“密碼+”應(yīng)用推進計劃：后量子密碼應(yīng)用研究報告2023年

編寫委員會“密碼+”應(yīng)用推進計劃、中國信息通信研究院云計算與研究所、復(fù)旦大學(xué)、長春吉大正元信息技術(shù)股份有限公司、上海泓格后量子科技有限公司、華為技術(shù)有限公司、之江實驗室、螞蟻區(qū)塊鏈科技（上海）有限公司、中國農(nóng)業(yè)銀行股份有限公司、銀聯(lián)商務(wù)股份有限公司、中國銀行軟件中心、中國金融認證中心、北京數(shù)字認證股份有限公司、中電科網(wǎng)絡(luò)安全科技股份有限公司、北京信安世紀科技股份有限公司、興唐通信科技有限公司、中國科學(xué)院信息工程研究所、四川輕化工大學(xué)、中國電信研究院、杭州量安科技有限公司、上海圖靈智算量子科技有限公司、信通數(shù)智量子科技有限公司、浙江九州量子信息技術(shù)股份有限公司、鄭州信大捷安信息王貴林、劉亞敏、劉哲、戴望辰、藍怡琴、余劍斌、劉鄧、文黎明、祁玉瓊、姜磊、李昀、李凱、孫冬旎、林立、郭智慧、高文華、李向鋒、張小青、秦體紅、朱桂楨、李帥鋼、畢蕾、高媛媛、金賢敏、陳立權(quán)、王稀、魏瑛、王靖然、張峰、方黎明、於建江、黃大駿、前言密碼技術(shù)是國之重器，在當前復(fù)雜的國際形勢下，密碼技術(shù)作為網(wǎng)絡(luò)空間安全關(guān)鍵技術(shù)的重要性更為凸顯。但是隨著量子計算的快速發(fā)展，現(xiàn)階段部署的一些經(jīng)典密碼算法（特別是公鑰密碼算法）將受到巨大的安全性挑戰(zhàn)。如果量子計算機到來，將對當前密碼技術(shù)帶來顛覆性影響，嚴重影響信息系統(tǒng)安全與穩(wěn)定運行，甚至影響國家安全。因此，當前圍繞抗量子計算的新一代密碼技術(shù)——后量子密碼成為全球競爭的焦點和戰(zhàn)略抓手。本研究報告系統(tǒng)性分析了當前量子計算對經(jīng)典密碼的威脅、量子計算發(fā)展的進展以及后量子量子計算機的發(fā)展超過預(yù)期，后量子密碼遷移必須盡早提上日程。當前美、歐各國都在密集地發(fā)布后量子密碼相關(guān)的戰(zhàn)略計劃，后量子的國際標準化進程也在緊鑼密鼓地推進。針對當前后量子密碼的技術(shù)路線和后量子密碼應(yīng)用研究現(xiàn)狀，本研究報告創(chuàng)新性地提出“兩把鎖、雙保險”的混合式后量子密碼遷移方案，并研究了行業(yè)遷移策略、預(yù)測了遷移時間、分析了遷移挑戰(zhàn)。后量子密碼遷移是一項龐大而緊迫的工程，會面臨算法技術(shù)、法律合規(guī)、專利等方面的風(fēng)險，還要消耗巨大的成本，必須提前考慮各種潛在風(fēng)險，提最后，本研究報告從頂層規(guī)劃、自主技術(shù)儲備、標準體系建設(shè)、構(gòu)建遷移生態(tài)、健全密碼人才隊伍等方面給了后量子密碼發(fā)展建議。 3 3 4 5 5 6 7 7 8 8 9 V 1NISTNationalInstituteofStandardsandTechnology美國國家標準與技術(shù)研究院BSIBundesamtfürSicherheitinderInformationstechnik德國信息安全聯(lián)邦辦公室BMIBundesministeriumdesInnern德國聯(lián)邦內(nèi)政部BMBFBundesministeriumfürBildungundForschung德國聯(lián)邦教育與科研部NSTCUnitedStatesNationalResearchCouncil美國國ANSSIAgencenationaledelasécuritédessystèmesd'information法國信息系統(tǒng)安全局NLNCSANetherlandsNationalCommunicationsSecurityAgency荷蘭國家通信安全局EuroHPCJUEuropeanHigh-PerformanceComputingJointUndertNSANationalSecurityAgency美國國家安全局NCSCNationalCyberSecurityCentre英國國家NISTIRNISTInteragencyReportECCEllipticcurvecryptography橢圓曲線QKDQuantumKeyDistributionQSDCQuantumSecurityDirectCommunicaPQC/PQCryptoPost-quantumCryptography后量子密碼RLWERing-LearningwithErrorsSIDHSupersingularIsogenyDiffie-HellmanSIKESupersingularIsogenyKeyEncapsulationPKIPublicKeyInfrastructures公鑰密碼基礎(chǔ)UEFIUnifiedExtensibleFirmwareInterface統(tǒng)一可擴展固件接口2 3 15 28 33 3731.量子計算威脅現(xiàn)狀1.1量子計算及其對經(jīng)典密碼的威脅量子計算是結(jié)合了量子力學(xué)和計算機科學(xué)的一種新型計算方式，其基于量子力學(xué)原理、利用量子信息單元進行計算，與經(jīng)典計算模式有很大差異。量子比特為量子計算的基本單元，具有式有很大差異。量子比特為量子計算的基本單元，具有疊加、糾纏等特性。量子計算機即利用量子比特進行信息處理和計算的非古典學(xué)規(guī)律制造計算機的設(shè)想。通過利用量子比特的疊加和糾纏特性，量子計算機有可能高效率解決一些在經(jīng)典計算模式下“指數(shù)”級困難的問題。因此，量子計算機以其擁有強大的計算能力和在特定問量子計算的發(fā)展對密碼學(xué)帶來了巨大威脅。