🔰 - 物联网与车联网领域企业级服务平台

【导语】自NIST启动量子密码算法征集以来，全球标准化组织及企业积极响应，加速推进后量子密码的标准化与产品研发。本文概述了互联网工程任务组（IETF）、全球移动通信系统协会（GSMA）、第三代合作伙伴计划（3GPP）及国际标准化组织（ISO）在后量子密码标准化方面的最新进展，并介绍了“本源悟空”超导量子计算机、Windows操作系统及Chrome浏览器在后量子密码产业应用中的实践案例。随着后量子密码技术的持续演进，各相关方正加速布局，以强化信息安全防护，应对量子计算带来的挑战。

自NIST启动后量(liàng)子(zi)密(mì)码(mǎ)算(suàn)法(fǎ)征(zhēng)集以来，全球各标准化组织及众多参与企业先后开始进行相关标准研究制定和产品研发工作。随着后量子技术研究的不断深入，截止目前NIST已公布三个已标准化的后量子算法（ML-KEM、ML-DSA、SLH-DSA）及两个待标准化算法（Falcon、HQC），相关标准研究及产品研发也已取得诸多进展。本文将简要概述部分国际标准化组织及企业在后量子密码领域的最新进展。

1、后量子密码标准化进展

①互联网工程任务组（IETF）：IETF在后量子方面的工作重点在于开发制定能抵御量子计算机攻击的加密标准和协议。包括扩展现有的安全协议以支持后量子密码套件、后量子密钥交换机制、后量子数字签名和证书。2023年1月，IETF成立了“后量子使用协议”（PQUIP）工作组，并发布了《Post-Quantum Cryptography for Engineers》及《Terminology for Post-Quantum Traditional Hybrid Schemes》等多份文件，详细介绍了向后量子过渡的性能考虑因素、混合方法、安全分析、及传统和后量子混合方案相关的术语(yǔ)等(děng)内(nèi)容(róng)，为(wèi)工(gōng)程(chéng)师(shī)在(zài)系(xì)统(tǒng)中(zhōng)集成(chéng)使(shǐ)用(yòng)后(hòu)量(liàng)子(zi)算(suàn)法(fǎ)提(tí)供(gōng)参(cān)考(kǎo)。

②全球(qiú)移(yí)动(dòng)通(tōng)信(xìn)系(xì)统(tǒng)协(xié)会(huì)（GSMA）：GSMA于2022年9月成立了后量子电信网络（PQTN）工作组，旨在帮助制定政策、法规和运营商业务流程，以加强量子计算环境下对电信行业的安全保护。自PQTN工作组成立以来，发布了多份文件并多次组织举办电信行业后量子研讨会，为电信行业向后量子密码迁移提供建议。PQTN工作组(zǔ)发(fā)布(bù)的(de)主要(yào)文件(jiàn)包(bāo)括(kuò)：《Post-Quantum Telco Network Impact Assessment Whitepaper》、《Guidelines for Quantum Risk Management for Telco》、《 Post-Quantum Cryptography–Guidelines for Telecom Use Cases》等(děng)，详(xiáng)细(xì)描(miáo)述(shù)了(le)量(liàng)子计算技术对电信行业带来的安全问题及管理准则，为电信行业向后量子密码迁移提供建议。

③第三代合作伙伴计划（3GPP）：3GPP正持续跟踪NIST和IETF在抗量子算法领域的技术进展，并计划与IETF等标准组织协作，探讨在3GPP系统中部署NIST后量子密码算法的具体方案。一方面，3GPP目前正在研究采用256位对称密码算法，提高通信网络的安全性，减少128位算法可能出现的任何不可预见的漏洞。另一方面，3GPP在传输层规范中要求使用TLS和IPSec协议，并适当引用了IETF制定的相关RFC标准。目前，IETF正在推进TLS协议RFC标准的修订工作，旨在纳入后量子密码学（PQC）兼容算法，IPSec和IKEv2协议的RFC标准也计划通过集成PQC算法进行增强。待IETF发布更新后的RFC文档，3GPP将启动相关技术规范的研究工作，评估将这些新标准纳入3GPP体系的可行性。

④国际标准化组织（ISO）：ISO/IEC JTC1下的SC27工作组负责信息安全领域的标准化工作。其中，WG2（信息安全工作组）专门负责PQC相关研究和标准制定。该小组在2015年启动了PQC调研工作，并在2017年11月的柏林会议上决定终止调研期并启动常设文件（WG2/SD8）项目。该文件涵盖了PQC的多个方面(miàn)，包括哈希签名、格基机制、编码机制、多变量机制和同构机制等。2022年10月，ISO/IEC启动了“在ISO/IEC标准中纳入PQC的关键封装机制”项目，旨在将NIST选择的Kyber、Classic McEliece和FrodoKEM等算法纳入其标准体系。ISO/IEC目前已经发布了多个与PQC相关的标准草案，包括对现有公钥加密国际标准ISO/IEC 18033-2:2006/WD Amd 2的增补，以及涉及哈希基础的签名机制的ISO 14888-4标准，该标准涵盖了LMS、XMSS、HSS和XMSS-MT等算法。

