文章总结: 本文基于荷兰手册分析全球后量子密码迁移现状,涵盖NIST标准化进程及欧美立法框架。德法英等国指南倾向于混合策略,Google、Meta等企业实践验证了混合方案的可行性,但也暴露出密钥尺寸与兼容性挑战。建议组织结合国际标准与合规要求,制定差异化迁移路线并加强充分测试以应对工程复杂性。 综合评分: 72 文章分类: 政策法规,技术标准,解决方案
寰球密码简报(2026年乙本第2期)丨荷兰《后量子密码迁移手册(第二版)》中的迁移政策与实践指南(下):全球标准、法规演进与实践启示
原创
祝媛 周青 祝媛 周青
苏州信息安全法学所
2026年1月23日 20:12 江苏
本期简报续接上期寰球密码简报(2026年乙本第1期)丨荷兰《后量子密码迁移手册(第二版)》中的迁移政策与实践指南(上):量子脆弱性诊断框架,聚焦手册第五章内容“最新进展(Recent Developments)”,梳理全球PQC标准化进程、相关立法动态、指南共识及典型迁移实践经验,为组织推进PQC迁移提供政策对标与实践参考(* 因手册发布于2024年12月,文中所涉内容未囊括2025年至今进展)。
一、全球PQC标准化进程
标准化是PQC大规模落地的基础支撑。当前,全球范围内已形成以美国国家标准与技术研究院(NIST)标准为引领、多机构协同推进的格局,不同标准化路径针对不同应用场景形成互补,为组织提供技术选型依据。
(一)NIST的PQC标准化:全球引领
NIST的PQC标准化进程是目前全球影响力最为广泛的标准化工作,自2016年启动以来,历经四轮筛选与公开评审,已形成阶段性成果并持续完善。2022年7月,NIST确定首批候选算法,包括密钥封装机制ML-KEM(CRYSTALS-Kyber)和数字签名算法ML-DSA(CRYSTALS-Dilithium)、FN-DSA(Falcon)、SLH-DSA(SPHINCS+)。2024年8月,NIST以联邦信息处理标准(FIPS)形式发布ML-KEM(FIPS 203)、ML-DSA(FIPS 204)、SLH-DSA(FIPS 205)三项正式标准,标志着PQC进入标准化落地阶段。
NIST标准化的主要评估维度包括安全性、性能、兼容性。其中,安全性是最重要的标准。候选算法必须能够形式化地证明其满足强安全属性,并且除了理论上的安全性外,还需在已知攻击下实现一定程度的实际安全性。为此,NIST提出了5个安全强度等级,作为比较不同密码方案安全性的度量基准。大多数提交方案集中在安全级别1、3和5,分别对应AES-128、AES-192和AES-256。
(二)其他国际标准化努力
除NIST外,多个国际组织针对不同领域需求推进PQC标准化,形成多元互补的格局。
1.国际标准化组织(ISO)/国际电工委员会(IEC)
作为全球覆盖行业最广的标准化组织,ISO与IEC通过联合技术委员会(JTC 1)负责信息与通信技术标准制定。两者已联合发布文件,系统阐述后量子迁移的必要性及其数学基础,并在ISO/IEC 14888-4中完成了对有状态哈希签名算法(LMS、XMSS、HSS、XMSS-MT)的标准化。同时,JTC 1正在推进ISO/IEC 18033-2的修订,计划在NIST标准之外,引入FrodoKEM和Classic McEliece等更为保守的KEM算法。
2.互联网工程任务组(Internet Engineering Task Force, IETF)
IETF主要聚焦PQC在网络协议中的应用,成立PQUIP工作组协调协议层标准化,目前重点推进TLS、IPsec、SSH等协议的PQC适配,相关方案以互联网草案(Internet-Draft)形式推进。IETF的工作重点在于解决PQC算法与现有协议的兼容性问题,如密钥协商、证书格式适配等,为网络层PQC迁移提供技术规范。
3.欧洲电信标准协会(ETSI)
ETSI是欧盟认可的电信标准组织,支持NIST已选定算法的工程化落地。自2020年起,ETSI先后发布了PQC迁移总体指南以及量子安全混合密钥交换的实施建议,包括PQC迁移策略、混合密钥交换方案、算法技术描述等,重点服务于电信、关键基础设施等领域,为欧洲地区组织提供符合区域需求的标准化解读与实施指南。
4.区域性及特定领域标准化工作
