后量子密码迁移白皮书（2024）

后量子密码迁移白皮书（2024）2024 年 06 月NFO西电广研院LRINFO西电O 参与单位：西安电子科技大学广州研究院、广州链融信息技术有限公司、中国人民银行数字货币研究所、西安电子科技大学、北京理工大学、中国电信集团有限公司、华夏银行股份有限公司、中国科学院信息工程研究所、复旦大学、安徽问天量子科技股份有限公司、格尔软件股份有限公司、上海交通大学、暨南大学、天翼安全科技有限公司、龙盈智达（北京）科技有限公司、北京航空航天大学、广州大学、贵州大学、天翼电子商务有限公司、中国电信集团有限公司广州分公司、云上 (江西) 密码服务科技有限公司O 指导委员会：马建峰、杨义先、曹珍富O 编写人员：裴庆祺、王励成、宋玲娓、雷静、赵鹏、吴永飞、路献辉、赵运磊、谭武征、刘紫千、王彦博、朱浩瑾、祝烈煌、翁健、田志宏、樊迪、刘雪峰、马立川、刘樵、张宗洋、徐光侠、陈玉玲、刘长波、方宇、魏文术、蒋斌、肖阳、吕法科、郑向上、吴洋洋、马晓亮、姜林海、刘振、田翠翠、赵勇智、辛梓焜、贺伟、贾蒴、杨璇、王一多INFO西电广研院LRINFO西电前言后量子密码（Post-quantum cryptography，PQC），国内又称抗量子密码（Quantum-resistant cryptography，QRC）。广义上，也可以将依赖量子力学特性的量子密码学（Quantum cryptography，QC）纳入后量子密码的范畴——因其具有抵量子攻击的能力；狭义上，后量子密码特指能够在现有电子计算机上实现的、具有抵抗未来量子计算机攻击能力的数学密码——本报告即取此义。近年来，量子计算技术飞速发展，作为衡量量子计算能力的量子体积数呈“指数级”增长。传统基于数论难题的公钥密码算法及其协议和系统的安全性均面临量子计算的威胁。随着 NIST 后量子密码候选标准算法的推出，全球各主要国家的后量子密码算法迁移已经被提上议事日程。后量子密码迁移不等同于“后量子密码算法标准的制定 + 后量子密码算法的实现及替换”，它至少包含了对现有网络和信息系统的量子脆弱性发现和相应的风险评估、后量子密码标准算法及安全协议的安全实现和有序部署、以及随之而来的兼容性、互操作性评测等，它是一个社会化的系统工程，必将涉及到各行各业乃至每一个人，因此也包含了相关技术链条上下游企事业单位共同参与的产学研用相结合的后量子密码迁移生态的培育和发展。本报告简要回顾传统密码技术图景及其面临的量子威胁，详细梳理现有后量子密码的技术路线，重点关注 NIST 后量子密码算法的征集过程，通过解读 NIST 及相关国际化组织相继推出的后量子IINFO西电广研院LRINFO西电密码迁移研究报告，给出后量子密码迁移路线图，包括现有密码体系量子脆弱性的发现和风险评估、现有后量子密码迁移的实现及性能评测、先行试点等，并提出我国后量子密码迁移的发展建议。本报告虽然经过编写团队的不懈努力，但由于能力和水平有限，疏漏和不足之处在所难免，敬请广大读者和专家批评指正。IIINFO西电广研院LRINFO西电目录第一章 传统密码面临的量子威胁11.1 传统密码技术图景11.2 量子计算对传统密码的威胁51.2.1 量子计算对传统对称密码的威胁51.2.2 量子计算对传统公钥密码的威胁7第二章 后量子密码技术路线及标准化进程102.1 后量子密码技术路线102.2 后量子密码算法的标准化进程13第三章 后量子密码迁移计划及面临的挑战193.1 后量子密码迁移计划193.1.1 国际后量子密码迁移计划概览193.1.2 我国后量子密码迁移研究现状223.2 后量子密码迁移的路线图233.3 挑战一：现有业务系统量子脆弱性发现及风险评估难273.4 挑战二：现有后量子密码算法安全实现及热迁移难28第四章 现有业务系统量子脆弱性发现294.1 量子脆弱性发现的工作流及架构描述294.1.1 代码开发中的量子脆弱性发现304.1.2 操作系统中的量子脆弱性发现314.1.3 网络流量中的量子脆弱性发现32IVNFO西电广研院LRINFO西电4.2 量子脆弱性的密码态势感知工具及案例344.2.1 国外的密码态势感知工具344.2.2 国内的密码态势感知工具384.2.3 量子脆弱性发现案例404.3 风险评估方法454.3.1 莫斯卡定理及密码敏捷风险评估框架464.3.2 金融科技领域484.3.3 通信网络领域504.3.4 电子政务领域50第五章 现有后量子密码算法迁移及评测525.1 后量子密码算法及应用的实现525.2 后量子安全外壳协议（PQ-SSH）的评测565.3 后量子传输层安全协议（PQ-TLS）的评测585.4 后量子公钥基础设施（PQ-PKI）的评测67第六章 先行试点：后量子区块链726.1 国外后量子区块链研究现状726.2 国内后量子区块链研发现状80第七章 后量子密码迁移发展建议857.1 加快我国后量子密码标准体系建设857.2 加快现有系统量子脆弱性发现与评估867.3 培育后量子密码迁移生态86VNFO西电广研院LRINFO西电第一章 传统密码面临的量子威胁1.1 传统密码技术图景密码学历史悠久，相关技术的应用日渐普及，从军事领域，逐步扩展到商业领域，并渗透到现代社会的各行各业，不断发展演进，为人们的生产和生活方式提供信息安全保障。传统意义上，密码学算法主要包括对称算法、非对称算法和杂凑算法等。表 1 给出了部分经典密码算法及其国际、国密标准。• 对称密码算法，又称私钥密码算法，其特点为通信双方使用相同的密钥进行数据加密和解密，且由于对称密码加解密操作性能高效，常用于数据加密传输、数据库加密存储等场景，保障数据机密性。• 非对称密码算法，又称公钥密码算法，其特点为通信双方使用一对不同的密钥（公/私钥对），其中公钥用于加密信息，私钥用于解密信息。虽然其加解密性能不及对称密码算法，但由于其私钥无需共享，因而给传统密码学带来了更多丰富应用，常用于生成短期的对称会话密钥、安全证书、数字签名等场景，实现身份验证、数据保密等关键功能。• 杂凑算法（杂凑函数），又称散列函数或哈希函数，指将任意长度的数字消息映射成固定长度数字串的函数，常用于密码存储、数据完整性校验等功能。1RINFO西电广研院LRINFO西电广研表 1 现代密码算法及其标准[1-16]密码算法密码体系算法分类国际算法标准国密算法标准非对称密码加密算法RSA(NIST SP 800-56B rev 1)SM2-3（GB/T 35276-2017）数字签名RSA(FIPS 186-4)SM2-1（GB/T 35276-2017）ECDSA(FIPS 186-4)密钥交换DH(IETF RFC 3526)SM2-2（GB/T 35276-2017）ECDH(FIPS SP 800-56A)对称密码加密算法AES（FIPS 197）SM4（GB/T 32907-2016）ZUC(GB/T 33133.2-2021)杂凑算法SHA（FIPS 180-4）SM3（GB/T 32905-2016）对称密码保障机密性和完整性。信息系统发展的早期，密码学应用的主要关注点在于保障安全的通信[17]。敏感信息在通过公共互联网进行传输时可能会遭