1994年Shor[1]提出的量子算法，可以在多項式時間內(nèi)快速分解大整數(shù)以及求解離散對線公鑰密碼算法，因它們的安全基礎(chǔ)分別為大整數(shù)分解和橢圓曲線復(fù)雜度有開平方量級的降低，理論上也可以使對稱密碼算法例如分4解從表1中可看出，量子計算的發(fā)展對公鑰密碼算法的威脅更為算法不是量子安全的；而對于對稱密碼或雜湊密碼的影響在可控范圍內(nèi)，可通過配置加倍安全參數(shù)的長度，如對稱密碼的密鑰長度加1.2量子計算發(fā)展現(xiàn)狀量子計算在各國及相關(guān)企業(yè)的投資和布局研究下取得了一些重要進展。在國家政策層面，多個國家都已經(jīng)陸續(xù)推出了量子計算相500強企業(yè)、學(xué)術(shù)機構(gòu)、初創(chuàng)公司和國家研究實驗室組成的全球性團體；國內(nèi)的量子計算生態(tài)也在逐漸構(gòu)建，誕生一批如阿里巴巴達摩院量子實驗室、本源量子、國盾量子、啟科量子等企業(yè)，專門從事量子計算研究和開發(fā)工作，開展各種基礎(chǔ)研究和應(yīng)用實踐。在技術(shù)路線方面，量子計算機的實現(xiàn)技術(shù)主要有超導(dǎo)量子比特技術(shù)、離子阱技術(shù)和光量子計算技術(shù)等三種技術(shù)，其中超導(dǎo)量子計算機是發(fā)5(1)超導(dǎo)量子比特技術(shù)：基于約瑟夫森結(jié)，有較高的可控性和(2)離子阱技術(shù)：利用離子阱陷住原子離子，并通過激光進行操作控制，實現(xiàn)較高的保真度，代表企業(yè)與研究機構(gòu)包括IonQ和(3)光量子計算技術(shù)：利用光子作為量子比特載體，具有較強的容錯性和抗干擾力，代表企業(yè)與研究機構(gòu)包括圖靈量子、中國科1.3量子安全技術(shù)路線目前實現(xiàn)量子安全的技術(shù)路線主要有兩類：量子密碼技術(shù)和后量子密碼技術(shù)是一種基于量子力學(xué)原理的加密方式，使用量子比特相互作用和測量來保證信息的安全性。量子密碼技術(shù)中最實用的方案是量子密鑰分發(fā)QKD，已工程實用的QKD如基于誘騙態(tài)BB84協(xié)議、GG02協(xié)議以及與一次一密結(jié)合明安全性；量子安全直接通信QSDC是另一種量子密碼技術(shù)，可在量子信道中直接傳輸秘密信息。與傳統(tǒng)密碼不同的是，量子密碼技6術(shù)的安全性基于量子物理的本質(zhì)特性：量子測不準原理、量子力學(xué)以量子密鑰分發(fā)為代表的量子密碼技術(shù)已經(jīng)走向了實用化階段。術(shù)，是目前量子密碼技術(shù)的核心方法，這種新型的量子密碼技術(shù)在產(chǎn)業(yè)技術(shù)標準化、量子基礎(chǔ)設(shè)施組網(wǎng)、量子應(yīng)用創(chuàng)新等方面都有較快的發(fā)展。國際電信聯(lián)盟電信標準化部門ITU-T、歐洲電信標準化協(xié)會ETSI、國際標準化組織與國際電工委員會第一聯(lián)合技術(shù)委員會組織布局開展量子密鑰分發(fā)QKD、量子密鑰分發(fā)網(wǎng)量子互聯(lián)網(wǎng)等方面研究工作并取得階段性成果。中國通信標準化協(xié)會CCSA、密碼行業(yè)標準化技術(shù)委員會CSTC和全國量子計算與測后量子密碼仍然使用經(jīng)典方式處理信息，只是與傳統(tǒng)的RSA和橢圓曲線密碼相比，其安全性基于不同的數(shù)學(xué)困難問題。后量子密樹簽名等。但當時，量子計算機對密碼算法的威脅并沒有很明確，也沒有“后量子”的概念。由于量子計算技術(shù)的快速發(fā)展，開始形成“后量子密碼”或“抗量子密碼”的概念，即抵抗量子計算攻擊7的密碼算法。后量子密碼技術(shù)還處于測試驗證階段，產(chǎn)業(yè)化發(fā)展仍2.后量子密碼研究現(xiàn)狀2.1后量子密碼發(fā)展的必要性在量子計算威脅的背景下，現(xiàn)階段部署的一些傳統(tǒng)密碼算法將受到巨大的安全性挑戰(zhàn)。這會嚴重影響到國家安全，破壞國家信用和國家主權(quán)。業(yè)界普遍認為后量子密碼的研究和應(yīng)用刻不容緩，應(yīng)該盡早部署能夠抵御量子威脅的后量子密碼技術(shù)，從而將全球信息首先，具有強大密碼破解能力的量子計算機近年來已經(jīng)不斷取得實質(zhì)性進展，其發(fā)展速度超過預(yù)期。2019年，谷歌和瑞典斯德哥爾摩皇家理工學(xué)院公布的一項研究成果，分析了量子計算機如何用2000萬個物理量子比特來計算，在8個小時內(nèi)暴力破解2048位RSA密碼。這給我們發(fā)出了警醒，量子計算發(fā)展的進度不可預(yù)見，其發(fā)展速度超出預(yù)期，如果量子威脅因為技術(shù)突變提前到來，將會導(dǎo)致量子危機。業(yè)界應(yīng)比預(yù)想的時間要更早地實現(xiàn)從傳統(tǒng)密碼到后其次，對于需要長久保護的國家高機密高敏感數(shù)據(jù)，存在前向安全風(fēng)險，即未來的量子計算機可能會破譯這些機密數(shù)據(jù)。一些惡意組織將當前無法破譯的信息保存起來，等到量子計算機商業(yè)化之8機密性或敏感性要求，那么這些數(shù)據(jù)仍然具有前向安全風(fēng)險。因此在關(guān)系國防安全、國計民生、商業(yè)機密的戰(zhàn)略領(lǐng)域應(yīng)該盡早開始部再者，后量子密碼遷移是一項極為復(fù)雜的長期系統(tǒng)性工程，需要耗費相當長的時間，必須提前規(guī)劃。密碼遷移一般要全面考慮算法安全性、算法性能、實施的便利性、合規(guī)性等方面。以往密碼安年代就被提出，但它花了20多年才獲得廣泛的采用，目前我國的的過渡更為復(fù)雜，周期可能更長。