专题 | 抗量子密码研究现状及展望

抗量子密码研究现状及展望

张峰¹  庄严²  于乐¹  孙硕²  崔韩东²  马禹昇¹

（1.中国移动通信集团有限公司，北京 100053；

2.中移互联网有限公司，广州 510640）

摘要：随着量子计算技术的不断突破，传统密码算法的安全性面临严峻挑战，抗量子密码算法应运而生，成为保障未来信息安全的战略制高点。近年来，我国在抗量子密码技术研究、迁移规划方面也取得了一定进展，为数字经济时代的信息安全提供坚实保障。梳理了国内外抗量子密码标准研究现状，分析了抗量子密码迁移重点行业、企业在抗量子密码方面的技术与应用探索。

关键词：量子技术；抗量子密码；抗量子密码迁移

0  引言

量子计算给传统公钥密码体系带来了极大冲击，抗量子密码（Post-Quantum Cryptography，PQC）系统迁移工作势在必行。国际上，美国国家标准与技术研究院（National Institute of Standards and Technology，NIST）已经进行了多轮PQC标准化工作。我国也正在积极加速布局PQC技术，但由于PQC标准尚不完善，其产品成本显著高于传统商用密码产品，因此国内相关项目多处于试点阶段。基于此，本文详细介绍了国内各大科技厂商和运营商正在进行的PQC技术储备和探索，以及如何推动传统商用密码系统向PQC系统在各个行业的顺利迁移。

1  NIST算法标准推进现状

1.1  量子计算对密码系统的威胁

随着量子计算的快速发展，经典密码算法（尤其是公钥密码算法）正面临前所未有的安全性挑战。基于量子叠加态与纠缠态构建的并行计算架构，使得量子计算机在解决特定数学难题时呈现指数级加速优势。以肖尔（Shor）算法（多项式时间破解大整数分解与离散对数问题）为代表的量子算法，已对现行公钥密码体系的安全性根基构成系统性威胁。而格罗弗（Grover）算法（二次加速无结构化搜索问题）则对对称加密密钥搜索等场景产生影响。2025年5月，美国谷歌通过算法优化和纠错技术改进，提出在特定硬件假设下，采用不足100 万个含噪量子比特的量子计算机，可在不到一周时间破解2 048 位RSA（一种非对称加密算法，由其发明者Ron Rivest、Adi Shamir和 Leonard Adleman名字首字母缩写而成）加密密钥^[1]。尽管此结果依赖严苛的硬件条件和技术突破，但无疑显著加速了量子计算威胁传统密码体系的进程。由于量子计算的威胁不仅在于未来可能破解现有的密码系统，更在于攻击者可以现阶段收集和存储加密通信数据，等量子计算机成熟后再进行破解。这种“先获取，后破解”的策略对需要长期保密的敏感信息构成了严重威胁。为应对量子计算带来的安全威胁，全球主要国家和地区都已将PQC迁移提升至国家战略层面，其中NIST在2016年正式启动了PQC标准化项目。

1.2  NIST第一批标准化的PQC算法

2022年7月，NIST正式宣布首批标准化的4种抗量子密码算法，包括公钥加密/密钥交换算法Crystals-Kyber和数字签名算法Crystals- Dilithium、Falcon、Sphincs+^[2]。2024年8月，NIST发布了3份抗量子密码算法标准：FIPS 203，基于模格的密钥封装机制标准，对应Crystals-Kyber方案^[3]；FIPS 204，基于模格的数字签名标准，对应Crystals-Dilithium方案^[4]；FIPS 205，基于哈希的无状态数字签名标准，对应Sphincs+方案^[5]。表1展示了4种算法在128 bit安全性下的性能参数对比情况，且Sphincs+以“Sphincs+-SHAKE-128f-simple”的基准指标作为参考（其中，KeyGen行代表对应算法的密钥生成时间，Enc/Sign行代表对应算法的密钥封装时间或签名时间，Dec/Verify行代表对应算法的密钥解封装时间或验签时间，所有算法运行时间单位均为时钟周期cycle；sk行代表对应算法的私钥大小，pk行代表对应算法的公钥大小，ct/sig代表对应算法的密文大小或签名大小，所有参数大小的单位均为字节byte）。

表1   NIST首批标准化的抗量子密码算法运行效率与参数大小对比

格密码体系自20世纪90年代提出后，已经过学术界多年的分析和完善。在NIST标准化征集的主要技术路线（即基于格、编码、哈希、多变量、同源的密码方案）中，格密码在计算性能、参数大小、成熟度以及功能性等方面综合表现最优。因此，在NIST确定的第一批PQC标准化算法中，只有Sphincs+是基于哈希函数的密码方案，其余算法均为格密码方案。

