定制报告-个性化定制-按需专项定制研究报告

行业报告、薪酬报告

联系：400-6363-638

《三未信安：抗量子密码技术与应用白皮书（2024）（123页）.pdf》由会员分享，可在线阅读，更多相关《三未信安：抗量子密码技术与应用白皮书（2024）（123页）.pdf（123页珍藏版）》请在本站上搜索。 1、抗量子密码技术与应用白皮书1抗量子密码技术与应用白皮书抗量子密码技术与应用白皮书三未信安科技股份有限公司三未信安科技股份有限公司2024 年年 8 月月抗量子密码技术与应用白皮书2目目 录录卷首语卷首语.5 5序序.7 71 1 理论篇理论篇.9 91.1 从经典计算到量子计算.101.1.1 经典计算与公钥密码算法.101.1.2 量子计算.111.2 量子计算对传统密码的威胁.121.3 量子计算下密码技术的变革.121.4 抗量子密码标准化进程.131.5 抗量子密码算法介绍.151.5.1 抗量子密码算法的种类.151.5.2 典型抗量子密码算法介绍.162 2 技术篇技术篇.19192、2.1 抗量子密码安全协议设计.202.1.1 抗量子 CA.212.1.2 抗量子 TLCP 协议.232.1.3 抗量子 IPSec 协议.262.1.4 抗量子 SSH 协议.272.2 抗量子密码标准化建议.282.2.1 现有密码标准体系框架.282.2.2 抗量子密码标准规划.302.3 抗量子密码产品研发.342.3.1 抗量子密码算法实现.342.3.2 抗量子密码产品体系.393 3 行动篇行动篇.42423.1 抗量子密码迁移面临的挑战.433.1.1 抗量子密码迁移时不我待.433.1.2 密码体制变革导致工程复杂.44抗量子密码技术与应用白皮书33.1.3 组织对密码依3、赖性了解不深.453.1.4 密码应用设计缺乏敏捷性.463.1.5 互操作性与依存性影响迁移进程.473.2 抗量子密码迁移策略与路径.483.2.1 制定量子安全战略与行动纲要.483.2.2 抗量子密码迁移目标与策略.523.2.3 现在着手行动.553.2.4 规划抗量子密码路线图.563.2.5 构建抗量子密码技术支撑体系.573.2.6加强密码人才培养和国际合作.603.2.7 抗量子密码迁移供应链协同.623.3 抗量子密码迁移工程指南.653.3.1 国外抗量子密码迁移研究进展.653.3.2 迁移工作思路.663.3.3 迁移工作组职能.683.3.4 量子风险评估方法.694、3.3.5 信息资产识别与分析.713.3.6 系统量子脆弱性分析.733.3.7 迁移计划与实施方案.773.3.8 密码功能与服务敏捷性设计.813.3.9 抗量子密码混合过渡方案.844 4 应用篇应用篇.96964.1 手机银行系统抗量子密码应用方案.974.1.1 现状分析.984.1.2 迁移方案.994.2 证券网上交易系统抗量子密码应用方案.1024.2.1 现状分析.1024.2.2 迁移方案.1034.3 证券集中交易系统抗量子密码应用方案.1034.3.1 现状分析.104抗量子密码技术与应用白皮书44.3.2 迁移方案.1054.4 移动通信 4A 系统抗量子密码应用方5、案.1064.4.1 现状分析.1074.4.2 迁移方案.1084.5 移动通信 OMC 系统抗量子密码应用方案.1094.5.1 现状分析.1094.5.2 迁移方案.1104.6 电力监控系统抗量子密码应用方案.1104.6.1 现状分析.1114.6.2 迁移方案.1125 5 展望篇展望篇.1141145.1 标准规范逐步出台.1155.2 技术研究持续创新.1165.3 产业生态日趋成熟.1175.4 应用示范有序推进.1185.5 国际合作更加深化.1196 6 附录附录.1211216.1 术语解释.1216.2 缩略语.1226.3 参考文献.1226.4 致谢.123抗量子6、密码技术与应用白皮书5卷首语卷首语量子科技是基于量子力学原理，利用量子系统的特性，如量子叠加、量子纠缠和量子不可克隆性等，进行计算、编码和信息传输的全新信息处理方式。从目前发展格局来看，量子科技研究主要聚焦于量子计算、量子通信等方向。量子计算通过量子比特（Qubit）实现信息的表达和操作，具备超越传统计算机的并行处理能力，能够有效解决经典计算难以处理的复杂问题；量子保密通信可以实现长距离量子密钥分发（QKD），提升信息系统安全性。量子科技发展具有重大科学意义和战略价值，必将引领新一轮科技革命和产业变革方向。在人类文明的长河中，密码技术一直是保护信息安全、维护社会秩序的重要基石。从古老的密文传递7、，到现代公钥密码体系的广泛应用，密码学伴随着计算技术的发展而不断演进。随着量子计算的崛起，传统密码学正面临着前所未有的挑战。我们无法准确预知“足够规模且容错性高（LFT）”的量子计算机何时可用，但可以确定的是：当具有较大量子比特规模的密码分析相关量子计算机（CRQC）可用时，现有基于整数分解问题、离散对数问题、椭圆曲线离散对数问题的公钥密码算法、密钥协商协议等面临被破解的风险，依赖于 RSA、ECDSA、ECDH 等经典密码的产品、协议和服务均可能处于风险之下。同时，量子算法可极大降低分组密码算法、杂凑函数的密码分析复杂度。目前需要思考的课题是：当量子时代来临时，我们如何做到临危不乱、从容应对8、？从传统密码迁移到抗量子密码（亦称为后量子密码）是必然的选择。抗量子密码技术不仅关乎国家信息安全、金融稳定、个人隐私保护等，更是未来信息技术发展的核心竞争力之一。深入研究抗量子密码技术，探索其在各领域的应用实践，对于构建安全可信的数字化社会具有重大意义。本白皮书旨在全面梳理抗量子密码技术的发展脉络，系统介绍其理论基础、技术框架、标准化进程、迁移指南以及在不同行业中的应用方案。理论篇将从经典计算与量子计算的对比，分析量子计算对传统密码的影响及新一代量子安全密码的进展，包括抗量子密码研究方向、技术原理、标准化进程、典型算法介绍等，为读者了解抗量子密码技术，提供了较为全面的视角。在技术篇中，我们将探9、讨抗量子密码安全协议的设计思路、实现方法以及关键问题的解决策略，如抗量子CA的设计，TLS协议的抗量子安全性实现，以及在IPSec抗量子密码技术与应用白皮书6和 SSH 等协议中融入抗量子密码技术的实践。同时，我们还将探讨抗量子密码标准化的规划、算法安全性和性能评估等，并介绍抗量子密码算法实现的优化、抗量子密码产品体系的架构设计及设计原则等内容。行动篇将聚焦于抗量子密码迁移面临的挑战，明确迁移策略和迁移路径，为组织提供迁移实践指南。本章提出了确保有序、平稳、分阶段、按计划的迁移目标和优先级、敏捷型设计、量子脆弱性密码技术发现、混合过渡等迁移策略。基于对国内外抗量子密码发展动向的研究，本章描述了10、通过量子风险评估，分析迁移风险、选择迁移路径、规划迁移方案的方法与思路，为组织与机构规划抗量子密码迁移的工程实践提供指导。应用篇将通过商业银行、证券公司、移动运营商、电力行业等典型案例和方案，展示抗量子密码技术的应用与实践。本章介绍了抗量子密码在部分典型行业的应用经验和成果，如金融交易中实现抗量子安全性、移动通信网络和电力网络中保障关键信息基础设施安全等。通过这些应用方案，读者可以深入了解抗量子密码技术和产品在不同行业中的应用场景和实现方法。展望篇将从抗量子密码技术的相关标准规范、技术创新、产业生态、应用推进等未来发展，进行分析与预测。展望未来，抗量子密码技术有望成为产业关注的焦点，应用于更广11、泛的领域。在编写本白皮书的过程中，我们力求内容的准确性与前瞻性，希望能够为广大读者提供一个全面、深入、实用的抗量子密码技术知识体系。我们也期待本白皮书能够助力于抗量子密码技术研究与应用创新。在这个充满挑战与机遇的新时代，让我们携手前行，为构建安全可信的数字化社会贡献自己的力量！2024 年 9 月 10 日抗量子密码技术与应用白皮书7序序在信息时代的浪潮中，密码技术作为保障网络信息安全的核心手段，其重要性日益凸显。随着量子计算技术的迅猛发展，传统密码体系正面临着前所未有的挑战。量子计算机的强大计算能力使得基于经典数学难题的公钥密码算法不再安全，这一颠覆性威胁，促使我们必须重新审视并发展新一代的12、密码技术。为了应对这一挑战，抗量子密码应运而生，成为密码学研究的前沿热点。一、量子计算对传统密码的影响作为一种全新的计算模式，量子计算利用量子比特的叠加和纠缠等特性，实现了计算能力的飞跃提升。这一突破性进展为众多领域带来了前所未有的机遇，但也对传统密码学构成了严重威胁。量子计算机出现后，依赖整数分解、离散对数等数学难题的经典密码算法存在被破解的风险。二、抗量子密码技术的研究进展抗量子密码即是能够抵御量子计算机攻击的新一代密码体系。这一技术领域的研究涵盖了如基于格的密码、基于编码的密码、基于多变量的密码等方向。抗量子密码标准化进程有利于技术的兼容性和互操作性。目前，部分算法已标准化，多个后续算法13、亦处于安全性评估过程中。三、抗量子密码技术的应用前景抗量子密码技术的应用前景广阔，涵盖了金融、通信、电力等多个关键行业。在金融行业，抗量子密码技术可应用于身份认证、数据加密、数字签名等多个环节，确保金融交易的安全性和可追溯性；在通信行业，抗量子密码技术可以保障通信网络的机密性和完整性，防止信息泄露和篡改；在电力行业，抗量子密码技术可以应用于智能电网的安全控制，确保电力系统的稳定运行。抗量子密码也面临诸多挑战。在未来研究中，我们应重点关注以下方面：抗量子密码算法的安全性研究、抗量子密码标准与技术规范推进、抗量子密码与区块链、人工智能等新兴技术融合应用。在产业生态建设方面，需要通过政府、企业、科研14、机构等多方协同，形成完善的产业链和生态体系。为推动我国抗量子密码技术研究与产业化发展，三未信安组织编写了 抗量子密码技术与应用白皮书。白皮书的编写得到了国内密码学专家、学者以及产业界抗量子密码技术与应用白皮书8人士的共同努力和支持，凝聚了大家对抗量子密码的研究和思考。白皮书不仅介绍了抗量子密码的理论基础，还描述了技术设计和产品研发的相关内容，并就组织如何安排抗量子密码迁移活动提供指导，同时给出了多个典型应用方案。作为一位长期从事密码技术研究的工作者，我相信，该书将成为读者探索抗量子密码技术奥秘的钥匙，为各行业了解抗量子密码、规划迁移路线提供有益参考。感谢编撰者的辛勤付出和无私奉献！展望未来，抗15、量子密码技术将迎来更多的机遇，当然也会面临更多的挑战。我坚信，通过大家不懈探索，一定能在抗量子密码研究与产业化方面取得显著进展，为我国重要领域提供持续安全保障。2024 年 9 月 10 日抗量子密码技术与应用白皮书91 理论篇理论篇“格物致知。格物致知。”-礼记礼记大学大学抗量子密码技术与应用白皮书10“穷理者，欲知事物之所以然，与其所当然者而已。知其所以然，故志不惑穷理者，欲知事物之所以然，与其所当然者而已。知其所以然，故志不惑；知其所当然，故行不谬。知其所当然，故行不谬。”-朱熹答或人朱熹答或人密码起源于人类生产实践中信息隐藏与秘密保护的实际需求，其远远早于现代计算机的诞生。然而，密码的16、每一次里程碑式发展却与计算机的跨越式进步紧密相连，不论是图灵计算模型与恩尼格玛密码机的破译，还是仙农信息论与密码完善保密性，都彰显了密码与计算机、信息科学密不可分、携手共进的关系。理论上绝对安全的密码算法是无法实用的，真正实用的密码算法都是依赖于计算安全性，即在现有计算能力下不能在可接受时间内破译该算法。于是，计算理论和计算机性能的历史性突破，必然引起密码算法的更新换代。例如，DES 密码算法到 AES 密码算法的替换，RSA 密钥长度的不断增长，一方面是因为密码数学攻击手段的推陈出新，另一方面是因为计算机运算能力的历史性跨越。量子计算机是一种基于量子力学的新型计算机体系，尤其是 Shor 量17、子算法能够有效求解整数分解和离散对数问题，对现有的 RSA 密码、椭圆曲线密码等公钥密码算法带来严重的攻击威胁，于是抗量子密码算法（又称为后量子密码算法）研究势在必行。1.1 从经典计算到量子计算从经典计算到量子计算1.1.1 经典计算与公钥密码算法经典计算与公钥密码算法艾伦图灵（Alan Turing）于 1936 年发表的论文论可计算数及其在判定问题上 的 应 用 （OnComputableNumbers,WithanApplicationtotheEntscheidungsproblem），首次提出了现代计算机的理论模型图灵机（TuringMachine）的概念，奠定了现代计算机的理论基18、础。在随后几十年的时间里，计算机作为 20 世纪最先进的科学技术发明之一，经历了从电子管、晶体管、到集成电路、超大规模集成电路等高速发展阶段，已经深入到人类生产活动和社会活动的各个领域，成为信息社会中不可或缺的重要工具。从理论计算机科学的角度，将所有的问题分为可计算问题和不可计算问题，前者是能够用计算机解决的问题，后者是不能用计算机解决的问题。斯蒂芬A库克抗量子密码技术与应用白皮书11（Stephen A.Cook）于 1971 年发表的论文定理证明过程的复杂性（TheComplexity of Theorem Proving Procedures），提出了 NP 完全理论，开启了计算复杂性理19、论的新时代。在计算复杂性理论中，根据问题的难易程度将各类问题划分为不同的复杂性类，包括 P 类、NP 类、NPC 类、NP-hard 类等。P 类、NP 类、NPC 类均是指判定问题，其中 P 类问题是指在多项式时间内可以求解的判定问题；NP 类问题是在多项式时间内可以验证结果的判定问题；NPC 类问题是 NP 类问题中最困难的一类问题，任意 NP 问题可以多项式时间归约到该问题。NP-hard 问题是不限于判定问题的最困难的一类问题。目前理论计算机研究领域的最著名的难题之一是P是否等于NP类，现在普遍认为 PNP，但是还没有得到证明。在 PNP 假设下，所有的 NPC 问题和NP-hard 20、问题均不存在多项式时间求解的算法。公钥密码算法的设计基础是计算复杂性理论，即基于数学难题的计算困难性而设计，例如整数因子分解问题、有限域上离散对数问题、椭圆曲线加法群上离散对数问题，这三个问题还没有证明是 NP-hard 问题，但是在当前的经典计算机模型下，仍然没有发现多项式时间求解的算法。1.1.2 量子计算量子计算20 世纪 80 年代初，量子计算的概念开始萌芽。1980 年，Yuri Manin 在他的 可计算和不可计算 一书中提到了使用叠加和纠缠的量子自动机的思想；Paul Benioff提出了微观量子力学哈密顿量作为图灵机的模型。1981 年 5 月，麻省理工学院和IBM 组织召开了21、“计算物理学”会议，汇集了 Freeman Dyson、JohnArchibald Wheeler、Richard Feynman、Landauer、Benioff 等物理学家和计算机科学家，这些大会报告于次年发表在国际理论物理杂志上，构成了量子计算的最初构想。量子计算是遵循量子力学规律、以量子比特（Qubit）为基本运算和存储单元的新型计算模式，是突破经典图灵计算模型瓶颈的新型计算模式，又可看作用量子力学规律重新诠释的通用图灵机。从可计算理论角度看，量子计算机只能求解传统计算机所能求解的问题，但是由于量子力学的叠加特性，很多复杂问题在量子计算机上的求解效率远高于传统计算机的求解效率，甚至计算22、复杂性从指数时间降低到多项式时间。量子比特（Qubit）是量子计算的基本单元。经典计算机的比特只有“0”和“1”抗量子密码技术与应用白皮书12两种状态；而在量子计算机中，量子比特除了“0”和“1”状态之外，还可处于叠加态，量子状态叠加原理使得量子信息处理具有更高的效率。例如，对于 n 个量子比特而言，量子信息可以处于 2n种可能状态的叠加，量子计算的每一步会对 2n种可能性进行并行处理，因此会大大提升计算效率。1.2 量子计算对传统密码的威胁量子计算对传统密码的威胁1994 年，Peter Shor 提出了著名的 Shor 量子算法，在量子计算机上可以在多项式时间内分解大整数以及求解离散对数，23、这被认为是第一个实现对经典算法进行“指数级”加速的量子算法。Shor 量子算法的出现表明，如果研发出一定规模的量子计算机，则可以破解当前广泛应用的基于整数分解困难问题的 RSA 密码算法、基于离散对数的 DSA 数字签名算法、Diffie-Hellman 密钥协商协议和基于椭圆曲线离散对数的 ECC 公钥密码算法。1996 年，Lov Grover 提出了 Grover 量子算法，是一种在量子计算机上求解非结构问题的量子搜索算法（Quantum search algorithm），当搜索空间有个无序元素时，它具有(1/2)的计算复杂度，将无序元素搜索的计算复杂度由()降低到了开平方的(1/2)24、量级。将 Grover 量子算法用于分组密码算法和密码杂凑函数的密码分析，能够大大降低密码分析的计算复杂度。Shor 量子攻击算法对传统的 RSA、ECC 等公钥密码算法带来了严重的安全风险，并对使用公钥密码算法的数字认证系统、区块链系统以及 SSL/TLS、SSH 等网络安全协议产生了巨大安全威胁。1.3 量子计算下密码技术的变革量子计算下密码技术的变革量子计算机快速发展带来的巨大攻击风险，亟需开展量子计算时代的新型密码技术研究，一个研究方向是基于量子力学的密码技术，包括量子保密通信技术、量子随机数等，另一个方向是抗量子密码算法，即设计基于新型数学困难问题的、抵抗量子计算机攻击的密码算法。量25、子保密通信技术主要包括量子密钥分发技术，量子密钥分发（Quantum KeyDistribution，QKD）是指通信双方通过以量子态为信息载体实现秘密密钥的分发过程，可以用于通信双方秘密协商对称密钥。量子密钥分发技术的一个重要特点是：抗量子密码技术与应用白皮书13如果通信过程中有第三方试图窃听，则会因为扰动量子态而被通信双方发现，因此具有理论的无条件安全性。根据量子态载体及其调制方式的不同，量子密钥分发主要可以分为离散变量和连续变量两种。目前离散变量方案中的诱骗态 BB84 协议是最成熟、应用最广泛的协议，基于该协议的光纤量子密钥分发设备已经实现试点应用。量子随机数发生器（Quantum R26、andom Number Generation，QRNG）是利用量子力学产生随机数的真随机数发生器。与传统物理噪声源随机数发生器不同，量子随机数发生器的随机性是基于量子力学的基本原理，保证信息熵来源于量子力学随机性。抗量子密码算法（Quantum-resistant Cryptographic Algorithms），又称为后量子密码算法（Post-Quantum CryptographicAlgorithms，PQC），是指抵抗量子计算机攻击的新型密码算法。需要注意的是，所称的抗量子密码算法是指能够抵抗 Shor量子算法等现有量子攻击算法，并不能保证今后不会出现新的量子攻击算法。1.4 抗量27、子密码标准化进程抗量子密码标准化进程1996 年，美国布朗大学三位教授 Hoffstein,Pipher 和Silverman 设计了NTRU(Number Theory Research Unit)公钥密码算法，包括公钥加密(NTRUencrypt)和数字签名(NTRUSign)方案。NTRU 加密、解密的速度比较快，安全性是基于格上的最短向量问题(SVP)。2008 年，NTRU 公钥加密算法被电气和电子工程师协会确定为正式标准（IEEE Std1363.12008）。2010 年，美国国家标准学会(AmericanNational Standard Institute，ANSI)的 X928、.98 标准（ANSIX 9.98）将 NTRU 公钥加密算法作为金融交易过程的公钥加密算法标准。2016 年 12 月，美国国家标准与技术研究院（National Institute of Standards andTechnology，NIST）正式启动抗量子公钥密码算法标准的征集，以解决 FIPS 186-4、数字签名标准（DSS）、SP 800-56A 和 SP 800-56B 等传统公钥密码算法面临的量子攻击风险。NIST 就候选算法的最低可接受性要求、提交要求和评估标准征求公众意见，提交抗量子候选算法的截止日期是 2017 年 11 月 30 日。2017 年 12 月，NIST 29、公布抗量子公钥密码算法标准的第一轮筛选结果，共收到 82 个候选密码算法，有 69 个候选算法进入第一轮评估过程，其中包括 20 个数抗量子密码技术与应用白皮书14字签名算法和 49 个公钥加密或密钥封装方案。2019 年 1 月，NIST 公布抗量子公钥密码算法标准的第二轮筛选结果，经过一年多的评估和分析过程，共计 26 个算法进入第二轮评估过程，其中包括 17 个公钥加密和密钥封装算法（BIKE、Classic McEliece、Kyber、FrodoKEM、HQC、LAC、LEDAcrypt、NewHope、NTRU、NTRU Prime、NTS-KEM、ROLLO、Round5、RQC30、、SABER、SIKE、Three Bears）以及 9 个数字签名算法（Dilithium、FALCON、GeMSS、LUOV、MQDSS、Picnic、qTESLA、Rainbow、SPHINCS+）。2020 年 7 月，NIST 宣布了进入抗量子公钥密码算法标准第三轮的 15 个候选算法，包括 7 个入围算法和 8 个备选算法。其中，7 个入围算法是：4 个非对称加密和密钥封装算法（Classic McEliece、Kyber、NTRU、SABER）和 3 个数字签名算法（Dilithium、FALCON、Rainbow）；8 个备选算法是：5 个非对称加密和密钥封装算法（BIKE、F31、rodoKEM、HQC、NTRU Prime、SIKE）和 3 个数字签名算法（GeMSS、Picnic、SPHINCS+）。2022 年 7 月，NIST 公布抗量子公钥密码算法标准第三轮评估结果，其中包括用于非对称加密和密钥封装的 Kyber 算法，以及用于数字签名的 Dilithium、FALCON 和 SPHINCS+算法（Dilithium 作为主要推荐的数字签名算法）。此外，NIST 将 BIKE、Classic McEliece、HQC、SIKE 算法进入第四轮公钥加密和密钥协商算法的筛选进程。2023 年 7 月，NIST 公布了抗量子数字签名算法第四轮的候选算法，其中包括4032、 个数字签名候选算法。2023 年 8 月 24 日，美国国家标准与技术研究院（NIST）正式公布三种抗量子密码（PQC）算法标准草案，包括（1）FIPS 203：基于格密码的密钥封装机制标准，即 Kyber 算法；（2）FIPS 204：基于格密码的数字签名标准，即 Dilithium 算法；（3）FIPS 205：基于哈希算法的无状态数字签名标准，即 SPHINCS+数字签名算法。以上三个草案于 2024 年 8 月 13 日正式成为首批抗量子密码算法标准ML-KEM（FIPS 203）、ML-DSA（FIPS 204）及 SLH-DSA（FIPS 205）。2024 年 4 月 10-133、2 日，NIST 召开了抗量子公钥密码算法标准化第五次会议，对已经标准化和正在评估的候选算法的安全性、实现效率等方面进行了详细研讨。国际互联网工程任务组（IETF）、欧洲电信标准化协会（ETSI）等均在抗量抗量子密码技术与应用白皮书15子标准化方面做了大量工作，包括 IETF RFC 8391 XMSS:eXtended MerkleSignature Scheme、ETSI GR QSC 001量子安全算法框架等。我国抗量子密码算法设计通过密码算法竞赛等形式开展了一系列工作。2018年 6 月，为繁荣我国密码理论和应用研究，推动密码算法设计和实现技术进步，中国密码学会举办全国密码算法设计竞赛34、活动，竞赛内容包括分组密码算法设计和公钥密码算法设计两部分，全国高校、科研院所、产业单位的 42 个团队提交了 79个密码算法。2019 年 9 月，经公开评议、检测评估和专家评选，全国密码算法设计竞赛第一轮算法评选结果揭晓，公布了 全国密码算法设计竞赛分组算法第二轮入选名单和全国密码算法设计竞赛公钥算法第二轮入选名单（含公钥加密算法、数字签名算法、密钥交换算法），共有 10 个分组算法和 14 个公钥算法进入第二轮评选。2019 年 12 月，全国密码算法设计竞赛评出获奖算法名单，分别遴选出公钥密码算法和分组密码算法一、二、三等奖，其中 Aigis-enc 抗量子公钥加密算法、Aigis-s35、ig 抗量子数字签名算法和 LAC.PKE 抗量子公钥加密算法被评为公钥密码算法一等奖。目前，我国有一些抗量子密码算法的密码行业标准正在制定过程中，包括基于 NTRU 的密钥封装机制、基于 SM3 的带状态数字签名算法等。1.5 抗量子密码算法介绍抗量子密码算法介绍1.5.1 抗量子密码算法的种类抗量子密码算法的种类根据所基于的数学困难问题的类型，抗量子密码算法主要包括以下种类：基于格的密码算法（lattice-based）、基于编码的密码算法（code-based）、基于密码杂凑函数的密码算法（hash-based）和基于多变量的密码算法（multivariate）。另外，还有基于同源的密码36、算法（isogeny-based）等其它类型。基于格的密码算法是最受关注、研究最广泛的抗量子密码算法，目前还没有量子算法对格困难问题进行有效破解。格（lattice）是一种代数结构，是一组线性无关向量的整系数线性组合构成的向量集合，其几何意义是 n 维空间上的离散点的集合，这组线性无关向量称为格基。格上的数学困难问题包括：最短向量问题（ShortestVector Problem,SVP），即在格上寻找最短的向量；最近向量问题（Closest VectorProblem，CVP），即给定一个向量，求距离此向量最近的格向量；还有带错误学抗量子密码技术与应用白皮书16习问题（Learning Wi37、th Error,LWE）、小整数解问题（Short Integer Solution，SIS）等问题。基于格的抗量子密码算法大多基于以上困难问题或其变形而设计，包括早期的 Ajtai-Dwork 公钥密码算法、NTRU 公钥密码算法以及 NIST 的抗量子密码算法标准 Kyber 和 Dilithium 等。基于编码的密码算法是基于纠错码原理设计的密码算法，所依赖的困难问题是随机线性码的译码困难性，其特点是加密速度比较快，但是密钥规模比较长。一个著名的基于编码的密码算法是 1978 年 Robert McEliece提出的基于Goppa线性码的 Classic McEliece 公钥密码算法38、，是进入 NIST 抗量子密码算法标准第三轮和第四轮的公钥密码算法。基于多变量的密码算法（multivariate）的安全性是基于求解有限域上非线性多变量方程组的困难性，其特点是加密解密、签名验签的速度很快，但是密钥存储的开销很大。Rainbow 数字签名算法是进入 NIST 抗量子密码算法标准第三轮的公钥密码算法。基于密码杂凑函数的公钥密码算法（hash-based）是在密码杂凑函数和 Merkle树基础上设计的一次性数字签名机制，其安全性依赖于密码杂凑函数的抗碰撞性，其缺点是签名值太长、运算速度太慢。