再考慮到未來不斷增長的密碼安全需求，每一類別的后量子密碼都只適用于部分應(yīng)用場景，因此需結(jié)合應(yīng)用場景的實際需求具體選擇，客觀上增加了后量子遷移的復(fù)2.2后量子密碼發(fā)展政策后量子密碼和遷移戰(zhàn)略方面，美國發(fā)布和更新了諸多政策。9以提升相關(guān)技術(shù)落地能力、增強人才培育能力和提高量子技術(shù)意識。要求確保美國在量子計算領(lǐng)域的領(lǐng)先地位，并推進后量子算法遷移，減少量子計算帶來的安全風(fēng)險。2022年7月，美國國眾議院通過計算資源和教育資源的研發(fā)與標準化。2022年9月，美國NSA發(fā)布 發(fā)布《2022年網(wǎng)絡(luò)安全年度回顧》強調(diào)抵御迫在眉睫的量子技術(shù)威日，美國發(fā)布《國家網(wǎng)絡(luò)安全戰(zhàn)略》[6]，提出聯(lián)邦政府將優(yōu)先考慮 將公共網(wǎng)絡(luò)和系統(tǒng)過渡到抗量子密碼的環(huán)境中，并要求私營機構(gòu)效戰(zhàn)略層面，2020年歐盟宣布的網(wǎng)絡(luò)安全戰(zhàn)略中將量子計算與加密作為最重要的安全相關(guān)技術(shù)之一單獨提出來，以強調(diào)量子計算與技術(shù)角度介紹了兩種基本的后量子遷移思路：將后量子算法集成到內(nèi)研發(fā)和部署歐盟境內(nèi)端到端安全的量子通信關(guān)鍵基礎(chǔ)設(shè)施，項目包括地面和空間通信方案，且要求達到EAL4+的高安全級別認證。同時，歐洲高性能計算聯(lián)合中心EuroHPC與高性能基礎(chǔ)設(shè)施的集成。歐盟地平線項目則重視在量子密碼和后量子密碼方面進行布局和投入，其后量子密碼方面的PQCRYPT項用量子安全密碼的白皮書，表達其對如何應(yīng)對量子計算威脅進行安告《2015-2020年數(shù)字世界的自主和安全》[8]，其中聲明將促進長效 安全密碼及其應(yīng)用實現(xiàn)的研發(fā)作為作為聯(lián)邦政府研究策略規(guī)劃的一國網(wǎng)絡(luò)安全戰(zhàn)略》,指出通過量子技術(shù)保障IT安全的戰(zhàn)略需要通過一系列措施來實現(xiàn)，包括在高安系統(tǒng)中進行量子安全密碼的遷移等。 計劃在2019-2022資助周期內(nèi)遴選了七個研究項目，總研究經(jīng)費為開發(fā)安全產(chǎn)品的工業(yè)界提供指導(dǎo)，并為法國安全認證計劃“Security全方面具有應(yīng)用前景的量子技術(shù)任務(wù)。并提出為應(yīng)對量子計算威脅，新型的后量子密碼（PQC）標準正在制定，同時有必要考慮可選的、中國在后量子密碼研究項目中給與政策和資金支持，鼓勵量子計算和后量子密碼的技術(shù)創(chuàng)新和產(chǎn)業(yè)發(fā)展。2022年，人民銀行《深化金融科技應(yīng)用、推進金融數(shù)字化轉(zhuǎn)型提升工程》相關(guān)工作部署中把“探索量子技術(shù)金融應(yīng)用”作為重要的工作任務(wù)，加快推進抵抗?jié)撛诹孔佑嬎愎舻哪芰ρ芯俊?022年中央經(jīng)濟工作會議首次明確提出加快量子計算等前沿技術(shù)的研發(fā)和應(yīng)用推廣，但尚未發(fā)布后量2.3后量子密碼技術(shù)路線根據(jù)后量子密碼算法所基于的底層困難問題，主流后量子密碼算法大致分為5類：基于格（Lattice-based）的、基于哈希（Hash-based）的、基于編碼（Code-based）的、基于多變量（Multivariate-基于格的算法由于在安全性、公私鑰尺寸、計算速度上達到了較好的平衡，被認為是目前最有應(yīng)用前景的后量子密碼算法之一。問題的困難性，主要用于構(gòu)造加密、數(shù)字簽名、密鑰交換、屬性加密、陷門函數(shù)、偽隨機函數(shù)、同態(tài)加密等。與基于數(shù)論問題的密碼算法構(gòu)造相比，在達到相同（甚至更高）的安全強度時，基于格的算法的公私鑰尺寸更小，計算速度也更快，且能被用于構(gòu)造多種密基于哈希的簽名算法不依賴于具體數(shù)學(xué)困難問題，也不依賴于特定的哈希函數(shù)，是后量子密碼中理論安全性最強的一類?；诠５暮灻惴◤腖amport提出的一次性簽名方案演變而來，最早由RalphMerkle提出，并使用哈希樹構(gòu)造?；诠５拿艽a算法僅限用于數(shù)字簽名，至今學(xué)術(shù)界還沒有專家提出基于哈希設(shè)計并實現(xiàn)的公鑰加密或密鑰封裝的方案。基于哈希的數(shù)字簽名方案的安全性依撞性（抗第二原像攻擊）和偽隨機性等。如果使用的哈希函數(shù)被攻破，完全可以構(gòu)造新的安全的哈希函數(shù)來替代，因此基于哈希的簽名是后量子密碼中理論安全性最強的一類。但是主要有以下兩點缺點：一是簽名體積大；二是對于有狀態(tài)的基于哈希的簽名，其所能支持的簽名次數(shù)有限，增加簽名數(shù)量也將降低計算效率，并進一步基于編碼的密碼算法被認為是后量子密碼中相對具有競爭力的研究領(lǐng)域。其核心在于將一定數(shù)量的錯誤碼字引入編碼中，糾正錯誤碼字或計算校驗矩陣的伴隨式是困難的。著名的基于編碼的加密私鑰，公鑰是對私鑰進行變換后的一般線性碼。基于編碼的密碼通常具有較小的密文，但其缺點是公鑰大、密鑰生成慢，在實用化方基于多變量的密碼算法適用于一些注重算法效率但不關(guān)心帶寬的應(yīng)用場景?；诙嘧兞康墓€密碼系統(tǒng)將有限域上一組二次多項式作為它的公鑰映射，其主要安全假設(shè)為求解有限域上非線性方程組這個NP難問題，目前沒有量子算法可以高效率求解，但是也沒有安全性的形式化證明。多變量密碼算法相比于其他后量子密碼算法具有簽名驗簽速度快、消耗資源少的優(yōu)勢，其缺點是公鑰尺寸大，因此適用于無需頻繁進行公鑰傳輸?shù)膽?yīng)用場景，例如計算和存儲能基于同源的密碼算法優(yōu)缺點明顯，安全性問題不斷被挑戰(zhàn)。