编者按

本文是关于欧盟后量子密码转型研究的阶段性成果，概述欧盟后量子密码转型体系化应对的路径探索，并对欧盟网络安全局发布的报告《后量子密码：当前状态和量子风险缓释》核心观点进行翻译介绍，以期为我国密码安全决策提供前瞻性理论支撑。

密码是网络安全的基石，机密性、完整性、身份验证和不可抵赖性等安全属性均依赖于强加密机制。量子计算的发展带来新一轮密码安全风险，恶意行为者可能利用量子计算机破解目前广泛使用的RSA、ECDSA、ECDH、DSA等公钥密码算法，降低对称密钥与哈希函数的安全性。为支持欧盟后量子密码转型相关立法工作开展，2021年5月，欧盟网络安全局（ENISA）发布报告《后量子密码：当前状态和量子风险缓释》（Post-Quantum Cryptography: Current state and quantum mitigation，以下简称“本报告”），采用前瞻性视角，聚焦量子计算对现有网络基础设施带来的潜在影响及欧盟应对立场。

欧盟为何要进行后量子密码转型？

欧盟一直是量子技术领域的关键参与者，其推动向后量子密码转型有其必然性和深刻的时代背景。

一是量子计算加剧网络基础设施安全风险。本报告指出，量子计算将从根本上改变现有网络安全威胁模型，并对网络基础设施安全保护带来极大挑战。尤其是“追溯解密”型攻击意味着一旦大型量子计算机可用，恶意行为者将可解密此前截获的所有加密通信。为此，若加密数据保密期超过10年且攻击者可获取密文，应立即采取行动保护数据安全。同时，推出新的密码系统需花费大量时间和精力，对卫星等可访问性受限的系统来说甚至可能是不可行的。更进一步，若在攻击者可用量子计算机时后量子签名系统仍未到位，那么攻击者可通过虚假升级控制操作系统以阻止针对量子风险的系统升级。因此在“足够大且容错的”（Large And Fault-Tolerant，LFT）量子计算机研发出来之前，推动后量子密码转型有其现实必要性。

二是对量子计算技术主权的争夺日益激烈。本报告指出，美国、中国、加拿大和日本等国均将量子技术发展作为重要战略任务。虽然量子计算技术发展对当前系统并未构成实质威胁，但多个国家与行业参与者均对量子计算机进行大规模投资研发。该领域研发进展并非全公开可见，世界首台功能齐全的大型量子计算机很可能不会公开宣发，政策制定者和系统所有者应做好准备。

欧盟后量子密码转型的当下立场与进展如何？

战略层面，欧盟重视量子技术战略部署与顶层设计，通过财力支持、人才赋能、统筹协调、产业互动等多方位支撑欧盟后量子密码转型发展。本报告指出，欧盟一直是量子技术领域的关键参与者。2018年10月，欧盟启动“欧盟量子旗舰计划”（the EU Quantum Flagship），将在未来10年在该领域投资10亿欧元，旨在将欧洲塑造为量子技术业界领导者。2020年12月，欧盟委员会发布《欧盟网络安全战略》（EU Cybersecurity Strategy），明确将量子计算和加密列为实现“韧性、技术主权和领导力”“强化预防、威慑与响应能力”“促进全球化、开放化网络空间”三大战略目标的关键技术。在本报告之外，波士顿咨询集团BCG表示“欧盟量子旗舰计划”已成为促进欧洲国家间合作的动态机制，可推动创建强大的欧洲量子计算生态系统；尤其在量子人才培养方面，欧盟较为领先，鼓励顶尖大学关注量子计算，设立QTEdu开放硕士试点，努力满足下一代量子计算人才需求。