1.3  NIST新的签名标准征集以及新的标准化算法

为了进一步降低量子计算能力对PQC标准的威胁风险，NIST希望进一步寻求其他技术路线的密码方案作为第一批PQC标准的补充。2022年7月，NIST在入围第3轮的公钥加密/密钥交换算法中选取了3种基于编码的密码方案位翻转密钥封装（Bit-flipping Key Encapsulation，BIKE）、McEliece、汉明准循环（Hamming Quasi-Cyclic，HQC）和1种基于同源的密码方案超奇异同源密钥封装（Supersingular Isogeny Key Encapsulation，SIKE）^[6]，并进一步开展第4轮标准化评估。2022年9月，NIST发起了额外的签名方案征集流程，并于2023年7月从提交的50 种候选算法方案中选取了40 种作为进入第一轮标准化评估的方案，包括基于编码、格、模拟多方计算、多变量、对称密码、同源等技术路线的抗量子签名方案^[7]。2024年10月，NIST针对进入额外签名方案征集的40 种候选方案宣布了评估结果，14 种方案进入了第二轮的评估，其中2种基于编码、1种基于格、5种基于模拟多方计算、4种基于多变量、1种基于对称密码、1种基于同源^[7]。

2025年3月，针对第4轮标准化评估的公钥加密/密钥交换方案，NIST正式宣布基于编码的方案HQC最终获胜，并将对HQC进行标准化^[8]。在第4轮标准化评估的过程中，基于同源的密码方案SIKE被发现可以通过公钥快速恢复私钥，因此不再具备基本的安全性，也不再被考虑作为标准化候选方案；3种基于编码的密码方案McEliece、HQC、BIKE均没有出现致命的安全缺陷，且在性能和参数方面各有优势。McEliece的封装和解封装效率显著优于HQC和BIKE，且McEliece的密文大小显著小于HQC和BIKE，但McEliece的公钥和私钥显著大于HQC和BIKE，且McEliece的公钥大小至少是HQC和BIKE的100 倍；HQC和BIKE的性能和参数基本处于同一数量级，BIKE的公钥和密文大小大约是HQC的30%~70%，但BIKE的解封装和密钥生成的效率大约比HQC慢5~6倍^[8]。表2展示了3种算法在128 bit安全性下的性能参数对比情况。其中，KeyGen行代表对应算法的密钥生成时间，Enc行代表对应算法的密钥封装时间，Dec行代表对应算法的密钥解封装时间，所有算法运行时间单位均为时钟周期Cycle；sk行代表对应算法的私钥大小，pk行代表对应算法的公钥大小，ct代表对应算法的密文大小，所有参数大小的单位均为字节byte。

表2   NIST第4轮入选的抗量子密码算法运行效率和参数大小对比

NIST未选取McEliece标准化的原因主要在于其密钥生成速度太慢且公钥过大，这会严重影响McEliece的广泛应用。目前，国际标准化组织（International Organization for Standardization，ISO）正在考虑将McEliece标准化，NIST不希望与ISO同时对McEliece标准化，这可能导致标准不兼容的问题。对于HQC和BIKE的选择，NIST认为HQC方案中解密失败概率评估技术比BIKE更成熟，这对于方案的安全性分析至关重要，因此最终选择HQC作为标准化的方案。

1.4  NIST抗量子迁移报告与KEM应用规范

为了鼓励行业、标准组织和相关机构参与PQC标准迁移，促进和加速PQC的使用，NIST于2024年11月发布了PQC迁移报告^[9]。密码迁移一般要全面考虑算法安全性、算法性能、实施的便利性、合规性等方面，以往密码安全体系的迁移工作历时长达10年以上，所以NIST希望通过制订向PQC过渡的明确路线图和现实时间表，确保这一过渡尽可能平稳，在使用PQC的紧迫性与尽量减少关键系统中断的需求之间取得平衡。在PQC标准算法被广泛应用于IT应用和服务前，相关基础组件需要完成更新以支持PQC标准算法。