同源密碼是基于橢圓曲線同源問題的后量子密碼系統(tǒng)，它基于一個新算法等?；谕吹拿艽a繼承了橢圓曲線密碼的底層運算，公鑰和密文尺寸都非常小，可以在通信量受限的環(huán)境下運行，但是其運行效率非常低，其密鑰生成、加密和解密速度幾乎比基于格大兩個數(shù)量級，這使其不易實現(xiàn)在一些計算性能不足的設(shè)備上。在NIST將NIST在新的一輪數(shù)字簽名算法征集中期望尋找不基于結(jié)構(gòu)格的數(shù)字簽名方案，新的一輪數(shù)字簽名算法除了上述5種方案還有基head是一種零知識證明，將零知識證明和單向函數(shù)組合在一起構(gòu)造簽名，MPC-in-the-head簽名密鑰較小，但簽名尺寸較大?；趯ΨQ的簽名是指全部使用對稱加密和哈希函數(shù)構(gòu)造簽名，因此這一類被認為是最可靠的。除了Preon外，其他的算法都已有不同程度攻擊。全少2.4后量子密碼標準化進展NIST發(fā)起的后量子密碼標準化項目是當前影響力最大、參與范圍最廣的標準化項目。其目標是遴選出通用的抗量子算法攻擊的公早在2012年，NIST便開始了對后量子密碼的團隊，跟進業(yè)界進展，聯(lián)絡(luò)工業(yè)和國際標準化組織，以籌備該標準議平臺進行宣傳，以呼吁全球密碼學(xué)家積極參與；并于2016年1226個算法進入第二輪評估。其評估報告主要從安全性、實現(xiàn)性能、設(shè)計靈活性等角度出發(fā)，參考其內(nèi)部團隊的分析、公開論壇的討論和業(yè)內(nèi)自發(fā)分析和實現(xiàn)研究等各方資訊，對各個候選算法進行評估、了第一批標準算法：基于有結(jié)構(gòu)格的公鑰加密/密鑰封裝算法Dilithium、Falcon與基于哈希的公鑰簽名SPHINCS+?；诰幋a的ClassicMcEliece、BIKE和HQC以及基于超奇異橢圓曲線同源的不同于有結(jié)構(gòu)格技術(shù)路線的具有“簽名短、驗證快”優(yōu)勢的通用簽月，NIST公布了40個進入額外數(shù)字簽名征集的算法。歐盟并沒有公布單獨的后量子密碼標準化計劃，而是通過其“地平線2020”項目配合美國NIST的標準化項目。出的第一批標準4個算法中，其主提交人均來自歐洲。實際上，歐洲密碼學(xué)研究團隊實力強勁，過往由美國NIST組織的幾個密碼算法公開征集項目最終的優(yōu)勝算法均為歐洲團隊，例如分組密碼AES構(gòu)發(fā)布的后量子密碼白皮書中，也均推薦使用NIST項目候選算法。加密ClassicMcEliece，認為它們雖然性能不及Kyber，但安全性更可靠，可以用于需要長期保密的高安全場景，并在其技術(shù)規(guī)范（BSITR-02102-1）中推薦。由于目前在NIST標準化項目中FrodoKEM目，有3個第一輪算法是日本團隊主導(dǎo)設(shè)計的，但也均未進入第二有5個由韓國團隊主導(dǎo)設(shè)計的算法進入了第一輪，但均未進入第二期的標準化計劃也會專注在加密、密鑰建立和數(shù)字簽名算法上，隨后再開始考慮基于身份的加密、基于身份的簽名、匿名簽名、同態(tài)狀態(tài)的基于雜湊的簽名機制”規(guī)范的開發(fā)，并啟動了PWI19541，Crystals-Kyber算法。此外，一類特殊的后量子密碼——基于格的全IETF.IETF有多個工作組在推動密碼協(xié)議納入后量子密碼算法中將密鑰傳輸和使用預(yù)共享密鑰的密鑰協(xié)商的輸出混合以抗量子攻擊的方法。2020年發(fā)布了RFC8708，描述了在CMS中使用規(guī)范中使用密鑰封裝機制的草案，也可以支持后量子密鑰封裝機制；IEEE.2008年IEEEP1363.1規(guī)范納入了基于格的加密算法NTRU。該算法也投向了NIST后量子標準化項目并進入了第三輪，與后量子算法的混合機制的實現(xiàn)、密碼學(xué)敏捷性等問題。ETSI.2013年起即聯(lián)合加拿大滑鐵盧大學(xué)舉辦量子安全密碼學(xué)我國在后量子密碼領(lǐng)域一直積極跟進，廣泛布局后量子密碼安全技術(shù)應(yīng)用與產(chǎn)業(yè)生態(tài)，目前后量子密碼算法的研究和應(yīng)用正在逐漸走向成熟與標準化。在技術(shù)交流方面，中國與日本、韓國等國家化與應(yīng)用論壇暨后量子技術(shù)成果發(fā)布會在北京雁棲湖應(yīng)用數(shù)學(xué)研究為了充分調(diào)動國內(nèi)研究力量投入下一代密碼算法標準設(shè)計工作，我國于2018年已經(jīng)面向全國啟動了密碼算法設(shè)計競賽活動,為制定我國的后量子密碼標準做準備。競賽活動共收到來自中國科學(xué)院信息工程研究所、密碼科學(xué)技術(shù)國家重點實驗室、清華大學(xué)、復(fù)旦大國內(nèi)相關(guān)企業(yè)和組織也在積極開展后量子密碼應(yīng)用標準的探索。特別是金融領(lǐng)域，各金融機構(gòu)對后量子密碼技術(shù)及應(yīng)用的標準化工作越來越重視，如中國建設(shè)銀行建信金融科技有限責(zé)任公司、上海扈民區(qū)塊鏈科技有限公司、銀聯(lián)商務(wù)股份有限公司等機構(gòu)聯(lián)合撰寫子密碼進行安全增強的技術(shù)規(guī)范問題，重點在數(shù)字證書、簽名、密鑰協(xié)商、應(yīng)用遷移等環(huán)節(jié)指導(dǎo)如何進行改造和應(yīng)用，同時確保兼容現(xiàn)有國家密碼安全標準，合規(guī)合法，符合監(jiān)管要求。CCSA量子特設(shè)組由牽頭單位阿里、中國信通院、科大國盾等開展了《量子密鑰分發(fā)、量子隨機數(shù)及后量子密碼在信息安全中的融合技術(shù)研究》標準3.