最早的基于密码杂凑函数的数字签名算法是1979 年由 Ralph Merkel 提出，采用39、了 Merkle 哈希树认证机制。NIST 抗量子密码算法标准算法 SPHINCS+是基于密码杂凑函数的公钥密码算法。1.5.2 典型抗量子密码算法介绍典型抗量子密码算法介绍以下对四个 NIST 抗量子密码标准算法进行介绍。（1）Kyber 加密和密钥封装算法：加密和密钥封装算法：NIST 抗量子密码标准算法 Kyber 是一种满足适应性选择密文攻击下不可区分安全（IND-CCA2）的密钥封装机制（KEM），其安全性基于求解模格上带错误学习（LWE）问题的困难性，其详细介绍参见 https:/pq-crystals.org/kyber/index.shtml。Kyber 给出了三种不同安全级别40、的推荐参数，Kyber-512 的安全强度相当于 128 比特 AES 分组密码算法的安全强度，Kyber-768 的安全强度相当于 192 比特 AES 分组密码算法的安全强度，Kyber-1024 的安全强度相当于 256 比特 AES 分组密码算法的安全强度。Kyber 的一个设计思想来源于 Regev 的基于 LWE 的加密方案；另一个改进思抗量子密码技术与应用白皮书17想是受 NTRU 格密码算法的启发，采用了多项式环上的环 LWE 和模 LWE 困难问题。Kyber 密码算法包括两个阶段：首先，建立一个加密固定长度为 32 字节消息的选择明文攻击下不可区分安全（INDCPA）的公钥41、加密方案，称为 Kyber.CPAPKE；然后，使用 Fujisaki-Okamoto（FO）变换来构建适应性选择密文攻击下不可区分安全（IND-CCA2）的密钥封装机制（KEM），称为 Kyber.CCAKEM。（2）Dilithium 数字签名算法数字签名算法NIST抗量子密码标准算法Dilithium是一种基于模格上困难问题的数字签名方案，其具有选择消息攻击下的强安全性，即使攻击者能够访问签名预言机预先产生大量签名，也无法根据已有的这些签名生成一个新的合法签名，而且也不能对原来的一个相同消息生成另一个不同的合法签名。Dilithium 数字签名算法的详细介绍，参见 https:/pq-c42、rystals.org/dilithium/index.shtml。Dilithium 数字签名算法的设计思想是基于 Lyubashevsky 的“Fiat-Shamir withAborts”技术，该技术使用拒绝采样方法使得基于格的 Fiat-Shamir 方案紧凑且安全。同样使用这种方法的具有最短签名值的方案是 Ducas、Durmus、Lepoint 和Lyubashevsky 设计的基于 NTRU 的一种方案，其使用高斯采样来构造签名。但是，由于高斯采样很难安全高效地实现，Dilithium 数字签名算法借鉴了 Bai 和 Galbraith的方法，使用了均匀分布，将公钥尺寸缩小了 243、 倍以上。在采用均匀分布的格数字签名方案中，Dilithium 具有最小的公钥和签名尺寸。（3）Falcon 数字签名算法数字签名算法NIST 抗量子密码标准算法 Falcon 是一种基于格的数字签名算法，全名为Fast-Fourier Lattice-Based Compact Signature over NTRU，该算法的详细介绍参见https:/falcon-sign.info/。Falcon 是基于 Gentry、Peikert 和 Vaikuntanathan 提出的格数字签名设计的理论框架，并在 NTRU 格上进行具体实例化，采用了称为“快速傅立叶采样”的陷门采样器。Falcon44、 数字签名算法是基于 NTRU 格上短整数解困难问题（Short integer solution problem，SIS）而构造的，该问题在量子计算机上尚没有有效的求解算法。在安全性方面，Falcon 数字签名算法采用了高斯采样器，保证了私钥信息泄漏的概率可以忽略不计。在紧凑性方面，由于 Falcon 数字签名算法使用了 NTRU 格，其签名长度比其它具有相同安全假设的格签名方案都要短得多。在实现效率方面，抗量子密码技术与应用白皮书18Falcon 数字签名算法使用的快速傅里叶采样非常有利于快速软硬件实现，在普通计算机上每秒可以实现几千次签名，验签速度比签名速度快 5 到 10 倍。（4）S45、PHINCS+数字签名算法数字签名算法NIST 抗量子密码标准算法 SPHINCS+是一种无状态的基于哈希的数字签名方案，是 EUROCRYPT 2015 提出的 SPHINCS 数字签名方案的升级方案，该升级方案比原方案提出了在多项优化方法，特别是显著降低了签名尺寸，该算法的详细介绍参见 https:/sphincs.org/。有关从 SPHINCS 到 SPHINCS+升级的不同之处，可以参见 Andreas Hlsing 的博客文章。SPHINCS+数字签名算法包括三种不同的数字签名方案：SPHINCS+-SHAKE256，SPHINCS+-SHA-256 和 SPHINCS+-Hara46、ka，其分别是基于 SHAKE256,SHA-256 和 Haraka 密码杂凑算法(哈希算法)而构造的。抗量子密码技术与应用白皮书192 技术篇技术篇“技进乎道。技进乎道。”-默觚上默觚上学篇二学篇二抗量子密码技术与应用白皮书20“图难于其易图难于其易，为大于其细为大于其细。天下难事天下难事，必作于易必作于易；天下大事天下大事，必作于细必作于细。”-老子道德经老子道德经第六十三章第六十三章抗量子密码迁移需要做好技术方面的开发和准备，不仅要选择安全高效的算法，还需要安全协议设计、标准体系的规划、产品体系的开发等。安全协议设计需要在支持抗量子密码算法的前提下，支持与现有的网络通信协议之间的互操作47、性，保证抗量子密码迁移的平滑过渡；标准体系规划也是不可或缺的关键一环，能够为抗量子密码系统实施提供统一的标准和规范，有助于确保不同系统之间的兼容性和安全性。最后，产品开发是将理论上的抗量子密码算法转化为实际可用的产品，包括硬件和软件开发，以及相应的测试和验证，确保产品的安全性和高性能。2.1 抗量子密码安全协议设计抗量子密码安全协议设计随着量子计算技术的快速发展，传统公钥密码算法已不再安全。为了应对这一挑战，研究人员已开始研究抗量子计算的密码协议和体系，特别是在 TLS、IPSec和 CA 等领域。目前，国内外已有部分针对 TLS、IPSec 与 CA 的研究成果。基于抗量子的 TLS 协议在48、 TLS 握手过程中采用传统公钥密码算法与抗量子算法混合的方法；抗量子的 IPSec 协议采用抗量子预共享密钥、增加中间轮密钥协商等方法；研究人员研究抗量子公钥基础设施 CA，并提出混合证书格式与抗量子密钥格式。不论是 TLS、IPSec 还是 CA，现有研究方案的主要思想都是最大程度上兼容现有协议和体系，公钥密码算法与抗量子算法双体系并行使用。双体系思想主要出于以下两个方面考虑：（1）抗量子密码算法作为一种新兴的算法，其安全性有待实践的检验，用户对新兴的抗量子密码算法假设缺乏信心，双体系并行可以增加系统的安全性，如果一种算法被破解，另一种算法可能仍然是安全的，可以提供双重保障，增加整体系统的49、抵抗攻击能力；（2）现有的协议与体系主要是采用传统公钥密码算法，如果直接用抗量子算法完全替换可能需要大量的时间和资源，需要在继续使用现有系统的同时逐步集成抗量子算法，确保系统的兼容性和连续性。双体系并行使用确保了在量子计算技术逐步成熟和普及过程中，系统能够平稳过渡并保抗量子密码技术与应用白皮书21持高水平的安全性。这种方法为信息安全领域提供了一种切实可行的解决方案，具有重要的应用价值和推广前景。但是，上述对于 TLS、IPSec 与 CA 的研究都是基于国际标准协议，如 TLS1.3、IKE2 以及 x509v3 等，对于国内 TLCP(GB/T 38636-2020)、IPSec(GM/T050、022-2023)、公钥基础设施证书数字证书格式（GB-T 0015-2023）研究的相对较少。国内 TLCP的主要思想是基于 TLS1.1，IPSec 的主要思想是基于 IKE1，并不能完全按照上述文献的设计步骤进行实现。借鉴双体系并行的思想，设计了与现有 TLCP(GB/T38636-2020)兼容的抗量子 TLCP 协议、与现有 IPSec(GM/T0022-2023)兼容的抗量子 IPSec 协议、与现有 CA 兼容的抗量子证书格式。本白皮书针对抗量子 CA、抗量子 TLCP 协议、抗量子 IPSec 和抗量子 SSH 协议的设计提出了参考性的设计方案，里面用到的密钥封装算法以 SM251、 和 Kyber 算法为例，数字签名算法以 SM2 和 Dilithium 算法为例。实际的应用过程中也可以使用 Aigis-enc、Aigis-sig、LAC.PKE、FALCON、SPINICS+等抗量子密码算法。2.1.1 抗量子抗量子 CA抗量子 CA 基于 GM/T 0015-2023 规范进行设计，主要涉及数字证书格式。CA可以给用户签发独立的抗量子签名证书，也可以签发支持国密和抗量子密码算法的混合签名证书，证书格式如图 2-1、2-2 所示。图 2-1 抗量子签名证书抗量子密码技术与应用白皮书22图 2-2 抗量子混合签名证书其中抗量子签名证书采用标准的 X.509 格式，签名算52、法可以采用 Dilithium、Aigis-sig 等，哈希算法采用 SM3 等。与普通的 SM2 签名证书相比，格式完全相同，只不过证书的长度会有较大的扩展。混合数字证书设计思想：对 GM/T 0015-2023 规范中的证书格式不做任何改变，将 CA 与用户的抗量子签名公钥与抗量子签名加在扩展中。主要参考步骤如下：CA 将用户的基本信息、用户的传统签名公钥、用户的抗量子签名公钥 UserPQC-Publickey 与自己的抗量子签名公钥 CAPQC-Publickey 生成待签名数据 tbs；对 tbs 进行 sha256 哈希，然后用自己的抗量子签名私钥对哈希后的 tbs 进行签名，将抗53、量子签名值 PQC-Signature-Value 放在证书的扩展中。CA 更新待签名数据(包含扩展中的所有部分)，用自己的传统签名私钥对更新的待签名数据进行签名，生成传统签名，将传统签名放在证书的 SignatureAlgorithium value 位置。对于用户混合加密证书格式的设计与上述混合签名证书的设计格式是一样的，只不过将用户的传统签名公钥改为用户的传统加密公钥，其他不变。证书验证时，先用传统的证书链的方式验证传统签名，然后提取证书中除传统签名与抗量子签名外的部分，生成 tbs，先对 tbs 进行 sha256 哈希，然后利用抗量子密码技术与应用白皮书23证书中 CA 的抗量子签名54、公钥验证证书中的抗量子签名。只有两个签名全部被验证通过，证书的有效性验证才通过。上述的混合证书格式，不仅适用于抗量子TLCP与抗量子IPSec的通信过程中，而且适用于 TLCP(GB/T 38636-2020)与 IPSec(GM/T0022-2023)规定的传统协议中，只要在验证证书时，不验证证书的抗量子签名即可。注意：为了方便证书验证，将 CA 抗量子签名公钥放在混合签名/加密证书中，后续可以用根证书的方式实现。2.1.2 抗量子抗量子 TLCP 协议协议抗量子 TLCP 协议基于 GB/T 38636-2020 标准进行设计，新增两个密码套件，分别为 SM2-KYBER-DILITHIU55、M-SMS4-SM3 套件与 SM2DHE-KYBER-DILITHIUM-SMS4-SM3 套件。新增的两个密码套件并不会影响之前密码套件的运行，关键在于双方选择哪种密码套件，选择之前的密码套件，按照之前的 TLCP 协议进行交互，选择抗量子的密码套件，按照抗量子的 TLCP 协议进行交互。其中 SM2-KYBER-DILITHIUM-SMS4-SM3 套件握手过程协议设计如图 2-3 所示，SM2DHE-KYBER-DILITHIUM-SMS4-SM3 套件握手过程协议设计如图 2-4 所示。客户端与服务端提前拥有传统签名密钥对，传统加密密钥对，抗量子签名密钥对，混合签名证书与混合加密证书56、，混合签名 Kyber 密钥证书与混合加密证书的格式见 2.1.1。抗量子密码技术与应用白皮书24图 2-3 SM2-PQC TLCP 协议SM2-PQC TLCP 设计思想：客户端将相应的密码套件随 clienthello 发送给服务端，服务端检测到抗量子的密码套件后，除了要执行原有的 TLCP 步骤外，还需要执行 KYBER 的密钥生成获得临时密钥对(pubkey，prikey)，将 pubkey 随会话信息签名一块发送给客户端，其中 pubkey 也会作为会话信息签名待签名的一部分；客户端收到服务端发送的信息后，除了执行原有的 TLCP 步骤外，还需要用 pubkey 进行 KYBER 57、密钥封装，生成 KYBER 密文与 KYBER 共享密钥，将KYBER 密文与客户端加密的预主密钥一块发送给服务端；服务端收客户端发送的信息后，除了执行原有的 TLCP 步骤外，还需要用prikey 对 KYBER 密文执行密钥解封装得到 KYBER 共享密钥。经过上述的步骤，客户端与服务端同时生成了传统预主密钥与 KYBER 共享密钥，将传统预主密钥与 KYBER 共享密钥进行拼接，生成新的混合预主密钥，后续所有的密钥派生都是基于此密钥进行的。抗量子密码技术与应用白皮书25图 2-4 SM2DHE-PQC TLCP 协议SM2DHE-PQC TLCP 设计思想：客户端将相应的密码套件随 cl58、ienthello 发送给服务端，服务端检测到抗量子的密码套件后，除了要执行原有的 TLCP 步骤外，还需要执行 KYBER 的密钥生成获得临时密钥对(pubkey，prikey)，将 pubkey 随临时公钥与会话信息签名一块发送给客户端，其中 pubkey 也会作为会话信息签名会待签名的一部分；客户端收到服务端发送的信息后，除了执行原有的 TLCP 步骤外，还需要用 pubkey 进行 KYBER 密钥封装，生成 KYBER 密文与 KYBER 共享密钥，将KYBER 密文与客户端临时公钥一块发送给服务端；服务端收客户端发送的信息后，除了执行原有的 TLCP 步骤外，还需要用prikey 59、对 KYBER 密文执行密钥解封装得到 KYBER 共享密钥。经过上述的步骤，客户端与服务端同时生成了传统预主密钥与 KYBER 共享密钥，将传统预主密钥与 KYBER 共享密钥进行拼接，生成新的混合预主密钥，后续抗量子密码技术与应用白皮书26所有的密钥派生都是基于此密钥进行的。2.1.3 抗量子抗量子 IPSec 协议协议基于 GM/T0022-2023 规范进行设计，过程涉及主模式中的密钥交换步骤。新增的抗量子算法并不会影响之前 IPSec 协议的运行，关键在于发起方与响应方选择哪种密钥交换方式。选择传统的密钥交换方式，按照之前的 IPSec 协议进行交互，选择抗量子的密钥交换方式，按照抗60、量子 IPSec 协议进行交互，具体设计如图 2-5所示。发起方与响应方提前拥有传统签名密钥对，传统加密密钥对，抗量子签名密钥对，混合签名证书与混合加密证书，混合签名证书与混合加密证书的格式见 2.1.1。图 2-5 PQC-IPSec 协议设计思想：发起方进行抗量子通信的消息随载荷 SA 发送给响应方，响应方收到消息后，将混合签名证书 CERT_sig_r 与混合加密证书 CERT_enc_r 随响应载荷一起发送给发起方；发起方收到响应方消息后，除了执行 GM/T0022-2023 规范中的步骤外，还需要执行 KYBER 密钥生成操作，生成 KYBER 临时密钥对(PKi_KYBER,SKi61、_KYBER)，计算 MixXCHi=XCHi|CERT_sig_i|CERT_enc_i|PKi_KYBER，SIGi=SIG_SM2(Ci)|PQC_Dilithium(Ci)，其 中 Ci=ski|Ni|IDi|CERT_enc_i|PKi_KYBER，将 MixXCHi 与 SIGi 一起发送给响应方；响应方收到消息后，除了执行 GM/T0022-2023 规范中的步骤外，还需要执行 KYBER 密钥封装操作，生成 KYBER 密文 ct_KYBER 与共享密钥 ss，计算抗量子密码技术与应用白皮书27MixXCHr=XCHr|ct_KYBER，SIGr=SIG_SM2(Cr)|PQC62、_Dilithium(Cr)，其 中Cr=skr|Nr|Idr|CERT_enc_r|ct_KYBER，将将 MixXCHr 与 SIGr 一起发送给发起方；发起方收到消息后，除了执行 GM/T0022-2023 规范中的步骤外，还需要对ct_KYBER 执行 KYBER 密钥解封装操作，生成 KYBER 共享密钥 ss。经过上述的步骤，发起方与响应方同时生成了基本密钥参数 SEEDKEY 与KYBER共享密钥ss，将SEEDKEY与ss进行拼接，生成混合基本密钥参数SKEYID，后续所有的派生密钥都是基于 SKEYID 生成的。2.1.4 抗量子抗量子 SSH 协议协议基于 GM/T 01263、9-2023 规范进行设计，过程涉及传输层的协议的密钥交换步骤。新增的抗量子算法并不会影响之前 SSH 协议的运行，关键在于发起方与响应方选择哪种密钥交换方式。选择传统的密钥交换方式，按照之前的 SSH 协议进行交互，选择抗量子的密钥交换方式，按照抗量子 SSH 协议进行交互，具体设计如图 2-6所示。发起方与响应方提前拥有传统签名密钥对，传统加密密钥对，抗量子签名密钥对，混合签名证书与混合加密证书，混合签名证书与混合加密证书的格式见 2.1.1。图 2-6 PQC-SSH 协议设计思想：客 户 端 将kex_algorithms设 置 为 抗 量 子keyber-sm2-sm3随SSH_MS64、G_KEXINIT 服务端，服务端利用 SSH_MSG_KEXINIT 消息进行相应的响应。抗量子密码技术与应用白皮书28 双方利用 SSH_MSG_KEXINIT 消息确定抗量子密钥协商算法后，收到客户端的SSH_MSG_KEX_REQUEST后，除了执行GM/T0129-2023规范中的步骤外，还需要执行Kyber密钥生成操作，生成Kyber临时密钥对(PKS_Kyber,SKS_Kyber)，计算SIGS=SIG_SM2(mS)|PQC_Dilithium(mS)，其中 mS=random-client|random-server|PKS_Kyber，构造服务端响应消息SSH_MSG_K65、EX_HYBRID_REPLY|certificate|random-server|PKS_Kyber|SIGS，发送给客户端；客 户 端 收 到 SSH_MSG_KEX_HYBRID_REPLY 后，除 了 执 行GM/T0129-2023 规范中的步骤外，还需要执行 Kyber 密钥封装操作，生成 Kyber密文 ct_Kyber 与共享密钥 ss，计算消息SSH_MAG_KEX_HYBRID|enc(k)|ct_Kyber并将消息发送给服务端；服务端收到 SSH_MAG_KEX_HYBRID 后，除了执行 GM/T0129-2023 规范中的步骤外，还需要对 ct_Kyber 执行 Ky66、ber 密钥解封装操作，生成 Kyber 共享密钥 ss。经过上述步骤，客户端与服务端同时生成了传统密钥 k 与 Kyber 共享密钥 ss，双方计算计算密钥 K=HASH(k|ss)，后续所有的派生密钥都是基于 K 生成的。2.2 抗量子密码标准化建议抗量子密码标准化建议2.2.1 现有密码标准体系框架现有密码标准体系框架现有密码标准体系框架由技术维、管理维和应用维三个维度表达，如图 2-7 所示。其中技术维包含密码基础类标准、基础设施类标准、密码产品类标准、应用支撑类标准、密码应用类标准、密码检测类标准和密码管理类标准七大类密码标准，每一大类又细分若干子类；管理维上，目前主要包含国家标准、67、密码行业标准，未来可能会出现密码团体标准；应用维上，则包含不同的应用领域，如金融行业密码应用、交通行业密码应用、云计算密码应用、物联网密码应用等。抗量子密码技术与应用白皮书29特别地，如果以应用领域划分，可以形成面向不同应用领域的二维密码应用标准体系，包括技术维和管理维，如金融密码应用标准体系、云计算密码应用标准体系等。所有应用领域的密码应用标准体系在技术维和管理维上是一致的，即任何应用领域的密码应用标准体系在技术维上都包含七大类，在管理维上也皆可能存在国家标准、行业标准或团体标准。根据具体密码标准在不同应用领域的适用性，一个密码标准可能会重复出现在不同应用领域的密码应用标准体系之中。在技术维68、上，七大类密码标准根据具体情况细分为若干子类，从而形成密码标准的技术体系框架，如图 2-8 所示。图 2-7 密码体系标准框架抗量子密码技术与应用白皮书302.2.2 抗量子密码标准规划抗量子密码标准规划密码标准体系不仅是密码行业安全运行的技术标准基础，也是推动行业创新和国际合作的重要驱动力。随着技术的不断进步和安全需求的日益增长，密码标准体系将继续在密码行业的发展中扮演关键角色。但随着量子计算时代的到来，现代密码标准体系面临着严重的威胁，我们需要正确评估量子计算对现有和新兴密码体系抗量子密码技术与应用白皮书31的潜在影响，并及时调整策略，持续完善密码标准体系，密码标准体系的持续优化和严格执行69、是保障在量子时代密码行业的健康发展。这是一个长期而复杂的过程，需要政府、学术界、工业界的共同努力。密码基础类标准主要对通用密码技术进行规范，它是体系框架内的基础性规范，主要包括密码术语与标识标准、密码算法标准、密码设计与使用标准等。为在现有密码标准体系中支持抗量子密码算法，一方面可能需要增加新的密码算法及应用标准，另一方面可能需要对现有的密码术语与标识标准进行扩展，增加全新的抗量子密码算法相关内容，部分标准如表 2-1 所示。表 2-1 密码基础类标准规划标准类型标准类型现有密码标准现有密码标准修改类型修改类型备注备注密码标识GM/Z 4001 密码术语GB/T 33560 信息安全技术密码应70、用标识规范修订增加抗量子密码相关术语及应用标识规范密码算法GB/T 32918 信息安全技术SM2 椭圆曲线公钥密码算法新增如：信息安全技术抗量子密码算法密码设计GB/T 35276 信息安全技术SM2 密码算法使用规范GB/T 35275 信息安全技术SM2 密码算法加密签名消息语法规范新增如：信息安全技术抗量子密码算法使用规范、信息安全技术抗量子密码算法加密签名消息语法规范密码管理GB/T 17901 信息技术安全技术密钥管理修订兼容抗量子密码算法密码协议GB/T 38636 信息安全技术 传输层密码协议（TLCP）修订兼容抗量子密码算法基础设施类标准主要针对密码基础设施进行规范，包括：证71、书认证系统密码协议、数字证书格式、证书认证系统密码及相关安全技术等。表 2-2 列出了基础设施类的部分标准规划。由于抗量子密码算法在密钥长度、签名长度、算法性能等方面与现有密码算法存在差异，现有GM/T 0014 数字证书认证系统密码协议规范、抗量子密码技术与应用白皮书32GB/T 20518 信息安全技术公钥基础设施数字证书格式规范等标准都需要进行修订，以支持抗量子密码迁移的需求。表 2-2 基础设施类标准规划标准类型标准类型现有密码标准现有密码标准修改类型修改类型备注备注证书认证系统密码协议GM/T 0014 数字证书认证系统密码协议规范修订增加支持抗量子密码的协议规范数字证书格式GB/T72、 20518 信息安全技术公钥基础设施数字证书格式规范修订增加支持抗量子密码的数字证书格式密码产品类标准主要规范各类密码产品的接口、规格以及安全要求。对于智能密码钥匙、VPN、安全认证网关、密码机等密码产品给出设备接口、技术规范和产品规范；对于密码产品的安全性，则不区分产品功能的差异，而以统一的准则给出要求；对于密码产品的配置和技术管理架构，则以 GM/T 0050密码设备管理设备管理技术规范为基础统一制定。为在现有密码标准体系中支持抗量子密码算法，相关的技术要求、接口规范、技术和产品规范等都需要进一步的修订，部分标准如表 2-3 所示。表 2-3 产品类标准规划标准类型标准类型现有密码标准现73、有密码标准修改类型修改类型备注备注产品的配置和技术管理GM/T 0050 密码设备管理设备管理技术规范修订增加支持抗量子密码产品技术管理规范技术要求GM/T 0028 密码模块安全技术要求修订增加支持抗量子密码模块的安全技术应用接口GB/T 36322 信息安全技术 密码设备应用接口规范修订增加支持抗量子密码的设备接口规范网关GM/T 0023 IPSec VPN 网关产品规范GM/T 0025 SSLVPN 网关产品规范修订增加支持抗量子密码的网关接口规范VPNGM/T 0022 IPSec VPN 技术规范修订增加支持抗量子密码的 VPN 技术规范抗量子密码技术与应用白皮书33GM/T 074、024 SSL VPN 技术规范密码应用类标准对使用密码技术实现某种安全功能的应用系统提出要求以及规范，包括应用要求、应用指南、应用规范和密码服务四个子类。为在现有密码标准体系中支持抗量子密码算法，需要将抗量子密码算法与行业应用场景紧密结合，制定出更符合实际场景需求的抗量子密码应用类标准，部分标准如表 2-4 所示。表 2-4 应用类标准规划标准类型标准类型现有密码标准现有密码标准修改类型修改类型备注备注应用要求GM/T 0073 手机银行信息系统密码应用技术要求修订增加支持抗量子密码的应用技术要求应用指南GB/T 32922 信息安全技术IPSec VPN 安全接入基本要求与实施指南修订增加75、支持抗量子密码模块的应用指南应用规范GM/T 0055 电子文件密码应用技术规范修订增加支持抗量子密码的应用技术规范密码服务GM/T 0109 基于云计算的电子签名服务技术要求修订增加支持抗量子密码的服务技术要求密码检测类标准针对标准体系所确定的基础、产品和应用等类型的标准出台对应检测标准，如针对随机数、安全协议、密码产品功能和安全性等方面的检测规范。为在现有密码标准体系中支持抗量子密码算法，针对抗量子密码算法及相关密码产品，需要就现有的检测规范进行修订，部分标准如表 2-5 所示。表 2-5 检测类标准规划标准类型标准类型现有密码标准现有密码标准修改类型修改类型备注备注密码产品检测GM/T 76、0008 安全芯片密码检测准则GM/T 0039 密码模块安全检测要求GM/T 0059 服务器密码机检测规范修订新增支持抗量子密码的产品检测要求抗量子密码技术与应用白皮书342.3 抗量子密码产品研发抗量子密码产品研发当前，抗量子密码被各国视为塑造国际竞争新格局的重要组成部分，甚至被列入关键技术与新兴技术清单中。全球范围内加速抗量子密码领域的技术革新与政策响应，多国政府、国际组织积极应对量子计算可能带来的安全挑战，加快开展抗量子密码技术的应用部署。2.3.1 抗量子密码算法实现抗量子密码算法实现新一代抗量子密码产品体系通过支持安全的抗量子密码算法开展，对关键密码产品实施替换或者升级，最终实现77、从密码芯片到密码设备、从密码软件系统到密码基础设施的全方位抗量子密码产品化。