自2016年NIST启动抗量子密钥封装机制（Key Encapsulation Mechanism，KEM）标准化工程以来，经过密码学界多轮评估，最适用于标准化和广泛部署的抗量子密钥协商方案是KEM。在标准化第一个抗量子KEM方案ML-KEM时，NIST还没有就KEM的基本定义、性质和应用提供广泛的指导。2025年1月，NIST发布了KEM应用规范文件，补充KEM当前和未来的标准化要求，并为安全实施和使用KEM提供建议^[10]。KEM应用规范文件的主要内容包含KEM方案以及其理论安全性的定义、KEM方案实现过程中涉及的安全要求、KEM方案实际应用中涉及的安全要求、KEM用于构造公钥加密方案以及密钥协商协议的具体案例。

2  我国对PQC的探索和应用

2.1  PQC研究进展

随着NIST正式发布PQC算法标准，且后续持续发布抗量子迁移报告和KEM应用规范，国内无论是学术界、产业界还是政府都越来越重视PQC技术能力的发展布局。2025年2月，我国商用密码标准研究院正式开展抗量子计算的新一代商用密码算法标准征集活动。本次征集对算法安全性提出明确要求，标志着我国商用密码算法正式向抗量子技术迈进。

目前，因缺乏国产抗量子算法标准，国内抗量子项目均处于试验、试点阶段，尚未形成大规模商用落地项目，这也导致抗量子产品相对于商用密码硬件产品单价普遍更高。

2.2  PQC迁移重点行业

抗量子项目刚需行业具备关键基础设施、提供公共服务、大量内外部数据交互三大特征。目前，抗量子迁移已经在金融、能源和交通行业开展小规模试点，未来的高潜需求行业为通信、电力、医疗、党政军等。

在金融行业，中国人民银行要求逐步完成非核心的生产系统到核心的生产系统替换，并需要指定检测机构出具系统抗量子迁移评估报告，目前华夏银行等已经开始迁移试点；在能源交通行业，现有落地项目主要为能源、交通等大型央国企“出海”项目，在数据跨境流通场景，数据更容易受到“先收集、后攻击”的囤积攻击，需要提前布局抗量子保护数据出境安全；在通信行业，正在探索PQC算法与城域网、骨干网等通信网的融合研究；在电力行业，目前国家电网有限公司等均在进行抗量子迁移的研究，探索对调度、输变电、高压监测等业务系统进行抗量子迁移；在医疗行业，正在探索对电子病例等系统进行抗量子迁移；在党政军行业，由于对内部政务信息保密性、安全性要求高，更偏重使用国产密码算法。目前，国产密码标准处于征集阶段，因此相关抗量子应用正处于研究和课题阶段。

2.3  PQC迁移重点企业

目前，除了上述重点行业，其他绝大部分行业用户尚未付诸行动。一方面，源于量子计算技术的成果并未大范围用于当前商业环境，用户对于相应的风险和安全威胁体感不强；另一方面，源于国内PQC算法标准还在制订中，因此保持观望和期待。从产业界来看，2024年之前只有极少数企业自发投入PQC技术的研究，2024年间也只有少量企业完成了基于NIST标准的PQC产品的集成发布，大部分企业预计会在2025年陆续跟进。从调研结果来看，目前进行PQC产品试点的主要厂商包括格尔软件股份有限公司（简称“格尔软件”）、三未信安科技股份有限公司（简称“三未信安”）、华为技术有限公司（简称“华为”）等。

格尔软件自2018年开始布局PQC相关的技术研究和储备，沿着量子密钥分发（Quantum Key Distribution，QKD）和PQC两条技术路线并行推进：在QKD路线上，格尔软件陆续与科大国盾量子技术股份有限公司、九州量子信息技术股份有限公司等厂商进行了IPSec VPN产品对接以及量子随机数发生器产品的集成；在PQC路线上，格尔软件与上海复旦大学、上海交通大学等科研单位展开合作，包括算法软硬件实现。并在国内外PQC算法基础上，集成QKD和量子随机数技术，形成了支持平滑过渡、敏捷迁移的PQC产品体系。2024年6月，格尔软件率先发布了国内全套PQC产品解决方案，该方案涵盖了量子安全PKI/CA、密钥管理、网关、密码机、签名验证等多个产品；同时，格尔软件在上海市浦东新区大数据中心和银河证券股份有限公司等重点客户处完成了试点交付。

三未信安深耕PQC技术领域，将PQC算法的高速实现与硬件芯片技术作为研究重点，从技术研究迈向产品实现。发布了《2024抗量子密码技术与应用白皮书》，基于主流抗量子算法构建了涵盖PQC芯片、PQC卡、PQC机、抗量子安全网关、抗量子UKey、抗量子IC卡、抗量子密钥管理系统、抗量子数字证书认证系统等新一代PQC基础设施，达到了全产业链的产品覆盖。