在区域与行业层面,多项后量子标准化探索同步展开。韩国PQC研究中心启动KpqC竞赛,推进本土PQC算法标准化,计划2035年前完成国家密码系统的PQC转型;中国密码学会(CACR)通过算法竞赛鼓励PQC创新,为未来标准化储备技术资源;美国国家标准学会(ANSI)较早面向金融行业制定并持续更新格基方案标准;全球移动通信系统协会(GSMA)于2024年发布指南,推动后量子密码在移动通信场景中的分阶段迁移。
二、全球PQC相关立法框架
PQC迁移通常成本高昂、周期较长,其安全收益在短期内并不明显,尤其是在量子威胁尚未完全显现的背景下,组织往往倾向于优先考虑短期经济利益。因此,立法是推动PQC迁移的强制力保障,通过立法规范密码学部署,有助于形成公平竞争环境,避免安全投入成为竞争劣势,同时也能保护缺乏专业能力的中小型组织。此外,由于密码学广泛用于保护公共安全、国家安全和隐私权等公共利益,仅依赖市场机制往往不足,立法亦有助于推动标准的统一实施与互操作性。
全球主要经济体已通过通用法规、专项法案、行业规范等多层次立法,明确PQC迁移的合规要求与时间节点,形成“标准引领、立法保障”的推进格局。
(一)通用网络安全标准与立法
1.ISO/IEC 27000系列
ISO/IEC 27000系列是全球应用最广泛的信息安全管理体系标准,旨在确保组织信息安全管理流程的系统性与稳健性。尽管该系列标准本身并非强制性法规,但在实践中被普遍视为最佳实践,并在部分行业和监管环境中被要求遵循。该系列强调基于风险评估制定密码策略并部署适当的密码控制措施,具体的密码学技术规范由其他ISO/IEC标准补充,例如ISO/IEC 18033所定义的标准化密码原语。目前该标准尚未涵盖后量子公钥密码,但ISO/IEC JTC 1 SC27 WG2正在推进相应的后量子修订工作。
2.欧盟NIS-2指令
《网络与信息系统指令》(NIS)旨在提升欧盟整体网络安全水平,其继任法规《NIS-2指令》于2023年生效,并显著扩大了适用范围。NIS-2覆盖18个关键行业,要求欧盟境内相关中大型组织履行统一的网络安全义务。NIS-2明确要求组织在评估风险暴露程度及技术发展现状的基础上,采取适当且成比例的加密与安全防护措施,这一原则性要求为未来将PQC纳入合规框架预留了空间。
3.欧盟《通用数据保护条例》(GDPR)
GDPR是欧盟最具影响力的数据保护立法,自2018年生效以来已通过高额罚款机制显著强化了合规约束力。GDPR由各成员国数据保护机构负责执法,违规成本高昂。GDPR第32条中明确提出,应在“考虑最新技术水平”的前提下采取包括加密在内的适当技术和组织措施。
4.美国《联邦信息安全现代化法案》(FISMA)
FISMA要求美国联邦机构及其承包商实施系统化的网络安全控制措施,并授权NIST制定相关密码标准。为满足FISMA要求,所使用的密码算法必须通过联邦信息处理标准(FIPS)进行标准化。FIPS体系已涵盖多类传统密码算法,并随着NIST后量子密码竞赛的推进,逐步引入新的PQC相关FIPS标准。更高层级的FIPS文件将进一步规定可接受算法集合,并通过引用具体算法标准形成模块化结构。
(二)专项法案与行政指令
1.美国白宫备忘录与PQC迁移总体战略
2022年白宫发布《国家安全备忘录:关于在推动美国量子计算领导力的同时降低易受量子攻击密码学系统风险》,阐述了美国政府在量子计算领域的政策,重点分析量子技术所带来的风险与机遇。该备忘录明确了美国政府各机构应采取的具体行动,要求启动PQC迁移进程,以确保能够及时应对量子威胁。
2024年7月,白宫管理与预算办公室(OMB)根据该备忘录发布了一项关于将联邦信息系统迁移至PQC的总体战略。战略提出,在NIST采纳首批PQC标准后的约一年内,OMB将与国土安全部网络安全与基础设施安全局(CISA)、NIST以及国家网络主任办公室(ONCD)协调,共同发布指导文件,指示各机构制定并优先实施PQC迁移计划。
2.美国商业国家安全算法套件(Commercial National Security Algorithm Suite,CNSA)
美国国家安全局(NSA)在《商业国家安全算法套件》(CNSA)中要求使用一组特定的密码算法,以保护美国国家安全系统(NSS)。相关要求参照了NIST的联邦信息处理标准(FIPS)。2022年,CNSA2.0发布,旨在告知NSS的所有者、运营方及供应商未来的密码学要求。
