本文来自微信公众号: 电子工程世界 ,作者:付斌
后量子加密,很重要
尽管实用化量子计算机尚未普及,但风险已经提前到来。量子计算机即将破解Rivest-Shamir-Adleman(RSA)和椭圆曲线密码学(ECC)等传统加密技术。这意味着,生命周期较长的产品必须采用能抵御未来威胁的密码技术。
攻击者可以在今天窃取并保存加密数据,待未来量子计算能力成熟后再进行破解,这种攻击模式被称为“先窃取、后破解”(Harvest Now,Decrypt Later、HNDL),严重威胁金融、医疗、工业等领域的长期数据安全。
这一风险对于需要长期保密的数据尤为严重,例如政府机密文件、医疗记录、工业数据和知识产权等。对于智能电表、工业设备、汽车电子等使用寿命长达10至15年的设备而言,如果今天不考虑量子安全,未来很可能面临数据暴露风险。因此,各国政府和产业界正积极推动PQC部署,以确保当前系统在未来依然具备安全性。
后量子加密(PQC)是一种能够抵御量子计算机攻击的新型算法。后量子算法以全新数学难题为基础,未来将取代RSA和ECC等现行加密方案。实现此类算法,需要依靠深度创新以及学术界与工业界之间的密切合作。从量子计算的影响来看:
RSA和ECC将受到Shor算法的直接威胁,难以通过简单增加密钥长度实现长期安全;
AES和SHA等对称密码算法受到的影响相对有限,通过提升密钥长度即可维持安全性,例如AES-256已被视为量子时代的推荐方案。
目前,LMS、ML-KEM、ML-DSA等主流后量子密码算法已经基本明确了各自的应用定位,分别面向固件签名、密钥交换和通用数字签名等场景。
据MarketsandMarkets预测,全球后量子密码(PQC)市场预计将从2025年的约5亿美元增长至2030年的28亿美元,年复合增长率超过45%。远期看,PQC市场规模有望在2035年突破百亿美元。
全球时间表与合规要求
当前,全球监管机构已给出强制时间表,2030~2035年是统一的合规截止期。行业普遍预计,2027年将成为后量子密码进入主流量产平台的重要时间节点。
NSA(美国):软件/固件签名须立即启动过渡,2030年全面使用后量子签名算法;
NIST(美国):RSA-2048和ECC-256将于2035年全面禁用;
欧盟、英国:要求2030年前完成关键基础设施的量子安全升级;
中国:量子科技已列入“十五五”未来产业首位。
CNSA 2.0勾勒后量子加密过渡时间表,来源丨NSA
具体来说,美国的国家标准与技术研究院(NIST)在2024年底发布的《向抗量子密码算法标准迁移》(简称NIST IR 8547)的指导要求文件影响巨大。文件中明确,到2030年将淘汰经典非对称密码,2035年正式禁用。
2024年8月,美国国家标准与技术研究院(NIST)正式发布首批后量子密码标准,包括用于密钥封装的FIPS 203(ML-KEM),以及用于数字签名的FIPS 204(ML-DSA)和FIPS 205(SLH-DSA),标志着PQC正式进入标准化落地阶段。其中,Keccak算法作为SHA-3标准的核心技术,在这些后量子算法中发挥了重要作用。
美国国家安全局在《商业国家安全算法套件2.0版》(CNSA 2.0)中发布指导方针,要求所有国家安全系统的新采购项目须在2027年前符合NIST PQC算法标准。
而后,全球各国政府及机构正在制定PQC采用的最后期限,目标是在2035年前完成大部分迁移工作。加拿大、英国和欧盟于2025年第二季度先后发布了抗量子密码(PQC)迁移规划,加拿大在2026年4月之前,英国拟在2028年之前,欧盟成员国拟在2026年底之前,完成抗量子密码迁移的初步规划及相关准备工作。
国内也在关注PQC,中国商业密码标准研究院于2025年启动一项全球计划,致力于研发能抵御量子计算机攻击的新一代算法。
PQC,延伸至嵌入式领域
虽然PQC通常被视为软件层面的技术升级,但硬件实际上是实现高效、安全部署的重要基础。
基于硬件实现的后量子密码具有多方面优势:
利用专用加速器提升加密运算性能;
降低系统功耗,适合嵌入式设备部署;
提供更强的物理防攻击能力;
实现安全密钥存储与隔离;
减少软件漏洞带来的攻击面;
提供更稳定、可预测的安全运行环境。
因此,嵌入式系统、安全芯片、FPGA、SoC、GPU以及各类边缘计算设备,正在逐步集成PQC支持能力。
面对汽车、工业、物联网等领域设备服役周期长达10至20年、无法频繁更换硬件的现实困境,单纯依赖未来硬件迭代已无法满足当下的安全需求。因此,当前的主流做法是嵌入到硬件信任根(RoT)。系统架构设计方式多样,可根据应用场景从简至繁,但最终安全根基仍需追溯至硬件信任根。要实现后量子安全性,硬件信任根必须具备PQC安全,因为所有更高层级(软件)组件的安全性与敏捷性皆依赖于此。
一旦硬件信任根得到保障,系统便能在每次重置时验证硬件与软件的真伪性与完整性。这一可信起点为数据加密和运行时应用奠定基础,例如采用传输层安全协议(TLS)1.3建立安全通道时,亦可集成对PQC算法的支持。