华为目前牵头多家产、学、研机构共同打造算法先进、性能卓越、高效敏捷、安全可靠的openHiTLS密码套件，满足各行业不同场景的多样化要求，探索抗量子等先进算法创新实践，构建密码前沿技术底座。2025年4月，华为联合北京数字认证股份有限公司发布“鲲密”软件定义密码方案。该方案通过密码敏捷性（Crypto Agility）实现PQC算法的灵活替换与部署，支持“零侵入”改造，已在金融行业开展试点，推动传统系统向PQC平滑迁移。

2.4  我国运营商对PQC的研究和探索

我国运营商在PQC应用方向的探索起步较晚。其中，中国联通研发了QKD、PQC和传统光通信的融合传输设备，并发布抗量子安全手机。中国电信发布基于QKD和PQC的融合分布式密码体系，使用了国际主流算法（如Kyber、Dilithium等）及国产LMS/HSS-SM3算法，并基于该体系完成了跨域的量子密信电话接通。中国移动正在进行SIM卡融合PQC算法的可行性研究，目前已经完成了Aigis-enc、 Aigis-sig、LAC。PKE等国产抗量子算法的原型实现验证，并规划超级SIM卡密码安全产品的PQC迁移路径。

3  结束语

随着量子计算技术的快速突破，PQC技术作为保障未来信息安全的核心技术，正迎来标准产业化与迁移工程化的战略叠加期。国际标准的引领与我国“国密演进+抗量子加固”的结合，将逐步形成多种类、多层次、多场景PQC迁移技术路线，激励产业链上下游企业加大研发投入；推动系统性迁移规划的落地应用需要依赖跨行业的深入协作与国家政策的持续支持，在迁移过程中需要重点关注存量数据过渡、算法性能适配以及密码应用设计的敏捷性，实现业务的平滑过渡；需要同步推进PQC产品及服务的检测认证体系，通过加强安全性评估与验证工作，助力构建安全的供应链生态。而国内行业规范的完善将成为规模化应用的核心保障，为PQC算法测试验证平台的建设与重点应用领域的实现提供基础支撑。随着量子计算威胁迫近，通过“标准先行、试点突破、生态共建”的策略，方能构建抵御量子攻击的下一代密码安全能力体系。

The latest advances and outlooks of post-quantum cryptography

ZHANG Feng¹, ZHUANG Yan², YU Le¹, SUN Shuo², CUI Handong², MA Yusheng¹

（1. China Mobile Communications Group Co., Ltd., Beijing 100053, China；

2. China Mobile Internet Co., Ltd., Guangzhou 510640, China）

Abstract: With the continuous breakthroughs of quantum computing technology, the security of traditional cryptographic algorithms is facing severe challenges. As a result, post-quantum cryptographic algorithms have emerged as a strategic cornerstone for securing information in the future. In recent years, China has also made some progress in the R&D and the migration plan of post-quantum cryptographic technology, providing a solid guarantee for the information security in the digital economy era. This paper reviews the research on post-quantum cryptographic standards and technologies at home and abroad, and analyzes the technological and application explorations of the migration to post-quantum cryptography in key industries and enterprises.

Keywords: quantum technology; post-quantum cryptography; migration to post-quantum cryptography

本文刊于《信息通信技术与政策》2025年 第7期

公众号封面由AI生成

《信息通信技术与政策》投稿指南！

为进一步提高期刊信息化建设水平，为广大学者提供更优质的服务，我刊官方网站（http://ictp.caict.ac.cn）已正式投入运行，欢迎投稿！

   推荐阅读  

专题丨抗量子密码SIM芯片研究

专题 | 抗量子密码升级迁移关键问题研究

专题丨量子精密测量产业化:技术突破与多领域应用场景深度融合

专题丨5G电子政务外网量子保密通信与抗量子加密应用研究

专题丨量子加密OTN技术演进及部署方案研究

专题丨全球量子保密通信网络建设进展

专题丨面向新型电力系统的量子保密通信技术及应用

专题 | 相干伊辛机在生命科学基础研究和药物发现中的应用

专题 | 计算高速互连技术在量子模拟器中的应用研究

专题丨量子计算关键技术与产业应用发展趋势分析

专题丨全球重点地区量子信息产业发展比较研究

导读：量子信息技术发展与应用

你“在看”我吗？