什么是后量子加密 (PQC)？

什么是后量子加密 (PQC)？

后量子加密 (PQC) 是指旨在抵御强大量子计算机攻击的加密算法。尽管大规模量子计算机仍处于开发阶段，但“先窃取、后解密”(HNDL) 的威胁模式意味着组织必须立即开始为量子安全的未来做规划。

PQC 的目标是确保即使极其强大的量子计算机使当前的加密方法过时，机密数据仍然保持安全。如果说加密就像是将私人信息存放在银行金库中，那么 PQC 就像是银行金库更坚固的门，即使银行劫匪使用更先进的工具，仍然无法开启这扇门。

美国国家标准与技术研究院 (NIST) 已经最终确定了其初始的后量子加密标准集：

• 对于后量子密钥交换（机密性）：基于模块晶格的密钥封装机制 (ML-KEM)
• 对于后量子证书/数字签名（身份验证和完整性）：基于模块晶格的数字签名算法 (ML-DSA) 和基于无状态哈希的数字签名算法 (SLH-DSA)

研究人员继续致力于创造在未来依然安全的加密方法，更多的算法也在开发中。

TLS 1.1 和 TLS 1.2 等过时的加密协议不使用 PQC 算法进行数字签名和密钥交换，这可能会使数据面临风险。

后量子加密的目的是什么？

如今，加密被广泛用于保护信息，阻止不应具备访问权限的人访问该信息。从根本上来说，加密就是将数据打乱，除了拥有解密密钥的各方之外，其他人都无法读取该数据。加密可以保护数字数据，无论是传输过程中（从一个地方移动到另一个地方）还是静止状态下（存储在硬盘上）的数据。但量子计算机一旦投入使用，就可以破解许多广泛部署的加密方法。

正如现代加密保护传输中和静态数据免受传统计算攻击一样，后量子加密可确保当未来的量子计算机有能力打破当前加密标准（例如 RSA、Elliptic Curve）时，敏感数据仍将安全无虞。因此，PQC 对于保护数据免受恶意方攻击、遵守未来的数据法规以及维护 TLS 等在线数据隐私保护至关重要。

量子计算机如何破解现有加密技术？

大多数现代加密技术（包括 RSA 和 Elliptic Curve Cryptography (ECC)）都依赖于一些被认为传统计算机难以解决的数学问题，例如对大整数进行因式分解或计算离散对数。然而，通过利用叠加和纠缠等量子现象，量子计算机能够以比传统计算机快得多的速度运行进行大整数分式分解的算法。它们将能够解决传统计算机实际上无法解决的问题。

即使量子硬件还不够先进，敌方也可以现在记录加密流量，等到量子技术进步后再解密。这通常称为“先窃取、后解密”(HNDL)。

为什么现在要实施 PQC？

量子时间线：专家预测，密码相关量子计算机 (CRQC)（能够破解当前公钥算法的计算机）可能只需要 10-15 年的时间就能实现，但研究突破可能会加速这一进程。在每个系统中实现 PQC 几乎也需要这么长时间。

长期数据敏感性：现在捕获的加密通信可以存储，直到可以量子解密为止。对于需要数十年保密性的组织（例如金融机构、政府）而言，等到量子计算机出现之后再采取措施将为时已晚。一个影响到所有人的例子是，曾经使用过的每个密码将变得完全可见。然而，定期更改密码的人并不多。

监管合规性：各国政府和标准机构正在推出指导方针，鼓励一些机构在 2025-2026 年就为量子技术做好准备。例如，美国政府于 2025 年 1 月发布了一项行政命令，要求联邦机构开始为 PQC 做准备。

PQC 中有哪些重要概念？

后量子密钥交换

密钥交换是指双方（例如，网站和 Web 浏览器）就用于加密其通信的共享密钥达成一致。后量子密钥交换建立在抗量子问题的基础上，而量子计算机（和传统计算机）预计无法在可行的时间内解决这些问题。这确保了会话的机密性，即使被动攻击者截获数据，甚至使用量子能力，也无法解密会话内容。

ML-KEM 是一种经 NIST 批准的后量子加密算法，使用后量子密钥交换。（Diffie-Hellman 不是后量子密钥交换。）

后量子证书

数字证书（例如 X.509 或 SSL 证书）可验证您连接的对象是谁，从而防止假冒或篡改。后量子证书使用量子安全签名算法（例如 ML-DSA/Diithium、SLH-DSA/SPHINCS+）。这有助于确保数字连接中的各方都经过身份验证，并且数据完整性不会受到侵犯。

目前，后量子证书的大小比典型证书大得多，导致部分网络设备出现性能或兼容性问题。组织和浏览器通常先着重于后量子密钥交换，计划在技术成熟和标准稳定时再引入后量子证书。

与量子计算机和 PQC 相关的威胁和挑战有哪些？

先窃取、后解密 (HNDL)

该策略是指拦截和记录当前的加密流量，以便将来量子计算机能够破解现有加密算法时进行解密。虽然大型量子计算机尚未出现，但对高价值数据的拦截正在发生。这些数据还可能影响身份验证，因为其中可能包含令牌和密码。

PQC 的性能和网络影响

后量子算法可能产生更大的握手消息，这可能：

1. 略微减慢 TLS 握手速度
2. 较旧或配置错误的网络设备需要较小的证书或密钥大小，从而引发问题
3. 如果快速连续出现许多短连接（例如 API 请求），则会增加带宽使用量

现代化网络和基于云的优化（例如大量分布式接入点）可以帮助减少或几乎消除实际使用中的这些挑战。

如何为 PQC 采用做好准备

首先迁移密钥交换

1. 迁移到后量子密钥交换（例如 ML-KEM），优先考虑机密性以防范 HNDL 威胁
2. 如果后量子证书导致网络或性能问题，则暂时保留证书的传统签名
3. 像 AES 这样的对称加密不需要迁移：Grover 算法被认为会削弱 AES，但实际上并不实用
4. 监控性能以确定需要升级的旧设备

分阶段引入后量子证书

1. 规划分阶段部署
2. 盘点环境（Web 服务器、API、移动应用、IoT 设备等）中的所有证书使用情况。
3. 更新有关证书颁发和轮换的政策和内部流程；大型组织可能有数千个证书需要替换或升级

Cloudflare 如何帮助客户采用 PQC

• 生产规模的 PQC：得益于浏览器支持（Chrome、Firefox、Edge）和 Cloudflare 的边缘部署，Cloudflare 的 TLS 流量中很大一部分已经使用后量子密钥交换
• 边缘网络优势：Cloudflare 的全球分布式数据中心网络通过在更靠近最终用户的地方终止 TLS 来降低性能开销，从而最大限度地减少较大的后量子握手带来的延迟
• 简单迁移：客户无需翻修每个源服务器即可启用 PQC；Cloudflare 在边缘处理加密
• Zero Trust 功能：除了浏览器到云加密之外，Cloudflare Tunnel 已经支持 PQC 连接，Cloudflare 的 Zero Trust 端点代理很快将支持内部流量
• 未来的后量子证书：随着后量子签名算法的成熟，Cloudflare 计划推出后量子证书，以进一步确保身份验证的安全

总而言之，Cloudflare 已经大规模部署了后量子加密技术，可以帮助任何组织顺利过渡。请联系 Cloudflare，了解如何保护基础设施免受量子攻击，以防量子攻击成为现实。

或者，阅读 Cloudflare 博客文章，深入了解 Cloudflare 为应对量子计算对加密方法的威胁而做出的最新努力。