三未信安：抗量子密码技术与应用白皮书2024

2卷首语 1.1从经典计算到量子计算 1.1.1经典计算与公钥密码算法 1.1.2量子计算 1.2量子计算对传统密码的威胁 1.3量子计算下密码技术的变革 1.4抗量子密码标准化进程 1.5抗量子密码算法介绍 1.5.1抗量子密码算法的种类 1.5.2典型抗量子密码算法介绍 2技术篇 2.1抗量子密码安全协议设计 202.1.1抗量子CA 212.1.2抗量子TLCP协议 232.1.3抗量子IPSec协议 262.1.4抗量子SSH协议 272.2抗量子密码标准化建议 282.2.1现有密码标准体系框架 282.2.2抗量子密码标准规划 302.3抗量子密码产品研发 342.3.1抗量子密码算法实现 342.3.2抗量子密码产品体系 393行动篇 423.1抗量子密码迁移面临的挑战 433.1.1抗量子密码迁移时不我待 433.1.2密码体制变革导致工程复杂 4433.1.3组织对密码依赖性了解不深 453.1.4密码应用设计缺乏敏捷性 463.1.5互操作性与依存性影响迁移进程 473.2抗量子密码迁移策略与路径 483.2.1制定量子安全战略与行动纲要 483.2.2抗量子密码迁移目标与策略 523.2.3现在着手行动 553.2.4规划抗量子密码路线图 563.2.5构建抗量子密码技术支撑体系 573.2.6加强密码人才培养和国际合作 603.2.7抗量子密码迁移供应链协同 623.3抗量子密码迁移工程指南 653.3.1国外抗量子密码迁移研究进展 653.3.2迁移工作思路 663.3.3迁移工作组职能 683.3.4量子风险评估方法 693.3.5信息资产识别与分析 713.3.6系统量子脆弱性分析 733.3.7迁移计划与实施方案 773.3.8密码功能与服务敏捷性设计 813.3.9抗量子密码混合过渡方案 844应用篇 964.1手机银行系统抗量子密码应用方案 974.1.1现状分析 984.1.2迁移方案 994.2证券网上交易系统抗量子密码应用方案 4.2.1现状分析 4.2.2迁移方案 4.3证券集中交易系统抗量子密码应用方案 4.3.1现状分析 44.3.2迁移方案 4.4移动通信4A系统抗量子密码应用方案 4.4.1现状分析 4.4.2迁移方案 4.5移动通信OMC系统抗量子密码应用方案 4.5.1现状分析 4.5.2迁移方案 4.6电力监控系统抗量子密码应用方案 4.6.1现状分析 4.6.2迁移方案 5展望篇 5.1标准规范逐步出台 5.2技术研究持续创新 5.3产业生态日趋成熟 5.4应用示范有序推进 5.5国际合作更加深化 6.1术语解释 6.2缩略语 6.3参考文献 6.4致谢 5卷首语钥分发（QKD），提升信息系统安全性。量子科技发展具有重大科学意义和战略在各领域的应用实践，对于构建安全可信的数字6和SSH等协议中融入抗量子密码技术的实践。同时，我们还将探讨抗量子密码标78密性，都彰显了密码与计算机、信息科学密不和计算机性能的历史性突破，必然引起密码算法的更新换代。例如，DES密码算击手段的推陈出新，另一方面是因为计算机运量子计算机是一种基于量子力学的新型计算机体系，尤其是Shor量子算法能够有效求解整数分解和离散对数问题，对现有的RSA密码、椭圆曲线密码等公钥1.1从经典计算到量子计算Entscheidungsproblem），首次提出了现代计算机的理论模型——图灵机（TuringMachine）的概念，奠定了现代计算机的理论基础。在随后几十机作为20世纪最先进的科学技术发明之一，经历了从电者是能够用计算机解决的问题，后者是不能用计算机解决的问题。斯蒂芬·A·库克（StephenA.Cook）于1971年发表的论文《定理证明过程的复杂性》（TheComplexityofTheoremProvingProcedures），提出了NP完全理论，开启了其中P类问题是指在多项式时间内可以求解的判定问题；NP类问题是在多项式时提出了微观量子力学哈密顿量作为图灵机的模型。