2、后量子密码产业应用

①“本源悟空”：今年4月10日，我国第三代自主超导量子计算机“本源悟空”成功装备国内首个PQC“抗量子攻击护盾”——PQC混合加密方法。该PQC“抗量子攻击护盾”由我国自主研发，可以使“本源悟空”更好抵(dǐ)御(yù)其(qí)他(tā)量(liàng)子(zi)计(jì)算(suàn)机(jī)的(de)攻(gōng)击(jī)，确(què)保(bǎo)运(yùn)行(xíng)数(shù)据(jù)安(ān)全。这(zhè)也(yě)意(yì)味(wèi)着(zhe)中(zhōng)国(guó)自(zì)主超(chāo)导(dǎo)量(liàng)子(zi)计(jì)算(suàn)机(jī)在(zài)量(liàng)子(zi)计(jì)算(suàn)领(lǐng)域可(kě)以(yǐ)“攻(gōng)守(shǒu)兼(jiān)备(bèi)”。

②Windows操(cāo)作(zuò)系(xì)统(tǒng)：微(wēi)软(ruǎn)在(zài)Windows 11 Insider Preview Build 27863版(bǎn)本(běn)中(zhōng)首(shǒu)次(cì)引(yǐn)入(rù)了(le)后(hòu)量(liàng)子(zi)算(suàn)法(fǎ)，其(qí)利(lì)用(yòng)下(xià)一(yī)代(dài)加(jiā)密(mì)API向(xiàng)开(kāi)发(fā)者(zhě)开(kāi)放(fàng)后(hòu)量(liàng)子(zi)算(suàn)法(fǎ)接(jiē)口(kǒu)，用(yòng)户(hù)可(kě)通(tōng)过(guò)API调(diào)用(yòng)ML-KEM和(hé)ML-DSA，且(qiě)无(wú)需(xū)修(xiū)改(gǎi)底(dǐ)层(céng)代(dài)码(mǎ)即(jí)可(kě)实(shí)现(xiàn)算(suàn)法(fǎ)替(tì)换(huàn)。该(gāi)实(shí)现(xiàn)不(bù)仅(jǐn)覆(fù)盖(gài)操(cāo)作(zuò)系(xì)统(tǒng)内(nèi)核(hé)，还(hái)扩(kuò)展(zhǎn)至(zhì)BitLocker全盘(pán)加(jiā)密(mì)、SSL/TLS连(lián)接(jiē)等(děng)关键场(chǎng)景(jǐng)，形(xíng)成(chéng)端(duān)到(dào)端(duān)的(de)量(liàng)子(zi)安(ān)全防(fáng)护(hù)链(liàn)。加(jiā)密(mì)库(kù)SymCrypt作(zuò)为(wèi)Windows系(xì)统(tǒng)底(dǐ)层(céng)安(ān)全基(jī)础(chǔ)设(shè)施(shī)的(de)核(hé)心(xīn)组(zǔ)件(jiàn)，已(yǐ)明(míng)确(què)支(zhī)持(chí)多(duō)套(tào)后(hòu)量(liàng)子(zi)密(mì)码(mǎ)算(suàn)法(fǎ)，包(bāo)括(kuò)经(jīng)NIST标(biāo)准(zhǔn)化(huà)的(de)ML-KEM、ML-DSA等(děng)算(suàn)法(fǎ)，以(yǐ)及(jí)XMSS与(yǔ)LMS算(suàn)法(fǎ)。这(zhè)一(yī)举(jǔ)措(cuò)不(bù)仅(jǐn)升(shēng)级(jí)了(le)传(chuán)统(tǒng)RSA和(hé)ECC加(jiā)密(mì)体(tǐ)系(xì)，还(hái)通(tōng)过(guò)混(hùn)合(hé)加(jiā)密(mì)模(mó)式(shì)平(píng)衡(héng)了(le)新(xīn)旧(jiù)系(xì)统(tǒng)安(ān)全性(xìng)，增(zēng)强(qiáng)了(le)操(cāo)作(zuò)系(xì)统(tǒng)在(zài)量(liàng)子(zi)计(jì)算(suàn)时(shí)代(dài)的(de)数(shù)据(jù)传输安全、数字签名可靠性、身份验证机制以及证书安(ān)全体(tǐ)系(xì)。

③Chrome浏览器：谷歌最早在2023年起逐步推进对后量子密码算法的支持，初期通过Chrome 116版本引入X25519Kyber768混合密钥封装机制，该机制结合经典X25519椭圆曲线算法与Kyber-768抗量子算法，为TLS 1.3和QUIC连接提供量子攻击防护，并在Chrome 124版本默认启用此机制。随着NIST在2024年完成CRYSTALS-KYBER算法的标准化并更名为ML-KEM，Chrome在131版本中切换至ML-KEM，替代原有Kyber实现，此次升级导致TLS密钥交换代(dài)码(mǎ)点(diǎn)从(cóng)0x6399变(biàn)更(gèng)为(wèi)0x11EC，并(bìng)停(tíng)止(zhǐ)对(duì)旧(jiù)版(bǎn)Kyber的(de)后(hòu)向兼容。同时为缓解兼容性风险，Chrome在BoringSSL加密库中实现ML-KEM，通过PostQuantumKeyAgreementEnabled企业策略提供过渡期配置选项，允许服务器运营商同步更新基础设施以适配新算法，避免因算法不兼容导致的连接中断问题。

3、总结

随着后量子密码技术的不断发展，各标准组织与企业将快速推动标准化进程与产品迭代升级，进一步提升相关产品的安全性。而于运营(yíng)商(shāng)而(ér)言(yán)，应积极参与3GPP、GSMA等通信领域后量子相关标准的制定工作，掌握标准主动权。同时，为应对量子风险，尽快启动相关业务的量子安全评估，制定后量子迁移规划，确保其业务系统的安全性和稳定性。

作者：车珺、傅镜艺、陆鸣

单位：中国移动研究院

————THE END