立法层面，欧盟立法者和隐私当局在密切关注美国NIST后量子密码标准化进展的同时，开始针对可能影响数据保护和隐私安全的量子计算发展加强立法储备。本报告提及，欧盟数据保护委员会（EDPB）强调量子计算对数据保护带来的安全风险。具体而言，2020年8月，EDPB发布简报《量子计算与加密》（Quantum Computing and Cryptography），建议后量子密码应急和迁移计划要优先考虑保证数据安全，在过渡到后量子密码系统时，组织应将现有风险因素和数据迁移过程中的安全问题纳入考量，以确保数据安全性（即可靠性、可用性）与机密性（例如数据使用后量子密码重新加密）。2021年10月，欧美法学研究者以“后量子密码与欧盟未来数据保护监管”为主题进行探讨，指出欧盟立法者要考虑实施更为“动态”的隐私和数据保护框架，以缓冲量子计算对数据和隐私保护带来的潜在影响；并建议EDPB发布额外指导方针，从法律角度阐明量子计算对加密的影响、要求各组织遵循本报告中提出的建议并实施NIST后量子密码标准，以确保GDPR合规。

标准层面，欧盟全力配合美国NIST后量子密码算法征集，并基于NIST算法推动技术、标准、服务、市场的全链条后量子密码转型。NIST于2009年发布后量子密码算法综述，2012年启动后量子密码算法标准化项目，2016年发布后量子密码算法征集公告，评估工作分为3轮进行，预计2024年前完成。欧盟整合业界与学界力量积极参与NIST后量子密码算法征集，2015年启动全球后量子密码算法项目PQCRYPTO和后量子密码算法应用项目SAFCRYPT。2022年7月5日，NIST发布PQC标准化进展公告，宣布经过第三轮PQC标准化程序考察，4个候选算法将进入标准化流程，包括1个公钥加密或密钥封装方案和3个数字签名方案，分别为：CRYSTALS-KYBER、CRYSTALS-DILITHIUM、FALCON、SPHINCS+；并公布第四轮候选算法，为4个公钥加密或密钥封装方案，包括：BIKE、Classic McEliece、HQC、SIKE。欧洲是NIST后量子密码候选算法的最大来源，欧洲主导和参与的密码算法达到20多个。

针对NIST后量子密码标准化适用，本报告建议首先要厘清系统是否在NIST候选算法适用范围内，可参与NIST研讨以确保其涵盖该用例，并根据NIST竞选结果进行相应系统更新。此外，若系统在日后很难升级，那么现在就应将后量子签名机制（post-quantum signature scheme）纳入其中，确保在量子计算机可用后该设备安全状态的持续性。或者当下做好后量子密码转型准备，制作公钥密码使用范围与目的清单，确保软件更新与第三方产品在清单范围内。

鉴于NIST后量子密码标准化工作正在进行，本报告并未对后量子密码标准化方案的选择进行优劣评价，而是针对NIST后量子密码标准化工作还将持续数年的客观现实背景下的量子风险缓释方案进行探索。本报告指出，在一般情况下，最安全的后量子密码转型策略是国家当局逐步推进后量子密码标准化，并发布后量子密码转型路线图。但是，在极端情况下，若量子安全风险不可再容忍，当下有两大切实可行的量子风险缓释方案为系统所有者保障数据安全、抵御量子攻击提供指引：一是混合实现方案，将前量子密码方案与后量子密码方案组合使用；二是预共享密钥方案，将预共享密钥融入所有通过公钥密码建立的密钥中。上述方案均将带来一定成本代价，本报告建议系统设计人员进行全面的风险评估与成本效益分析。

欧盟后量子密码转型的未来发展方向如何？

2013年欧洲电信标准化协会（ETSI）召开量子安全会议，推动后量子密码转型，提出“融合后量子密码（PQC）和量子密钥分发（QKD），共同打造未来的量子安全技术体系”的战略目标。本报告在此基础上进一步厘清PQC与QKD的关系，指出QKD是一种已实现多年的量子技术应用，根据物理定律，为分发、共享密码协议所必需的密钥提供一种有保证的安全方式，可对传统密码系统提供补充，但并不是解决量子密码安全困境的直接答案。2022年6月，欧盟发起“向后量子密码转型”（Transition towards Quantum-Resistant Cryptography） 项目，明确欧盟后量子密码转型的未来探索方向：一是测量、评估、标准化或认证面向未来的加密技术；二是解决后量子密码提供的理论可能性与其实际实现之间的差距；三是探究可用于从当前加密技术迁移到面向未来的加密技术的解决方案和方法；四是在大规模量子攻击出现时为安全的信息交换和处理做好准备。