1981年5月，麻省理工学院和RichardFeynman、Landauer、Benioff等物理学家和计算机科学家，这些大会报告于次年发表在《国际理论物理杂志》上，构成了量子计算量子计算是遵循量子力学规律、以量子比特（Qubit）为基本运算和存储单元量子比特（Qubit）是量子计算的基本单元。经典计算机的比特只有“0”和“1”言，量子信息可以处于2n种可能状态的叠加，量子计算的每一步会对21.2量子计算对传统密码的威胁1994年，PeterShor提出了著名的Shor量子算法，在量子计算机上可以在多“指数级”加速的量子算法。Shor量子算法的出现表明，如果研发出一定规模的量子计算机，则可以破解当前广泛应用的基于整数分解困难问题的RSA密码算法、离散对数的ECC公钥密码算法。结构问题的量子搜索算法（Quantumsearchalgor），开平方的0(N1/2)量级。将Grover量子算法用于分组密码算法和密码杂凑函数的密险，并对使用公钥密码算法的数字认证系统、区块链系统以及SSL/TLS、SSH等1.3量子计算下密码技术的变革量子随机数发生器（QuantumRandomNumbe抗量子密码算法（Quantum-resistantCryptographicAlgorithms），又称为后量），量子算法等现有量子攻击算法，并不能保证今后不会出1.4抗量子密码标准化进程NTRU(NumberTheoryResearchUnit)公钥密码算法，包括公钥加密(NTRUencrypt)和数字签名(NTRUSign)方案。NTRU加密、解密的速度比较快，安全性是基于格算法作为金融交易过程的公钥加密算法标准。数字签名标准（DSS）、SP800-56A和SP800-56B等传统公钥密码算法面临的量子攻击风险。NIST就候选算法的最低可接受性要求、提交要求和评估标准征求公2017年12月，NIST公布抗量子公钥密码算法标准的2020年7月，NIST宣布了进入抗量子公钥密用于非对称加密和密钥封装的Kyber算法，以及用于数字签名的Dilithium、FALCON和SPHINCS+算法（Dilithium作为主要推荐的数字签名算法）。此外，商算法的筛选进程。密码（PQC）算法标准草案，包括（1）FIPS203：基于格密码的密钥封装机制标准，即Kyber算法2）FIPS204：基于格密码的数字签名标准，即Dilithiu法3）FIPS205：基于哈希算法的无状态数字签名标准，即SPHINCS+数字签名算法。以上三个草案于2024年8月13日正式成为首批抗量子密码算法标准ML-KEM（FIPS203）、ML-DSA（FIPS2国际互联网工程任务组（IETF）、欧洲电信标准化协会（ETSI）等均在抗量子标准化方面做了大量工作，包括IETFRFC8391《XMSS:eXtendedMerkle我国抗量子密码算法设计通过密码算法竞赛等形式开展了一系列工作。2018钥密码算法设计两部分，全国高校、科研院所、产业单位的42个团队提交了792019年9月，经公开评议、检测评估和专家评选，全国密码算法设计竞赛第），码算法和分组密码算法一、二、三等奖，其中Aigis-enc抗量子公钥加密算法、Aigis-sig抗量子数字签名算法和LAC.PK1.5抗量子密码算法介绍格的密码算法（lattice-based）、基于编码的还有基于同源的密码算法（isogeny-子算法对格困难问题进行有效破解。格（lattice）是一种代数结构，是一组线性无），），的ClassicMcEliece公钥密码算法，是进入NIST抗量子密码算法标准第三轮和第NIST抗量子密码标准算法Kyber是一种满足适应性选择密文攻击下不可区分题。