本文目录导读:

这是一个很好的问题,答案不是简单的“是”或“否”,而是取决于你如何定义“标准化”。
有部分量子安全密码算法已经完成标准化,还有更多正在标准化过程中。
以下是更详细的说明,按标准制定机构(主要是美国国家标准与技术研究院 NIST)的进展来划分:
已经完成的标准化(可以开始使用)
NIST 在 2024 年 8 月正式发布了首批三种量子安全密码算法的最终标准,这是目前全球范围内最重要、最权威的标准化成果。
- ML-KEM (FIPS 203):基于 Kyber 算法,主要用于密钥封装机制,也就是在通信双方之间安全地共享一个对称密钥,这是目前最成熟、最推荐的量子安全公钥密码算法。
- ML-DSA (FIPS 204):基于 Dilithium 算法,主要用于数字签名,用于身份验证和数据完整性保护,这是推荐的通用签名算法。
- FN-DSA (FIPS 205):基于 Falcon 算法,同样是数字签名算法,但签名尺寸非常小,适用于对存储空间或带宽有严格要求的场景(如区块链、物联网设备),它的缺点是计算复杂度稍高。
这些标准已经发布,加密库(如 OpenSSL、liboqs 等)已经开始集成对它们的支持,这意味着你现在就可以在实际系统中考虑使用 ML-KEM 和 ML-DSA 了。
正在标准化过程中的算法(即将到来)
NIST 还正在对另一组算法进行标准化,预计在 2024-2025 年发布草案或最终标准。
- FN-DSA (FIPS 206):基于 SPHINCS+ 算法,这是一种无状态哈希签名,安全性基于哈希函数的特性,被认为极其保守和可靠,它的缺点是签名尺寸非常大,公钥也较大,主要用于对安全性要求极高、且不担心签名尺寸的场景。
- 其他候选算法:NIST 还在征集和评估用于更特定场景的算法,
- 更高效的签名方案(Stateless Hash-Based Signatures 的变体)
- 非对称加密方案(可能基于不同的数学难题)
这些算法在未来 1-2 年内会陆续完成标准化,届时将有更多选择。
其他重要的标准化活动
- ISO/IEC:国际标准化组织也在制定量子安全密码标准,他们的工作和 NIST 高度协调,通常会采用 NIST 已标准化的算法(如 ML-KEM, ML-DSA)作为国际标准。
- IETF:互联网工程任务组正在制定如何使用这些算法到现有的互联网协议中的规范,
- TLS 1.3 的后量子版本:定义了如何在 HTTPS 连接中使用 ML-KEM 和 ML-DSA。
- SSH:定义了如何在安全Shell中使用。
- X.509 证书:定义了如何使用后量子算法签发数字证书。
- 国家/地区标准:一些国家(如中国、俄罗斯、欧盟)也在制定自己的量子安全密码标准,中国国家密码管理局已经发布了 SM9(基于标识的密码)的量子安全版本,并正在积极推进其他算法(如基于格的密码)的国家标准,这些标准可能存在差异,需要关注。
总结与建议
| 状态 | 算法(NIST名称) | 类型 | 何时可用? | 建议 |
|---|---|---|---|---|
| 已标准化 | ML-KEM (Kyber) | 密钥封装 | 现在 | 强烈推荐用于加密密钥交换 |
| 已标准化 | ML-DSA (Dilithium) | 数字签名 | 现在 | 强烈推荐用于通用签名 |
| 已标准化 | FN-DSA (Falcon) | 数字签名 | 现在 | 推荐用于需要小签名的场景 |
| 标准化中 | FN-DSA (SPHINCS+) | 数字签名 | 2025-2026 | 推荐用于极高安全性的场景 |
| 其他(国家) | SM9 后量子版本等 | 多种 | 已发布/开发中 | 需要根据具体合规要求选择 |
核心建议:
- 立即开始学习和规划:不要再等待,首批标准已经就绪,现在是了解、测试、规划迁移的最佳时机。
- 优先采用 ML-KEM + ML-DSA:这是目前最安全、最成熟、性能最好的组合。
- 关注生态支持:关注你使用的操作系统、编程语言、加密库(如 OpenSSL、BoringSSL、NSS 等)对后量子算法的支持进展。
- 进行混合部署:在正式迁移前,建议采用“经典算法 + 后量子算法”的混合模式(在 TLS 中同时使用 ECDHE + ML-KEM),这种方式可以在兼容现有系统的情况下,逐步引入后量子安全性,即使未来经典算法被攻破,混合方案仍能提供保护。
一句话总结:量子安全密码算法已经不再是一个“未来概念”,它已经进入标准化和实用化的阶段,今天就可以开始行动。