1 抗量子密码算法优化及实现抗量子密码算法优化及实现在我国抗量子密码算法标准正式发布前，可选择安全性经过充分评估的抗量子密码算法，如 NIST 抗量子密码标准算法 ML-KEM（Kyber）、ML-DSA（Dilithium）及 SLH-DSA（SPHINCS+）以及即将发布的标准草案 FALCON 算法。其中 Kyber、Dilithium 都是基于格的密码算法，实现机制类似。格密码体制的核心计算是多项式乘法运算，快速数论变换（Number TheoreticTransform，NTT）可高效实现多项式运算，提高格密78、码方案的计算效率。NTT 的实现算法通常用蝶形结构的迭代算法代替 NTT 的递归版本，使用 Cooley-Tukey 蝶形算法作为正向变换，使用 Gentleman-Sande 蝶形算法作为逆向变换，避免位反转的预计算。根据目标 CPU 平台的不同，位反转的预计算可以提高计算速度。Kyber的密钥生成和封装解封装过程、Dilithium 的密钥生成和签名验签过程均有大量以NTT 加速的多项式乘法运算。使用 NTT 将多项式从一般域转换到频域，并将计算结果从频域准换回一般域完成多项式乘法的加速。为实现算法实现的优化，在基于低功耗处理器 ARM-M，通过改进 Barrett 约减过程需要的时钟周期79、、减少Montgomery 约减算法的周期、在采用低次多项式乘法时应用懒约减等方法实现了更高效的模约减、更优化的低次多项式乘法和更积极的层合并，实现了 Kyber 和Dilithium 算法的优化。基于哈希的抗量子数字签名算法 SPHINCS+密钥对短签名长，可灵活替换杂凑算法，当采用不同的杂凑算法实例化时，所表现出的性能不同，一些资源受限的平抗量子密码技术与应用白皮书35台无法容纳全部基于杂凑的签名，针对这种情况，可对 SPHINCS+应用流式签名技术，将签名分解为几个较大的部分并分别流式传输，在内存资源不足的情况下实现密钥生成、签名生成和签名验证。基于多核平台设计 SPHINCS 及其内部80、结构WOTS+和 HORST 的并行化版本，通过应用循环展开、内联函数或宏、统一数据表示、内联 PTX 汇编（仅 GPU 适用）、合并访问（仅 GPU 适用）及常量和共享内存(仅 GPU 适用)等优化技术，也能够实现 SPHINCS 的优化。FACLON 算法具有公钥长度和签名长度短、但算法设计复杂的特点，为实现FALCON 在内存资源受限的设备上运行，可通过快速傅里叶采样算法和生成FALCON 树的算法流程优化算法，一方面，将快速傅里叶采样算法改为非递归实现，另一方面，在调用 FALCON 树的叶子节点时实时生成值，并将中间值保存，最终实现 FALCON 需要 40kB RAM。基于 GPU81、 并行生成 FALCON 密钥树，利用奇偶线程联合控制的 SIMT 并行模式和无中间变量的直接计算模式，提高运算速度并减少资源占用，从而实现 FALCON 算法的优化。中国密码学会举办的全国密码算法设计竞赛公钥密码算法有三个抗量子密码算法获得一等奖，分别是基于格的公钥签名算法 Aigis-sig、基于格的公钥加密算法Aigis-enc、基于格的公钥加密算法 LAC.PKE 等。Aigis-enc 基于变种的 LWE 困难问题，Aigis-sig 基于一个变种的 SIS 困难问题和 LWE 困难问题，两个算法在经典随机预言机模型和随机预言机模型下可证明选择密文攻击安全，具有较短的公钥和密文长度，82、且密钥生成、密钥封装和解封装算法高效。LAC.PKE 的主要运算是多项式乘法，但它不支持 NTT，而是采用通用优化版本和基于 AVX2 的版本优化多项式乘法，并通过字节级模数减小密文和密钥的大小。2 基于抗量子密码算法的分布式协同签名协议基于抗量子密码算法的分布式协同签名协议分布式协同签名能够解决手机、平板等移动终端设备缺少密码硬件部件的现状。在量子时代下，通过设计基于抗量子密码算法的分布式协同签名协议，将用户私钥拆分成两个分量分别存储在移动终端和远程服务器，每个分量均不泄露私钥的任何信息，通过两方之间的安全协同计算实现用户签名。分布式协同签名基于公钥加密技术，允许多个签名者合作生成统一的数字83、签名。此类签名的核心在于私钥的安全管理，即私钥被分为多个部分，分别存储在不同的节点上，以确保私钥的安全性。在签名过程中，每个签名者使用自己持有的私钥部抗量子密码技术与应用白皮书36分对信息进行处理，然后通过协作生成最终的签名。具体签名过程如下：每个签名者生成自己的私钥部分，并计算出相应的公钥；通过协作，各签名者的部分私钥共同生成一个统一的签名；利用一个可信的协同签名服务器协调签名者之间的合作，服务器负责验证签名者的身份和签名的合法性；协同签名服务器将签名数据通过多方签名算法进行处理，将每个签名者的数字签名合并成一个统一的协同签名。3 抗量子密码算法与现有商密算法性能对比抗量子密码算法与现有商密84、算法性能对比为了促进抗量子密码算法在实际场景中的广泛应用，本白皮书基于测试平台Intel(R)Core(TM)i9-10920X CPU 3.50GHz 12核 24线程，针对抗量子密码算法、RSA1024-2048 与 SM2 进行性能对比。表 2-6 就 Kyber、Aigis-enc、LAC.PKE 与SM2 算法在公私钥长度、报文长度等维度进行对比。表 2-6 加密算法公私钥及报文长度对比（Bytes）Kyber-512公钥800私钥1632报文(密文+分享的密钥)768+32=800Kyber768公钥1184私钥2400报文(密文+分享的密钥)1088+32=1120Kyber-185、024公钥1568私钥3168报文(密文+分享的密钥)1568+32=1600Aigis-enc-param1公钥672私钥928报文（密文+分享的密钥）672+32=704Aigis-enc-param2公钥896私钥1152报文（密文+分享的密钥）992+32=1024Aigis-enc-param3公钥1472抗量子密码技术与应用白皮书37私钥1984报文（密文+分享的密钥）1536+64=1600LAC-128公钥544私钥512+544=1056报文（密文+分享的密钥）704+16=720LAC-192公钥1056私钥1024+1056=2080报文（密文+分享的密钥）1352+3286、=1384LAC-256公钥1056私钥1024+1056=2080报文（密文+分享的密钥）1448+32=1480SM2公钥64私钥32报文(密文)消息字节长度+96如表 2-7 所示，对 Dilithium、Aigis-sig、SM2、RSA 签名算法在公私钥长度、报文长度开展对比。注意 RSA 的 e 固定为 65537。表 2-7 签名算法公私钥及报文长度对比（Bytes）Dilithium-2公钥1312私钥2528报文(签名)2420Dilithium-3公钥1952私钥4000报文(签名)3293Dilithium-5公钥2592私钥4864报文(签名)4595Aigis-sig87、-param1公钥1056私钥2448抗量子密码技术与应用白皮书38报文(签名)1852Aigis-sig-param2公钥1312私钥3376报文(签名)2445Aigis-sig-param3公钥1568私钥3888报文(签名)3046SM2公钥64私钥32报文(签名)64RSA-1024公钥(n)128私钥(d)128报文(签名)128RSA-2048公钥(n)256私钥(d)256报文(签名)256针对 Kyber、SM2、Aigis-enc、LAC.PKE 密钥封装算法在密钥生成、加密、解密阶段的性能进行对比，如表 2-8、表 2-9 所示。表 2-8 密钥封装算法性能（TPS）阶段88、Kyber-512Kyber-768Kyber-1024SM2密钥生成11878409203397472071288476加密1138045799078616176124299解密17325001132379835822113197表 2-9 国内抗量子密钥封装算法性能阶段Aigis-enc-param1Aigis-enc-param2Aigis-enc-param3LAC-128LAC-192LAC-256密钥生成7629936140155087931077443816492596690加密669076518569414510693127476297323806解密731350571427489、21283492040329210194968抗量子密码技术与应用白皮书39注：算法性能在 Intel(R)Core(TM)i9-10920X CPU 3.50GHz 12 核 24 线程环境中测试获得。针对 Dilithium、SM2、RSA、Aigis-sig 签名算法在密钥生成、签名、验签阶段的性能进行对比，如表 2-10、表 2-11 所示。表 2-10 签名算法性能（TPS）阶段Dilithium-2Dilithium-3Dilithium-5SM2RSA-1024RSA-2048密钥生成48475329302818758710906845949828861签名1730041097790、692744816228107511682验签490627305365194843313769670469201618表 2-11 国内抗量子签名算法性能（TPS）阶段Aigis-sig-param1Aigis-sig-param2Aigis-sig-param3密钥生成399476257328162919签名15479714624871575验签4401542851221880852.3.2 抗量子密码产品体系抗量子密码产品体系抗量子系列密码产品体系如图 2-8 所示，包括抗量子密码芯片、抗量子密码卡、抗量子密码机、抗量子安全网关、抗量子 UKEY、抗量子 IC 卡、抗量子密钥管理系统、抗量91、子数字证书认证系统等。图 2-8 抗量子密码产品抗量子密码技术与应用白皮书40密码安全芯片是用于处理和存储敏感信息，并提供高级安全功能的集成电路芯片。它集成了我国商用密码标准算法中的对称密码算法、非对称密码算法与杂凑算法，同时支持国际通用的密码算法。现有密码安全芯片所支持的密码算法无法抵抗量子攻击，存在较大的潜在风险。因此抗量子密码安全芯片的研发应满足以下几点。抗量子安全性抗量子安全性：抗量子密码芯片同时支持能够抵抗量子计算攻击的密码算法和现有商密算法，确保抵抗现代计算机的攻击和抵御未来可能出现的量子计算攻击，具有更长期的安全性保障。性能与效率性能与效率：抗量子密码芯片在提供强大的安全性的同时92、，还要兼顾在实际应用中的性能和效率，确保其可以在各种硬件平台上高效运行。兼容性兼容性：能够与现有的安全基础设施和网络通信协议兼容，以便于在不影响现有系统结构的情况下进行部署和升级。标准与认证标准与认证：抗量子密码芯片需要符合国际标准和密码学的最新研究成果，确保产品的安全性和可信度得到公认和认证。可部署性与集成性可部署性与集成性：易于集成到现有的硬件和软件平台中，能够满足不同行业和应用场景的需求，如云计算、物联网和金融等领域的安全需求。密码卡作为基础密码设备，适用于各类密码安全应用系统，可提供高速的、多任务并行处理的密码运算，满足应用系统数据的数字签名和数据加密的要求，同时提供安全、完善的密钥管93、理机制。密码机是一种专门设计用来进行加密和解密操作的设备或系统，支持加解密、密钥管理安全协议及标准等。密码软件系统集成密码学功能和安全控制机制，用于保护数据的安全性，确保数据在传输和存储过程中不被未经授权的访问者读取、篡改或破坏。现有绝大多数产品仅支持传统密码算法，存在被量子计算攻击的潜在风险。抗量子密码卡、抗量子密码机、抗量子密码系统作为可直接面向最终用户业务系统的产品，应具备以下特性：支持抗量子密码算法：使用抗量子计算攻击的密码算法，如基于格密码学、哈希函数、代码签名或超奇异同态加密等方案。这些算法能够在量子计算机环境下提供足够的安全性保障。密钥管理：为了确保系统安全，利用现有国密算法和抗94、量子密码算法实现密钥管理，包括生成、分发、存储和更新密钥，确保密钥在传输和使用过程中不易被破解。抗量子密码技术与应用白皮书41 密码运算功能：提供对数据进行加密和解密的功能，通过支持现有商密算法和抗量子密码算法来保护数据的机密性，提供数字签名功能，支持现有商密算法和抗量子签名算法来验证数据的完整性。安全协议和通信：采用现有商密算法和抗量子密码算法，设计和实施可支持抗量子密码的安全协议，保证系统中数据的传输过程中不易被窃听或篡改。性能和效率：考虑到实际应用中的性能需求，抗量子密码产品应在提供高安全性的同时，尽可能保持高效率和低延迟。可扩展性和兼容性：支持平滑迁移，能够与现有的软件和硬件系统兼容，95、并具备足够的扩展性，以应对未来的业务增长和技术进步。抗量子密码技术与应用白皮书423 行动篇行动篇“知行合一知行合一。”-传习录传习录卷上卷上抗量子密码技术与应用白皮书43“为者常成，行者常至。为者常成，行者常至。”-晏子春秋晏子春秋内篇内篇杂下杂下量子计算的推陈出新致使其发展进程体现出极大的不确定性。我们无法准确预知密码分析相关的量子计算机何时可用，但可以肯定的是，现有依存于如 RSA、ECC 等经典密码的产品、协议和服务均可能处于风险之下。目前需要思考的课题是：当那一天来临时，我们如何做到临危不乱、从容应对？执行抗量子密码迁移的工作目标，即是将基于传统的密码安全体系，有序、平稳、分阶段、按96、计划过渡到量子安全密码体系。3.1 抗量子密码迁移面临的挑战抗量子密码迁移面临的挑战抗量子密码迁移是一项复杂的系统工程。组织在策划抗量子密码迁移的活动时，不可避免地会引发对诸多问题的思考：组织人员是否熟悉抗量子密码相关技术与标准化进展？组织内哪些系统需要迁移？如何平稳有序迁移？迁移效果如何评价？迁移路线是否符合政策要求、具有技术可行性、有标准规范可遵循、无专利风险？是否协同供应链一同完成迁移准备？产品成熟度如何、是否满足功能、性能、安全、可靠性、互操作要求？从项目管理角度看，组织抗量子密码迁移也受到成本预算与投入资源的约束，亦应符合组织的管理文化与内部控制要求。行业规划抗量子密码迁移活动是更为97、复杂的社会工程，其影响更为深广，需要国家政策、产业链各方的协同。抗量子密码迁移面临的挑战主要体现在：信息系统抗量子密码迁移涉及到多个层面的产品与服务。组织可能不了解公钥密码技术的应用范围和功能依赖性。信息系统的密码设计可能不具备敏捷性。向抗量子密码过渡进程中，需考虑组织内部及组织间的互操作性。3.1.1 抗量子密码迁移时不我待抗量子密码迁移时不我待量子计算加剧网络基础设施安全风险。量子计算将从根本上改变现有网络安全威胁模型，并对网络基础设施安全保护带来极大挑战。其一，“追溯解密”型如 SNDL抗量子密码技术与应用白皮书44（Store Now and Decrypt Later）攻击意味着一旦98、大型量子计算机可用，恶意行为者将可解密此前截获的所有加密数据或通信。为此，若加密数据保密期超过 10 年且攻击者可获取密文，应立即采取行动保护数据安全。推出新的密码系统需花费大量时间和精力。若在攻击者可获取密码分析相关量子计算机（CryptanalyticallyRelevant Quantum Computer,CRQC）时，信息系统的重要数据均面临直接威胁。其二，随着量子计算的高速发展，在多项式时间内解决经典密码学依赖的传统困难性问题有望成为可能。有研究乐观认为，256 比特的椭圆曲线算法可以在 9 小时内使用 126133 薛定谔猫(态)量子比特位的量子计算机完成破解；2048 位 RS99、A 可以通过13436 量子比特位的量子计算机在 177 天内完成破解。在“足够规模且容错性高”（Large and Fault-tolerant，LFT）量子计算机研发出来之前，推动抗量子密码转型有其现实必要性与紧迫性。从目前态势观察，对量子计算技术主权的争夺日益激烈。美国、欧盟、德国、加拿大、澳大利亚、日本、韩国等均将量子技术发展作为重要战略任务，多个国家与供应链参与者均对量子计算机进行大规模投资研发。该领域研发进展并非全盘公开可见，世界首台功能齐全的大型量子计算机很可能不会公开宣发，实际进展可能远远领先于公开媒体报道。因此，政策制定者和系统所有者应立即着手准备。2024年 8 月，美国国100、家标准与技术研究院（NIST）正式发布三项抗量子密码算法标准ML-KEM（FIPS 203）、ML-DSA（FIPS 204）及 SLH-DSA（FIPS 205），规划抗量子密码迁移活动时不我待。3.1.2 密码体制变革导致工程复杂密码体制变革导致工程复杂从密码学的发展历程看，经历了从 DES 到 3DES 和 AES、SHA-1 到 SHA-256、RSA-1024 到 RSA-2048 和 ECDSA 的变化，进而驱动产业升级工程的规划与实施。随着 SM2、SM3、SM4 等商用密码算法的推出，国内信息系统也启动并逐步完成了向 SM 系列密码算法迁移的工程。部署当前的公钥密码基础设施花费101、了 10 余年时间，从 SM 系列密码算法出台到规模化应用，也经过了 10 年历程。因密码技术的广泛应用，任何一次密码体制的变革，均对产业工程实践产生重大的影响。抗量子密码迁移则更具长期性与复杂性。抗量子密码迁移的首要挑战在于技术复杂性。量子计算的潜在威胁迫使密码学领域从传统的基于数学难题（如大数分解和离散对数问题）的密码体制向能够抵抗抗量子密码技术与应用白皮书45量子计算攻击的量子安全密码体制转变。这一转变不仅仅是替换算法，还涉及到密码协议、密码方案、密码组件及密码基础设施的全面升级。抗量子密码算法的研究仍处于活跃阶段，尽管 Kyber、Dilithium、SPHINCS+等，于 2024 102、年 8 月被 NIST 正式标准化，后续可能出台新的算法标准；我国抗量子密码算法正在标准化进程中。算法的选择和标准化过程需要广泛的测试与验证，以确保其安全性和实用性。抗量子密码迁移要求升级现有的公钥基础设施，包括证书颁发机构（CA）、密钥管理系统等。这些基础设施的升级不仅涉及硬件设备的更换，还包括软件系统的改造和测试，以确保新旧系统的兼容性和平稳过渡。升级过程的复杂性提高了执行难度及工程周期。抗量子密码迁移还涉及对现有通信协议和应用系统的修改。由于抗量子密码算法在密钥大小、计算效率等方面与传统算法存在显著差异，现有的协议和应用可能需要重新设计或修改，以确保与抗量子密码算法的适配性。综上所述，抗103、量子密码迁移是一项极具技术复杂性与工程难度的任务，需要考虑基础设施与协议升级、实施与部署及安全与合规性等问题，并面临政策、标准、产业和用户教育等多方面的挑战。3.1.3 组织对密码依赖性了解不深组织对密码依赖性了解不深规划抗量子密码迁移的第一步是确定当前公钥密码所处位置及使用目的。组织考虑将其信息系统向抗量子密码迁移，首先需要明确使用密码技术保护的哪些系统需要考虑迁移、如何确定迁移优先级。由于缺乏对密码依赖性的全面了解，组织难以确定在何处及出于何种目的使用了量子脆弱性（Quantum-vulnerable）的密码功能与服务，从而导致缺乏全局可见性。（1）组织对信息系统密码依赖性的认知不足。公钥104、密码已经深入集成到计算机和通信硬件、操作系统、应用程序、数据库、通信协议、关键信息基础设施和访问控制机制中。然而，很多组织并不清楚这些组件中哪些嵌入了密码技术，以及如何在各种情况下使用这些密码技术。这种认知不足导致在规划抗量子密码迁移时，组织难以全面识别需要替换的密码算法和组件，也无法确定迁移的优先级。（2）公钥密码应用的广度和范围未知。公钥密码在信息技术和操作技术系统中有着广泛的应用，但许多系统并没有关于这些密码术在哪里使用的详细清单。这抗量子密码技术与应用白皮书46使得组织难以确定抗量子算法需要在何处以及以何种优先级取代当前的公钥系统。公钥密码通常作为系统的一部分被嵌入，而不是作为一个独立105、的、易于识别的组件，这增加了识别的难度。由于缺乏全面的密码使用情况清单，组织可能无法准确评估迁移的复杂性和成本。（3）信息系统密码使用缺乏文档说明。许多系统和组件的供应商没有提供足够的文档或工具来帮助用户理解密码技术的使用情况。组织可能不清楚其产品和服务的哪些部分依赖于公钥密码，或者这些密码技术是如何被集成和使用的。供应链中的不透明性，可能导致组织无法准确评估其对公钥密码技术的依赖程度，以及在量子攻击面前的脆弱性。与关键合作伙伴的依赖关系需要在迁移过程中进行跨组织的协调和沟通。因此，组织需要开发有效的工具发现和清点现有基础设施与信息系统中的公钥密码使用状况，确定迁移的紧迫性、合理资源分配，以便106、更好地规划和执行向抗量子密码的迁移。3.1.4 密码应用设计缺乏敏捷性密码应用设计缺乏敏捷性抗量子密码迁移不仅仅是替换密码算法，还包括将密码组件、密码协议、密码方案、密码基础设施等更新为量子安全的密码实现。密码功能与服务敏捷性（Cryptographic Agility,Crypto-Agility）是一种设计特征，使得未来在密码算法和标准更新时，无需修改或替换相关的基础设施，从而可使信息系统从当前密码体制平滑迁移到新的密码体制。密码功能与服务敏捷性是指信息系统在面对新的安全威胁、技术变革或法规要求时，能够迅速、灵活地调整其密码算法、协议和密钥管理策略的能力，这种能力确保了信息系统能够适应不断107、变化的安全环境，并保持其安全性。密码分析相关量子计算机（CRQC）使现有的经典密码算法变得不再安全，信息系统需要具备快速迁移到量子安全密码算法的能力，新的量子安全密码算法也在不断改进与推出。在量子计算时代，密码功能与服务敏捷性变得尤为重要。目前，许多经典密码应用在设计时并未充分考虑密码功能与服务敏捷性。这些应用往往使用固定的密码算法和协议，且这些算法和协议被固化集成到系统中，难以更改或升级。此外，一些应用系统在集成密码功能与服务时，也未采用模块化的设计方法，导致在需要替换密码算法时，需要对整个系统进行大规模的修改。抗量子密码技术与应用白皮书47缺乏密码功能与服务敏捷性的具体表现为：（1）密码算108、法实现固化、不灵活。许多经典密码应用在设计时将密码算法被固化集成到系统中，这意味着一旦密码算法被破解或不再安全，整个系统需要重新设计和部署，这是一项耗时且成本高昂的工作。（2）密码协议和组件升级困难。许多经典密码应用还依赖于特定的密码协议和组件。这些协议和组件在设计时往往没有考虑到未来的升级需求，导致在需要迁移到新的密码算法时，整个系统架构需要进行大规模调整。（3）密码模块化设计程度低。系统可能没有采用模块化设计，导致密码功能的集成和替换不是独立的，而是与系统的其他部分紧密耦合。缺乏密码功能与服务敏捷性，导致抗量子密码迁移活动面临诸多困难。由于经典密码应用往往使用固定的密码算法，且这些算法被深109、度集成到系统中，因此替换为量子安全密码算法需要进行大量的代码修改和测试工作。缺乏密码功能与服务敏捷性可能导致抗量子密码迁移的成本显著增加，因为需要对现有系统进行大规模的重构或重新设计；系统升级和迁移可能需要更长的时间来完成；在迁移过程中，新旧算法之间的兼容性问题可能导致系统中断或数据丢失。（1）系统架构的限制。一些信息系统的架构并不支持灵活的密码算法替换。如一些系统可能使用特定的硬件安全模块（HSM）来执行密码算法，在迁移过程中可能需要更换硬件或重新设计系统架构。（2）高昂的迁移成本。由于系统设计的限制，从经典密码系统迁移到量子安全密码系统需要大量的时间和资源。高昂的迁移成本可能使得一些组织在110、面临量子计算威胁时犹豫不决，甚至选择忽视这一威胁。（3）业务连续性影响。系统迁移过程中的中断可能影响业务连续性，对组织的运营和声誉造成负面影响。为了克服这些挑战，组织需要采取积极的措施，包括重新评估现有系统的密码体系设计，采用更加灵活和模块化的架构，以确保其信息系统能够适应未来的技术变革和安全需求。3.1.5 互操作性与依存性影响迁移进程互操作性与依存性影响迁移进程互操作性（Interoperability）指的是不同系统或组件之间能够相互通信和协作的能力，组件间依存性（Component Dependency）指的是系统中各个部分之间的依抗量子密码技术与应用白皮书48赖关系。互操作性和组件间111、依存性共同作用于密码系统的设计和实施中，它们确保系统的各个部分能够协同工作。互操作性和组件间依存性影响抗量子密码迁移进程。首先，缺乏标准化的密码接口和协议可能导致不同组件之间的互操作性差。在迁移过程中，需要确保所有组件都能够支持新的密码算法，并保持彼此之间的通信和互操作。这意味着需要大量的协调和测试工作；其次，组件间的依存性也可能导致迁移过程的复杂性增加。由于系统中的各个组件是相互依赖的，因此在替换密码算法时，可能需要同时更新相关的协议、方案和基础设施。这种全面的升级需要较长时间才能完成。为了确保所有组件都能够支持新的密码算法并保持互操作，同样需要进行大量的协调和测试工作，增加了迁移的复杂性。112、互操作性与组件间依存关系增加了抗量子密码迁移过程中的难度和复杂性，并可能导致业务延迟、中断或其他安全风险。因此，在规划和实施迁移过程时，需要充分考虑这些因素，并制定合理有效的策略和措施来应对这些挑战，最小化对业务运营的影响。可行策略包括：全面评估。在决定替换算法之前，需要对依赖于被替换算法的系统、应用程序、协议以及其他基础设施进行全面的评估。开发迁移剧本（Playbook）。制定一个详细的迁移剧本，需考虑所有相关因素，包括算法特性、系统组件、依赖关系和潜在的风险，并发现和记录依赖于被替换算法的基础设施、系统、应用程序、协议等。增强密码功能与服务敏捷性。通过设计改进和架构调整，增强信息系统的密码113、功能与服务敏捷性，使其能够更容易地适应新的加密原语和算法，尽量避免因算法标准变化而对系统进行重大更改。3.2 抗量子密码迁移策略与路径抗量子密码迁移策略与路径3.2.1 制定量子制定量子安全安全战略与行动纲要战略与行动纲要3.2.1.1 国外国外抗量子密码抗量子密码的政策导向的政策导向各国或组织高度重视量子科技的重要意义，并制定国家层面的量子技术战略或行动计划，以促进在量子技术的领导力，并加强抗量子密码的研究和部署。抗量子密码技术与应用白皮书49（1）美国国家安全战略与国家安全备忘录2023 年 3 月美国发布 国家安全战略（National Cybersecurity Strategy）,其114、“战略目标 4.2”明确研发投资将集中在微电子、量子信息系统和人工智能三个领域；“战略目标 4.3：为美国未来的抗量子做准备”提出：量子计算有可能打破目前使用的一些最普遍的加密标准。必须优先考虑并加快投资，广泛更换容易被量子计算机破坏的硬件、软件和服务，从而保护信息免受未来的攻击。2022 年 8 月国家安全备忘录（促进美国在量子计算方面的领导地位，同时降低易受攻击的密码系统的风险）建立了一个将国家密码系统及时过渡到可互操作的抗量子密码系统的过程。联邦政府将优先考虑将脆弱的公共网络和系统过渡到抗量子密码的环境，并制定补充缓解策略，以在面对未知的未来风险时提供加密的灵活性。私营部门应遵循政府的模115、式，为未来的量子时代做好网络和系统的准备。（2）英国国家量子战略2023 年 3 月，英国科技、创新与技术部发布 国家量子战略（National QuantumStrategy）。提出了“到 2033 年，英国将成为世界先进的量子经济体”的目标。在“2.2.4.3 减轻与量子相关的风险”中指出：量子计算将威胁到现有公钥密码学安全，对未来国家网络安全构成风险。