Kyber密码算法包括两个阶段：首先，建立一个加密固定长度为32字节消息然后，使用Fujisaki-Okamoto），NIST抗量子密码标准算法Dilithium是一种基于模格上困难问题的数字签名方参见/dilDilithium数字签名算法的设计思想是基于Lyubashevsky的“Fiat-Shamirwith同样使用这种方法的具有最短签名值的方案是Ducas、Durmus、Lepoint和签名方案中，Dilithium具有最小的公钥NIST抗量子密码标准算法Falcon是一种基于格的数字签名算法，全名为Fast-FourierLattice-BasedCompactSignatureoverNTRU，该算法的详细介绍参见NIST抗量子密码标准算法SPHINCS+是一种无状态的基于哈希的数字签名方案，是EUROCRYPT2015提出的SPHINCS数字签名方案的升级方案，该升级方件和软件开发，以及相应的测试和验证，确保产2.1抗量子密码安全协议设计于以下两个方面考虑1）抗量子密码算法作为一种新兴的算法，其安全性有待保障，增加整体系统的抵抗攻击能力2）现有的协议与体系主要是采用传统公文献的设计步骤进行实现。借鉴双体系并行的思想，设计了与现有TLCP(GB/T38636-2020)兼容的抗量子TLCP协议、与现有IPSec(GM/T0022-2023)兼容的抗量议的设计提出了参考性的设计方案，里面用到图2-1抗量子签名证书图2-2抗量子混合签名证书其中抗量子签名证书采用标准的X.509格式，签名算法可以采用Dilithium、PQC-Publickey与自己的抗量子签名公钥CAPQC-Publickey生成待签名数据tbs；l对tbs进行sha256哈希，然后用自己的抗量子签名私钥对哈希后的tbs进新的待签名数据进行签名，生成传统签名，将传统签名放在证书的Signature传统签名与抗量子签名外的部分，生成tbs，先对tbs进行sha256哈希，然后利用而且适用于TLCP(GB/T38636M-SMS4-SM3套件。新增的两个密码套件并不会影响之前密码套件的运行，关键ER-DILITHIUM-SMS4-SM3套件握手过程协议设计如ER-DILITHIUM-SMS4-SM3套件握手过程协议设计如图2-4所示。客户端与服务与混合加密证书，混合签名Kyber密钥证书图2-3SM2-PQCTLCP协议l客户端将相应的密码套件随clienthello发送给服务端，服务端检测到抗量用pubkey进行KYBER密钥封装，生成KYBER密文与KYBER共享密钥，将KYBER密文与客户端加密的预主密钥一prikey对KYBER密文执行密钥解封装得到K图2-4SM2DHE-PQCTLCP协议l客户端将相应的密码套件随clienthello发送给服务端，服务端检测到抗量送给客户端，其中pubkey也会作为会话信息签名用pubkey进行KYBER密钥封装，生成KYBER密文与KYBER共享密钥，将prikey对KYBER密文执行密钥解封装得到K基于GM/T0022-2023规范进行设计，过程涉及主模式中的密钥交换步骤。新哪种密钥交换方式。选择传统的密钥交换方式，按照之前的IPSec协议进行交互，图2-5PQC-IPSec协议l发起方进行抗量子通信的消息随载荷SA发送行KYBER密钥封装操作，生成KYBER密文ct_KYBER与共享密钥ss，计算经过上述的步骤，发起方与响应方同时生成了基本密钥参数SEEDKEY与新增的抗量子算法并不会影响之前SSH协议的运行，关键在于发起方与响应方选选择抗量子的密钥交换方式，按照抗量子SSH协议进行交互，具体设计如图2-6图2-6PQC-SSH协议l双方利用SSH_MSG_KEXINIT消息确定抗量子密钥协商算法后，收到客SIGS=SIG_SM2(mS)||PSSH_MSG_KEX_HYBRID_RGM/T0129-2023规范中的步骤外，还需要执行Kyber密钥封装操作，生成KyberSSH_MAG_KEX_HYBRID|中的步骤外，还需要对ct_Kyber执行Kyber密钥解封装操作，生成Kyber共享密2.2抗量子密码标准化建议应用、交通行业密码应用、云计算密码应用图2-7密码体系标准框架表2-1密码基础类标准规划标准类型现有密码标准修改类型备注密码标识《GM/Z4001密码术语》《GB/T33560信息安全技术密码应用标识规范》修订增加抗量子密码相关术语及应用标识规范密码算法《GB/T32918信息安全技术SM2椭圆曲线公钥密码算法》新增如：《信息安全技术×××抗量子密码算法》密码设计《GB/T35276信息安全技术SM2密码算法使用规范》《GB/T35275信息安全技术SM2密码算法加密签名消息语法规范》新增如：《信息安全技术×××抗量子密码算法使用规范》、《信息安全技术×××抗量子密码算法加密签名消息语法规范》密码管理《GB/T17901信息技术安全技术密钥管理》修订兼容抗量子密码算法密码协议《GB/T38636信息安全技术传输层密码协议（TLCP）》修订兼容抗量子密码算法表2-2基础设施类标准规划标准类型现有密码标准修改类型备注证书认证系统密码协议《GM/T0014数字证书认证系统密码协议规范》修订增加支持抗量子密码的协议规范数字证书格式GB/T20518信息安全技术公钥基础设施数字证书格式规范》修订增加支持抗量子密码的数字证书格式表2-3产品类标准规划标准类型现有密码标准修改类型备注产品的配置和技术管理GM/T0050《密码设备管理设备管理技术规范》修订增加支持抗量子密码产品技术管理规范技术要求《GM/T0028密码模块安全技术要求》修订增加支持抗量子密码模块的安全技术应用接口《GB/T36322信息安全技术密码设备应用接口规范》修订增加支持抗量子密码的设备接口规范《GM/T0023IPSecVPN网关产品规范》《GM/T0025SSLVPN网关产品规范》修订增加支持抗量子密码的网关接口规范VPN《GM/T0022IPSecVPN技术规修订增加支持抗量子密码的VPN技术规范《GM/T0024SSLVPN技术规密码应用类标准对使用密码技术实现某种安全功能的应用系统提出要求以及制定出更符合实际场景需求的抗量子密码应表2-4应用类标准规划标准类型现有密码标准修改类型备注应用要求《GM/T0073手机银行信息系统密码应用技术要求》修订增加支持抗量子密码的应用技术要求应用指南《GB/T32922信息安全技术IPSecVPN安全接入基本要求与实施指南》修订增加支持抗量子密码模块的应用指南应用规范《GM/T0055电子文件密码应用技术规范》修订增加支持抗量子密码的应用技术规范密码服务《GM/T0109基于云计算的电子签名服务技术要求》修订增加支持抗量子密码的服务技术要求表2-5检测类标准规划标准类型现有密码标准修改类型备注密码产品检测《GM/T0008《GM/T0039《GM/T0059安全芯片密码检测准则》密码模块安全检测要求》服务器密码机检测规范》修订新增支持抗量子密码的产品检测要求2.3抗量子密码产品研发Dilithium都是基于格的密码算法格密码体制的核心计算是多项式乘法运算，快速数论变换（NumberTheoretic实现算法通常用蝶形结构的迭代算法代替NTT的递归版形算法作为正向变换，使用Gentleman-Sande蝶形算法作为逆向变换，避免位反转的密钥生成和封装解封装过程、Dilithium的密钥生成和签名验签过程均有大量以低功耗处理器ARM-M，通过改进Barrett约减过程需要的时钟周期、减少Montgomery约减算法的周期、在采用低次多项式乘法时应用更高效的模约减、更优化的低次多项式乘法和更积极的层合并，实现了Kyber和Dilithium算法的优化。密钥生成、签名生成和签名验证。基于多核平台设计SPHINCS及其内部结构WOTS+和HORST的并行化版本，通过应用循环展开、内联函数或宏、统一数据表示、内联PTX汇编（仅GPU适用）、合并访问（仅GPU适用）及常量和共享FACLON算法具有公钥长度和签名长度短、但算法设计复杂的特点，为实现FALCON在内存资源受限的设备上运行，可通过快速傅里叶采样算法和生成FALCON树的算法流程优化算法，一方面，将快速傅里叶采样算法改为非递归实现，另一方面，在调用FALCON树的叶子节点时实时生成值，并将中间值保存，中国密码学会举办的全国密码算法设计竞赛公钥密码算法有三个抗量子密码密文长度，且密钥生成、密钥封装和解封装算法高效。