展望未来，量子计算巨大潜力引发新一轮技术变革和激烈竞争，量子信息技术及其产业链将成为国家安全的新内容，量子计算发展对网络安全与国家安全构成新挑战。后量子密码转型是一个系统化的漫长过程，并未伴随后量子算法的选择和标准化而结束，还要与现有系统、协议相融合，考虑安全、性能、合规等重要问题。ENISA于今年十月发布的《后量子密码：预测威胁和准备未来》（Post-Quantum Cryptography: Anticipating Threats and Preparing the Future）进一步深入研讨设计新加密协议、将后量子系统集成到现有协议的必要性，提出为主要用例制定指南，以评估不同系统的最佳匹配应用场景。对于我国来说，既要从战略上全局规划，更要围绕后量子密码转型采取针对性措施，研究制定我国后量子密码转型路线，强化我国网络与数据安全法律体系对量子风险的动态包容性，将当下切实可行的量子风险缓释方案纳入技术考量。

本期简报对报告《后量子密码：当前状态和量子风险缓释》的第一章“绪论”、第六章“量子风险缓释方案”、第七章“结论”重点内容整理如下：

第一章 绪论

量子技术是物理和工程界的新兴领域，其利用量子纠缠、量子叠加和量子隧穿等量子物理学原理，提供研究新范式、新应用。从电子计算、通信到计量学和成像，过去二十年来量子技术领域一系列研究成果接连涌现。欧盟政策制定者认为量子技术将为企业和公民提供新的技术解决方案，带来数十亿欧元的巨大市场。

自研究之初，欧盟一直是量子技术领域的关键参与者，计划未来10年在该领域投资10亿欧元，“欧盟量子旗舰”计划（the EU Quantum Flagship）发动2000余名科学家和实业家进行合作研究，旨在将欧洲塑造为量子技术业界领导者。同时，美国、中国、加拿大和日本等国均将量子技术发展作为重要战略任务。

2020年12月，欧盟委员会发布《欧盟网络安全战略》（EU Cybersecurity Strategy），明确将量子计算和加密列为实现“韧性、技术主权和领导力”“强化预防、威慑与响应能力”“促进全球化、开放化网络空间”三大战略目标的关键技术。

鉴于全球量子计算竞赛日趋激烈，欧洲现在开始考虑风险缓释似乎是谨慎的做法。ENISA并不是唯一一个有此想法的机构，其他当局和欧盟机构也提出了类似担忧。机构层面，欧盟数据保护委员会强调量子计算对数据保护带来的安全风险；成员国层面，德国联邦信息安全办公室在NIST的标准化进程推出前已开始对后量子替代方案的研究、评估。

鉴于NIST后量子密码标准化进程正在进行中，本报告并未对后量子密码标准化选择进行优劣评价。在一般情况下，最安全的后量子密码转型策略为国家当局逐步推进后量子密码标准化，并发布后量子密码转型路线图。然而，在极端情况下，若量子安全风险不可再容忍，本报告提出当下切实可行的两大量子风险缓释方案，为系统所有者保障数据安全、抵御量子攻击提供指引：一是混合实现方案，将前量子密码方案与后量子密码方案组合使用；二是预共享密钥方案，将预共享密钥融入所有通过公钥密码建立的密钥中。上述方案均将带来一定成本代价，建议系统设计人员进行全面的风险评估与成本效益分析。