后量子密碼應(yīng)用現(xiàn)狀3.1后量子PKIPKI是一種利用公鑰密碼體制建立起來的具有普適性的安全基礎(chǔ)設(shè)施。PKI的核心是數(shù)字證書，目前，數(shù)字證書一般采用X.5國際標準和相應(yīng)的國內(nèi)標準，證書采用的簽名算法以及證書中包含的簽名算法大多為RSA、ECDSA、SM2，難以抵抗量子計算攻擊。和CRL簽發(fā)，并對證書應(yīng)用系統(tǒng)進行改造，支持新算法的識別和證書格式下兼容后量子簽名算法，構(gòu)造支持經(jīng)典算法和后量子算法的混合證書。在X.509v3證書擴展域中定義新引入的后量子簽名算法OID、后量子簽名公鑰和后量子簽名，相應(yīng)的在做證書驗證過程中，需要驗證經(jīng)典簽名值和后量子簽名值。相比于簡單的后量子算法替換，混合證書模式可以更好地支持PKI系統(tǒng)向后量子方向平滑過渡，并且兼顧了經(jīng)典安全和后量子安全。但混合模式帶來的證書3.2后量子SSL/TLSSSL/TLS是實際中部署和應(yīng)用最為廣泛的密 通信提供安全保障,它是包括SSL/TLS在內(nèi)的所有互聯(lián)網(wǎng)協(xié)議的安全基石。SSL/TLS協(xié)議包括了雙向認證、密鑰協(xié)商、加密三個階段以及定期的協(xié)商主密鑰或加密會話密鑰的更新維護。后量子SSL/TLS實現(xiàn)技術(shù)途徑可包括，一是替換通信雙方的雙向認證算法；二是替換密鑰協(xié)商算法；三是替換會話密鑰加密算法；四是采用QKD技術(shù)或QRNG技術(shù)實現(xiàn)量子密鑰安全增強。工程上可采用上述頭部企業(yè)已開始嘗試把后量子SSL/TLS相關(guān)產(chǎn)品作為一個可選3.3后量子區(qū)塊鏈現(xiàn)有的區(qū)塊鏈主要采用經(jīng)典公鑰加密體系保障區(qū)塊鏈的安全性，因此并不能抵御量子計算的攻擊。后量子區(qū)塊鏈通常是指面對量子計算機攻擊，仍然能夠保證安全性和可靠性的區(qū)塊鏈系統(tǒng)。其利用后量子密碼實現(xiàn)量子安全的身份認證和數(shù)字簽名，并利用量子密鑰加密實現(xiàn)量子安全的數(shù)據(jù)加密通信。螞蟻鏈等國內(nèi)企業(yè)已有后量子密碼應(yīng)用于區(qū)塊鏈的實踐，主要聚焦于區(qū)塊鏈運行生命周期的交易、共識、通信三個場景，已經(jīng)完成區(qū)塊鏈全流程的后量子密碼能力建設(shè)。并針對當前后量子密碼簽名尺寸問題，結(jié)合特定場景進行升級一是評估量子計算對區(qū)塊鏈帶來的潛在安全風(fēng)險?？紤]到前提是區(qū)塊鏈后量子密碼遷移，這里只給出區(qū)塊鏈中涉及公鑰密碼的風(fēng)的協(xié)作帶來新的信任基礎(chǔ)，而這種信任基礎(chǔ)建立在底層密碼學(xué)所提供的安全性保障之上。這其中涉及到公鑰密碼的用法可粗略分為：鏈上交易防篡改使用的數(shù)字簽名機制，以及節(jié)點間通信使用的安全傳輸協(xié)議。受Shor算法的影響，上述時間的同時，還需考慮存儲在區(qū)塊鏈上的數(shù)據(jù)需要保存多長時間以及現(xiàn)有區(qū)塊鏈系統(tǒng)升級到量子安全級別的時間。如果后兩者相加的時間和大于前者，那么區(qū)塊鏈上的數(shù)據(jù)就會受二是選擇適配區(qū)塊鏈應(yīng)用的后量子密碼算法。理想情況下，將現(xiàn)有區(qū)塊鏈使用的公鑰密碼算法升級為量子安全的后量子密碼算法，而驗證任意一筆交易的公鑰也存儲在鏈上。若密鑰以及簽名三是確定區(qū)塊鏈后量子密碼遷移的應(yīng)用場景并進行遷移適配改造。結(jié)合鏈平臺技術(shù)特點以及后量子密碼應(yīng)用，可將遷移重點聚焦戶端構(gòu)造一筆有效交易并廣播到鏈上的所有節(jié)點上。由于用戶的公鑰注冊在鏈上，鏈上的各個節(jié)點都可以通過公鑰驗證這筆交易的合法性，交易合法才被允許上鏈。對于交易的遷移目標，需要做到目前運行傳統(tǒng)簽名算法的客戶端，可與運行后量子密碼簽名算法的客戶端兼容共存，并且預(yù)留出后量子密碼算法的可擴展可插拔接口，以此快速應(yīng)對未來后量子據(jù)。某一特定時間段，鏈上的某一節(jié)點會收到其它節(jié)點發(fā)送的共識消息和簽名，該節(jié)點可通過其它節(jié)點的公鑰信息進行簽名驗證。與交易的遷移相似，共識的后量子密碼遷移的重是客戶端又是服務(wù)器。公鑰密碼算法在TLS通信上的使用要包含兩部分：密鑰交換和認證。密鑰交換方面，客戶端和服務(wù)器通過詢問得到通信雙方支持的密碼套件，以及使用密鑰交換協(xié)議生成的預(yù)主密鑰；認證方面，客戶端和服務(wù)端會根據(jù)實際的認證需要，對對方的證書信息進行驗證。對于通信的實際遷移應(yīng)用，一方面要關(guān)注對TLS現(xiàn)用簽名算法的遷移，這點與上述交易和共識同理；二要關(guān)注密鑰協(xié)商算法3.4后量子可信啟動安全啟動是一種用于保護設(shè)備系統(tǒng)正常加載、免受惡意軟件攻擊的技術(shù)。其基本原理是以一個信任根為基礎(chǔ)，從設(shè)備加電起，至操作系統(tǒng)啟動為止，逐步驗證啟動過程中每個階段的數(shù)據(jù)和資源的數(shù)字簽名，確保所有啟動時加載的組件都是受信任的，并且沒有被HBS后量子簽名算法采用層級結(jié)構(gòu)，多個層次結(jié)構(gòu)對應(yīng)多個級別的樹。每個級別的樹可以作為UEFI中平臺密鑰、密鑰交換密鑰或固件更新密鑰的簽名結(jié)構(gòu)。每棵樹的根作為UEFI允許簽名數(shù)據(jù)庫，用于驗證固件和操作系統(tǒng)簽名。