LAC.PKE的项式乘法，并通过字节级模数减小密文和密钥的为了促进抗量子密码算法在实际场景中的广泛应用，本白皮书基于测试平台RSA1024-2048与SM2进行性表2-6加密算法公私钥及报文长度对比（Bytes）Kyber-512800私钥报文(密文+分享的密钥)768+32=800Kyber768私钥2400报文(密文+分享的密钥)1088+32=1120Kyber-1024私钥3168报文(密文+分享的密钥)1568+32=1600Aigis-enc-param1672私钥928报文（密文+分享的密钥）672+32=704Aigis-enc-param2896私钥报文（密文+分享的密钥）992+32=1024Aigis-enc-param3私钥报文（密文+分享的密钥）1536+64=1600LAC-128544私钥512+544=1056报文（密文+分享的密钥）704+16=720LAC-192私钥1024+1056=2080报文（密文+分享的密钥）1352+32=1384LAC-256私钥1024+1056=2080报文（密文+分享的密钥）1448+32=1480SM264私钥32报文(密文)消息字节长度+96表2-7签名算法公私钥及报文长度对比（Bytes）Dilithium-2私钥2528报文(签名)2420Dilithium-3私钥4000报文(签名)3293Dilithium-52592私钥4864报文(签名)4595Aigis-sig-param1私钥2448报文(签名)Aigis-sig-param2私钥3376报文(签名)2445Aigis-sig-param3私钥3888报文(签名)3046SM264私钥32报文(签名)64RSA-1024公钥(n)私钥(d)报文(签名)RSA-2048公钥(n)256私钥(d)256报文(签名)256表2-8密钥封装算法性能（TPS）Kyber-512Kyber-768Kyber-1024SM2密钥生成11878409203397472071288476加密1138045799078616176124299解密17325001132379835822表2-9国内抗量子密钥封装算法性能Aigis-enc-param1Aigis-enc-param2Aigis-enc-param3LAC-128LAC-192LAC-256密钥生成7629936140155087931077443816492596690加密669076518569414510693127476297323806解密731350571427421283492040329210194968注：算法性能在Intel(R)Core(TM)i9-10920XCPU@3.50GHz12核24线程环境中测试获得。表2-10签名算法性能（TPS）Dilithium-2Dilithium-3Dilithium-5SM2RSA-1024RSA-2048密钥生成484753293028187587109068459498288611730041097769274481622810751验签490627305365194843313769670469201618表2-11国内抗量子签名算法性能（TPS）Aigis-sig-param1Aigis-sig-param2Aigis-sig-param3密钥生成39947625732816291915479714624871575验签440154285122188085图2-8抗量子密码产品密码卡作为基础密码设备，适用于各类密码安全应用系统，可提供高速的、持抗量子密码的安全协议，保证系统中数据的知密码分析相关的量子计算机何时可用，但可以肯定的是，现有依存于如RSA、ECC等经典密码的产品、协议和服务均可能处于风险之下。目前需要思考的课题是：当那一天来临时，我们如何做到临危不3.1抗量子密码迁移面临的挑战准化进展？组织内哪些系统需要迁移？如何平稳有序迁移？迁移效果如何评价？时间和精力。若在攻击者可获取密码分析相关量子计算机（Cryptanalytically在“足够规模且容错性高”（LargeandFault-toleran年8月，美国国家标准与技术研究院（NIST）正式发布三项抗量子密码算法标准），等，于2024年8月被NIST正式标准化，后续可能出台新的算法标准；我抗量子密码迁移要求升级现有的公钥基础设施，包括证书颁发机构（CA）、以确定在何处及出于何种目的使用了量子脆弱性（Quantum-vulnerable）的密码功组织难以全面识别需要替换的密码算法和组件，也无方案、密码基础设施等更新为量子安全的密码实现。