具体而言,CNSA2.0明确规定了四种抗量子公钥算法——CRYSTALS-Kyber、CRYSTALS-Dilithium(现已标准化为ML-KEM和ML-DSA)、XMSS和LSS,并宣布这些算法的部署将成为强制要求。此外,CNSA2.0还设定了迁移期。根据不同的密码应用场景,自2030年或2033年起,部署PQC将成为强制性要求。
(三)特定行业立法
除通用监管框架外,许多行业还制定了符合其特定需求的专门法律法规。例如,《数字运营韧性法案(DORA)》旨在提升欧盟金融部门的运营韧性水平,要求金融机构在密码学领域采用“先进的实践和标准”。美国《健康保险可携性与责任法案(HIPAA)》规定医疗保健行业必须保护患者记录,部署适当的密码学技术手段。《欧洲电子通信法典(EECC)》规范了欧盟的电子通信网络及其服务,并要求采用强密码技术,以最大限度地降低安全事件的影响。
三、国际PQC指南与建议
除立法与正式标准外,国际及国家层面的政策性指南和官方意见同样在推动PQC迁移方面发挥着重要作用。这类文件通常不具有法律强制力,但通过明确风险判断、技术路线与时间预期,为组织提供了灵活的实施参考,成为立法强制要求的重要补充。
(一)欧盟委员会
2024年4月,欧盟委员会发布关于PQC迁移的综合性建议,明确强调PQC在实现欧盟高水平网络安全中的关键作用,并与NIS-2指令的风险导向要求形成呼应。委员会鼓励成员国在PQC迁移过程中加强协调,制定统一而清晰的路线图。在技术立场上,倡导在欧盟层面推进标准化并开展深入分析;在部署层面,建议采用将现行算法与PQC算法相结合的混合加密方案。
(二)德国、法国和荷兰
德国联邦信息安全办公室(BSI)、法国国家信息系统安全局(ANSSI)和荷兰国家网络安全中心(NSCS-NL)均发布了较为具体的PQC迁移指南,其总体立场与欧盟委员会保持一致,并支持混合部署策略。三国认为,相较于密钥封装机制,数字签名的迁移更为容易,因为可通过双签名方式实现平滑过渡。在算法选择上,强调安全性优先,虽参考NIST标准化算法,但明确指出FN-DSA在侧信道防护方面实现难度较高,不予推荐;同时,对FrodoKEM与Classic McEliece等设计更为保守的方案表现出高度信任。三国还主张采用最保守的参数集合,并强调密码敏捷性的重要性。法国ANSSI进一步给出了分阶段时间表,德国BSI通过开源密码库Botan支持相关实施。
(三)英国
英国NCSC的指南与NIST标准高度对齐,推荐ML-KEM作为通用密钥封装机制,ML-DSA作为通用签名算法,SLH-DSA、LMS/XMSS适用于固件签名等特定场景。与欧盟不同,英国NCSC对混合方案持谨慎态度,仅建议在系统复杂、难以快速替换传统密码的场景中使用,强调最终应过渡到纯PQC方案,以避免混合带来的复杂度与性能开销。此外,NCSC提醒组织关注遗留系统和受限资源设备的PQC迁移挑战,建议通过软件更新“静默迁移”,减少业务中断。
四、PQC迁移典型案例实践经验
部分科技巨头与关键基础设施运营者已率先开展PQC迁移试点,多以内部通信或可控生态为起点,通过混合部署方式逐步引入PQC,为全球组织提供了实践参考。
(一)Google的后量子迁移
Google是最早在其内部基础设施中部署后量子加密的企业之一,通过自研的应用层传输安全协议ALTS保障内部通信安全,该协议在升级至后量子版本时采用了混合部署策略,以降低迁移风险。早期阶段选用NTRU-HRSS作为主要方案,并计划在标准成熟后切换至ML-KEM。迁移过程中,Google强调密码敏捷性的重要性,因为实践中暴露出与密钥尺寸、内存分配和并发会话相关的实现问题。这些问题通过协议调整逐步缓解,其经验表明,PQC迁移需要长期规划与多场景测试。
(二)Google和Cloudflare的后量子传输层安全协议(TLS)
Google与Cloudflare于2019年联合开展了TLS1.3量子安全变体的早期实验,提出并测试了混合密钥交换方案(CRPQ2),将传统的X25519与基于格的NTRU-HRSS相结合,随后逐步过渡至ML-KEM。实验表明,基于格的KEM在计算性能上的额外开销较小,但密钥和密文尺寸显著增大,可能导致TLS握手消息超出网络最大传输单元,从而暴露出客户端与服务器实现中的兼容性问题。针对量子安全认证,证书链大小成为新的挑战。相关协议改进方案仍在研究与标准化过程中,目前IETF正推动混合密钥交换机制的正式标准化。
(三)Meta的TLS实践