每棵樹用于對固件、固件包、平臺3.5后量子安全存儲技術(shù)數(shù)據(jù)的可靠加密和有效訪問控制是數(shù)據(jù)安全存儲的重要環(huán)節(jié)，傳統(tǒng)的數(shù)據(jù)加密存儲和基于身份驗證的訪問控制技術(shù)，底層所依賴的對稱加密算法和非對稱加密算法均受到了量子計算技術(shù)飛速發(fā)展的巨大威脅，基于后量子加密算法并配合量子密鑰體系構(gòu)建的安全存儲技術(shù)，成為了今后相當一段時間里提升數(shù)據(jù)抵御量子計算攻擊后量子安全存儲技術(shù)的涉及如下兩點。一是通過量子隨機數(shù)生成技術(shù)來生成所有加解密算法所依賴的加密密鑰，并利用這些量子密鑰來構(gòu)建一個分級的加密密鑰管理體系，對數(shù)據(jù)存儲的身份識別，訪問授權(quán)，數(shù)據(jù)加解密等操作提供分級保護的密鑰源，通過分級密鑰保護機制來確保加密密鑰的隨機性和安全性。二是利用后量子算法來替換整套安全存儲系統(tǒng)中所有的傳統(tǒng)加解密算法，根據(jù)相應(yīng)算法的需要配合上述加密密鑰管理系統(tǒng)，共同構(gòu)建一套數(shù)據(jù)加解密系統(tǒng)；確保數(shù)據(jù)在物理存儲層和訪問控制層的加密過程均能夠有效抵目前后量子安全存儲技術(shù)在后量子算法選擇，后量子算法與量子隨機數(shù)密鑰結(jié)合以及后量子算法性能提升方面還處于摸索階段，相信隨著后量子算法自身的不斷完善，后量子安全存儲技術(shù)將在實4.后量子密碼遷移研究4.1后量子密碼遷移方案后量子密碼遷移不僅僅是替換密碼算法，它還包括將密碼協(xié)議、密碼方案、密碼組件、密碼基礎(chǔ)設(shè)施等更新為量子安全的密碼技術(shù)，甚至還包括密碼系統(tǒng)的靈活更新機制的能力構(gòu)建及密碼應(yīng)用信息系統(tǒng)的迭代更新等，是將現(xiàn)有密碼安全體系分階段平穩(wěn)過渡到后量子考慮到后量子密碼的復(fù)雜性以及穩(wěn)定性，目前多數(shù)傾向于采用“兩把鎖、雙保險”的混合模式進行過渡，而不是直接替換的模式。后量子密碼與傳統(tǒng)密碼算法的混合使用，現(xiàn)階段主要針對公鑰在后量子密碼遷移早期采用混合密鑰交換機制的方式，既能保留傳統(tǒng)算法的安全性和監(jiān)管約束力，又具備后量子安全的潛力。所以，混合密鑰交換機制是在最終過渡到下一代算法之前的一個合適個候選的后量子密鑰協(xié)商算法得到兩個不同會話密鑰，然后將兩者混合推導(dǎo)出最終的會話密鑰。這樣可以顯著降低潛在的風(fēng)險，即使量子計算機成為現(xiàn)實，它也不可能攻破后量子部分的密鑰，另外，如果在過渡期間發(fā)現(xiàn)后量子算法的安全對于真實性需求迫切，且使用數(shù)字簽名算法的場景在后量子遷移早期采用混合簽名的方式，再逐步過渡到純后量子密碼算法簽名。同樣的，混合簽名機制也需具備向后兼容性、高性能、最小的重復(fù)信息等特點。并且針對混合機制的設(shè)計及實現(xiàn)時，要充分考慮密碼QKD和PQC是目前學(xué)術(shù)界公認的應(yīng)對量子計算威脅的兩個技少認證手段、應(yīng)用成本相對較高；PQC具有功能和應(yīng)用體系與傳統(tǒng)密碼兼容的優(yōu)勢，但缺少安全性證明。將兩個抗量子計算威脅的技QKD都需要存儲其共享的身份驗證密鑰，面對規(guī)模網(wǎng)絡(luò)中有大量節(jié)點需要相互認證的場景時，存在需預(yù)置大量密鑰、管理維護不便的QKD+PQC的融合應(yīng)用，進一步提升QKD網(wǎng)絡(luò)的安全性和組網(wǎng)便利性。采用哈希算法計算要認證的數(shù)據(jù)的摘要值，通信雙方對摘要值根據(jù)成本相對較高，采用基于QKD+PQC本。通過量子安全密鑰管理設(shè)備將加密密鑰傳輸從數(shù)據(jù)通道分離出來，并進入一個單獨的密鑰管理子系統(tǒng)，該子系統(tǒng)可以按需配置。一個典型的融合網(wǎng)絡(luò)配置由一系列的節(jié)點組成，其中一些節(jié)點與加密數(shù)據(jù)鏈路的加密設(shè)備通信，一些節(jié)點作為可信中繼節(jié)點。存在成后量子密碼遷移是一項龐大而緊迫的工程，這也就要求在后量子密碼遷移工作中提早布局，安全設(shè)計，穩(wěn)健遷移。后量子密碼遷和標準均已經(jīng)成熟，用戶按照監(jiān)管機構(gòu)要求的時間點進行升級替換即可。而后量子密碼算法的遷移動力，更多地來自于用戶對自身業(yè)務(wù)系統(tǒng)安全性的考慮，而且目前算法和標準均未成熟，其推進過程將會更加復(fù)雜。為了保證現(xiàn)有業(yè)務(wù)系統(tǒng)的安全性和合規(guī)性，試點機各部分所使用的加密算法類型，準確判斷出后量子密碼遷移所涉及的系統(tǒng)范圍，包含所使用的密碼技術(shù)特點（公私鑰密文簽名長度、等等，以此評估遷移的優(yōu)先次序；然后是調(diào)研現(xiàn)有國內(nèi)外主流的后量子密碼算法，分析不同后量子密碼算法安全性、密鑰大小、延遲、帶寬和適用場景，試驗不同的后量子密碼算法，并進行初步的功能（2）產(chǎn)品改造。后量子密碼算法標準頒布后，根據(jù)遷移的優(yōu)先次序穩(wěn)健遷移，并逐步引入后量子密碼加密硬件，整體提升性能和安全性。待技術(shù)和標準成熟之后，在行業(yè)監(jiān)管單位的帶頭下，先各CA發(fā)證機構(gòu)首先需要對其數(shù)字證書相關(guān)的基礎(chǔ)設(shè)施進行改造，使其底層支持后量子密碼相關(guān)算法。只有這一步達成后，才具需要CA發(fā)證機構(gòu)與使用證書的單位密切配合，對證書發(fā)放類在發(fā)證類產(chǎn)品兼容了后量子密碼算法之后，再對證書應(yīng)用類產(chǎn)品進行升級改造。例如，軟件類的密碼控件、加解密組件、通信組證書相關(guān)產(chǎn)品改造完成之后，再對無證書公鑰密碼產(chǎn)品進行升級改造，確保所有涉及到公鑰密碼算法的產(chǎn)品全部支持后量子密碼（3）行業(yè)推廣。