国家网络安全中心发布关于向量子安全密码学过渡的指南，对关键信息和服务采取了应对措施，并与国际合作伙伴合作，确保英国向量子安全密码学过渡的计划和指南保持一致。各种管理加密基础设施的组织都应将量子安全过渡纳入其长期计划，并确定过渡高优先级系统。116、（3）德国量子技术行动计划2023 年 4 月，德国联邦政府通过量子技术行动计划，该行动计划作为联邦政府 2023-2026 年量子技术活动的新战略框架，目的是使德国成为量子技术的世界领导者。该计划要求联邦政府将通过抗量子密码和量子保密通信，确保政府行政部门、安全机构和国防的数据安全。为此将推动德国向抗量子密码迁移；推进抗量子密码系统研发，将抗量子密码集成到安全解决方案中；促进量子密钥分发作为抗量子密码和量子通信的补充技术，并通过标准确化保障质量；制定抗量子密码迁移的战略；规划高安全领域向抗量子密码的迁移。（4）法国量子技术国家战略2021 年 1 月，法国发布量子技术国家战略，以掌握如量子加117、速器、量子抗量子密码技术与应用白皮书50模拟器、量子计算机、量子计算软件、量子传感器、量子通信、抗量子密码等关键量子技术，并规划向抗量子密码过渡期间抗量子算法和当前机制共存的思路。在创新生态建设方面强调技能培训和人才培养，开展不同级别的培训，在工程学院设置量子物理学、量子算法和工程学相结合的跨学科课程，在技术学院培养量子技术人员。（5）加拿大国家量子战略2023 年 1 月，加拿大宣布启动国家量子战略，扩大其在量子研究方面的现有全球领先地位，推动量子技术发展。该战略立足于量子计算软硬件、量子通信、量子传感器，使加拿大具备国家安全量子通信网络和抗量子密码能力。要通过国家安全量子通信网络和抗量子密118、码计划，努力确保现有和未来系统在遭受威胁前得到保护，鼓励部署抗量子密码技术，致力发展可保护高度敏感信息的国家量子通信网络。（6）澳大利亚国家量子战略2023 年 5 月，澳大利亚工业、科学和资源部发布国家量子战略，旨在使澳大利亚在 2030 年成为全球量子产业的领导者，提高国家的经济竞争力。提出了5 个关键主题和相应战略行动，包括高素质劳动力队伍建设、标准和框架、量子生态建设等。该战略指出，量子技术会影响国家安全，包括网络安全。应营造值得信赖、合乎伦理道德、具有包容性的量子生态系统。（7）日本量子未来社会愿景2022 年 4 月，日本发布量子未来社会愿景，以加快量子技术在日本的发展。该战略提出119、在量子计算机、量子软件、量子安全网络、量子测量和传感以及量子材料等技术领域进行研究和产业开发。量子安全和量子网络方面，强调建设量子密码学通信测试平台和使用示范，开发如抗量子密码等量子和经典技术相结合的安全技术。（8）韩国量子科学技术战略2023 年 6 月，韩国发布韩国量子科学技术战略，作为国家量子科技中长期发展愿景与综合发展战略，提出了到 2035 年成为全球量子经济中心的目标。在促进国防和安全一体化方面，该战略指出：为应对现有密码系统因量子计算机的发展而崩溃的情况，韩国需要启动向下一代密码系统过渡的计划，并开发韩国的抗量子密码算法。抗量子密码技术与应用白皮书51（9）欧盟委员会抗量子密码迁120、移的协同实施路线图建议2024 年 4 月，欧盟委员会发布抗量子密码迁移的协同实施路线图建议（Recommendation on a Coordinated Implementation Roadmap for the Transition toPost-quantum Cryptography），鼓励成员国制定统一战略，确保向抗量子密码的协调和同步迁移，包括明确的目标、关键里程碑和时间表，以实现保护数字及其他关键信息基础设施的目的。该建议要求成立专门机构，推动向抗量子密码的迁移。抗量子密码分组应考虑采取适当、有效和适度的措施制定“抗量子密码迁移的协同实施路线图”，为产业制定迁移计划提供指导依121、据，也确保跨行业的互操作性。为有效向抗量子密码迁移，路线图应提供需要采取的行动清单，包括对抗量子密码算法的考虑，为不同阶段要达到的里程碑制定时间表，同时考虑各阶段的相互依存关系及参与的利益相关方。3.2.1.2 我国抗量子密码发展的战略思考我国抗量子密码发展的战略思考2020 年 10 月 16 日，中共中央政治局就量子科技研究和应用前景举行第二十四次集体学习。中共中央总书记习近平在主持学习时强调，要充分认识推动量子科技发展的重要性和紧迫性，加强量子科技发展战略谋划和系统布局，把握大趋势，下好先手棋。2021 年 3 月国家发布 国民经济和社会发展第十四个五年规划和 2035 年远景目标纲要，122、在“第四章 强化国家战略科技力量”、“第九章 发展壮大战略性新兴产业”中指出，要在量子信息等前沿科技和产业变革领域，谋划布局一批未来产业；在“第十五章 打造数字经济新优势”中提出，要加快布局量子计算、量子通信等前沿技术。量子科技发展具有重大科学意义和战略价值，是一项对传统技术体系产生冲击、进行重构的重大颠覆性技术创新，量子计算必将引发新一轮技术变革和激烈竞争。积极研发抗量子密码和敏捷部署技术，主动应对量子计算安全威胁，具有重要的现实意义。聚焦量子保密通信和抗量子密码等前沿技术，制定国家量子安全战略与行动纲要，有助于推动科技创新，协调资源，加快发展量子安全技术，对保障国家数字经济安全具有非常重要123、的作用。通过国家行动计划，抢占国际竞争制高点，构筑发展抗量子密码技术与应用白皮书52新优势，有利于提升推动经济社会的安全运行，提升国家在全球科技竞争中的地位。应通过国家量子安全战略及顶层设计，通过财力支持、人才赋能、统筹协调、产业联动等多方位支撑国家抗量子密码迁移的进程。制定国家量子安全战略或行动纲要的意义在于：应对量子计算的威胁。量子计算的出现对传统密码体系构成了前所未有的威胁，制定国家量子技术战略是应对这一安全挑战、保障国家信息安全的关键举措。细化实施路径。国家量子安全战略或行动纲要明确发展方向和重点任务，为量子保密通信与抗量子密码的发展，提供了宏观指导和行动路径措施，明确了各项任务的时间124、表、路线图和责任主体，确保战略目标的顺利实现。促进产学研用融合。量子安全技术需要产学研用各方的紧密合作和协同创新。制定行动纲要可以促进各方之间的交流和合作，推动科技成果的转化应用。加强资源配置。量子安全技术研究需要大量的资金投入和资源配置。制定行动纲要可以明确资源配置的方向和重点，优化资源配置结构，提高资金使用效率，确保抗量子密码领域的持续投入和稳定发展。通过设立专项基金、建设重点实验室等措施，为抗量子密码研究提供充足的资金和资源保障。促进抗量子密码技术体系建设。制定国家量子安全战略或行动纲要，将推动我国抗量子密码标准化进程，加强与国际标准组织的合作和交流，提升我国在抗量子密码领域的国际影响力125、和话语权。通过制定统一的技术标准和规范，推动抗量子密码技术在不同领域和场景下的广泛应用和互操作。同时，加强抗量子密码技术的安全性和可靠性评估工作，确保其在实际应用中的稳定性和可靠性。制定国家量子安全战略或行动纲要，将促进我国抗量子密码的理论研究、技术突破及应用创新，为向抗量子密码的迁移奠定良好的技术支撑与生态环境。3.2.2 抗量子密码迁移目标与策略抗量子密码迁移目标与策略3.2.2.1 迁移目标迁移目标抗量子密码技术与应用白皮书53抗量子密码迁移工作，即将基于传统的密码安全体系过渡到量子安全密码标准体系。抗量子密码迁移旨在确保现有密码安全体系能够有效抵御未来量子计算攻击，通过有序、平稳、分阶126、段、按计划的过渡，将传统密码标准体系逐步升级为量子安全密码标准体系，以保障关键信息基础设施与重要领域信息系统的长期安全。3.2.2.2 迁移策略迁移策略2021 年 5 月，欧盟网络安全局（ENISA）发布抗量子密码：当前状态和量子 风 险 缓 释 报 告（Post-quantum Cryptography:Current State and QuantumMitigation）。该报告提出了通过“欧盟量子旗舰计划”和欧盟网络安全战略进行战略部署、参与国际抗量子密码算法标准化、立法支持、过渡期间采用结合经典密码方案和抗量子密码的混合实现方案等应对策略。2022 年 10 月，欧盟网络安全局（E127、NISA）发布抗量子密码整合研究（Post-quantum Cryptography-IntegrationStudy）报告，作为 2021 年 5 月抗量子密码：现状与量子迁移的后续研究。报告阐述了如何将抗量子密码集成到如 TLS、IPsec 等安全协议中、及围绕抗量子密码设计新协议的可能性。2024 年 8 月，NIST 正式发布三项抗量子密码算法标准 ML-KEM（FIPS 203）、ML-DSA（FIPS 204）及 SLH-DSA（FIPS 205）。考虑抗量子密码国际标准化进展，结合我国抗量子密码研究及产业需求现状，我们提出如下抗量子密码迁移策略：（1）优先级策略组织向抗量子迁移，128、需要明确使用了易受量子计算攻击的密码技术的信息资产清单，根据信息资产的重要程度及资产间依存关系，确定迁移顺序；与供应链协调，制定抗量子密码迁移计划，并逐个制定并试点实施具体迁移方案。同时，通过测试与监控，评价迁移效果以改进迁移方案。优先级策略是抗量子密码迁移的关键。由于不同系统和资产面临的量子计算威胁程度各异，迁移工作应首先关注高价值、高风险的目标。通过风险评估，识别出最易受量子计算攻击的密码算法和资产，评估迁移技术可行性及影响，优先进行迁移。迁移次序安排也应考虑业务连续性和系统复杂度，迁移工程实施应确保关键服务在迁移过程中不受影响。（2）密码功能与服务敏捷性设计策略抗量子密码技术与应用白皮书129、54密码功能与服务敏捷性策略强调密码系统变更的灵活性。虽然 NIST 首批抗量子密码算法标准已发布，但后续还会出台新的算法标准，我国抗量子密码算法尚处于标准化过程中。在迁移过程中，不仅要替换密码算法，还涉及密码协议、密码方案、密码组件及基础设施的更新机制，需设计可配置的密码技术架构，便于未来算法升级和替换。同时，制定密码系统的更新计划，确保在量子计算威胁出现时，能够迅速响应并调整安全策略。组织应计划密码功能与服务敏捷性，特别是在密码接口设计与密钥管理设计上，采用抽象化与参数配置化的方法，以尽量减少后续集成新的抗量子密码算法导致的应用层面的重大变化。类似于“自适应安全（Self-adaptive130、 Security）”的概念，密码功能与服务敏捷性设计的理想境界应达到“自适应密码应用（Self-adaptive Cryptography Application）”的效果，并成为自适应安全体系的重要支撑。（3）量子脆弱性密码技术发现与评估策略量子脆弱性密码技术发现（Quantum-vulnerable Cryptography Discovery）与评估策略是有序实施迁移工作的重要前提。通过全面的系统扫描和风险评估，发现现有密码算法及密码应用中的脆弱点，评估其在量子计算下的潜在威胁。这需要对不同场景下的密码算法及密码应用进行深入分析。基于评估结果，确定迁移优先级，首先考虑高风险信息资产，确131、保迁移工作的有效性和针对性。（4）现在着手行动与混合过渡策略现在着手行动与混合过渡策略强调迁移工作的前瞻性和渐进性。面对量子计算的潜在威胁，不应等待所有量子安全密码标准及密码协议完全出台后再行动。应从现在就开始准备，梳理密码资产清单，制定迁移计划，并加强与技术供应商的合作。在迁移过程中，因行业政策导向与合规性监管、迁移实践指南、算法与技术规范的标准化进程、供应链成熟度等不可能在同一时间节点就绪，一步到位的思路可能置组织的重要资产于量子计算威胁之下。采用混合过渡方案，能保障当前系统的安全性，又能为未来量子安全奠定基础。同时，通过持续监控和测试，评估迁移效果，不断优化迁移方案，确保迁移工作的顺利进132、行。现在着手行动的意义在于：不会因为“足够规模且容错性高”（LFT）的密码分析相关量子计算机（CRQC）的突然出现而手足无措，使组织陷入困顿的境地；采取混合过渡而不是一步到位方案的意义在于：在量子威胁成为现实之前，可在现有抗量子密码技术与应用白皮书55实际环境中测试抗量子密码的应用，在密码功能上提供与传统应用程序的后向兼容性，继续遵守现有的加密要求或认证，同时抵御量子攻击。此外，因迁移工程的复杂性，涉及到多个同类待迁移节点或多个待迁移关联系统时，同时完成迁移工作具有较大的实施难度。（5）长期规划与分阶段实施抗量子密码迁移是一个长期且复杂的工程，需要制定详细的实施计划和时间表。升级过程可能遇到各133、种未知问题，要求实施计划需要具有一定的灵活性和可调整性。从工程角度看，制定一种分阶段过渡到量子安全密码是科学的方法。从试点项目开始，逐步将部署扩展到关键系统和应用程序；从关键信息基础设施和高风险系统开始，分阶段逐步扩展到其他系统和领域。通过这些迁移策略，组织可在量子计算时代，维护其信息系统的安全性和可靠性，同时减少迁移过程中的风险和影响。3.2.3 现在着手行动现在着手行动产业界研究表明，抗量子密码迁移的紧迫性要求“现在着手行动”。2022 年 5月，自然 期刊上发表了一篇综述 推动组织过渡到抗量子密码。文章就 SNDL攻击与 RSA 和 ECC 被破解等威胁、组织在向抗量子密码过渡时需要采取134、的行动、抗量子密码标准化进程等进行了分析，强调了时间规划的重要性，指出组织必须在RSA 和 ECC 被有效攻击前完成过渡计划。各国监管政策也要求政府信息系统“现在着手行动”。以美国为例：2022 年 5 月，美国在国家安全备忘录（促进美国在量子计算方面的领导地位，同时降低易受攻击的密码系统的风险）指出，应尽快开始过渡的准备工作。为了平衡量子计算的推广和进步与数字系统所面临的威胁，该备忘录建立了一个将国家密码系统及时过渡到抗量子密码系统的时间路线图。2022 年 8 月，美国网络安全和基础设施安全局（CISA）发布 关键信息基础设施向抗量子密码迁移的新见解，对美国 55 类关键信息基础设施向抗量135、子密码迁移的紧迫性进行了分析。2022 年 9月，美国国家安全局（NSA）发布商业性国家安全算法组件 2.0（CNSA2.0），建议联邦机构加快部署使用抗量子密码 Kyber 和 Dilithium。2022 年 12 月，美国总统签署了量子计算网络安全防范法，要求加快梳理联邦机构中易受量子计算攻击的 IT 系统，并向抗量子密码迁移。2023 年 8 月，CISA、NSA 和 NIST 联合发布抗量子密码技术与应用白皮书56量子准备：向抗量子密码的迁移。该文件强调早期规划、与供应商合作的重要性，鼓励各组织为未来迁移到采用抗量子加密标准的产品做好积极准备，开发量子准备就绪路线图，在组织内积极实施136、审慎的风险管理措施，以降低密码分析相关量子计算机（CRQC）带来的风险。在前节迁移策略中，我们提出了“现在着手行动与混合过渡策略”。从我国抗量子密码研究现状及市场需求看，面对量子计算的潜在威胁，不应等待我国量子安全密码标准完全出台后再行动。现在着手行动的意义在于：密码分析相关量子计算机构成实质威胁前，组织已考虑了有效的安全应对措施；此外，“追溯解密”型如 SNDL攻击意味着一旦大型量子计算机可用，恶意行为者将可解密此前截获的所有加密数据或通信。若加密数据保密周期过长，应立即执行保护数据安全的措施。“来而不可失者，时也；蹈而不可失者，机也。”参考过往类似迁移历程，抗量子密码的过渡更为复杂。成功的137、抗量子密码学迁移需要时间规划和执行。抗量子密码迁移是一个长期且复杂的工程，需要组织从现在开始规划并实施一系列措施。这些措施包括风险评估、算法实现、安全设计、功能集成等多个方面，需要时间和资源的大量投入。抗量子密码迁移需要时间规划和执行，因此要求组织必须从现在开始准备。3.2.4 规划抗量子密码路线图规划抗量子密码路线图虽然我国抗量子密码算法尚处标准化进程中，但鼓励行业或组织通过建立一个项目团队来确定抗量子密码迁移的范围，规划抗量子密码路线图。项目团队应启动主动的量子脆弱性密码技术发现活动，以确定当前对量子脆弱性密码技术的依赖性。具有易受量子计算攻击的密码系统和资产如：参与生成和验证数字签名的系138、统和资产、软件和固件更新系统、密钥协商与交换系统等。随着对存在量子脆弱性密码技术的系统范围、分布、特征和要求的梳理，及随后对供应链就绪状态评估，可着手完善行业或组织的抗量子密码路线图，包括规划存在量子脆弱性密码技术与密码使用清单、以优先级排序的风险清单和以时间节点标识的迁移工程清单等。抗量子密码路线图应与供应链就绪计划协同，保证工程实施的可行性。量子安全密码路线图的制定是一个复杂的过程，涉及到技术、政策、法规和实施等多个方面。规划抗量子密码路线图应考虑以下内容：算法标准化。跟踪国际抗量子密码标准化进展，计划或参与行业抗量子密抗量子密码技术与应用白皮书57码标准的制定。意识提升。在行业内提升对量139、子计算威胁的认识，对相关人员进行培训，提高对量子计算和密码学的理解。量子风险评估。梳理行业所使用的密码技术，分析其量子脆弱性，以确定行业信息系统面临的量子威胁。制定安全策略。基于量子风险评估，制定一个量子安全策略和过渡路线图，包括短期、中期和长期行动计划，规划迁移路径，设定时间表。持续监测和评估。持续监测量子计算领域的进展，评估隐私政策和法规的充分性，并根据需要更新策略；审查现有的政策、指南和法规，确保它们与量子安全的目标一致。确保所有行动符合国家法律法规，并准备好应对新的法规要求。通过这些步骤，行业或组织可以制定出一个全面的抗量子密码路线图，以确保在量子计算时代保护关键资产和信息的安全。行业140、或组织路线图有助于指导业内组织制定本组织的抗量子密码迁移计划。此外，行业路线图需要产业生态的支持与供应链协同。在政府或产业层面，应加强对抗量子密码生态的培育与对抗量子密码迁移的指导与监管。抗量子密码生态的培育涉及到“产学研用测管”的高效决策与工作协同，包括法律法规与标准体系颁布、公共技术支撑平台建设、创新示范工程推广等。强化对抗量子密码迁移的指导与监管，可确保在量子时代，关键信息基础设施能够安全过渡到抗量子密码体系，同时保护社会安全和公众利益。3.2.5 构建抗量子密码技术支撑体系构建抗量子密码技术支撑体系公共技术支撑平台建设可为政府或产业向抗量子密码迁移提供有力的技术支撑。目前，可在量子脆弱141、性发现、互操作测试、性能测试等方面组织资源研发，作为公共支撑平台的基础功能，服务于产业链产品研发、检测认证、公共培训等目的。3.2.5.1 量子脆弱性发现工具量子脆弱性发现工具SP 1800-38B量子准备：密码发现（公钥应用程序发现工具的方法、架构和安全特征）草案描述了量子脆弱性算法发现(Quantum-vulnerable AlgorithmDiscovery)工具及其应用。抗量子密码技术与应用白皮书58量子脆弱性算法发现是指利用特定的工具和方法，识别信息系统中所使用的密码算法（尤其是公钥算法）及其使用特征，分析在面对量子计算攻击时可能存在的脆弱性。组织使用发现工具，识别易受量子计算攻击的142、公钥算法，以创建密码算法及密码使用清单，帮助组织制定抗量子密码迁移路线图。通过发现工具评估现有密码体系的安全性，可提升抗量子密码迁移的工作效率。量子脆弱性算法发现可以通过开发或使用专门的工具来实现。这些工具通常基于已知的量子计算算法对经典密码的潜在威胁进行分析。工具检查当前部署的密码算法是否属于已知易受量子计算攻击的算法类别，如分析算法的数学基础、结构以及其在面对特定量子攻击时的表现。量子脆弱性密码算法发现的工作流程包括：扫描和识别组织当前使用的密码算法尤其是公钥密码算法。对算法进行分析。收集和分析扫描结果，生成易受量子计算攻击的算法和资产的清单。根据清单评估潜在的安全风险，并确定优先级，为制143、定应对措施提供决策支持。量子脆弱性算法发现工具需持续更新以适应新的量子攻击方法和算法。目前，市场上已经出现的工具如IBM的Qiskit量子安全分析工具、微软的AzureQuantum 安全工具等。这些工具提供了不同程度和范围的量子脆弱性评估功能，可以帮助组织识别其密码系统中的潜在量子脆弱性。其他工具包括：IBM z/OS Integrated Cryptographic Service Facility(ICSF)：监控和报告密码算法的使用情况。CryptoNext Quantum Safe Library(C-QSL)：提供抗量子密码算法的优化实现。Open Quantum Safe(OQS144、)：支持抗量子密码算法的开发和原型设计。3.2.5.2 抗量子密码互操作测试工具抗量子密码互操作测试工具SP 1800-38C量子准备：测试标准（抗量子密码技术互操作性和性能报告）草案描述了抗量子密码技术的互操作性要求，展示了不同算法在不同协议和场景下的互操作性，有助于推动抗量子密码标准化进程。抗量子密码技术与应用白皮书59抗量子密码技术互操作性测试工具可提供以下功能：SSH：测试抗量子密码密钥交换方法的兼容性。SSH 互操作性测试配置文件 可 包 含 以 下 算 法 参 数：P256+Kyber-512,x25519+Kyber-512,P384+Kyber-768,P521+Kyber-1145、024。TLS：测试抗量子密码密钥交换和身份验证在 TLS 1.3 中的兼容性。TLS互 操 作 性 测 试 配 置 文 件 可 包 含 以 下 算 法 参 数：P256+Kyber-512,P384+Kyber-768,P521+Kyber-1024。QUIC：测试抗量子密码在 QUIC 协议中的表现，重点关注密钥交换和身份验证的兼容性。X.509：探讨不同 X.509 证书格式的抗量子密码兼容性，并进行互操作性测试。HSM：测试硬件密码设备在生成、导出和导入抗量子密码密钥、生成和验证数字签名以及密钥封装和解封装方面的互操作性。互操作性测试工具是执行向抗量子迁移的重要环节。其意义在于：识别抗146、量子密码算法之间的兼容性问题。在受控的非生产环境中解决兼容性问题。减少各个组织为自己的迁移工作执行类似的互操作性测试所花费的时间。3.2.5.3 抗量子密码性能测试工具抗量子密码性能测试工具（1）SP 1800-38CSP 1800-38C量子准备：测试标准（抗量子密码技术互操作性和性能报告）草案描述了测试相关内容。SP 1800-38C 测试范围中，选择 Kyber、Dilithium 等抗量子算法及 TLS 1.3、SSH、X.509 证书等协议、标准和用例。性能测试应基于同一的测试环境。如 SP 1800-38C 执行 TLS 测试的环境为：Ubuntu 22.04.1 LTS（GNU/147、Linux 5.15.0-72-generic x86_64）;Intel Xeon Gold 6126 CPU 2.60 GHz（2 核）;32 GB RAM通过标准化性能测试工具，可以验证抗量子密码实现性能。通过对抗量子密码算法性能的测试和分析，可有助于评估抗量子密码算法对现有系统性能的影响，并选择合适的算法进行迁移。抗量子密码技术与应用白皮书60（2）SUPERCOP标准化的密码软件或系统测试工具也可参考 SUPERCOP 设计实现。SUPERCOP 根据以下标准测量加密原语（Cryptographic Primitives）：数字摘要算法时间度量：对非常短的数据包进行哈希处理的时间、对148、典型大小的 Internet 数据包进行哈希处理的时间、对长报文进行哈希处理的时间。密码算法时间度量：使用密钥和随机数（Nounce）对非常短的数据包进行加密的时间、对典型大小的 Internet 数据包进行加密的时间、对长报文进行加密的时间。验证加密（Authenticated Encryption）算法时间度量：对一小数据包进行验证加密的时间、对典型大小的 Internet 数据包进行验证加密的时间、对长消息进行验证加密的时间；生成密钥对（私钥和相应的公钥）的时间。密钥协商时间度量：从私钥和另一个用户的公钥生成共享密钥的时间。公私钥加解密时间度量：使用公钥加密消息的时间；使用私钥解密消息的149、时间度量。公私钥签名验证时间度量：使用私钥对消息进行签名的时间；使用公钥验证已签名消息的时间度量。3.2.5.4 开放资源利用开放资源利用为引导产业对抗量子密码的理解，可充分利用如抗量子密码算法库、测试工具等开源资源。其中较全面的资源库如开放量子安全项目的 Liboqs。其他资源包括BoringSSL 和 Tink，它们在混合模式下实现了 NTRU-HRSS 和 X25519。SUPERCOP可作为抗量子密码方案的基准工具。现在可用的其他抗量子密码规划和测试工具包括 Open Quantum Safe 项目、欧洲的 FLOQI 项目等。3.2.6加强密码人才培养和国际合作加强密码人才培养和国际150、合作3.2.6.1 各国密码人才与合作政策各国密码人才与合作政策各国量子国家战略或量子科学技术计划均强调产业生态的建设与完善，首先需要解决的是强化国内人才队伍建设与国际合作的外部环境。抗量子密码技术与应用白皮书61美国促进量子美国在科学技术方面的全球领导力指出，量子信息科学发展需要重视培养具有相应技能的劳动力。国家量子计划法案支持量子信息科学技术的研发和运用，增加从事量子信息科学技术的研究者、教育者和学习者的数量，确保从事量子信息科学技术研发及其他类型工作的劳动力数量；为量子信息科学技术的本科生、研究生和博士后提供更多的多学科课程和研究机会；缩小基础研究的知识鸿沟。德国 量子技术行动计划 要求151、加强生态系统建设，激发兴趣，吸引专业人才。展示不同职业发展路径的机会和可能性；分析德国量子技术开发者和使用者的需求以及人才培养领域的相关能力，促进物理学以外的学科，特别是计算机科学和工程等相关领域对量子技术的利用；支持具有实践经验的量子专业人员的教育和培训。法国 量子技术国家战略 提出要以优越的创新环境加强对国际人才的吸引力。在创新生态建设方面强调技能培训和人才培养，开展不同级别的培训，在工程学院设置量子物理学、量子算法和工程学相结合的跨学科课程，在技术学院培养量子技术人员。加拿大计划启动国家量子战略，推动量子技术、企业和人才发展。为加强加拿大在量子科学方面的研究实力，该战略通过创新实习经验和152、专业技能开发，支持吸引、培训、留住和部署量子科技领域的高素质人才。澳大利亚国家量子战略，旨在使澳大利亚要求建立一支技术娴熟且不断增长的高素质劳动力队伍。相关行动包括：实施国家量子合作计划和量子技术人才博士奖学金；发布量子劳动力报告；将量子科学纳入资助学校、大学和职业教育技术学院提高科学、技术、工程和数学认知的项目中；探索吸引全球量子人才的措施，将澳大利亚建设为量子人才的首选目的地。韩国量子科学技术战略中提出把培养量子人才作为最优先任务。增设量子科技相关学科，通过量子研究生院等培育大学量子教育与研究基地，构建培养“核心人才+量子工程师”的量子融合人才生态系统。3.2.6.2 密码人才培养与合作举153、措密码人才培养与合作举措加强量子安全方面的密码人才培养和国际合作，对于我国构建安全、可持续的信息技术基础设施至关重要。此举旨在为应对量子计算带来的安全挑战做好准备，抗量子密码技术与应用白皮书62提升我国在全球抗量子密码领域的地位和影响力。量子相关密码产业的发展需要大量具备专业知识和技能的人才，加强人才培养和国际合作可以为产业发展提供有力的人才保障，推动量子相关密码产业的发展和应用创新，为我国经济社会的持续发展提供新的动力，更好地保障国家信息安全。加强量子相关密码人才培养与国际合作，可从以下几个方面开展工作：在高校和科研机构设立抗量子密码相关教育课程，鼓励量子物理学、量子保密通信、抗量子密码等跨154、学科教育和研究，培养具备深厚理论基础和实践能力的人才。