第六章 量子风险缓释方案

若你的加密数据保密期超过10年且攻击者可获取密文，那么你应立即采取行动保护数据安全，否则攻击者可使用大型量子计算机，破坏数据安全状态。鉴于NIST后量子密码标准化还将持续数年，当下有两大可行的方案可缓释量子安全风险。

方案一是混合实现，将前量子密码方案与后量子密码方案组合使用；方案二是采用理论概念层面简单，但组织实施层面复杂的预共享密钥方案，将预共享密钥融入所有通过公钥密码建立的密钥中。后文将详细介绍这两大方案。

首先，需弄清楚你是否适合NIST后量子密码标准化的用例，可参与NIST讨论以确保其涵盖你的用例，根据NIST后量子密码竞选结果进行相应的系统更新。此外，若建造的设备在日后很难升级，那么现在就应将后量子签名机制（post-quantum signature scheme）纳入其中，确保在量子计算机可用后该设备安全状态的持续性。或者开始做好后量子密码迁移准备，制作公钥密码使用范围与目的清单，确保软件更新和第三方产品也在清单范围内。

（一）混合实现方案

混合实现方案是指将RSA、（EC）DH等前量子公钥密码方案与后量子密码方案结合，确保至少其中一个方案是安全的。在认证与合规方面，混合实现方案将更有助于向标准化后量子密码机制迁移。

首先，公钥加密（PKE）和密钥交换（KEX）。将PKE或KEX方案进行结合使用的最常见方式是同时运行两个方案以获取各方案的共享密钥。对于通过将借助公钥密码获取的预主密钥导入到密钥导出函数（KDF）以导出会话密钥的协议，也可为各方案建立一个预主密钥，将两个预主密钥的串联导入到KDF。此种方式可以适用于TLS加密体系。

此外，当涉及签名方案（signature schemes）时，将两种方案进行结合使用的最好方式是将其各自独立处理。这意味着要分发两个公钥（可能在一个证书中）并始终发送两个签名，每个方案各一个。对于特定方案，更有效的组合方式是存在的，但这是一个正在进行中的研究课题。

（二）前量子密码保护措施

对于不想在标准化完成之前开始部署后量子密码系统但仍担心所传输数据长期机密性的用户，除了通过公钥操作获取的密钥材料外，还可以通过在密钥推导中包含保留的共享机密数据来保护他们的系统。这是以保留成对共享数据为代价的，因此仅适用于一直保持状态并具有有限对等点集的系统。

ZRTP协议包含一种称为“密钥连续性”（key continuity）的机制，可作为对抗中间人（MITM）攻击的有效措施。该协议在2006年公布时并未直接将对抗量子攻击、强化安全保障列为宗旨，但这是我们发现的关于该想法的首个描述。该协议在更新共享机密数据方面也比其他协议走得更远。较新的Wireguard协议使用预共享密钥并将其包含在会话密钥的派生中，但未更新PSK；Wireguard是基于Noise PSK的。Wireguard明确将PSK列为一项可防范量子攻击者日后入侵的功能。

以下描述遵循ZRTP方法，即保留的共享密钥通过将新数据进行散列的公钥操作得以更新。将来自公钥操作的机密数据包含其中可确保进一步的机密性以及对抗前量子攻击者。在每次迭代期间使用散列函数更新保留的共享密钥可确保系统的后续入侵无法从保留的共享密钥和记录的连接数据中恢复先前的会话密钥，即使攻击者通过量子计算机破坏前量子公钥加密。

报告在此处给出ZRTP方法的具体计算公式及相应解释，本简报对此部分内容未作整理。

第七章 结论

伴随技术迅猛发展，基础设施面临着新的攻击媒介，这是不可避免的。然而，量子技术，尤其是量子计算将成为主要的破坏者。20多年来，我们已经知道，足够大且实用的量子计算机的开发将使多数密码系统不再安全，从根本上改变现有威胁模型并危及基础设施。