Meta在内部通信系统中推进PQC迁移,优先选择其能够完全控制的内部流量作为试点场景,并采用混合策略,将Kyber(ML-KEM)与X25519结合使用。最初,Meta计划使用ML-KEM-768作为默认参数,但在遭遇ClientHello报文尺寸问题后,转而采用参数规模更小的ML-KEM-512。此外,实践中还暴露出多线程环境下的实现稳定性问题,进一步凸显了在生产部署前进行充分测试的必要性。
(四)消息应用中的PQC
在即时通信领域,Signal于2023年引入了PQXDH协议,将原有X3DH密钥交换扩展为支持混合后量子机制,并在实际部署中使用ML-KEM。由于Signal控制协议的所有端点,其迁移过程未遭遇显著实现障碍,但后续的形式化验证发现了早期设计中的新型攻击,从而促使协议修订。
Apple于2024年通过PQ3协议增强iMessage的安全性,使其支持基于ML-KEM的后量子保护,并完成了形式化验证。这些案例表明,在封闭生态中部署后量子机制具有一定可行性,但仍需严格的安全验证流程。
五、结语
荷兰《后量子密码迁移手册(第二版)》第五章的“最新进展”清晰呈现了全球PQC迁移的“标准、立法、指南、实践”协同推进格局。在国际层面,尽管直接强制采用PQC算法的立法仍然有限,但以NIS-2、GDPR、FISMA及ISO/IEC 27000系列为代表的法规与标准框架,已通过“考虑最新技术水平”等原则性要求,为PQC迁移提供了法律基础。随着PQC标准逐步成熟,预计相关立法将进一步细化PQC迁移规定。
产业界的实践案例则揭示了PQC迁移在工程层面的现实复杂性。现有经验表明,混合密钥交换是一种可行且相对易于部署的路径,能够在过渡阶段提供量子安全的机密性保障。然而,在实际系统中,大尺寸公钥和密文可能带来显著的性能与内存管理挑战,尤其是在资源受限或高并发环境下。因此,在将PQC算法投入生产前,有必要在不同体系结构和负载场景中进行广泛测试。与此同时,形式化验证结果也表明,混合方案本身可能引入新的攻击向量,从而强调了持续安全分析的重要性。
PQC迁移是一项长期且系统性的工程,既依赖政策、立法与标准所提供的合规牵引,也高度依赖工程实践中的经验积累与技术成熟度。各类组织需结合自身角色定位与风险等级,综合考量国际标准、法律法规、官方指南及先行实践,制定差异化、可演进的迁移策略,逐步构建稳固而可持续的密码防护体系。
编译:祝媛 周青
报告翻译校对:方婷 洪璐
审核:原浩
完
作者编译观点仅代表个人
不代表密码法治实践创新基地
为方便排版,已略去脚注
如需转载或咨询,请联系谢老师13771998064(微信)
报告预售
市场售价:1999元
(含发票)
转账备注:蓝皮书2025
购买报告(对公转账)
单位名称:西安交通大学苏州研究院
银行账号:325605000018010230038
开户银行:交通银行苏州科技支行
包含内容:报告纸质版精装+完整电子版
联系咨询:谢老师 13771998064(同微信)
已关注
关注
重播 分享 赞
关闭
观看更多
更多
退出全屏
切换到竖屏全屏退出全屏
苏州信息安全法学所已关注
分享视频
,时长01:21
0/0
00:00/01:21
切换到横屏模式
继续播放
[ ]
进度条,百分之0
播放
00:00
/
01:21
01:21
倍速
全屏
倍速播放中
0.5倍 0.75倍 1.0倍 1.5倍 2.0倍
流畅
继续观看
寰球密码简报(2026年乙本第2期)丨荷兰《后量子密码迁移手册(第二版)》中的迁移政策与实践指南(下):全球标准、法规演进与实践启示
观看更多
原创
,
寰球密码简报(2026年乙本第2期)丨荷兰《后量子密码迁移手册(第二版)》中的迁移政策与实践指南(下):全球标准、法规演进与实践启示
苏州信息安全法学所已关注
分享点赞在看
已同步到看一看写下你的评论
视频详情
征文启事
简报长期征稿,欢迎政府、科研、产业和学术同仁投稿,择优录用,以每千字100-300元标准支付稿酬。投稿请联系:谢老师13771998064(同微信)。
更多资讯 欢迎扫码关注
“苏州信息安全法学所”
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:苏州信息安全法学所 祝媛 周青 祝媛 周青《寰球密码简报(2026年乙本第2期)丨荷兰《后量子密码迁移手册(第二版)》中的迁移政策与实践指南(下):全球标准、法规演进与实践启示》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论