通过举办抗量子密码培训班、研讨会、抗量子密码应用创新等活动，提高技能型抗量子密码人才的专业素养和实践能力。构建抗量子密码人才生态系统，促进政府、企业、高校和科研院所之间的合作与交流，提供实际案例和示范项目，促进理论与实践相结合，激励抗量子密码人才的创新和实践，共同推动量子科技的发展和应用。与国际抗量子密码机构建立合作关系，通过举办国际抗量子密码会议和研讨会，通过学者互访、合作研究、高端人才引进等方式，多途径开展抗量子密码研究和人才培养。尽快推出国内抗量子密码算法与应用协议技术规范，并积极参与国际量子科技联盟和标准制定，增强国际话语权，提升我155、国在国际量子科技领域的影响力。3.2.7 抗量子密码迁移供应链协同抗量子密码迁移供应链协同3.2.7.1 协调供应链抗量子密码进展协调供应链抗量子密码进展“积力之所举，则无不胜也；众智之所为，则无不成也。”在抗量子密码迁移的准备工作中，需要从责任分工的角度，明确供应链各方协同。（1）供给侧：信息系统提供商尤其是密码产品与服务提供商，应密切跟踪抗量子密码技术研究、标准进展、产业政策变化，研究设计产品与服务灵活升级的可行性方案，提供满足功能要求、安全要求、性能要求、互操作要求的可选升级组件或升级产品与服务，满足技术、产品与服务层面的可获取性、易用性需求。（2）需求侧：信息系统所有者，尤其是关键信息156、基础设施与重要领域信息系抗量子密码技术与应用白皮书63统所有者与使用者，应充分调研其系统面临的量子脆弱性算法现状与抗量子密码需求，评估其优先级与风险清单，就其本地系统及云服务系统对供应链的依赖性，协调供应商，共同制定抗量子密码迁移计划，理解技术可获取性与成熟度，探讨抗量子迁移项目试点的可行性，并对执行效果进行监控评价，进而制定符合本组织需求的抗量子迁移方案。（3）基础支撑侧：为保证抗量子密码迁移的供应链的“产学研用测管”有序推进，需要开展产业政策引导、抗量子密码技术研究、技术标准与实施规范制定、产品检测与认证、通用技术支撑、服务行业监管与评价、量子科技人才培育、量子科技领域国际合作等工作，以构157、建良好有序的产业生态，推动抗量子密码迁移进程。通过供应链各方责任分工与产学研协同创新，提高抗量子密码理论研究成果向实用化、工程化转化的效率，积极吸纳各方资源参与抗量子密码发展，促进产业升级，形成具有国际引领地位的战略性新兴产业。3.2.7.2 供应链技术及服务商的责任供应链技术及服务商的责任供应链量子就绪是抗量子密码迁移的基础。为关键信息基础设施及重要领域信息系统提供密码技术、产品与服务，应着手规划对抗量子密码的支持，并开展与应用系统集成、测试工作。供应商应规划其抗量子密码迁移路线图，确保其使用抗量子密码算法的产品安全可靠，满足市场需求。供应商的责任主要包括：（1）供应链各方需了解量子计算对现158、有密码体系的潜在影响，并对相关人员进行教育和培训。供应商应及时追踪抗量子密码的最新进展、技术挑战、标准化进程及可能影响产品或服务交付的任何因素，确保其提供的产品和服务支持抗量子密码，包括密码机设备、密钥管理与密码服务系统、以及集成密码功能的应用系统；确保新的密码产品和服务能与现有的系统互操作，设备应经过严格的测试和验证，具有安全性、可靠性和高效性。（2）供应商应设计模块化的密码架构，提供敏捷性的产品和服务，以利于支持后续新的抗量子密码算法及国内抗量子密码标准。（3）供应商应与组织合作，协助组织制定抗量子密码迁移计划，论证其技术可行性，并确保计划的顺利实施；在迁移过程中，供应商应提供必要的技术支159、持和抗量子密码技术与应用白皮书64资源，以帮助组织解决可能遇到的问题；供应商应评估其产品与服务在量子安全方面的技术能力，确保能够提供符合抗量子标准的解决方案。（4）供应商需提供升级路径，包括升级组件或全新的产品与服务，以满足抗量子密码的安全要求；供应商应提供关于其抗量子密码产品的详细信息，包括算法支持、性能影响、兼容性等，确保新旧系统间能够无缝过渡，包括密钥尺寸、签名尺寸和密码算法的兼容性。3.2.7.3 供应链标杆企业动向供应链标杆企业动向我们选取几家代表性的企业，就其在抗量子密码方面的进展分析如下：（1）IBM 发布支持抗量子密码的密码模块IBM 公司针对抗量子密码学领域已经制定并发布了详160、细的计划和路线图，包括 IBM 量子安全路线图（IBM Quantum Safe Roadmap）和 IBM 量子发展路线图（IBM Quantum Development Roadmap）。此外，IBM 还开发了端到端的解决方案IBM Quantum Safe Technology，帮助客户为量子时代做好准备。IBM 研发了密码模块 4770-001 Cryptographic Coprocessor Security Module（“Crypto Express8S withCCA”，CEX8C），支持 Kyber、Dilithium 两种抗量子密码算法，并于 2024 年 4月通过 PC161、I PTS HSM V4.0 认证。（2）谷歌 Chrome 浏览器部署抗量子密码技术2023年8月，谷歌Chrome浏览器在其最新版本中部署了混合抗量子密钥协议，旨在建立对传输层安全协议 TLS 的抗量子密码的支持。谷歌 Chrome 混合抗量子密钥协议结合了两种密码算法 X25519 与 Kyber-768，以创建用于会话的密钥。（3）三未信安推出抗量子密码系列产品结合对抗量子密码技术的持续跟踪，三未信安已研发支持抗量子密码算法的密码安全芯片、UKEY、IC 卡、PCI-E 密码卡、密码机、安全网关、数字证书认证系统、密钥管理系统等产品，其产品线支持的抗量子密码算法包括：NIST 抗量子密162、码标准算法 ML-KEM（Kyber）、ML-DSA（Dilithium）、SLH-DSA（SPHINCS+）及 Faclon；全国密码算法设计竞赛公钥算法 Aigis-sig、LAC.PKE、Aigis-enc；我国密码行业标准化进程中的算法：基于 NTRU 的密钥封装机制、基于抗量子密码技术与应用白皮书65SM3 的带状态数字签名算法。三未信安基于密码功能与服务敏捷性的设计思路，可为后续算法更新、新的算法引入，在用户业务系统集成时体现极大的灵活性。3.3 抗量子密码迁移工程指南抗量子密码迁移工程指南3.3.1 国外抗量子密码迁移研究进展国外抗量子密码迁移研究进展目前，各国都积极开展抗量子密163、码迁移的研究与实践。以美国为例，2021 年10 月，美国国土安全部（DHS）与国家标准技术研究院（NIST）联合发布了抗量子密码过渡路线图，旨在帮助企业保护其数据和系统，降低量子技术发展带来的相关风险。该指南提出了组织向抗量子密码迁移的工作思路：（1）参与标准化组织（Engagement with standards organizations）。组织应与标准制定组织保持接触，以获取密码算法和协议方面的最新进展。（2）明确关键数据清单（Inventory of critical data）。识别本组织需要采用密码技术保护的关键数据，评估其面临的量子计算威胁。（3）明确密码技术清单（Inven164、tory of cryptographic technologies）。组织应对使用密码技术实现任何功能的所有系统进行清点，以促进未来抗量子密码迁移的平稳过渡。（4）识别内部标准（Identification of internal standards）。组织应评审及改进组织内部关于信息安全及采购相关的标准，以支持抗量子密码迁移的程序要求。（5）识别公钥密码的使用情况（Identification of public key cryptography）。组织应确定其信息系统哪些环节使用到及出于何种防护目的使用到存在量子脆弱性的公钥密码。（6）确定系统迁移的优先级（Prioritization 165、of systems for replacement）组织应根据职能、目标、需求及量子计算攻击的影响等因素确定迁移的优先级。2023 年 4 月起，NIST 以特别出版物形式发布了向抗量子密码迁移的实践指南草 案（Migration to Post-quantum Cryptography-SP 1800-38 Practice GuidePreliminary Draft）。该草案包括 SP 1800-38A、SP 1800-38B、SP 1800-38C 三个文件,描述了迁移到新的量子安全密码标准时可能出现的问题及潜在的解决方案。（1）SP 1800-38A抗量子密码技术与应用白皮书662166、023 年 4 月，NIST 发布 SP 1800-38A考虑实施和采用量子安全密码的准备工作（执行概要）草案（Preparation for Considering the Implementation and Adoptionof Quantum Safe Cryptography,VolumeA:Executive Summary）。SP 1800-38A 是一个实践指南，旨在帮助组织识别公钥算法的使用情况，并提前规划，以应对量子计算对现有密码技术的潜在威胁，确保抗量子密码迁移的一致性和安全性。（2）SP 1800-38B2023 年 12 月，NIST 发布 SP 1800-38B量子167、准备：密码发现（公钥应用程序发现工具的方法、架构和安全特征）草案（Quantum Readiness:CryptographicDiscovery,Volume B:Approach,Architecture,and Security Characteristics of PublicKey Application Discovery Tools）。SP 1800-38B侧重于指导组织使用自动发现工具去识别易受量子计算攻击的公钥算法实例，以创建密码算法清单，帮助组织制定抗量子密码迁移路线图。该草案提供了自动发现工具功能测试计划，旨在确定自动发现工具的基本能力；自动发现工具的演示用例场景以及演示168、范围；在本次演示中应对的安全威胁；大多数组织可开始使用的安全威胁发现流程；基于演示用例并集成各种发现工具的安全识别架构。（3）SP 1800-38C2023 年 12 月，NIST 发布 SP 1800-38C量子准备：测试标准（抗量子密码技术互操作性和性能报告）草案（Quantum Readiness:Testing Draft Standards,VolumeC:Quantum-resistantCryptographyTechnologyInteroperabilityandPerformance Report）。SP 1800-38C 侧重于如何协调量子安全密码算法与现有网络基础设施，169、提供了解决受控非生产环境中兼容性问题的方法，并提供了传输层安全（TLS）协议、安全外壳（SSH）协议和硬件安全模块（HSM）等各种场景下量子安全密码算法的标准化实施方法。3.3.2 迁移工作思路迁移工作思路从目前行业在抗量子密码迁移的研究活动与工程实践看，组织可按照以下工作思路，执行向量子安全密码的迁移：（1）明确迁移对象抗量子密码技术与应用白皮书67组织规划抗量子密码迁移活动时，首先要确定项目的工作范围，也即组织内的信息系统。理论上不可能对所有信息系统在同一时间节点完成迁移，可以以不同业务或应用的子系统为考察对象，研究其迁移的可行性途径。因为子系统间因为业务关联可能存在连通性，在执行迁移可行170、性论证时，应考虑系统间的相互影响，根据依赖关系推导迁移工作的次序安排。（2）确定迁移方法抗量子密码迁移的目的是使组织信息系统免除或减轻因量子计算威胁带来的风险。可行的思路是采用风险评估的方法，决定所确定的迁移对象的优先级排序。一般来说，将一个系统优先于另一个系统，在很大程度上取决于组织职能、目标和需求，也即该系统作为信息资产对组织业务目标的重要程度。为了补充优先级排序工作，组织在评估易受量子计算攻击系统时应考虑以下因素：系统保护的信息的关键性、系统保护的信息所需保护的时间周期、面临的量子计算的威胁、系统采用的密码技术存在的脆弱性、系统所需抗量子密码技术与产品的成熟度与可获取性、系统向抗量子密码171、迁移对其他关联系统的影响等。（3）指派迁移责任主体成立一个专门的项目管理团队来负责规划和执行迁移到量子安全密码的整个过程；并与供应链中的供应商接触，确保他们了解迁移的必要性，并识别可以支持迁移到量子安全密码的技术和解决方案。（4）执行量子风险评估在确定了基于风险评估的方法后，应启动基于资产、脆弱性、威胁的风险评估流程，根据受量子计算威胁的公钥算法及其使用情况梳理，识别当前依赖量子脆弱性公钥算法的系统资产，如涉及数字签名、公钥加密或密钥封装、软件和固件更新等，创建量子脆弱性资产清单，并根据量化或半量化风险定级模型，确定哪些系统和资产迁移的优先级。（5）协调供应商制定迁移计划与实施方案组织需与技术172、供应商接触，了解供应商的抗量子密码迁移计划，并着手考虑组织信息系统的抗量子密码迁移路径，包括依托供应商产品与方案，为测试量子安全密码算法和集成到产品中制定时间表；制定详细的迁移计划，包括进度、预算、资源分配和实施步骤；按照迁移计划，逐步实施量子安全密码技术，替换或升级现有抗量子密码技术与应用白皮书68系统；在实施过程中进行持续的测试和验证，确保新系统的性能和安全性。（6）监控评估与改进迁移完成后，持续监控和评估量子安全密码系统的运行情况，确保其满足安全要求；确保迁移过程和结果符合所有相关的法律、法规和标准；制定应对可能出现的问题或攻击的应急计划；更新组织的政策和程序，以反映对量子安全密码的使用173、和依赖；对员工进行量子安全密码相关的培训和教育，确保他们理解新系统并能够正确使用；基于反馈和监控结果，持续改进量子安全密码策略和实施。3.3.3 迁移工作组职能迁移工作组职能如前章节所述，随着量子计算技术的快速发展，现有的公钥密码体系面临被攻击的威胁，应现在着手考虑将组织的信息系统向抗量子密码迁移的工作。而抗量子密码迁移是一项复杂的系统工程，面临着诸多挑战。为实现有序、平稳、分阶段、按计划的迁移目标，需要设置专门的职能机构。迁移工作组的工作目标是：制定并执行抗量子密码迁移计划，确保组织的信息系统能够平稳、有序、安全地过渡到抗量子攻击的安全密码算法。作为一个跨部门、跨领域的协调机构，迁移工作组负174、责整合组织的内部资源，与外部供应链协调、与专家团队合作，共同推进组织信息系统向抗量子密码迁移的工作。迁移工作组需要具备高度的专业素养和协调能力，成员应熟悉密码学、信息安全、系统架构等相关领域的知识。人员构成上，应包括组织内部的 IT 运维人员、信息系统研发人员、信息安全人员、风险合规人员、业务及应用人员、供应商联络人员，及外部的密码学专家、安全顾问等。通过跨部门、跨领域的合作，确保迁移工作的顺利进行。迁移工作组应依据行业政策指南、组织管理程序，规划与落实抗量子迁移工作，除项目管理、技术协调、安全评估、培训与推广等，还包括以下工作内容：追踪抗量子密码技术与规范、产业政策动向，开展抗量子密码迁移可175、行性研究。梳理密码相关资产清单，组织量子安全风险评估，指导确定迁移的优先级和范围。分析供应链的依赖性，协调供应商抗量子迁移计划。制定抗量子密码迁移策略和标准，选择合适的算法和方案，确定组织向抗抗量子密码技术与应用白皮书69量子迁移路线图。协调制定详细的迁移计划和实施方案，确定迁移顺序，确保资源的合理分配，并制定具体迁移方案及应急预案，确保迁移过程中的技术选型和实施方案的科学性和可行性。协调预算与资源，按优先级执行测试、试点、示范等迁移活动。监督实施过程，保障迁移后系统的安全性和稳定性。通过测试与监控评价迁移效果，以持续改进迁移方案，提升组织对量子威胁的应对能力。3.3.4 量子风险评估方法量子176、风险评估方法信息系统风险评估是采用科学的方法，对信息系统中可能存在的风险进行识别、分析、评估、控制的过程。标准的风险评估主要从资产（Asset）的关键程度、脆弱性（Vulnerability）被利用的概率、威胁（Threat）发生后产生后果的严重性等构建量化或半量化模型，输出风险的优先级，并制定风险控制策略。量子风险评估（Quantum-risk Assessment）是在量子计算对传统公钥密码产生威胁的背景下，对采用量子脆弱性公钥密码技术保护的信息系统，进行风险识别、分析、评估、控制的风险管理活动。量子风险评估在识别信息资产、量子脆弱性公钥密码、量子计算威胁时，需要考虑机密数据的保密周期。使177、用经典公钥密码技术保护的敏感信息资产，尤其是那些具有中长期保密价值的信息资产，将容易受到量子计算机的威胁。3.3.4.1 Mosca 定理定理类似于其他解决量子计算威胁的风险管理方法，Mosca 定理（Michele MoscasTheorem）用于促进组织策划抗量子密码迁移活动。这些方法描述了一种采用密码技术保护的资产发现活动，进而评估得出优先级列表。一旦识别出组织中的公钥密码学组件及其相关资产，即可使用“Mosca 定理”和其他风险管理方法，优先考虑需要首先向抗量子密码迁移的组件。Mosca 定理见 Michele Mosca 与 John Mulholland 2017 年 1 月的文 178、章“AMethodology for Quantum RiskAssessment”。Mosca 定理可概述为：当希望数据安全的时间（X）加上计算机系统从经典密码过渡到抗量子密码所需的时间（Y），大于量子计算机开始破解现有的量子脆弱抗量子密码技术与应用白皮书70性密码所需的时间（Z），即 X+YZ 时，则应考虑密码分析相关量子计算机的影响，并立即开展抗量子密码迁移的准备工作。因此，在考虑量子风险评估时，可执行以下活动或阶段：（1）识别信息资产及其采用的密码保护技术。量子风险评估从敏感或有价值的资产清单开始，这些资产需要根据组织的安全策略采用密码技术进行保护。重要的是要确定所使用的密码技术的性质179、，加密密钥的生成、存储和应用方式，以及这些过程中使用的工具或设备的来源。（2）跟踪量子计算技术和抗量子密码技术发展动态，评估其技术可用性时间表（timeline），推进量子安全密码的开发和验证；与学术界和研究界专家合作，使量子风险评估揭示的问题影响抗量子密码研究方向。（3）识别威胁行为者，并估计他们访问量子技术的时间（Z）。量子风险评估重点关注威胁能够利用量子计算机及其访问它们的时间线，及量子计算成为现实后可能出现的新的威胁行为。（4）确定资产的生命周期（X），以及将组织的技术基础设施转换为量子安全状态所需的时间（Y）。确定业务信息的生存期对于了解组织对抗如 SNDL 攻击具有指导意义。在考虑180、保护组织的加密信息免受内部和外部威胁时，亦需考虑：当前策略和程序的有效性；组织现用的密码技术强度及它的应用和使用效率；目前在研的量子安全加密方法及其对现用密码技术的替代性；供应链对量子安全算法或协议的就绪性等。（5）计算业务资产是否会在组织采取行动保护它们之前变得脆弱，确定量子风险。考虑敏感数据的生命周期及其暴露的可能性，与迁移现有流程和基础架构所需的时间相结合，为组织何时需要采取积极措施来降低量子风险提供合理的估计。进而评估预期的更改所导致的业务流程影响。包括：对产品、协议和程序实施必要的更改所需时间；量子安全技术的可靠性或性能问题；是否需要更改策略或程序以改进修订后的系统，或改进组织信息的181、整体安全性等。（6）确定维持安全意识所需的活动并确定其优先级，将组织的技术迁移到量子安全状态。组织都应该制定向抗量子迁移路线图，而量子风险评估则作为构建量子安全路线图的第一步。路线图旨在确保继续获得遵循这些技术并了解量子计算和量子密码学新发展，为与组织、合作伙伴、客户和产品供应商进行讨论提供基础，抗量子密码技术与应用白皮书71确保供应链角色了解正在采取的步骤，及对其自身流程和基础设施产生的影响。3.3.4.2 敏捷性风险评估框架敏捷性风险评估框架2021 年 5 月 Chujiao Ma,Luis Colon 等在 Journal of Cybersecurity 发表“CryptoAgili182、ty RiskAssessment Framework”，提出了“密码功能与服务敏捷性风险评估框架”的概念，旨在不对基础设施进行重大改变的前提下，使信息系统能够快速集成新的密码算法、协议等密码功能。类似于 Mosca 方法，该框架用于分析和评估由于缺乏密码功能与服务敏捷性而导致的风险，并指导组织制定适当的风险缓解策略。不同于 Mosca 定理，该框架是针对抗量子密码的特定描述，但其思想可以借鉴于抗量子密码迁移的应用场景。（1）在对现有系统进行评估时，识别和记录当前系统中使用的密码算法、密码协议和密钥管理策略，同时评估现有密码功能实现是否具有敏捷性。具有敏捷性的密码功能设计在执行抗量子密码迁移时183、，具有较好的灵活性。（2）在确定设计原则与迁移策略时，可考虑采用模块化和抽象化的设计原则，确保加密组件的独立性和可替换性，并根据抗量子密码标准和适用性，选择适合的密码算法和密码协议。（3）在技术选择与接口设计时，选择支持量子安全密码算法的技术栈，在设计功能接口时，规划对未来新的密码算法的无缝支持与灵活配置。3.3.5 信息资产识别与分析信息资产识别与分析从前述可知，组织规划抗量子密码迁移活动时，首先要确定项目组织内哪些信息系统纳入项目范围，可以从不同业务或应用的子系统进行考察。识别信息资产尤其是采用经典公钥密码技术保护的信息资产，是在确定项目范围后，执行量子风险评估的首要任务。量子风险评估从敏184、感或有价值的资产清单开始，这些资产需要根据组织的安全策略采用密码技术进行保护。因此，信息资产识别首先从该信息系统等在组织的业务战略的关键性，判断信息的重要程度；其次，识别信息资产的目的是分析其是否存在量子计算威胁，并研究其抗量子密码迁移的可行性途径。需要识别信息资产采用的密码保护技术，确定所使用的密码技术的性质，加密密钥的生成、存储和应用方式；再次，需对信息系统依存关系进行分析。子系统间因业务关联可能存在连通抗量子密码技术与应用白皮书72性，在识别信息资产时，应考虑系统间的相互影响，依赖关系可能影响迁移工作计划的实施优先级。在高层次上，组织必须了解其敏感或有价值信息的性质，包括其业务价值、访问185、控制和数据共享安排、备份和恢复过程，以及在生命周期结束时如何处理这些信息，需要对所有这些因素进行全面梳理，以确定组织对外部和内部威胁的脆弱性。对于抗量子迁移工作的风险评估，可能覆盖硬件、固件、操作系统、通信协议、密码库和采用密码技术的应用程序的更新等，可以考虑基于业务系统重要性分类，每业务系统分别梳理应用层、设备与计算层、网络通信层、物理层的安全需求及密码技术使用情况；同时亦应梳理业务系统与业务系统间的联系、业务系统对密码支撑系统如公钥基础设施的依赖关系。信息系统清单及使用密码技术的情况说明是开展风险评估的先决条件。2021 年 8 月美国国家网络安全卓越中心（NCCoE）关于抗量子密码学迁移186、项目列举了这些场景：采用易受量子计算攻击的公钥密码的 FIPS-140 验证的硬件和软件模块。包含易受量子计算攻击的公钥密码的密码库。包含或专注于易受量子计算攻击的公钥密码的加密应用程序和加密支持应用程序。在计算平台中嵌入易受量子计算攻击的密码。在不同行业领域广泛部署的通信协议，这些协议利用了量子脆弱的密码算法。以电信系统为例，2023年2月全球移动通信系统协会（Global System for MobileCommunicationsAssembly,GSMA）发布的 抗量子电信网络影响评估白皮书（PostQuantum Telco Network Impact Assessment Wh187、itepaper），关于电信系统的信息资产及依赖关系描述为：密码技术，包括密码库、密码协议、密码硬件。密码系统，包括公钥基础设施、证书颁发机构、硬件安全模块、身份/访问管理和特权访问管理。计算技术，例如服务器、固件、操作系统、虚拟化、云基础设施、数据库（列长度）、软件（数据结构）、中间件、安全系统。抗量子密码技术与应用白皮书73 网络设备，例如以太网交换机、IP 路由器。电信架构，例如结算、电信特定网络功能、无线电、核心、传输、通信服务（语音、消息、关键任务）、OSS/BSS 系统。电信特定业务流程，例如设备激活、漫游和结算。另一个可参考的案例是，美国网络安全和基础设施安全局在 向抗量子算法过188、渡的路线图中，建议组织在梳理信息资产时考虑以下因素：该系统是否属于组织的高价值资产或承载关键信息基础设施业务。该系统保护的内容是否为关键数据，如密钥库、密码、根密钥、签名密钥、个人身份信息、敏感个人身份信息。该系统是否与其他重要系统存在通信或信息共享，及信息共享程度。该系统敏感数据的保质期。在厘清信息系统依存关系及密码技术使用情况后，可通过量子脆弱性发现评估分析代码开发、操作系统、网络通信、应用系统易受量子计算攻击的信息，作为标识优先级的风险清单的输入。3.3.6 系统量子脆弱性分析系统量子脆弱性分析在识别出信息系统及其中使用的密码技术后，首先要了解使用的密码算法是否存在量子脆弱性，并进一步对189、这些存在量子脆弱性的密码算法的使用目的、如何使用、替换可行性等进行分析。在 SP 1800-38B量子准备：密码发现（公钥应用程序发现工具的方法、架构和安全特征）草案中，NIST 提出了基于发现工具的量子脆弱性公钥算法的检测与发现方法。在迁移到抗量子密码（Migration to Post-quantum Cryptography）中，美国国家网络安全卓越中心（NCCoE）提出了“项目工作流”（Project Workstreams）的概念。该项目工作流通过发现工具检测和报告量子脆弱性公钥算法的存在和使用情况，为风险分析和缓解措施提供足够的详细信息。发现过程主要利用量子脆弱性发现工具（集），在190、代码研发、操作系统、协议、网络服务、应用等层面，以多种方式搜集系统存在的公钥密码算法、密码功能、密码服务，并分析其脆弱性及依赖关系。通过正则化及关联性处理，结合信息资产的关键程度，形成组织的信息系统在量子计算威胁下的风险清单，作为后续制定基于优先级的行动计划的基础。抗量子密码技术与应用白皮书743.3.6.2 量子脆弱性公钥密码算法量子脆弱性公钥密码算法根据目前的理论研究，当具有较大量子比特规模的密码分析相关量子计算机可用时，现有基于整数分解问题、基于离散对数问题、基于椭圆曲线离散对数问题的公钥密码算法、密钥协商协议等面临被破解的风险。同时，量子算法可极大降低分组密码算法、杂凑函数的密码分析复191、杂度。易受攻击的国际公钥密码算法见下表：表 3-1 易受攻击的经典密码算法算法算法功能功能规范规范Diffie Hellman（DH）密钥交换用于密钥交换的非对称密码协议IETF RFC 3526Elliptic Curve Diffie Hellman（ECDH）密钥交换用于密钥交换的非对称密码协议NIST SP 80056A/B/CMenezes Qu Vanstone（MQV）密钥交换用于密钥交换的非对称密码协议NIST SP 80056A/B/CRSA 密码算法用于数字签名、加密的非对称密码算法SP 800-56B修 订 版2、FIPS PUB 186-5椭圆曲线数字签名算法（ECDS192、A）用于数字签名的非对称密码算法FIPS PUB 186-5同理，我国密码行业标准 SM2 等公钥密码算法亦存在被较大规模量子比特的量子计算机攻击的风险，SM4 等分组密码算法及 SM3 数字摘要算法也存在受量子计算威胁，安全强度降低的风险。