依據(jù)國密改造和信創(chuàng)改造的經(jīng)驗，行業(yè)可以首先在代表機構(gòu)和典型場景進行試點推廣，收集反饋信息，完善密碼產(chǎn)品。在充分驗證可行性后，再在各行業(yè)進行全面推廣，以實現(xiàn)全4.2后量子密碼遷移時間預(yù)測目前能攻破當前在用的密碼算法的量子計算機出現(xiàn)的時間仍然安全密碼學(xué)會議上，加拿大滑鐵盧大學(xué)Mosca教授給出了其最新管機構(gòu)、標準化組織、企業(yè)等已對后量子遷移的必要性形成共識。于量子計算的“是否”與“何時”不再是問題，后量子密碼將成為得廣泛的采用。NIST的SHA-3密碼早在2007年就宣布了，但到2021年仍然沒有得到廣泛采用。因此，密碼系統(tǒng)的過渡（即使是比為復(fù)雜，因為許多方法都是相對較新的，而且許多候選算法的性能簽名算法的特點是私鑰有狀態(tài)，需要小心維護和更新。另外，單個私鑰所支持的簽名數(shù)量有限，而且簽名和驗簽的速度慢。這使得它們可能不如無狀態(tài)簽名通用。關(guān)于對稱算法，CNSA2.0推薦使用AES256，SHA384或SHA512。對于通用場景下的公鑰算法，所以最終標準化的參數(shù)和它們的第三輪文檔有可能不一致，而且參數(shù)可能會增大以留出足夠的安全邊界。二是，按照Kyber和尤其是芯片面積/網(wǎng)絡(luò)帶寬等方面。不過CNSA2.0針對的是美國國家安全系統(tǒng)，對于民用系統(tǒng)，特別是中、低安全的民用系統(tǒng)，可以量子遷移。其中，對于軟件/固件簽名場景的遷移，需立即啟動，在2030年前完成；傳統(tǒng)網(wǎng)絡(luò)設(shè)備的遷移在2025年左右啟動，也需在網(wǎng)絡(luò)瀏覽器/服務(wù)器和Niche設(shè)備(如資源受限設(shè)備、大型PKI系在我國，金融行業(yè)是密碼應(yīng)用推廣最早、重視程度最高的行業(yè)之一，當前我國的金融監(jiān)管單位在推動金融機構(gòu)的后量子密碼遷移預(yù)研工作。根據(jù)SM2證書體系遷移經(jīng)驗，在后量子密碼算法相對成熟的基礎(chǔ)上，從密碼管理部門或者金融監(jiān)管部門出具正式遷移通知仍存在一些耗時的工作，比如技術(shù)實現(xiàn)方式、行業(yè)標準的統(tǒng)一以及各部門之間的協(xié)調(diào)溝通，這些遷移之前的準備工作預(yù)計持續(xù)1年以（2）對于密碼產(chǎn)品改造工作，由于產(chǎn)品體系龐大，密碼和證書類產(chǎn)品在金融行業(yè)應(yīng)用普遍且深入，而且還要考慮密碼產(chǎn)品檢測認（3）金融行業(yè)一般會采取先試點再全面推廣的步調(diào)，預(yù)計從試3年時間。不過，行業(yè)推廣過程通常會與產(chǎn)品和系統(tǒng)改造同步進行，后量子密碼算法相對成熟后，從遷移準備到行業(yè)基本普及，最少需4.3后量子密碼遷移挑戰(zhàn)密碼算法的推廣部署總是充滿挑戰(zhàn)，涉及繁多場景和相互關(guān)聯(lián)依賴的系統(tǒng)，往往新算法的部署和遺留算法的退出需要耗費數(shù)十年時間。在進行后量子密碼遷移時需要全面考慮各種潛在風(fēng)險，并制首先，在算法設(shè)計層面，有些后量子密碼只是當前尚不存在量子算法可以高效率地攻擊它們，但是隨著人們對量子算法的研究深入，未來是否會出現(xiàn)新的量子算法來攻破當前的后量子密碼仍然是未知的。此外，由于目前的后量子密碼算法大都是在近幾年受標準化活動推動而設(shè)計的，密碼分析的時間并不久，它們很多甚至還不能通過經(jīng)典算法的攻擊考驗。例如，基于同源的SIKE算法在進入NIST標準化第四輪后一個月即受到嚴重攻擊。類似情況對于其它算法也不能完全排除，這也是德國BSI力推基于無結(jié)構(gòu)格的其次，在算法實現(xiàn)層面，密碼算法的實現(xiàn)和優(yōu)化是一個復(fù)雜的問題，需要同時具備密碼學(xué)專業(yè)知識和一定的工程能力，以避免在實現(xiàn)時引入漏洞。然而，后量子密碼算法在數(shù)學(xué)結(jié)構(gòu)上與傳統(tǒng)的RSA和橢圓曲線離散對數(shù)類算法差異較大，引入了很多新型的、復(fù)雜的算子，因此，后量子密碼算法的安全實現(xiàn)和優(yōu)化有待繼續(xù)探索。最后，在算法性能和兼容性層面，實際應(yīng)用中可能會遇到技術(shù)成熟度不足、算法效率較低、加解密時間較長等問題，這些因素可能影響行業(yè)推進遷移的速度。在進行后量子密碼遷移時，如果兼容性問題處理不當可能導(dǎo)致系統(tǒng)中斷或數(shù)據(jù)丟失，給業(yè)務(wù)帶來不穩(wěn)定因此，在后量子遷移過程中，必須考慮到算法設(shè)計和實現(xiàn)帶來的風(fēng)險，以密碼學(xué)敏捷的方式設(shè)計系統(tǒng)，以應(yīng)對可能出現(xiàn)的突發(fā)情后量子密碼在行業(yè)的應(yīng)用涉及法規(guī)的變革，在電子簽名上的遷簽名與手寫簽名或者蓋章具有同等的法律效力。在日常生活中，電子簽名擁有眾多應(yīng)用場景（電子保單、電子病歷、電子成績單和電子合同等）和龐大的應(yīng)用規(guī)模。電子簽名的安全性由公鑰密碼算法的安全性來保證，若廣泛使用的公鑰密碼算法被破解，則基于這些算法的電子簽名系統(tǒng)將完全崩潰，進而系統(tǒng)中被簽名數(shù)據(jù)的完整性、簽名行為的不可否認性均不能得到保證。為應(yīng)對傳統(tǒng)的公鑰算法安紛或倫理方面的挑戰(zhàn)。具體來說，若在遷移策略上采用“舊的舊辦，新的新辦”的策略，即舊簽名證書繼續(xù)支持已簽署數(shù)據(jù)的有效性證明，新的數(shù)據(jù)則由新簽名證書簽署。