此外，虽然当前系统并不构成实质性威胁，但多个国家与行业参与者均对量子计算机（具有足够数量的量子比特，能够抵抗量子噪声和其他量子退相干，在经济上可行且实际可操作）进行大规模投资研发。该领域研发进展并非全是公开可见的，世界首台功能齐全的大型量子计算机很可能也不会公开宣发。为此，各政策制定者和系统所有者应做好准备。

推出新的密码系统需花费大量时间和精力；对于可访问性受限的系统（例如卫星），其甚至可能是不可行的。此外，签名在保护现代操作系统升级方面发挥着重要作用。若在攻击者可用量子计算机时后量子签名系统仍未到位，那么攻击者可通过虚假升级控制操作系统以阻止意在解决该问题的升级。

因此，提前准备好替代品至关重要。更糟糕的是，由于“追溯解密”（retrospective decryption）攻击，无论是从现在开始的5年、10年还是20年，截获的所有加密通信都能在攻击者可用大型量子计算机后立即解密。

在这项研究中，我们简要介绍了后量子密码发展背景，第二章概述5个主要的后量子密码算法系列——其被提议作为提供后量子安全韧性的潜在候选者，包括基于代码的密码、基于同源的密码、基于散列的密码、基于格的密码和基于多变量的密码。第四章介绍NIST正在考虑进行标准化的入围算法，而第五章则提到NIST认为有前途但尚未准备好应用的算法。

第六章阐述两种潜在的后量子风险缓释方案。一是所谓的混合实现方案，其采用前量子和后量子密码方案的结合，二是概念上简单但组织复杂的预共享密钥方案，将预共享密钥混合到通过公钥密码建立的所有密钥中。这两种方案都有其局限性，但对于需要对传输数据进行长期保密的系统所有者来说，值得考虑。此外，鉴于NIST后量子密码标准化进程预计在2022-2024年某个时间节点发布标准草案，具有更宽松安全要求或具有更大资源限制的系统所有者可以更好地等待标准化的完成。

第四章和第五章介绍的算法是指非对称密钥（公钥）密码系统——由于其高度依赖数学结构（例如因式分解、 和离散对数问题），受量子计算机影响最大。另一方面，对称密钥（共享密钥）密码系统对量子风险具有更高的韧性，在此类系统中，使用更长的密钥被认为是一种易于采用的有效缓释技术。

读者会注意到本报告未提及量子密钥分发（Quantum Key Distribution，QKD）或量子密码（Quantum Cryptography），这是一个深思熟虑的选择。QKD是一种已实现多年的量子技术应用，根据物理定律，为分发、共享密码协议所必需的密钥提供一种有保证的安全方式。QKD本质上提供密钥协议服务，但并不提供身份验证或消息保密服务——对于这些服务，我们要依赖基于数学的密码术。换句话说，QKD可为传统密码系统提供补充，其设置依赖于预先建立、经过验证的通信通道。然而，这样一个经过验证的通道的存在，前提是通信方要么在过去设法私下交换对称密钥（例如通过物理交流），要么正在使用公钥密码。在前一种情况下，身份验证是通过直接互动得以实现的，并不是一种可推广的做法。而在后一种情况下，我们被迫使用相同的密码算法，无法抵御量子密码分析带来的安全风险。显然，QKD并不是解决量子密码分析安全困境的直接答案，而是量子技术较为成熟的应用。另一方面，量子密码一词通常用于指代QKD或错误地标示为后量子密码算法（Post-Quantum algorithms）。尽管如此，量子密码一词也可以指利用量子特性的密码应用，如量子随机数生成器（QRNG）、程序混淆等。值得关注的是，量子密码应用并不意味着其可抵抗量子密码分析或传统密码分析——对许多量子密码应用来说，这仍是一个悬而未决的问题。（梁思雨 王彩玉）

注：为便于排版，全文略去参考文献标注。

声明：本文来自苏州信息安全法学所，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。