总之，若密码分析相关量子计算机（CRQC）可用，则使用易受量子计算攻击的密码算法存在安全风险。量子计算机可能会威胁到所有基于整数分解和（椭圆曲线）离散对数问题的公钥算法，进而破坏任何受保护的数据。特别地，先存储后解密攻击如 SNDL 攻击，可导致敌手现在搜集加密数据，在以后使用量子计算机执行解密。拥有量子计算机能力的攻击者可伪造易受量子计算攻击的算法的签名193、，从而给签名保护的数据带来风险。3.3.6.1 量子脆弱性密码技术发现量子脆弱性密码技术发现量子脆弱性（Quantum-vulnerable）密码技术发现是指利用特定的工具和方法，抗量子密码技术与应用白皮书75对系统中使用的密码算法及其使用情况进行分析，以识别出在面对量子计算攻击时可能存在的脆弱性。识别系统中易受量子计算机攻击的密码算法的过程涉及对算法的安全性进行评估，以确定其是否容易受到量子计算机的攻击。量子脆弱性密码技术发现的目标是帮助组织和机构了解其当前使用的密码措施在量子计算环境下的安全性，并为抗量子密码迁移提供决策支持。随着量子计算机的快速发展，现有的基于经典密码学的算法可能面临被量194、子计算机破解的风险。量子脆弱性密码技术发现的目标是帮助组织识别和评估组织在其系统中存在的量子脆弱性公钥算法如RSA、ECDSA 和 ECDH 等及其使用，并为迁移到量子安全密码算法提供指导。量子脆弱性密码技术发现是一种主动的、系统化的方法，用于识别和评估系统中使用的密码技术的量子脆弱性。它包括对系统中的所有密码组件进行分析，并确定哪些算法可能受到量子计算机攻击的影响。量子脆弱性密码技术发现的主要目的是：为组织提供一个清晰的视图，帮助组织识别系统中存在的量子脆弱性，并确定哪些数据或系统可能面临风险。基于风险评估结果，制定迁移到量子安全密码算法的策略和迁移计划，保护关键数据和系统。提前识别脆弱性，195、降低未来量子攻击的风险，提高组织的量子安全准备度和适应性。通过量子脆弱性密码技术发现可提升安全性。提前识别潜在的安全风险，为组织提供足够的时间来准备和应对量子计算威胁，有助于组织优先保护最关键和敏感的数据集，确保这些数据在量子计算时代仍然安全；促进组织内部的密码资产管理和合规性，通过了解量子脆弱性，组织可以更好地制定长期的安全策略，包括向抗量子密码的迁移计划。量子脆弱性密码技术发现可用于以下用例场景中发现易受量子计算攻击的密码算法及其使用情况：在持续集成/持续交付期间，密码功能代码或依赖项中可能使用的易受量子计算攻击的密码算法。网络协议中可能使用的易受量子计算攻击的密码算法，使用主动扫描和历史196、流量捕获可实现对特定系统的可追溯性。在终端用户系统和服务器上的采用密码技术保护的信息资产中（包括应用程序、关联的库、固件等），可能使用的易受量子计算攻击的密码算法。3.3.6.3 信息系统中密码技术的使用特征信息系统中密码技术的使用特征抗量子密码技术与应用白皮书76抗量子密码迁移的挑战不仅在于技术层面，还包括组织对现有密码技术依赖性的理解和评估。组织需要投入资源来识别和清点公钥密码的使用情况，评估风险和依赖性，确定迁移优先级，并制定有效可行的迁移策略。公钥密码已集成到现有的计算机和通信硬件、操作系统、应用程序、数据库、通信协议、关键信息基础设施和访问控制机制中。公钥密码使用的示例包括：用于提供197、源身份验证和完整性身份验证的数字签名，及对消息、文档或存储数据的签名。用于建立经过身份验证的通信会话或授权以执行特定操作的身份验证过程。对称密钥（例如，密钥包装、数据加密、消息身份验证密钥）和其他密钥材料（例如，初始化向量）的密钥传输。权限授权过程。公钥密码替换为抗量子密码，通常需要更改或替换密码库、实现验证工具、实现或加速算法性能的硬件、依赖的操作系统和应用程序代码、通信设备和协议，以及用户和管理程序。因此，抗量子密码迁移需要明确公钥密码的使用位置和方式。在任何情况下，从当前的公钥密码算法迁移到抗量子算法的先决条件是确定在何处使用及出于何种目的使用公钥密码，即确定信息系统中公钥密码的使用特征198、。一旦组织发现了它在何处使用公钥密码以及使用公钥密码的目的，就可确定其使用特征。NIST 在为抗量子密码学做好准备：探索与采用和使用抗量子密码算法中，示例性描述了公钥密码相关使用特征：当前密钥大小以及未来密钥大小和签名大小的硬件、软件限制。延迟和吞吐量阈值。用于加密协商的流程和协议。当前关键建立握手协议。每个加密过程在堆栈中发生的位置。如何调用每个加密进程（如对密码库的调用、嵌入在操作系统中的进程、对应用程序的调用）。是否为密码功能与服务采用敏捷性实现。是否可以通过软件更新实施。每个加密硬件、软件、过程的供应商和所有者。抗量子密码技术与应用白皮书77 密钥和证书的来源。供应商施加的合同和法律条199、件。使用实现是否需要根据加密模块验证程序（CMVP）进行验证。受保护信息的敏感性与保密周期。一旦确定了这些特点，就有可能提出未来向抗量子密码迁移的要求和优先事项。通过使用预期的抗量子密码算法的实现工具或密码库资源，可以帮助推导需求并对迁移工作进行优先级排序。任何迁移手册都需要考虑互操作性要求、密码技术实现的敏捷性要求。3.3.6.4 量子脆弱性密码应用清单量子脆弱性密码应用清单组织根据内部信息系统现有使用的密码系统和密码算法使用情况，首先确定公钥密码算法在信息系统上的使用位置和方式，这些也是实施迁移计划时需要逐步替换或更新的内容。审查组织中使用的每个设备、系统、代码、固件、平台，了解使用的密码200、技术，包括密码算法、密码算法使用、密钥管理方法，并依此构建组织内存在量子脆弱性的信息系统密码应用清单。构建量子脆弱性密码应用清单（Cryptographic Inventory）的目标是，发现组织在何处以及如何使用公钥密码算法、密码协议及密码产品，来保护组织重要数据和数字资产，包括应用程序和相关库中存在量子脆弱性的密码技术、网络协议中使用的密码算法、持续集成/持续交付开发管道中的密码相关代码或依赖项、终端用户系统和服务器上的采用密码技术保护的资产等，并确定公钥密码影响系统和应用的重要因素（如密钥大小、延迟和吞吐量限制、当前密钥建立协议、每个加密过程的调用方式、依赖关系），以制定组织必须保护的最201、重要的易受量子计算攻击的系统的优先级列表。3.3.7 迁移计划与实施方案迁移计划与实施方案组织在开展量子风险评估，通过量子脆弱性算法发现，梳理其信息资产量子脆弱性密码应用清单及量子风险优先级后，应立即着手协调供应商量子就绪情况，评估技术可获得性与成熟度、迁移到抗量子密码所需的工作量和时间，结合资产敏感度及机密数据保密周期，选择抗量子密码迁移路线图与时间表，规划向抗量子密码迁移的逻辑次序与实施方案，包括混合过渡方案及全抗量子密码方案。抗量子密码技术与应用白皮书783.3.7.1 协调供应链量子就绪情况协调供应链量子就绪情况关键信息基础设施与重要领域信息系统所有者与使用者，在充分调研其系统面临的量202、子脆弱性算法现状与量子安全密码需求，评估其优先级与风险清单后，单纯依靠组织内部资源，很难着手制定出其抗量子密码迁移计划，因不清楚技术可获取性与成熟度，抗量子迁移项目试点的可行性及预期的执行效果。组织的信息系统、安全设计、密码功能与服务可能从第三方采购，向抗量子迁移的工程可能也需要向第三方采购或与第三方协作实现。因此需要协调供应链的抗量子密码安全准备就绪状态，作为组织制定迁移计划或实施方案的决策支持。信息系统提供商，尤其是密码产品与服务提供商，应密切跟踪抗量子密码技术创新、标准进展状态、产业政策要求的变化，研究设计产品与服务灵活升级的可行性方案，提供满足功能要求、安全要求、性能要求、互操作要求的203、可选升级组件或升级产品与服务，满足技术、产品与服务层面的可获取性、可用性需求。（1）供应商选择各组织应了解其对系统和资产中易受量子计算攻击的密码技术的依赖性，以及供应链中的供应商的抗量子迁移计划，以尽量降低量子风险。不仅仅涉及到组织信息系统、主机与计算资源、网络通信、密码产品等直接关键供应商，也可考虑其他已做好量子准备的第三方密码产品供应商；同时也应考虑组织租用的云服务提供商对组织的云应用向抗量子密码迁移提供支持的可行性。供应商应与组织保持透明沟通，及时分享关于抗量子密码的最新进展、技术挑战、以及可能影响产品或服务交付的任何因素，提供关于其抗量子密码产品的详细信息，包括算法支持、性能影响、兼容204、性等，协助组织制定抗量子密码迁移计划，论证其技术可行性，并确保计划的顺利实施。在迁移过程中，供应商应确保新旧系统间能够无缝过渡，包括密钥尺寸、签名尺寸和密码算法的兼容性，提供必要的技术支持和资源，以帮助组织解决可能遇到的问题。（2）与供应商协调组织应制定明确的抗量子密码策略和迁移路线，并与供应链共享这些信息，以确保所有相关方都对迁移过程有清晰的理解。组织应定期评估供应链的准备情况，包括供应商的产品和服务是否支持抗量子密码、是否存在任何潜在的技术挑战或风险。抗量子密码技术与应用白皮书79 组织应与供应链建立紧密的协作机制，共同解决迁移过程中遇到的问题，并分享关于抗量子密码的最佳实践和经验。组织应205、与供应链一起制定应急预案，以应对在迁移过程中可能出现的任何意外情况或风险。在迁移过程中，组织应持续监控供应链的准备情况和迁移进度，并进行必要的评估和调整，以确保迁移过程的顺利进行。（3）技术可行性分析跟踪行业监管政策及技术标准动向，了解供应商对抗量子密码技术的技术能力与产品计划；供应商提供的技术与产品与组织抗量子密码迁移工作的可集成性与适配性；供应商对组织抗量子密码迁移工作的密码功能与密码服务需求的可达成性；供应商的技术与产品是否满足组织抗量子密码迁移的功能要求、性能要求、安全要求、可靠性要求、互操作性要求、进度要求、预算要求、工程实施时的业务延续性要求等。需要明确公钥密码的使用位置和方式。公206、钥密码一般集成到硬件、操作系统、应用程序、通信协议、密钥基础设施和访问控制机制中。从供应商角度看，涉及到 HSM 设备、密码库、实现验证工具、实现或加速算法性能的硬件、依赖的操作系统和应用程序代码、通信设备和协议及负载均衡、备份设施，及用户和管理程序的更新。识别不同应用程序需要部署不同算法的需求，算法涉及到的密钥尺寸、签名尺寸、密文尺寸；因新的算法在密钥尺寸、签名尺寸、密文尺寸等差异导致对现有协议的适配。除考虑通用的功能要求、安全要求、性能要求外，组织应与供应商协调的技术路线是否满足机密数据保密周期要求。尤其是那些具有中长期保密价值或对长期保密有相应需求的信息和通信，是否面临 SNDL 攻击或207、其他量子计算威胁。（4）技术实现要求供应商提供的抗量子密码迁移的产品与服务支持密码功能与服务敏捷性，以便灵活管理计划的加密迁移配置。以数字证书为例：证书长度变大，可能影响缓冲区尺寸被实现固化的非敏捷加密设计的应用；签名验证性能降低，可能影响高时效签抗量子密码技术与应用白皮书80名验证功能。技术方案应在不影响业务延续性的前提下，满足后向兼容性和未来灵活性的设计要求。应评估抗量子密码算法与现有加密协议、密码库和安全框架的兼容性，以确保无缝集成到组织的基础设施中。设备或组件升级方案应考虑互操作要求。抗量子密码实现进行彻底的测试和验证，以验证它们与遗留系统的兼容性以及与其他加密组件的互操作性。如引入新208、的量子安全密码算法，可能同时要考虑依存该算法的安全协议的升级改进。3.3.7.2 制定抗量子密码迁移方案制定抗量子密码迁移方案抗量子密码迁移方案编制需考虑以下内容：（1）确定迁移技术清单及工程优先级。在计划抗量子密码迁移工作时，将一个系统优先于另一个系统在很大程度上取决于组织功能、目标和需求，也与技术成熟度与工程可实施性、互操作性影响等因素相关。组织应与供应商交互论证迁移技术清单及工程优先级的合理性。（2）与密码产品、带密码功能组件的系统、存在密码改造需求的系统的供应商协调迁移行动计划，形成可行方案。（3）对供应商量子安全设备、组件、系统执行功能测试与可靠性测试。（4）制定设备层、算法层、协议209、层、应用层迁移方案及应急预案。（5）按优先级明确每个系统的迁移时间节点。所需的工作量和时间（包括评估、计划、采购、验证、实施等环节）。（6）过渡计划应考虑密码功能与服务敏捷性机制设计，以便于将来进行调整升级，并在出现意外时能够快速启动回退等预案。（7）合理估算迁移过程中所需的成本、规划参与迁移工作的具体人员和资源，明确每个阶段的具体任务和执行流程。3.3.7.3 应用试点及示范推广应用试点及示范推广制定一种分阶段过渡到抗量子密码学的方法，从试点项目开始，逐步将部署扩展到关键系统和应用程序。主要工作包括：（1）抗量子密码应用测试、效果验证。在迁移过程中进行持续的测试和验证，确保新系统的性能和安全210、性满足要求。测试内容应包括功能测试、性能测试、安全抗量子密码技术与应用白皮书81测试、互操作性测试等。（2）持续监控与评估。迁移完成后，持续监控抗量子密码系统的运行情况，确保其满足安全要求。监控内容包括系统性能、稳定性、安全性等方面；确保迁移过程和结果符合所有相关的法律、法规和标准。进行定期的合规性检查，确保系统始终保持在合规状态。（3）政策与程序更新。更新组织的政策和程序，以反映对抗量子密码的使用和依赖，包括加密标准、密钥管理、安全审计等方面的更新。（4）意识和培训。结合实际项目内容，对员工进行抗量子密码相关的培训和教育，确保理解新系统并能够正确使用。培训内容应包括系统改造中涉及的抗量子密码211、内容、改造后系统操作流程、应急响应机制等。（5）持续改进。基于监控和评估结果，持续改进抗量子密码策略和实施。包括优化系统配置、更新安全策略等方面。3.3.8 密码功能与服务敏捷性设计密码功能与服务敏捷性设计前述章节我们给出密码功能与服务敏捷性的定义为：密码功能与服务敏捷性是指信息系统在面对新的安全威胁、技术变革或法规要求时，能够迅速、灵活地调整其密码算法、协议和密钥管理策略的能力。这种能力确保了信息系统能够适应不断变化的安全环境，并保持其安全性。密码分析相关量子计算机（CRQC）使现有的经典密码算法变得不再安全，信息系统需要具备快速迁移到量子安全密码算法的能力，新的量子安全密码算法也在不断改进212、与推出。在量子计算时代，密码功能与服务敏捷性变得尤为重要。密码功能与服务敏捷性既是为了减少过渡所需的时间，也是为了能够无缝（Seamless）更新到未来的新出台的加密标准。密码功能与服务敏捷性要求在设计阶段就考虑到密码算法、协议、服务等可替换性，采用模块化设计和抽象化接口，以便于未来的维护和升级。（1）组织执行密码功能与服务敏捷性设计的意义量子安全密码算法不同于传统密码算法，其公钥加密、数字签名、密钥封装等存在多类设计原理与机制不同的算法，且因多轮标准征集会存在多种适应不同场景的选择。2024 年 8 月，NIST 正式发布 ML-KEM（FIPS 203）、ML-DSA（FIPS 204）及213、 SLH-DSA（FIPS 205），后续可能还会发布其他新的抗量子密码算法标准。我抗量子密码技术与应用白皮书82国抗量子密码算法基于 NTRU 的密钥封装机制、基于 SM3 的带状态数字签名算法正在标准化进程中。因此，在向抗量子密码迁移过程中，一方面应结合实际应用场景选择适配的抗量子密码算法，另一方面应考虑未来对国内密码算法标准的支持，如适用于信创需求的抗量子密码算法。组织执行密码功能与服务敏捷性设计基于以下考虑：应对不确定性。包括：安全环境的不确定性：信息系统面临的安全威胁不断变化，密码功能与服务敏捷性使组织能够迅速应对这些不确定性；业务连续性：在密码算法或协议被破解时，密码功能与服务敏捷214、性可以确保业务的连续性和数据的完整性。保持灵活性。组织能够快速适应新的安全技术和标准，保持竞争力。能够快速调整密码算法、协议和密钥管理策略。密码功能与服务敏捷性设计允许信息系统在不进行大规模重构的情况下，灵活地更新和替换密码算法。适应性与可扩展性。能够适应新的安全威胁、技术变革和法规要求。设计应支持未来技术的集成，包括新的密码算法和密钥管理策略。优化迁移成本。通过灵活的加密设计，减少因频繁更换系统而带来的额外成本。计划迁移活动。通过模块化及安全配置的密码功能设计，可确保迁移活动的规划与执行，提升迁移工程效率。在组织计划迁移活动时，不仅涉及到应用、网络、系统、设备等层级的次序安排；也涉及到迁移过215、程中的已迁移与未迁移的共存兼容性考虑。（2）组织提升密码功能与服务敏捷性的策略组织提升密码功能与服务敏捷性可基于以下策略：采用模块化架构。密码系统设计应采用模块化架构，将密码功能与服务作为独立的模块，便于未来的更新和替换。模块化设计思想即将密码算法、密码协议和密码组件封装成独立的模块，这样，在需要升级或替换密码算法时，只需替换相应的模块即可，无需对整个系统进行大规模调整。模块化设计不仅提高了系统的可维护性，还降低了迁移成本。标准化接口设计。确保使用标准化的密码算法，且密码算法的实现已在加密模块验证计划下进行验证。设计标准化密码服务接口，为后续新的抗量抗量子密码技术与应用白皮书83子标准算法包括216、国内密码算法的拓展提供灵活性。抽象密码服务。通过抽象层将密码算法的使用与业务逻辑分离，使得算法的更换不会直接影响到核心业务。集中密钥管理。建立一个统一的密钥管理系统，确保所有密码算法和密钥都易于更新或替换。通过集中管理，组织可以更加灵活地应对新的安全威胁和法规要求，同时降低管理成本。加强与产品与服务供应商合作。与技术供应商建立紧密的合作关系，及时了解其密码功能与服务敏捷性设计方法与技术实现的可行性；制定采购策略，确保在将来的采购中考虑密码功能与服务敏捷性；了解供应商的软件和固件升级策略和过程，为任何不满足敏捷性要求的密码产品制定过渡计划。（3）算法替换的敏捷性算法的替换通常需要以下几步：识别遗217、留算法的存在（例如，在使用密码算法的常见应用中，如加密电子邮件或虚拟专用网络、操作系统和网络服务器中的访问管理代码、代码签名实用程序、识别软件等）。了解密码库的数据格式和应用程序编程接口，以支持必要的更改和替换。发现实现或加速算法性能的硬件。确定使用该算法的操作系统和应用程序代码。识别所有具有易受攻击协议的通信设备。识别加密协议对算法特性的依赖性。新算法可能不会成为直接替代品。由于密钥大小、签名大小、错误处理属性、执行算法所需的执行步骤数、密钥建立过程复杂性等方面的差异，它们可能不具有与传统算法相同的性能或可靠性特征。替换算法确定后，加快整个组织采用和实施新的密码算法，应注意以下事项：开发一种218、将安全要求、业务运营和任务影响考虑在内的基于风险的方法。开发实施验证工具。确定在迁移过程中需要临时（例如混合）实施以维护互操作性的情况。更新开发人员、实施者和用户的流程和程序。抗量子密码技术与应用白皮书84 制定一个沟通计划，既要在组织内部使用，又要与外部客户和合作伙伴一起使用。确定迁移时间线和必要的资源。更新或替换安全标准、过程和建议的做法文档。明确采购要求以获得量子安全技术。提供安装、配置和管理文档。测试和验证新的流程和程序。（4）密码功能与服务敏捷性的评价组织可考虑对其密码功能与服务敏捷性效果进行监控、评价与改进：测试和验证。通过安全审计和渗透测试，评估系统的安全性是否得到提升；评估新密219、码算法对系统性能的影响，确保在保持安全性的同时，系统性能不会受到显著影响；评估密码算法迁移对业务连续性和性能的影响；检查系统是否符合相关的法规和行业标准。持续改进。建立用户反馈机制，收集系统使用中的问题和建议；根据反馈和新的安全威胁，持续优化密码算法和协议的选择与实施；定期对员工进行密码技术和安全意识的培训，提高整体的安全防护能力。通过执行密码功能与服务敏捷性设计，组织可以更好地应对量子计算时代的挑战，在对新的密码算法与密码协议持续支持时，尽量减少核心业务系统的重大改造或变更，降低迁移成本，提升迁移效率，确保信息系统的安全性和业务的连续性。3.3.9 抗量子密码混合过渡方案抗量子密码混合过渡方220、案3.3.9.1 混合过渡方案概述混合过渡方案概述2022 年 10 月，欧盟网络安全局（ENISA）发布抗量子密码整合研究（Post-quantum Cryptography-Integration Study）报告，作为 2021 年 5 月抗量子密码：现状与量子迁移 的后续研究。报告阐述了如何将抗量子密码集成到如 TLS、IPsec 等安全协议中、及围绕抗量子密码设计新协议的可能性，并对抗量子系统的双重加密和双重签名进行了分析。目前，国内商业银行也推出了“双保险”、“两把锁”等概念，即是一种向抗量子密码过渡迁移的有益尝试。混合过渡方案，是一种在量子计算威胁日益加剧的背景下，旨在确保信息系221、统抗量子密码技术与应用白皮书85安全性和连续性的策略。混合过渡方案是指将抗量子密码算法（如基于格、多变量、哈希等的算法）与经典密码算法（如 RSA、ECC）相结合，以形成一种既能抵御量子计算攻击又能保持与现有系统兼容性的密码解决方案，通常涉及如加密、密钥交换、数字签名等过程或场景的双重实现。该方案通过综合各自算法的优势，形成互补，既利用了经典密码算法在现有系统中的成熟性和兼容性，又引入了抗量子密码算法以应对未来量子计算的挑战。混合过渡方案的提出背景在于：经典密码算法面临着量子计算的与时俱增的威胁，同时能够抵抗量子攻击的密码算法尚未出台。在这样一个特殊时间节点，混合过渡方案能够发挥重要作用。目前222、，NIST 抗量子密码算法标准 ML-KEM（FIPS 203）、ML-DSA（FIPS 204）及 SLH-DSA（FIPS 205）已于 2024 年 8 月发布，混合过渡方案依然具有存在的合理性与必要性，主要基于以下考虑：（1）混合过渡方案的目的是实现从传统密码系统到抗量子密码系统的平稳过渡。它旨在保护组织免受量子计算威胁，同时提供一个逐步采纳新技术的途径，确保在迁移过程中的安全性、兼容性和业务连续性。（2）混合过渡方案允许系统在逐步过渡到抗量子密码算法的同时，保持与现有基础设施的兼容性。抗量子密码迁移是一项复杂的工程，不可能一蹴而就。混合过渡方案正是这样一种分步骤、按计划的科学工程实施223、方案。（3）“知者行之始，行者知之成。”混合过渡方案不是等待抗量子密码算法、安全协议全部就绪再开始行动，可使系统较早具备一定的对抗 SNDL 攻击的能力，确保安全性。（4）混合过渡方案是在量子计算威胁成为现实之前，为组织提供一个可行的平稳过渡路径。混合过渡方案为后续迁移到纯抗量子密码方案提供一定的实践借鉴，积累经验教训，有助于降低后续迁移成本，避免一次性大规模迁移可能带来的风险。当然，作为中间过渡的策略，混合过渡方案也存在诸多不足：（1）复杂性增加。同时管理两种类型的密码算法可能增加系统的复杂性和管理难度。（2）性能影响。抗量子密码算法通常比经典密码算法计算复杂度更高，可能会影响系统的整体性能224、。抗量子密码技术与应用白皮书86（3）成本问题。开发、部署和维护混合过渡方案可能需要额外的资源和成本。（4）标准化挑战。可能存在抗量子密码标准滞后的问题，影响混合过渡方案的实施效果。综上所述，混合过渡方案是一种应对量子计算威胁的有效策略，通过结合抗量子密码算法和经典密码算法的优势，为信息系统的安全性和连续性提供了有力保障。混合过渡方案提供了一个可行的路径，帮助组织在保护现有投资的同时，为未来的量子安全做好准备。3.3.9.2 混合过渡方案设计混合过渡方案设计在构建混合过渡方案时，平衡抗量子密码算法的性能和兼容性是需要考虑的挑战，组织可通过以下策略来实现：（1）算法选择在我国抗量子密码算法标准正225、式发布前，可选择安全性经过充分评估的抗量子密码算法，如全国密码算法设计竞赛获奖算法 Aigis-sig、LAC.PKE、Aigis-enc 等，我国正在标准化进程中的基于 NTRU 的密钥封装机制、基于 SM3 的带状态数字签名算法，以及 NIST 抗量子密码标准算法 ML-KEM（FIPS 203）、ML-DSA（FIPS204）及 SLH-DSA（FIPS 205）等。（2）安全协议设计设计灵活的协议，允许在不影响安全性的前提下，根据系统需求和环境条件选择最合适的算法。设计安全的协议，确保混合过渡方案中的抗量子算法与传统算法能够无缝协作，同时防止潜在的安全漏洞。目前可参考的标准草案包括：M226、L-KEM Post-Quantum Key Agreement for TLS 1.3，2024 年 3 月。参见：https:/www.ietf.org/archive/id/draft-connolly-tls-mlkem-key-agreement-01.html RFC 9370 Multiple Key Exchanges in the Internet Key Exchange Protocol Version 2(IKEv2)，2023 年 5 月。参见：https:/www.rfc-editor.org/rfc/rfc9370.html RFC 9242 Intermedia227、te Exchange in the Internet Key Exchange Protocol抗量子密码技术与应用白皮书87Version 2(IKEv2)，2022 年 5 月。参见：https:/www.rfc-editor.org/rfc/rfc9242.html RFC 8784 Mixing Preshared Keys in the Internet Key Exchange ProtocolVersion 2(IKEv2)for Post-quantum Security，2020 年 6 月。参见：https:/www.rfc-editor.org/rfc/rfc8784.228、html Internet X.509 Public Key Infrastructure:Algorithm Identifiers for ML-DSA，2024 年 6 月。参见：https:/www.ietf.org/archive/id/draft-ietf-lamps-dilithium-certificates-04.html Internet X.509 Public Key Infrastructure-Algorithm Identifiers for Module-Lattice-Based Key-Encapsulation Mechanism(ML-KEM)，2024229、 年 3 月。参见：https:/datatracker.ietf.org/doc/draft-ietf-lamps-kyber-certificates/Mixing Preshared Keys in the IKE_INTERMEDIATE and in the CREATE_CHILD_SA Exchanges of IKEv2 for Post-quantum Security，2024 年 7月。参见：https:/www.ietf.org/archive/id/draft-ietf-ipsecme-ikev2-qr-alt-03.html External Keys For Us230、e In Internet X.509 Certificates，2024 年 4 月。参见：https:/www.ietf.org/archive/id/draft-ounsworth-lamps-pq-external-pubkeys-03.html X-Wing:general-purpose hybrid post-quantum KEM，2024 年 3 月。