那么以電子保險單為例，對于一份由舊證書簽名的電子保險單來說，由于舊簽名算法已不再安全，電子認證機構(gòu)無法判定保險單是否被篡改冒簽過，所以無法出具認證證明并為此擔(dān)責(zé)，進而可能會引起法律上的糾紛。若采用“以舊換新”的策略，即撤銷算法不安全的證書，重新簽發(fā)新證書，使用新證書重新簽署舊證書已簽名的數(shù)據(jù)，首先，無法保證毫無遺漏地將數(shù)以億計的簽名全部召回；其次，以電子病例為例，若一份電子病歷的患者本人已去世或失聯(lián)，家屬是否有代簽權(quán)、家屬拒絕簽署該如何處理，類似的很多問題目前都暫無答案，處理不當可能會引應(yīng)用傳統(tǒng)密碼算法的產(chǎn)品及服務(wù)多種多樣，已廣泛應(yīng)用并深刻首先，無法在線進行算法升級的大規(guī)模應(yīng)用產(chǎn)品的PQC遷移面臨遷移周期長、遷移成本大的挑戰(zhàn)。比如我國的居民二代身份證中及到將數(shù)以億計的二代身份證全部召回或者發(fā)布新一代身份證，對其次，部分產(chǎn)品或服務(wù)的PQC遷移可能會使產(chǎn)品或服務(wù)面臨性能降低甚至不適用的的挑戰(zhàn)。比如，對邊緣計算來說，高價值邊緣計算對時延以及帶寬的要求相對較高，且部分邊緣設(shè)備的硬件資源相對較弱。然而，PQC算法與傳統(tǒng)算法尤其是橢圓曲線離散對數(shù)類算法比較，具有更大的密鑰、密文及簽名，這將明顯增大存儲和傳輸開銷，進而對邊緣設(shè)備和云端之間數(shù)據(jù)的快速流動造成了一定的阻礙。此外，PQC算法在硬件中部署時芯片面積和功耗的增加以及側(cè)信道防護帶來的成本使得其對邊緣計算設(shè)備具有較高的要求，使PQC遷移需要高度專業(yè)化的人才，然而目前我國密碼學(xué)人才稀缺。2020年，據(jù)統(tǒng)計我國每年培養(yǎng)的密碼學(xué)專業(yè)人才僅上千人。的不平衡，相關(guān)人才培養(yǎng)多集中于密碼基礎(chǔ)理論和算法協(xié)議設(shè)計方面，密碼工程人才偏少，了解一個或多個行業(yè)信息化應(yīng)用的密碼工背景下，密碼人才的培養(yǎng)和需求不平衡問題對PQC遷移造成了一定前期，我國積極參與國際后后量子密碼標準的征集活動，但是國際上基礎(chǔ)算法標準目前由美國NIST主導(dǎo)，并有歐盟大力配合，的格密鑰封裝算法均有專利風(fēng)險。LWE技術(shù)路線的專利風(fēng)險比散，分散在多個國家、機構(gòu)和個人，極有可能存在尚未浮出水面的第一個是美國專利9094189[14]，為法國國家科學(xué)院所持有，專 使用的“帶噪音Diffie-Hellman+協(xié)調(diào)”的框架都受到該專利的影響，使用了類似的構(gòu)造框架。在更廣泛的范圍之內(nèi)，該專利對這些算法第二個是美國專利9246675[15]，為丁津泰教授所持有，專利有對兩項密文進行壓縮處理，不過每個算法所采用的壓縮方法不同。1.2測試性能，但幾個月后因為該專利的原因，谷歌不得不終止第三個是中國專利107566121[16]，為復(fù)旦大學(xué)趙運磊所持有，專利風(fēng)險對后量子密碼應(yīng)用造成遲滯和威脅。目前美國NIST的專利談判僅取得如下進展1）專利授權(quán)僅對最終標準化的算法，Kyber等算法在美國應(yīng)用的專利風(fēng)險，無法確保Kyber在美國之外地國標準細節(jié)沒有確定之前，商業(yè)領(lǐng)域不敢應(yīng)用Kyber，即便在標準公布后，在其它國家也有潛在專利風(fēng)險，這導(dǎo)致在商業(yè)領(lǐng)域基于需要重視的是，LWE技術(shù)路線的專利問題不僅影響到PQC算二是將現(xiàn)有的經(jīng)典算法（例如ECC）過渡到PQC算法的遷移路徑也存在專利的影響。企業(yè)大規(guī)模應(yīng)用的CA證書一般只應(yīng)用某一關(guān)鍵特征之一是能夠同時支持經(jīng)典密碼系統(tǒng)以及已升級的后量子密碼系統(tǒng)。當使用者開始將其經(jīng)典密碼系統(tǒng)和應(yīng)用程序遷移到后量子安全時，他們不需要支持兩個單獨的PKI（一個用于傳統(tǒng)證書，一個用于后量子安全證書因為它們已經(jīng)擁有二合一的混合證書。然WO2018027300和日本專利JP6644894。目前，ISARA公司已經(jīng)將部分后量子路線的產(chǎn)品已受到出口管制。2018年起，新版瓦森納協(xié)議已經(jīng)將基于格上困難問題、隨機解碼問題和同源困難問題這三類困難問題的密碼技術(shù)列入出口管制清單。因此，在國內(nèi)想要獲取格、編碼、同源密碼算法相關(guān)的商業(yè)產(chǎn)品，或者與國外研究者進行商業(yè)合作，將受到出口管制的約束，需要申請相關(guān)的出口許可證。5.后量子密碼發(fā)展建議5.1強化政策頂層設(shè)計呼吁國家及時制定向后量子遷移的頂層設(shè)計和規(guī)劃。在全球大國戰(zhàn)略競爭中，后量子密碼技術(shù)產(chǎn)業(yè)已經(jīng)成為全球關(guān)注的焦點。建議國家相關(guān)部門牽頭制定后量子相關(guān)頂層規(guī)劃和指導(dǎo)文件，負責(zé)統(tǒng)后續(xù)的產(chǎn)業(yè)落地等全方面的工作，制定后量子準備路線圖、技術(shù)清5.2加強自主技術(shù)儲備加大對后量子密碼理論研究和應(yīng)用的投入。國內(nèi)團隊對后量子密碼的研究起步較晚，清華大學(xué)王小云院士團隊是國內(nèi)較早開始研究者十幾年的奮力追趕，國內(nèi)的學(xué)術(shù)團隊在算法設(shè)計、算法分析、安全性證明等方面出現(xiàn)了很多優(yōu)秀的成果，并且在密碼領(lǐng)域的國際頂會上發(fā)