移动通信4A系统中,引入抗量子密码算法,增强身份鉴别和数据传输的安全性。 * 电力监控系统:通过部署抗量子密码服务平台和相关设备,实现从传统密码算法到抗量子密码算法的平滑迁移。提升电力监控系统的整体安全性,确保数据传输和存储的抗量子安全性。 * 物联网(IoT)领域: 物联网设备资源有限,需要轻量级加密方案。基于哈希的SPHINCS+算法因其低计算需求,适合用于保护物联网设备的数据传输。 **九、总结** 通过以上细化的迁移方案,组织可以更清晰地规划和实施从传统加密算法到后量子密码算法的过渡。该方案结合了最新的行业动态和实践建议,旨在帮助组织在量子计算时代确保数据的安全性和完整性。 ![#POWPQC #Raqcoin](https://storage.googleapis.com/papyrus_images/8848c407c35d18c3d53cf5ef8509e617b1423739d529000bc760e1a1e2c1bf05.jpg) #POWPQC #Raqcoin --- *Originally published on [Raqcoin](https://paragraph.com/@raqcoin/pqc-nist-2025-2035)*