参见：https:/www.ietf.org/archive/id/draft-connolly-cfrg-xwing-kem-02.html Post-quantum Hybrid Key Exchange with ML-K231、EM in the Internet KeyExchange Protocol Version 2(IKEv2)，2024 年 3 月。参见：https:/www.ietf.org/archive/id/draft-kampanakis-ml-kem-ikev2-03.html X25519Kyber768Draft00 hybrid post-quantum key agreement，2023年9月。参见：https:/datatracker.ietf.org/doc/html/draft-tls-westerbaan-xyber768d00.3.3.9.3 典型混合过渡应用场景典型混合过232、渡应用场景典型混合过渡方案包括如下应用场景：（1）混合密钥封装抗量子密码技术与应用白皮书88密钥封装机制（Key encapsulation mechanism,KEM）是一种将密钥安全地传输给接收方的方法，使其能够解密消息。在混合方案中，结合使用经典和抗量子算法来增强密钥封装的安全性。经典 KEM：如基于椭圆曲线上的离散对数问题的 ECDH。抗量子 KEM：如基于格基密码学的 Kyber，能够抵抗量子计算机的攻击。具体实现流程如下：密钥生成：发送方和接收方各自生成一对经典密钥对和一对抗量子密钥对。密钥交换：发送方将经典和抗量子公钥以安全方式发送给接收方。密钥派生：接收方使用其私钥和发送方的公233、钥，通过密钥派生函数（KDF）生成两个共享密钥。密钥验证：通过交换密钥验证消息来确保密钥派生的正确性。实现效果分析：安全性：通过结合经典和抗量子算法，密钥封装的安全性得到显著增强，能够抵抗量子计算机的攻击。性能：抗量子算法可能在性能上不如经典算法，但通过优化实现和硬件加速，可以减少延迟和资源消耗。兼容性：混合方案需要确保与现有系统的兼容性，可能需要额外的适配层或中间件。安全性分析：密钥安全性：密钥派生过程中使用的 KDF 必须足够安全，能够抵抗各种已知的攻击。算法安全性：定期对使用的抗量子和经典算法进行安全评估，以应对新的攻击手段。协议安全性：分析和测试协议的安全性，确保没有引入新的漏洞。（2234、）混合 TLS（Transport Layer Security）在 TLS 中引入抗量子密码与经典密码的混合过渡方案，主要目的是在保持现有 TLS 协议兼容性的同时，增强对未来量子计算攻击的抵抗能力。这种方案通常涉及在 TLS 握手过程中使用 PQC 算法来协商会话密钥，而数据传输则继续使用经典对称密码算法进行加密。抗量子密码技术与应用白皮书89具体实现流程如下：协议扩展：首先需要对 TLS 协议进行扩展，以支持 PQC 算法。这包括定义新的密码套件及其对象标识（OID），这些套件结合了 PQC 密钥交换协议（如基于格的 Kyber）和经典对称密码算法。握手过程：客户端和服务器在 TLS 握235、手过程中协商使用支持 PQC 的密码套件。双方使用 PQC 密钥交换协议生成一个共享的会话密钥。这个过程中，PQC 算法的安全性确保即使存在量子计算威胁，会话密钥也不易被破解。双方确认会话密钥后，使用经典的对称密码算法（如 AES、SM4）和会话密钥来加密和解密后续传输的数据。数据传输：一旦会话密钥被成功协商和确认，客户端和服务器就可以使用AES、SM4 等对称密码算法来加密和解密传输的数据，保持数据传输的高效性和安全性。实现效果分析：增强安全性：通过引入 PQC 算法，增强了 TLS 协议对未来量子计算攻击的抵抗能力。保持兼容性：混合过渡方案保持了与现有 TLS 协议的兼容性，使得升级过程更236、加平滑。安全性分析：双重保护：PQC 和经典密码的结合使用提供了双重保护，即使面临量子计算威胁，也能确保会话密钥的安全性。持续评估：PQC 算法的安全性需要持续评估和更新，以确保其长期有效性。（3）混合 SSH（Secure Shell）SSH 的增强与 TLS 类似，通过在 SSH 握手过程中引入 PQC 算法来协商会话密钥，从而增强对未来量子计算攻击的抵抗能力。SSH 协议本身支持多种认证和加密方法，因此混合过渡方案可以较为容易地集成到 SSH 中。具体实现流程如下：协议扩展：对 SSH 协议进行扩展（包括定义算法对象标识（OID），以抗量子密码技术与应用白皮书90支持新的基于 PQC 的237、密钥交换方法。握手过程：客户端和服务器在 SSH 握手过程中协商使用支持 PQC 的密钥交换方法。双方使用 PQC 算法生成共享的会话密钥。双方确认会话密钥后，使用经典的对称密码算法加密和解密后续传输的数据。认证与数据传输：在会话密钥协商完成后，客户端和服务器可以进行用户认证和数据传输，使用会话密钥保护传输的数据。与 TLS 类似，该方法增强 SSH 的安全性并具兼容性，以提供对未来量子计算攻击的防御能力。（4）混合 IPSec（Internet Protocol Security）IPSec 是一种网络层安全协议，它提供数据完整性、认证和加密服务。在 IPSec中引入 PQC 与经典密码的混238、合过渡方案，可以增强虚拟专用网络（VPN）等应用场景的安全性。具体实现流程如下：协议配置：在 IPSec 配置中指定使用支持 PQC 的密钥交换协议（如 Internet密钥交换协议 IKE 与 PQC 算法结合）。IKE 握手过程：双方通过 IKE 进行握手，协商使用的 PQC 算法。使用 PQC 算法生成共享的安全关联（SA）密钥。数据传输：使用协商好的 SA 密钥，结合经典对称密码算法（如 AES、SM4）来加密和解密 IPSec 隧道中传输的数据。实现效果分析：增强 VPN 安全性：通过引入 PQC 算法，增强了 VPN 连接对未来量子计算攻击的抵抗能力。保持网络性能：数据传输加密仍使239、用高效的对称密码算法，不会导致网络性能显著下降。安全性分析：抗量子密码技术与应用白皮书91 量子安全性：PQC 算法确保 SA 密钥即使在量子计算环境下也保持安全。互操作性：混合过渡方案需要确保不同设备和供应商之间的互操作性，以便顺利部署和实施。（5）混合数字签名混合数字签名方案结合使用经典和抗量子签名算法，减缓量子计算攻击的威胁。混合数字签名具有算法灵活性和向后兼容性特点，允许系统根据安全需求和性能考虑选择合适的签名算法，并确保新系统能够与传统系统无缝协作。具体实现流程如下：密钥生成：使用经典算法（如 RSA 或 ECDSA）和抗量子算法（如 Dilithium）分别生成一对密钥，即生成一对240、经典密钥对和一对抗量子密钥对。签名生成：对于需要签名的消息 m，使用两种算法分别生成数字签名。签名验证：接收方收到消息 m 和两份数字签名后，使用相应的公钥分别对相应的数字签名进行验证。验证结果：如果两份数字签名验证都通过，消息 m 被认为是有效的；在未部署抗量子密码算法的节点，可考虑仅验证经典算法生成的数字签名。实现效果分析：安全性：通过结合经典算法和抗量子算法，显著提高了数字签名的安全性，能够抵抗量子计算机的攻击。性能：抗量子算法可能在性能上不如经典算法，但通过优化实现和选择合适的算法可以减少延迟和资源消耗。兼容性：混合方案需要确保与现有系统的兼容性，可能需要额外的适配层或中间件。安全性分241、析：密钥安全性：密钥生成和存储过程必须安全，防止密钥泄露或被破解。算法安全性：定期对使用的抗量子和经典算法进行安全评估，以应对新的攻击手段。协议安全性：分析和测试协议的安全性，确保没有引入新的漏洞。混合数字签名的优势：前向安全性：即使经典算法在未来被量子计算机破解，抗量子算法仍能保抗量子密码技术与应用白皮书92证数字签名的有效性和安全性。抗量子攻击：抗量子算法的设计能减缓抗量子计算机的攻击。灵活性和选择性：组织可以根据风险评估和安全策略，选择合适的数字签名算法组合。混合数字签名的挑战：实现复杂性：需要同时维护两套数字签名系统，增加了系统的复杂性和管理负担。性能权衡：抗量子算法可能需要更多的计算242、资源和时间，影响系统的整体性能。标准化进程：我国抗量子密码算法的标准化仍在进行中，缺乏统一的标准可能会影响混合方案的实施和互操作性。（6）混合数字证书增强的 PKI 体系通过引入抗量子密码学算法来升级现有的公钥基础设施，以应对量子计算的威胁。这包括在证书生成、分发、验证和撤销等各个环节中集成PQC 算法，确保整个 PKI 体系的安全性。证书生成：使用 PQC 算法生成密钥对，并在数字证书中包含基于 PQC 的签名。证书分发：建立安全的数字证书分发渠道，确保数字证书在传输过程中不被替换或篡改。证书验证：验证方使用 PQC 公钥验证数字证书中的签名，并检查数字证书的有效性和撤销状态。证书撤销：建立243、基于 PQC 的数字证书撤销列表（CRL）或在线数字证书状态协议（OCSP），以确保数字证书在泄露或私钥被破解时能够被及时撤销。混合数字证书结合了经典密码学（如 RSA、ECC）和抗量子密码学（PQC）的优点，旨在提供在量子计算威胁下的增强安全性。其核心思想是在一个数字证书中同时包含基于经典密码学的签名和基于抗量子密码学的签名，以确保即使量子计算机能够破解经典签名，抗量子签名仍能提供保护。具体实现方法包括：抗量子密码技术与应用白皮书93 经典签名：使用现有的公钥基础设施（PKI）中的经典算法（如 RSA 或 ECC）生成数字签名，确保与现有系统的兼容性。抗量子签名：使用 PQC 算法生成额外的244、数字签名，以减缓量子计算的攻击。具体实现流程包括：生成密钥对：用户同时生成一对经典密钥对（如 RSA 密钥对）和一对抗量子密钥对（如 Dilithium 密钥对）。证书生成请求：用户向证书颁发机构（CA）提交证书生成请求（CSR），该请求包含用户的公钥信息。证书签发：CA 使用其经典私钥对用户的公钥和数字证书信息进行签名，生成经典签名；CA 同时使用其 PQC 私钥对用户的公钥和数字证书信息进行签名，生成抗量子签名。这样，经典签名和抗量子签名均包含在数字证书中。证书分发：CA 将包含混合签名的数字证书分发给用户。证书验证：验证方使用 CA 的经典公钥验证数字证书中的经典签名；同时，验证方使用 245、CA 的 PQC 公钥验证数字证书中的抗量子签名。实现效果分析：增强安全性：即使量子计算机能够破解经典签名，抗量子签名仍然能够减缓量子计算的攻击。兼容性：由于同时包含经典签名，混合数字证书能够与现有的 PKI 体系无缝兼容，减少迁移成本。灵活性：随着 PQC 算法的成熟和标准化，可逐步迁移到纯抗量子密码体系。安全性分析：经典签名算法的安全性：尽管面临量子计算的威胁，但经典签名算法（如RSA、ECC）在可预见的有限时间内仍将安全。PQC 算法的安全性：PQC 算法需要经过严格的安全性评估和标准化过程，以确保其能够抵抗量子计算的攻击。密钥管理：密钥的安全存储和管理对于防止私钥泄露至关重要。证书撤销246、机制：在证书被泄露或私钥被破解的情况下，需要有有效的证书抗量子密码技术与应用白皮书94撤销机制来防止证书被滥用。3.3.9.4 与量子密钥分发及量子随机数的协同方案与量子密钥分发及量子随机数的协同方案在抗量子密码迁移实践中，可以考虑实现与量子密钥分发（QKD）系统及量子随机数发生器（QRNG）的协同方案。如 QKD 可用于本地数据库与重要备份或异地灾备系统的安全通信过程中。抗量子密码算法设计用来抵抗量子计算机的攻击，它们基于一些被认为量子计算机难以高效解决的数学问题。量子密钥分发利用量子力学原理，特别是量子纠缠和量子不可克隆定理，在通信双方之间实现密钥的安全分发。由于量子态的不可克隆性和测量扰247、动性，QKD能够提供信息论上的安全的密钥交换方法。量子随机数利用量子力学中的随机性来生成高质量的随机数，这些随机数在密码学应用中至关重要，因为它们确保了随机数的不可预测性。这些随机数在密码学中用于密钥生成、加密和数字签名等。可以考虑将抗量子密码用于具备常规信息系统（具备常规的网络、计算机能力），而 QKD 则用于少量具备外接 QKD 线路接口的重点节点的密钥分发，而且在保护数据时，可以同时结合二者的密钥。同时，QRNG 为整个系统提供高质量的随机数支持，增强系统的安全性。具体设计流程包括：系统设计与规划：分析现有信息系统的安全需求，确定需要保护的关键数据和通信链路；设计混合过渡方案的整体架构，248、包括抗量子密码算法的选择、QKD 系统的部署位置以及 QRNG 的集成方式。抗量子密码算法部署：在需要长期保护的数据存储系统和密钥管理系统中部署抗量子密码算法；对现有系统进行升级，以支持抗量子密码算法的运行和密钥管理。QKD 系统部署：在通信双方之间部署 QKD 系统，确保密钥的安全分发。QRNG 集成：将 QRNG 集成到密码学应用中，为密钥生成、加密和数字签名过程提供高质量的随机数；对 QRNG 进行定期验证，确保其生成的随机数满足安全要求。抗量子密码技术与应用白皮书95 混合加密策略实施：制定混合加密策略，结合抗量子密码和经典密码的优势，对关键数据进行加密保护；在数据传输过程中，利用 Q249、KD 实时分发密钥，并利用抗量子密码对长期密钥进行保护。系统测试与评估：对混合过渡方案进行全面测试，评估其性能、稳定性和安全性；根据测试结果对方案进行优化和改进。实现效果分析：增强安全性：通过结合抗量子密码、QKD 和 QRNG，混合过渡方案能够显著提升信息系统的安全性，有效抵御量子计算的潜在威胁。保障连续性：在密码分析相关量子计算机可用之前，混合过渡方案能确保信息系统的连续性和稳定性，避免因算法升级或系统更换而导致的服务中断。灵活性与可扩展性：混合过渡方案具有良好的灵活性和可扩展性，可根据实际需求调整抗量子密码算法、QKD 系统和 QRNG 的配置，以适应不同的应用场景和安全需求。安全性分析250、：算法安全性：抗量子密码算法能有效减缓量子计算的攻击。密钥分发安全性：QKD 基于量子力学原理分发密钥，能够提供信息论上的安全保证，即密钥分发过程中不会泄露任何信息。随机数质量：QRNG 生成的随机数具有高质量和高不可预测性，为加密过程提供了坚实的基础。混合加密策略：结合抗量子密码和经典密码的混合加密策略能够实现双重安全保障，在抵御量子攻击的同时保持与现有系统的兼容性。综上所述，混合过渡方案通过结合抗量子密码、QKD 和 QRNG 的优势，构建了一个既安全又可持续的信息系统。该方案不仅能够有效抵御量子计算的潜在威胁，还能够保障信息系统的连续性和稳定性。随着量子技术的不断发展，混合过渡方案将成为251、未来信息系统安全的重要保障。抗量子密码技术与应用白皮书964 应用篇应用篇“学以致用学以致用。”-送薛仲章之宪司书吏序送薛仲章之宪司书吏序抗量子密码技术与应用白皮书97“知行相资以为用知行相资以为用，唯其各有致功唯其各有致功，而亦各有其效而亦各有其效，故相资以互用故相资以互用。”-王王夫之礼记章句夫之礼记章句中庸衍中庸衍随着量子计算技术的不断进步，传统密码学面临着严峻的挑战。特别是在政务、金融、通信、能源等关键领域，信息安全的保障变得尤为重要。在这些领域中，现有的密码算法可能在量子计算机面前存在脆弱性，从而危及敏感数据甚至整个业务系统的安全性。因此，抗量子密码产品的研发和应用显得尤为迫切。金融252、领域的密码产品改进必须紧跟量子计算发展的步伐。银行和证券系统依赖于现有的密码算法来保护交易数据和客户信息。为应对量子威胁，我们需要开发和验证抗量子密码产品，以确保交易安全和数据隐私。通过抗量子密码技术的试点应用，识别并解决实际应用中的问题，提升金融系统的安全性和稳定性。在通信领域，通信加密是保护用户隐私和国家安全的核心。试点应用抗量子密码技术不仅能够检测其在现实环境中的性能，还能验证其在不同通信协议和网络架构中的兼容性。这将帮助我们优化抗量子密码应用方案，确保通信内容的保密性和完整性。电力领域中的智能电网和能源管理系统同样面临量子计算的挑战。抗量子密码技术的应用试点将有助于评估其在保护电网数据253、和控制指令方面的有效性。通过实地测试，我们可以改进技术细节，增强系统的安全性，确保电力基础设施的安全稳定运行。总之，抗量子密码的产品改进和技术验证至关重要。通过在金融、通信和电力等领域的试点应用，我们能够更好地理解其实际效果，优化技术方案，完善技术标准，提升密码产品，从而为未来的安全挑战做好充分准备。这不仅有助于保护当前的信息系统，还为应对量子计算带来的新威胁提供了坚实的技术保障。4.1 手机银行系统抗量子密码应用方案手机银行系统抗量子密码应用方案手机银行是银行利用智能手机、PAD 和其他移动设备等实现用户与银行对接，为用户提供金融服务，允许用户进行账户管理、转账汇款、支付结算、贷款管理等抗量254、子密码技术与应用白皮书98多种操作。手机银行系统具备高度的便捷性和实时性，使用户能够随时随地处理金融事务，还通过多重身份验证、数据加密、协同签名等技术，确保用户资金安全。4.1.1 现状分析现状分析手机银行作为银行业务的移动端延伸，不可避免地会暴露在互联网环境中，需要应对各种网络安全挑战与威胁。一旦手机银行系统遭受攻击或数据泄露，将会导致客户资产损失。当前银行业手机银行密码应用现状如下：图 4-1 手机银行密码应用现状手机银行使用的密码产品与密码算法如表 4-1 所示。表 4-1 手机银行密码产品与密码算法使用现状使用对象使用对象密码产品密码产品密码算法密码算法手机银行系统SSL 安全网关SM255、2、SM3、SM4密码服务平台SM2、SM3、SM4金融数据密码机SM2、SM3、SM4手机银行 APP智能终端密码模块SM2、SM3、SM4手机银行使用的密码技术及其流程如表 4-2 所示。表 4-2 手机银行密码技术应用现状密码技术密码技术流程描述流程描述用户身份鉴别手机银行身份鉴别是采用双因素认证机制，一般模式是静态口令+动态认证码或生物特征识别。手机银行 APP 调用智能终端密码模块，以抗量子密码技术与应用白皮书99数字信封方式对手机银行 APP 中的静态密码、短信认证码进行加密保护，手机银行系统调用密码服务平台/密码机进行验证。传输通道加密手机银行 APP 与银行系统侧 SSL 安全256、网关建立链路通道，对手机银行交易的传输通道进行机密性和完整性保护。交易抗抵赖性对于大额转账的需求，非同名转账单日累计金额超过 5 万元，采用了数字签名等安全可靠的支付指令验证方式，即手机银行 APP 调用智能终端密码模块进行签名，银行系统侧进行验签，从而保障交易过程不可抵赖性。报文传输加密手机银行 APP 调用智能终端密码模块，通过数字信封密码技术对交易数据进行机密性、完整性保护，银行系统侧调用密码服务平台/密码机进行完整性校验、数据解密。以上密码技术中使用的密码算法面临着量子计算的威胁。因此，加强手机银行的安全性视为一项紧迫而重要的任务。4.1.2 迁移方案迁移方案（1）迁移思路）迁移思路在257、手机银行现有密码体系的基础上，引入抗量子密码算法，增强手机银行交易的安全性，在整个迁移进程中，支持抗量子密码算法与现有密码算法并行使用，实现向抗量子密码算法的平滑过渡，不影响手机银行业务交易的正常运行。（2）迁移范围）迁移范围表 4-3 手机银行抗量子密码迁移范围使用对象使用对象原密码产品原密码产品升级产品升级产品支持的抗量子密码算法支持的抗量子密码算法手机银行系统SSL 安全网关升级同时支持抗量子抗量子 SSL安全网关安全网关Kyber、Dillithium、SPHINCS+、FALCON、Aigis-enc、Aigis-sig、LAC.PKE密码服务平台升级同时支持抗量子密码抗量子密码服务258、平台服务平台Kyber、Dillithium、SPHINCS+、FALCON、Aigis-enc、Aigis-sig、抗量子密码技术与应用白皮书100LAC.PKE金融数据密码机增加支持抗量子金融数据抗量子金融数据密码机密码机Kyber、Dillithium、SPHINCS+、FALCON、Aigis-enc、Aigis-sig、LAC.PKE手机银行 APP智能终端密码模块升级同时支持抗量子智能支持抗量子智能终端密码模块终端密码模块Kyber、Dillithium、SPHINCS+、FALCON、Aigis-enc、Aigis-sig、LAC.PKE（3）方案描述）方案描述手机银行迁移抗量子259、密码算法后的总体架构如图 4-3 所示，其中密码系统组成包括：抗量子密码服务平台抗量子密码服务平台：同时支持国密算法、抗量子密码算法，兼容原密码服务平台国密服务功能。抗量子金融数据密码机抗量子金融数据密码机：同时支持国密算法、抗量子密码算法。原金融数据密码机原金融数据密码机：支持国密算法，属于手机银行使用的原密码机。抗量子抗量子 SSL 安全网关安全网关：同时支持国密算法、抗量子密码算法，兼容原 SSL安全网关功能。抗量子智能终端密码模块抗量子智能终端密码模块：支持国密算法、抗量子密码算法，兼容原智能终端密码模块国密服务功能。抗量子密码技术与应用白皮书101图 4-2 手机银行抗量子密码迁移总260、体架构引入抗量子密码算法后，手机银行的安全流程描述如下：用户身份鉴别用户身份鉴别手机银行 APP 新版本集成抗量子智能终端密码模块，通过抗量子密码算法对手机银行 APP 中的静态密码、短信认证码进行加密保护，手机银行系统调用抗量子密码服务平台或抗量子密码机进行验证。传输通道加密传输通道加密抗量子 SSL 安全网关同时支持国密算法与抗量子密码算法，根据手机银行 APP新旧版本自动适配。交易抗抵赖性交易抗抵赖性涉及大于 5 万元的大额支付，手机银行 APP 新版本调用抗量子智能终端密码模块进行混合签名（国密算法+抗量子算法），手机银行系统调用抗量子密码服务平台完成验签。报文传输加密报文传输加密手机261、银行 APP 新版本调用抗量子智能终端密码模块，通过抗量子密码算法对交易数据进行保护，手机银行系统调用抗量子密码服务平台或抗量子密码机进行完整性校验、数据解密处理。结合手机银行业务特点，秉持平滑过渡原则，对于还未升级改造的手机银行APP 旧版本，在身份鉴别、传输通道、交易抗抵赖、报文传输加密方面继续采用抗量子密码技术与应用白皮书102原国密算法，银行系统侧使用同等密码算法进行处理。在手机银行系统中通过混合密码方案，对当前系统中的密码产品进行替换，使终端侧和平台侧逐步实现对抗量子密码体系的支持，既不影响业务的连续性，也完成了体系化的安全升级。4.2 证券网上交易系统抗量子密码应用方案证券网上交易262、系统抗量子密码应用方案证券网上交易系统是投资者通过互联网完成相关证券交易业务的通道，承载的业务主要包括证券 AB 股业务、债券业务、开放式基金业等，也是目前证券公司面向投资者展业的主要途径之一。网上交易系统主要分为投资者客户端和接入服务区两个部分，以互联网作为主要通信信道承载行情推送、委托指令下单、操作查询等业务功能。4.2.1 现状分析现状分析目前密码的应用实施主要集中在安全信道和身份鉴别两个方面，其中安全信道既实现在通信前通信双方实体的身份鉴别，也实现传输通道内的数据机密性、完整性保护，投资者身份鉴别采用资金账号+口令并结合数字签名的方式实现，如下图所示。图 4-3 证券网上交易系统 PK263、I 密码应用面对量子计算的威胁，需要解决网上交易系统的 SSL 协议中数字签名、公私钥加解密安全和身份鉴别过程中的数字签名安全。抗量子密码技术与应用白皮书1034.2.2 迁移方案迁移方案我们充分调研现有抗量子密码算法，在密钥封装、数字签名、密钥交换和构造密码应用等方面，充分研究抗量子密码算法的密钥尺寸、计算速度和通信开销等内容。抗量子密码算法替换现有的公私钥算法后，相应的密码模块和密码产品同步要支持抗量子密码运算的能力，包括抗量子协同签名系统、抗量子 SSL 网关、抗量子密钥管理系统和抗量子数字证书系统(CA)。实现抗量子算法的网上交易系统改造后如下图所示。图 4-4 网上交易系统抗量子密码264、应用在证券网上交易系统中使用了全系列抗量子密码产品，并采用混合密码方案，实现了身份鉴别、安全通信、交易签名等重要密码使用场景的安全升级。4.3 证券集中交易系统抗量子密码应用方案证券集中交易系统抗量子密码应用方案证券集中交易是区别于非集中交易而言的，是指证券在证券交易所以公开、集中的方式进行买卖的交易方式，是证券流通的主要途径和证券交易的核心。集中交易系统的接入终端主要是网上交易服务端、柜员管理端。投资者通过网上交易服务端将请求发送到集中交易系统，集中交易系统通过业务逻辑合法性校验后，存储委托信息，后续按照交易所、银行等不同机构规定的技术协议将委托数据报送至对应的上游机构并接收回报数据。该业务265、链路涉及信息主要有：客户口令、客户个人信息、委托信息，其中客户口令、客户资料含敏感信息。证券公司柜员通过柜员管理抗量子密码技术与应用白皮书104端接入到集中交易系统，维护客户资料、系统运行参数等，其中柜员口令、客户资料含敏感信息。4.3.1 现状分析现状分析集中交易系统分为内网办公区、渠道服务区、营业部区、核心服务区和运维管理区几个网络区域，根据集中交易系统的部署方式和实现业务功能，集中交易系统应用部署架构如下图所示。图 4-5 集中交易系统网络拓扑集中交易核心系统是证券行业最为关键的业务应用领域，加强系统自身对于密码技术的安全使用，确保物理和环境安全、网络和通信安全、设备和计算安全、应用和数266、据安全具有高度的复杂性、紧迫性和挑战性。涉及到非对称密码算法的安全需求包括：物理和环境安全中的监控记录、视频完整性保护过程如果采用了现有的公钥密码技术则需要更新为抗量子密码算法；抗量子密码技术与应用白皮书105 网络和通信安全中的身份鉴别过程、网络认证协议中的公钥密码算法需要更新为抗量子密码算法；设备和计算安全中的中间件、交易程序、接入认证程序等重要可执行程序需要进行完整性保护和来源有效性认证，以上过程中如果采用现有的公钥密码算法实现则更新为抗量子密码算法；应用和数据安全中网上交易服务、柜员身份鉴别过程中如果采用了现有的公钥密码算法则需要更新为抗量子密码算法。4.3.2 迁移方案迁移方案我们发267、挥自身在密码芯片、密码板卡、密码整机等产品侧优势，结合在抗量子方向的技术研究对集中交易系统的关键业务节点进行改造调整，替换和完善抗量子密码的应用。系统抗量子密码应用技术整体框架包含：密码资源层、密码支撑层、密码服务层和密码应用层，通过正确部署密码产品来满足本系统的密码应用需求，如下图所示。图 4-6 集中交易密码实施架构对应到密码应用需求，密码支撑层部署实施的主要产品和作用如下：抗量子密码服务平台提供所有密码设备的统一管控和资源分配，对上层提供统一密码服务；抗量子 CA 提供基于抗量子技术的数字证书签发和管理服务；抗量子密码技术与应用白皮书106抗量子密码机提供现有可用的 SM4 等对称运算能268、力，SM3 哈希运算能力和抗量子密码运算能力；抗量子密钥管理系统对系统内各类密钥、用户 PIN 等信息统一管理；主机文件保护系统提供对各类型服务器内文件的完整性保护能力；抗量子 SSL VPN 采用抗量子密码算法实现安全网络协议，提供身份鉴别和传输数据保护能力；抗量子视频监控一体机提供基于抗量子密码算法实现对监控音视频进行透明化签名的完整性保护能力；安全电子门禁实现对机房区域进出人员身份鉴别和记录的完整性保护能力。4.4 移动通信移动通信 4A 系统抗量子密码应用方案系统抗量子密码应用方案4A 统一安全管理平台是一个以身份为中心，实现帐号、认证、授权和审计统一管控的安全访问平台。