随着轻量化技术逐渐成熟,物联网终端、工业控制系统以及各类嵌入式通信模块等场景,开始具备部署后量子密码的条件。
汽车行业:一辆汽车的使用周期通常长达10至15年,未来需要持续依赖OTA空中升级、V2X车联网通信以及车载软件更新,部署PQC后,可在车辆全生命周期内构建面向量子时代的安全防护体系;
工业控制和关键基础设施领域:大量PLC、传感器、工业网关等设备的服役周期甚至可达数十年,通过引入PQC,可保障固件完整性、设备身份认证、指令传输和远程运维安全,为智能工厂、能源系统及智慧城市构筑长期可信的安全基础;
物联网领:医疗设备、智能电表以及各类消费级IoT终端普遍存在在线时间长、升级困难等特点,PQC能够保护云端连接、远程升级和数据通信安全,有效应对“先窃取、后解密”等量子时代的新型攻击模式。
与此同时,开源芯片生态也在积极推进相关探索。一些安全芯片项目正尝试将后量子密码能力直接集成至RISC-V等开源架构的硬件安全模块中,使抗量子攻击能力能够在芯片层面原生实现。
混合密码学是过渡方案
由于量子时代尚未完全到来,许多算法基于全新的数学难题,其长期安全性尚未经过数十年的充分验证。即便已经进入标准化阶段,未来仍有可能发现新的漏洞,甚至被传统计算机破解。
因此,业界普遍采用“混合密码学(Hybrid Cryptography)”作为过渡方案。例如在密钥交换过程中,同时使用ECDH和ML-KEM生成共享密钥;在数字签名场景中,同时采用ECDSA和ML-DSA进行认证。这种方式能够兼顾当前安全需求和未来量子安全需求,在迁移阶段提供双重保障。
这种混合机制既能应对量子计算带来的威胁,也能降低新型PQC算法本身存在的不确定性,因此被认为将在未来较长时间内成为主流方案。这也对安全系统提出了更高要求:不仅需要同时支持传统密码和后量子密码,还需要具备“密码敏捷性”,能够在系统部署后根据标准演进或算法变化快速完成升级和切换,而可重构计算架构正是实现这一目标的重要技术路径。
PQC迁移三个阶段
从实施路径来看,PQC迁移通常遵循“评估-过渡-执行”三个阶段。
首先是评估阶段,需要全面梳理现有密码体系和应用场景,识别需要升级的系统与模块,分析升级对性能、成本、兼容性以及业务流程的影响,并结合风险等级制定优先级明确的迁移路线图;
其次是过渡阶段,优先在高价值、高风险场景中部署PQC,例如关键设备的固件签名、身份认证和密钥交换机制。同时根据标准演进和技术成熟度,持续优化迁移方案;
最后是执行阶段,完成产品、系统和服务的全面升级,实现端到端的抗量子安全能力,为未来量子计算环境做好准备。
目前,LMS、ML-KEM、ML-DSA等主流后量子密码算法已经基本明确了各自的应用定位,分别面向固件签名、密钥交换和通用数字签名等场景。然而,与RSA和ECC等传统算法相比,PQC普遍存在密钥尺寸更大、计算开销更高的特点,因此会对设备的软件架构、硬件资源、系统性能、生产流程以及开发工具链产生不同程度的影响。具体影响范围和优化方案仍与最终采用的算法及部署方式密切相关,相关评估和验证工作也正在持续推进之中。
这些厂商,加码PQC
写在最后
量子计算带来的安全挑战不是“是否发生”,而是“何时发生”。由于“先窃取后解密”(HNDL)风险太大了,所以现在厂商都在行动中。随着强制时间表的公布,可以预见未来新产品后量子加密会是一个强制的功能,配套的加速器可能也会成为主流的配置。
参考文献
[1]ST:https://mp.weixin.qq.com/s/S9XIun1ywFPk229_iU6VMg
[2]NXP:https://www.nxp.com.cn/company/about-nxp/smarter-world-blog/BL-SECURING-TOMORROW-PQC-STRATEGY
[3]Microchip:https://www.microchip.com/en-us/about/media-center/blog/2025/post-quantum-cryptography-harvest-now-decrypt-later
[4]Lattice:https://www.latticesemi.com/zh-CN/Blog/2025/06/27/05/53/Building-a-Strong-and-Flexible-Foundation-for-Post-Quantum-Security
[5]金融电子化:https://mp.weixin.qq.com/s/vC-hhhn6GQ_EuXSww_vhOw
[6]后量科技:https://mp.weixin.qq.com/s/IKwVoZNM6_SmXit8TOkUpA
[7]国民技术:https://www.nationstech.com/about/news/product/7223.html