它可为移动网络269、系统提供综合安全防护，其核心目的是提高系统的安全性、管理效率和用户访问的便捷性。其核心包括账号（Account）管理、认证（Authentication）管理、授权（Authorization）管理和安全审计（Audit）。这一系统为企业 IT 系统提供综合安全防护，通过集中的帐号管理、身份认证、授权管理和安全审计等功能，为企业提供强健的、基于统一策略的解决方案，解决企业内控等问题，降低管理成本，提高系统安全性和政策符合性。抗量子密码技术与应用白皮书107图 4-7 4A 系统网络拓扑图4.4.1 现状分析现状分析移动通信 4A 系统目前已经依据 GB/T 39786-2021 信息安全技术 270、信息系统密码应用基本要求 安全三级指标要求进行建设，采用密码技术的机密性功能来实现鉴别信息的防窃听需满足要求中网络和通信安全的身份鉴别、访问控制信息完整性、通信数据完整性、通信数据机密性和集中管理通道安全的相关要求，密码应用保障框架设计如下：抗量子密码技术与应用白皮书108图 4-8 4A 系统密码应用保障框架目前，量子计算给现有密码技术应用体系带来巨大威胁，总体来看，量子计算对公钥密码算法威胁较大，给当前 4A 系统密码应用安全构成一定威胁。因此，使用抗量子密码技术显得尤为重要，以保护系统的安全。4.4.2 迁移方案迁移方案我们将抗量子密码技术应用于实际产品中，实现了抵御“量子威胁”的特性。271、在4A 系统现有密码体系的技术上，引入抗量子密码算法，采用抗量子产品体系，逐步实现从传统密码算法迁移到抗量子密码的算法过程，增强用户身份鉴别的安全性，实现系统重要数据传输、存储的安全性。抗量子密码技术与应用白皮书109图 4-9 4A 系统抗量子密码迁移架构抗量子密码算法替换现有的密码算法后，相应密码产品需支持抗量子密码运算的能力，包括抗量子密码服务平台、抗量子 IPSec/SSL VPN 网关、抗量子智能密码模块和抗量子数字证书系统，实现 4A 系统抗量子密码平滑迁移。4.5 移动通信移动通信 OMC 系统抗量子密码应用方案系统抗量子密码应用方案电信核心网操作维护中心 OMC 在电信管理网络272、体系结构中负责网元的管理，具有集中的故障管理、配置管理、性能管理、安全管理及集中的操作维护功能，同时向网络层网管系统提供北向接口功能，是电信运营维护系统的基石，在保证电信网络的稳定性和可靠性方面起着重要的作用。4.5.1 现状分析现状分析OMC 网管一般部署在网络云上，采用虚拟化方式部署，部署在网管区域。用户通过 4A 系统身份鉴别后，在堡垒机上采用 BS 模式访问 OMC 网管，对网元进行集中管理。目前针对于 OMC 系统的密码应用主要集中在安全通道层面和 OMC 网管重要数据（用户口令、控制指令、操作日志）安全存储层面，其中安全通道采取在堡垒抗量子密码技术与应用白皮书110机上部署国密浏览273、器结合 OMC 系统前部署的 SSLVPN 安全网关实现，重要数据存储采用调用密码服务平台加解密和完整性接口实现。4.5.2 迁移方案迁移方案抗量子密码迁移意味着所有密码产品系统均需进行升级，包括密码服务平台、云服务器密码机、签名验签服务器、密钥管理系统、数字证书认证系统、VPN 安全网关等密码产品需要全面更换。图 4-10 移动通信 OMC 系统抗量子密码迁移过程在 OMC 系统中使用抗量子密码产品，实现了安全通信、重要数据加密存储等重要密码使用场景的安全升级。1、在堡垒机上安装国密浏览器，与 OMC 前部署的抗量子 VPN 安全网关建立GMSSL 通道，实现堡垒机到 OMC 之间数据安全传274、输。2、OMC 系统调用抗量子密码服务平台的密码能力（调用抗量子云服务器密码机），实现重要数据存储的机密性和完整性保护。3、采用抗量子签名验签服务器完成系统签名验签工作。4、采用抗量子密钥管理系统完成系统中密钥的全生命周期管理。5、采用抗量子数字证书系统完成系统所用证书的全生命周期管理。4.6 电力监控系统抗量子密码应用方案电力监控系统抗量子密码应用方案电力监控系统是电力系统中用于实时监控、管理和调度的重要组成部分，其主要功能包括实时数据采集与监控、故障检测与报警、数据分析与预测、远程控制与抗量子密码技术与应用白皮书111调度以及历史数据存储与管理。系统通过从各个发电、输电和配电设备中采集实时275、数据，包括电压、电流、功率和频率等参数，对电力系统的运行状态进行全面监控。故障检测与报警功能能够及时发现系统中的故障，并通过报警系统通知相关人员，快速采取措施进行处理，减少电力中断和损失。数据分析与预测功能则对采集的数据进行深入分析，预测电力需求和设备运行状态，为调度决策提供科学依据。远程控制与调度功能通过控制系统，实现对电力设备的远程操作和调度，优化电力资源配置，提高系统运行效率。历史数据存储与管理功能则负责保存和管理历史数据，支持后续的分析和决策。电力监控系统的主要特点包括高可靠性、高实时性、高安全性和可扩展性。系统需要 7x24 小时不间断运行，确保电力系统的安全稳定。数据采集和处理要求276、具有高度的实时性，保证监控和调度的及时性。为了保护系统数据的机密性、完整性和可用性，系统采用了多层次的安全防护措施，防止数据泄露和篡改。此外，系统还支持灵活的扩展，以适应未来电力系统的发展和不断变化的需求。这些功能和特点共同确保了电力监控系统能够在复杂多变的电力环境中稳定高效地运行。4.6.1 现状分析现状分析电力监控系统的实时监控和调度需要大量的实时数据传输，包括电力实时指令类数据、用电采集数据和营销管理数据等，数据传输涉及电力调度数据网、综合数据网的“云、管、边、端”各个环节，整体呈现出网络边界和网络区域复杂、数据实时性要求较高等特点，并且随着国家快速发展新能源整体战略，增加了电力系统端侧277、设备接入数量，电力涉控、涉敏数据一旦被截获或篡改，可能导致控制指令的错误下发，影响电力系统的稳定运行，甚至引发大范围的电力中断。同时，电力生产及用电数据对国家电力基础设施的运营决策起到关键性作用，采用商用密码技术对电力监控系统防护成为必要手段。目前电力监控系统广泛使用对称密码算法和公钥密码算法来确保数据传输和存储的安全。电力监控系统通过纵向加密认证装置实现上下级主站、电网和电厂之间通信双方身份鉴别，通过安全认证设备实现物联终端到主站安全接入区之间的接入认证和数据安全传输，通过服务器密码机为电力监控系统采集和控制指令数据提供存储机密性和完整性保护。随着量子计算技术的发展，传统的密码算法在电力复杂278、的网络结构和海量的终抗量子密码技术与应用白皮书112端侧设备接入场景下将面临更高的风险。电力监控系统作为电力系统的核心，因此需要研究抗量子密码技术与电力基础设施的融合，保护电力生产数据、运营管理数据全生命周期的机密性和完整性，保障关键信息基础设施在量子时代的安全性，确保电力系统的安全和稳定运行。4.6.2 迁移方案迁移方案电力监控系统具有高实时性和高安全性等业务特点，为了确保业务的可靠运行，通过在现有密码产品中增加抗量子密码模块，提供具有抗量子密码能力的密码产品，在业务应用过程中采用传统密码算法和抗量子密码算法双体系并行的混合模式，实现电力监控系统业务的平滑过渡和系统的稳定运行。图 4-11 279、电力系统抗量子密码产品迁移架构（1）安全传输通信迁移安全传输通信迁移电力监控系统与发电厂、各类业务终端之间的数据传输通过纵向加密认证装置、抗量子密码技术与应用白皮书113安全认证网关实现通信实体的身份认证和数据传输过程中的机密性完整性保护。迁移过程中首先由抗量子密码模块实现通信双方的双向认证和密钥协商，实现与现有安全传输协议的兼容；然后，将抗量子密码协议集成到现有纵向加密认证装置、安全认证网关密码产品中。在电力系统中上传采集数据和下发指令数据时，抗量子密码产品采用抗量子密码安全传输协议与传统密码安全传输协议同时兼容的业务模式，实现电力监控系统抗量子密码应用的平滑过渡和系统的安全稳定运行。（2）280、用户身份用户身份鉴别鉴别迁移迁移现有电力监控系统在身份鉴别与访问控制方面使用基于 SM2 算法的智能密码钥匙。为了提高系统的安全性，通过抗量子密码模块与现有智能密码钥匙、服务器密码机产品相结合，提供具有抗量子能力的密码产品。在迁移过程中，引入基于抗量子密码技术的智能密码钥匙和服务器密码机，确保电力监控系统用户登陆时身份鉴别和访问控制的安全性。抗量子密码产品结合了传统的 SM2 算法和抗量子密码算法，在过渡期间同时支持传统和抗量子签名技术，确保系统内所有设备和用户的身份鉴别安全。在电力监控系统中，主要通过部署抗量子密码产品解决身份鉴别和安全通信的密码应用需求，也为将来在电力领域中其他业务系统的抗281、量子密码方案迁移提供有价值的示范作用。抗量子密码技术与应用白皮书1145 展望篇展望篇“极往知来极往知来。”-迎长日赋迎长日赋抗量子密码技术与应用白皮书115“不谋万世者，不足谋一时；不谋全局者，不足谋一域。不谋万世者，不足谋一时；不谋全局者，不足谋一域。”-陈澹然陈澹然迁都建迁都建藩议藩议随着量子计算技术的不断进步，尤其是量子比特稳定性和纠错能力的提升，量子计算对经典密码体系的威胁日益严峻，抗量子密码（Quantum-resistantCryptography,Post-quantum Cryptography,PQC）技术的重要性更加凸显，如何构建面向未来的量子安全密码框架尤为迫切。各国政282、府和国际组织正在积极推动抗量子密码技术的标准化进程，科研机构到商业公司亦在竞相研发更加高效、安全的抗量子密码产品与系统，为应用系统迁移到抗量子密码做好准备。抗量子密码技术正处于从技术突破向产业应用过渡的关键时期，其发展态势十分迅猛。“行之力则知愈进，知之深则行愈达。”展望未来，抗量子密码技术与应用将呈现以下趋势：一是标准化进程加速推进。随着国内外抗量子密码技术标准的不断完善和实施，技术合规性和互操作性将得到进一步保障；二是技术持续创新。技术不断创新将推动抗量子密码算法向着更高效、更安全、更易用、多样化方向发展，以满足不同应用场景需求；三是产业生态日趋成熟。随着产业链上下游企业的共同努力，抗量子283、密码技术的产业生态将逐渐完善，“产学研用测管”渐成体系；四是应用不断推进。应用场景不断拓展及融合创新，抗量子密码技术将在金融、通信、能源到云计算、物联网等重要领域得到广泛应用，并逐步渗透到日常生活的各个方面；五是国际合作更加深化。国际合作和政策支持将为抗量子密码技术的全球化发展、共同应对量子计算带来的挑战，提供更加坚实的基础。总体而言，抗量子密码技术将迎来更加广阔的发展前景与机遇。5.1 标准规范逐步出台标准规范逐步出台目前，包括国际标准化组织（ISO）、国际电工委员会（IEC）以及国际电信联盟（ITU）、Internet 工程任务组（IETF）等在内的多个国际组织已经开始关注并着手抗量子密码284、标准的制定工作，各国政府及地区性标准化机构也在积极参与抗量子密码标准的制定。在抗量子密码算法方面，2024 年 8 月，美国国家标准与技抗量子密码技术与应用白皮书116术研究院（NIST）正式发布 ML-KEM（FIPS 203）、ML-DSA（FIPS 204）及 SLH-DSA（FIPS 205），后续可能还会发布其他新的抗量子密码算法标准。我国抗量子密码算法基于 NTRU 的密钥封装机制、基于 SM3 的带状态数字签名算法正在标准化进程中；在安全协议标准化方面，IETF 着力于 TLS、IPSec、SSH 等引入对抗量子密码算法的支持。抗量子密码标准化将有利于产业链进行设计、实现、测试和285、安全性评估，并对密码产品进行准入检测及互操作性验证等。此外，行业标准化也将成为抗量子密码标准发展的重要路径。金融、通信、电力等关键行业将根据自身的业务特点和安全需求，制定行业特定的抗量子密码标准，以确保行业内系统的互联互通与安全可控。未来几年中，抗量子密码标准与安全协议的发展将呈现以下趋势：一是标准化进程将加速推进并不断完善，以适应新的技术环境和安全需求；二是围绕抗量子密码算法应用的量子安全协议、混合加密协议、密码算法标识、消息语法、应用协议、抗量子密码功能与服务接口等技术规范必将出台，以应对不同应用场景的安全需求；三是产品检测认证体系将同步推进，以促进供应链产品的市场准入、安全性及互操作性；286、安全性评估与验证工作将不断加强，以确保抗量子密码算法的有效性与稳定性。预计在未来几年内，我们将看到更多的抗量子密码算法被纳入标准，形成涵盖技术设计与实现、测试与认证、应用与密评的规范体系，这将有力推动抗量子密码技术的发展，促进其在各个领域的广泛融合应用。5.2 技术研究持续创新技术研究持续创新抗量子密码技术不断创新将推动抗量子密码算法向着更高效、更安全、更易用、多样化方向发展。未来几年，抗量子密码研究与技术创新可能在以下方面取得进展：（1）抗量子密码算法设计思路或方向方面。目前已纳入标准化的抗量子密码算法基于格或哈希设计，未来的抗量子密码算法设计将不仅仅局限于基于格、编码、哈希或多变量等方向，287、还可能在其他新兴数学难题方面进行有益的探索，如基于同态加密、同源密码学等。抗量子密码算法的设计将更加注重数学理论基础、可证明性安全及各环境下可优化设计，确保算法在量子计算环境下的安全性；高效的算法能节省计算和通信开销，以满足实时性要求较高或资源受限场景下的应用需求。抗量子密码技术与应用白皮书117（2）抗量子密码产品高效安全设计与实现方面。抗量子密码产品将呈现多样化的形态，从密码芯片、密码板卡、密码整机到密码系统，采用模块化设计思路提供敏捷性密码服务，将抗量子密码算法与现有的商用密码技术、量子随机数生成、量子密钥分发等技术相结合等，为市场提供适应于不同场景的选择；产品更注重算法优化设计、增强控288、制以实现高效性与安全性。针对抗量子密码算法的特点，设计专用硬件加速器，提高算法的运行速度和能效；优化抗量子密码算法的软件实现，提高运算效率；结合抗量子密码算法，设计高效、安全的通信协议，确保信息传输过程中的安全性；将抗量子密码技术集成到现有信息安全产品中，如安全芯片、加密卡、VPN 设备等，提高产品的安全性。此外，抗量子密码产品检测与认证技术逐渐完善，提升产品的密钥管理、非入侵防护等抗攻击能力。（3）抗量子密码与创新技术应用融合方面。未来的抗量子密码产品将更加注重与新兴技术的融合应用。在云计算和边缘计算环境中，为云计算平台提供量子安全的数据保护和服务；为物联网设备提供抗量子密码保护，确保设备之289、间的安全通信；结合区块链技术，构建抗量子计算攻击的区块链系统，保障区块链信息安全；利用人工智能技术优化抗量子密码算法设计，提高算法性能和安全性。5.3 产业生态日趋成熟产业生态日趋成熟抗量子密码技术的持续发展需要完善的产业生态作为支撑。包括密码算法研究与安全性设计、密码产品生产与检测、密码工程实施与密码应用安全性评估等环节。在政府、学术界、产业界和标准化组织共同努力下，通过政策引导、资金支持、人才培养和技术交流等手段，推动抗量子密码技术的产业化进程。面对抗量子密码技术的演进，产业链各环节正积极调整战略，以应对这一变革。产业发展趋势呈现如下特点：（1）产业生态逐步完善。从政策引导、技术研究、标准290、制定到产品检测与认证，“产学研用测管”体系正在有序推进。包括抗量子密码迁移策略、通用技术支撑、人才培养、国际合作等方面的全面启动，助力抗量子密码技术的推广。从技术研究来看，抗量子密码的发展不仅限于密码学，还与数学、统计学、计算科学、物理学等多学科紧密相连。在未来的研究中，我们可以期待看到更多跨学科的融合与推动。（2）组织认知显著提升。关键信息基础设施和重要领域的信息系统所有者，抗量子密码技术与应用白皮书118正逐步意识到量子脆弱性带来的潜在风险，并开始系统性调研现状，制定量子安全密码需求清单，编制量子脆弱性风险清单与工程优先级，制定符合本组织需求的抗量子迁移方案，推动抗量子密码技术在金融、通信291、、能源等重要领域的应用与落地。（3）量子安全产品渐趋成熟。信息系统提供商，尤其是密码产品与服务提供商，正在加快研发符合密码功能、安全、性能与互操作性要求的抗量子密码产品。产业链上下游企业正携手推进产品化进程，从密码芯片、密码卡、整机到系统，形成多层次的量子安全产品，满足市场多样化需求。（4）政策支持与引导加强。政府在未来发展中有望通过制定政策、提供资金支持、建立产业联盟等方式，推动抗量子密码技术的产业化进程。通过适当的引导，将加速抗量子密码技术在国内的推广与应用，助力其在各行业中的广泛落地。展望未来，随着抗量子密码技术的不断发展和应用，其产业生态也将逐步完善。高校和科研院所将在基础研究与技术创292、新中持续发挥关键作用，推动技术不断进步；企业则将成为技术产业化的核心力量，投入大量资源开发抗量子密码产品，并积极参与标准化工作，确保技术的合规性和互操作性。此外，安全服务提供商将在技术应用与推广中提供咨询、实施、维护等支持，帮助用户更好地部署抗量子密码解决方案，并与用户携手探索不同领域的应用场景和商业模式。5.4 应用示范有序推进应用示范有序推进理论的完善和技术的进步需要在实际应用中得到验证和推广。在抗量子密码技术领域，通过在不同行业和领域开展应用示范项目，可以加速技术的普及与成熟。关键信息基础设施与重要领域可优先考虑部署抗量子密码产品，以提高系统的安全性和可靠性。推进应用示范可行举措包括：（293、1）选取具有代表性的行业和领域，开展抗量子密码技术应用试点，总结经验教训，形成可复制、可推广的实施方案。通过公开示范项目的成果案例和经验总结，可以为其他行业和领域提供参考和借鉴，从而推动抗量子密码技术的广泛应用。（2）加大宣传力度，提高全社会对量子计算威胁的认识，增强抗量子密码技术应用的紧迫感和责任感。（3）开展抗量子密码技术培训，提高专业人员的技术水平，为应用示范项目的顺利实施提供人才保障。抗量子密码技术与应用白皮书119（4）建立抗量子密码技术应用评估体系，对示范项目进行持续跟踪和评估，确保项目实施效果。未来几年，行业应用向抗量子密码迁移，将呈现如下特点：一是关键领域或重要行业率先迁移。一294、些对信息安全要求极高的关键行业如金融、通信、电子政务等将率先进行抗量子密码技术的迁移，以保护敏感信息和关键数据；二是逐步替代传统密码技术。抗量子密码迁移将是一个渐进的过程，涉及算法选择、系统改造、应用适配等多个环节；三是跨领域应用与融合。我们可以期待抗量子密码技术在更多领域的应用和融合。抗量子密码技术将在物联网、云计算、大数据等新兴领域广泛应用，并可能与区块链、零知识证明等技术融合，形成更完善的安全保障体系。展望未来，抗量子密码技术的应用领域将得到进一步拓展和深化。预计在未来几年内，我们将看到抗量子密码技术在金融、通信、电子政务等领域得到广泛应用和推广。这一有序推进的应用示范将充分展现抗量子密295、码技术的实际应用价值，推动其在更广泛领域的落地与发展。（1）在金融领域，抗量子密码技术将在银行、证券、保险等金融机构的信息系统中广泛应用，以保护客户敏感信息与交易数据的安全性与完整性。同时，金融领域将积极探索其在区块链、数字货币等新兴领域中的应用。（2）在通信领域，抗量子密码技术将被应用于移动通信网络、互联网等通信系统中，以保护用户的通信与内容。同时，通信领域将积极探索其在物联网、车联网、下一代通信网络等新兴领域中的应用。（3）在电子政务与国防领域，抗量子密码技术将被用于保护国家敏感信息与重要数据；同时，政府将积极探索抗量子密码技术在云计算、大数据等新兴领域的应用；国防领域如在军事指挥控制、星296、链通信系统中使用抗量子密码算法，可以显著提高军事通信的安全性，防止敌对势力的窃听和篡改。总之，抗量子密码技术将迎来更加广阔的发展前景和机遇。随着标准化进程的加速推进、产业生态的逐步完善以及应用示范的有序推进，抗量子密码技术将在未来得到更广泛的应用和发展，为构建安全可信的数字化社会提供坚实的安全保障。5.5 国际合作更加深化国际合作更加深化各国量子国家战略或量子科学技术计划均强调了国际合作的重要性。国际合作抗量子密码技术与应用白皮书120和政策支持将为抗量子密码技术的全球化发展、共同应对量子计算带来的挑战，提供更加坚实的基础。未来几年中，我国抗量子密码算法标准将会出台，并将积极参与国际量子科技联297、盟和标准制定，争取纳入国际标准体系，提升我国在全球抗量子密码领域的地位。为建设高素质密码人才体系，将加强在人才培养、学者互访、技术交流等领域的国际合作，为我国经济社会的持续发展提供新的动力。“凡益之道，与时偕行。”随着我国抗量子密码产业生态的逐步完善，自主研发的抗量子密码技术与产品将走出国门，服务于一带一路及其他海外市场，增强国际话语权，提升我国在量子科技领域的影响力。抗量子密码技术与应用白皮书1216 附录附录6.1 术语解释术语解释（1）抗量子密码（Quantum-resistant cryptography）：抗量子密码是指能够抵抗量子计算机攻击的新一代密码算法。抗量子密码也称为后量子密298、码（Post-quantum cryptography,PQC）、量子安全密码（Quantum-safeCryptography）。（2）密码分析相关量子计算机（Cryptanalytically relevant quantum computer）：密码分析相关量子计算机是指专门用于密码分析的、能够破坏当前公钥密码算法的量子计算机。（3）量子风险评估（Quantum-risk assessment）：标准的风险评估主要从资产的关键性、脆弱性被利用的概率、威胁发生后产生后果的严重性等构建量化或半量化模型，输出风险的优先级。量子风险评估是一种应用于量子计算下的风险管理技术。在识别信息资产、量子威299、胁、量子脆弱性算法时，需要考虑机密数据的保质期（需要保存的时间）。所有使用公钥密码技术保护的机密或敏感信息和通信，尤其是那些具有中长期保密价值的信息和通信，将容易受到拥有量子计算的威胁。（4）量子脆弱性算法发现（Quantum-vulnerable algorithms discovery）：量子脆弱性算法发现也称为量子脆弱性密码技术发现（Quantum-vulnerablecryptography discovery）。量子脆弱性算法发现利用特定的工具和方法，对现有的密码算法（尤其是公钥密码算法）进行分析，识别在面对量子计算攻击时可能存在的脆弱性。量子脆弱性算法发现可以通过开发专门的工具来实300、现，这些工具通常基于量子计算对经典密码的潜在威胁进行分析。（5）Mosca 定理（Michele Moscas theorem）：Mosca 定 理 是 指 Michele Mosca 与 John Mulholland 2017 年 在 文 章“AMethodology for Quantum Risk Assessment”中提出的一种量子计算下的风险分析方法，可概述为：当希望数据安全的时间（X）加上计算机系统从经典量子过渡到抗量子所需的时间（Y），大于量子计算机开始破解现有的量子敏感加密协议所需的抗量子密码技术与应用白皮书122时间（Z），即 X+YZ 时，则需虑密码分析相关量子计算机的301、影响，并立即开展抗量子密码迁移的准备工作。（6）密码功能与服务敏捷性（Cryptographic agility,Crypto agility）：密码功能与服务敏捷性是指一种设计特征，使得未来在密码算法和标准更新时，无需修改或替换相关的基础设施，从而可使信息系统从当前密码体制平滑迁移到新的更安全密码体制。信息系统在面对新的安全威胁、技术变革或法规要求时，能够迅速、灵活地调整其密码算法、协议和密钥管理策略的能力。这种能力确保了信息系统能够适应不断变化的安全环境，并保持其安全性。6.2 缩略语缩略语NIST：美国国家标准与技术研究院（National Institute of Standards 302、andTechnology）.TLS：传输层安全协议（Secure Sockets Layer）.SSH：安全 SHELL（Secure Shell）.IPSec：IP 安全协议(Internet Protocol Security).TLCP：传输层密码协议（Transport Layer Cryptography Protocol）.CRQC：密码分析相关量子计算机（Cryptanalytically Relevant QuantumComputer）.QKD：量子密钥分发（Quantum Key Distribution）.QRNG：量子随机数生成器（Quantum Random Num303、ber Generator）.SNDL：现存储后解密（Store Now and Decrypt Later）.LFT：足够规模且容错性高（Large and Fault-tolerant）.6.3 参考文献参考文献1 Joseph D,Misoczki R,Manzano M,et al.Transitioning organizations to post-quantumcryptographyJ.Nature,2022(May 12 TN.7909):605.2 Quantum-Readiness:Migration to Post-Quantum Cryptography,2023,h304、ttps:/www.cisa.gov/resources-tools/resources/quantum-readiness-migration-post-quantum-cryptography.3 SUPERCOP,2024,https:/bench.cr.yp.to/supercop.html.抗量子密码技术与应用白皮书1234 Preparing for Post-Quantum Cryptography:Infographic,2021,https:/www.dhs.gov/publication/preparing-post-quantum-cryptography-infogra305、phic.5 Migration to Post-Quantum Cryptography NIST SP 1800-38 Practice Guide Preliminary Draft,2023,https:/www.nccoe.nist.gov/publications/practice-guide/migration-post-quantum-cryptography-nist-sp-1800-38-practice-guide.6 A Methodology for Quantum Risk Assessment,2017,https:/globalriskinstitute.org306、/publication/a-methodology-for-quantum-risk-assessment.6.4 致谢致谢本白皮书由三未信安科技股份有限公司、广州江南科友科技股份有限公司组织编写，并得到了山东大学的大力支持。本白皮书编委会成员为：张岳公、高志权、刘会议、叶盛元、孔凡玉；本白皮书各章的撰稿人为：第一章“理论篇”孔凡玉；第二章“技术篇”杨国强、魏萌萌、叶亚迪；第三章“行动篇”叶盛元；第四章“应用篇”李根、张玉涛、吴鹏、张万涛；第五章“展望篇”叶盛元、任宏程。本白皮书编写过程中，刘平、荆继武、陈武平、秦小龙、张振峰、王明强、赵运磊、李智虎、路献辉、林璟锵等专家提出了诸多宝贵建议。在此谨致谢意！因白皮书为合作编撰，兼时间紧迫，错误之处在所难免，欢迎广大读者指正。若有任何建议，请发至邮箱：。