密码功能与服务敏捷性（CryptographicAgility,Crypto-Agility）是一种设计特征，使得未来在密码算法和设计方法，导致在需要替换密码算法时，需要对整个如一些系统可能使用特定的硬件安全模块（HSM）来执行密码算法，在迁移过程互操作性（Interoperability）指的是不同系统或组件之间能够相互通信和协作l开发迁移剧本（Playbook）。制定一个详细的迁移剧本，需考虑所有相关3.2抗量子密码迁移策略与路径2022年8月国家安全备忘录（《促进美国在量子计算方面的领导地位，同时“减轻与量子相关的风险”中指出：量子计算将威胁到现有公钥密码学安应将量子安全过渡纳入其长期计划，并确定过渡高优先级系统。2023年4月，德国联邦政府通过《量子技术行动计划》，该行动计划作为联2021年1月，法国发布《量子技术国家战略》，以掌握如量子加速器、量子2023年1月，加拿大宣布启动国家量子战略，扩大其在量子研究方面的现有2023年5月，澳大利亚工业、科学和资源部发布《国家量子战略》，旨在使澳大利亚在2030年成为全球量子产业的领导者2023年6月，韩国发布《韩国量子科学技术战略》，作为国家量子科技中长期发展愿景与综合发展战略，提出了到20352024年4月，欧盟委员会发布《抗量子密码迁移的协同实施路线图建议》（RecommendationonaCoordinatedImPost-quantumCryptography），鼓励成员国制定统一战略，确保向抗量子密码的协量子密码分组应考虑采取适当、有效和适度的措施制定“抗量子密码迁移的协同实目标纲要》，在“第四章强化国家战略科技力量”、“第九章发展壮大战略性新兴在“第十五章打造数字经济新优势”中提出，要加快布局量子计算、量子通信等前进行重构的重大颠覆性技术创新，量子计算必将引发新一轮技术变革和激烈竞争。l细化实施路径。国家量子安全战略或行动纲要明确发展方向和重点为量子保密通信与抗量子密码的发展，提供全密码标准体系，以保障关键信息基础设施与重要领2021年5月，欧盟网络安全局（ENISA）发布《抗量子密码：当前状态和量Mitigation）。该报告提出了通过“欧盟量子旗舰计划”和《欧盟网络安全战略》进结合我国抗量子密码研究及产业需求现状，我们提出如下抗量子密（Self-adaptiveSecurity）”的概念，密码功能与服务敏捷性设计的理想境界应达到安全体系的重要支撑。量子脆弱性密码技术发现（Quantum-vulnerableCryptographyDiscovery）与评产业界研究表明，抗量子密码迁移的紧迫性要求“现在着手行动”。2022年5密码系统及时过渡到抗量子密码系统的时间路线图。2022年8月，美国网络安全对美国55类关键信息基础设施向抗量子密码迁移的紧迫性进行了分析。2022年9据或通信。若加密数据保密周期过长，应立即执行“来而不可失者，时也；蹈而不可失者，机也。”参考过往类似迁移历程，抗量公共技术支撑平台建设可为政府或产业向抗量子密码迁移提供有力的技术支SP1800-38B《量子准备：密码发现》（公钥应用程序发现工具的方法和安全特征）草案描述了量子脆弱性算法发现(Quantum-vulnerableAlgorithm量子脆弱性算法发现工具需持续更新以适应新以帮助组织识别其密码系统中的潜在量子脆lCryptoNextQuantumSafeLibrary(C-QSL)：提供抗量子密码算法的优化实lSSH：测试抗量子密码密钥交换方法的lTLS：测试抗量子密码密钥交换和身份验证在TLS1.3中的兼容性。TLSUbuntu22.04.1LTS（GNU/Linux5.15.0-72-generi标准化的密码软件或系统测试工具也可参考SUPERCOP设计实现。SUPERCOP根据以下标准测量加密原语（Crypto大小的Internet数据包进行哈希处理的时间、对长报文进行哈加密的时间、对典型大小的Internet数据包进行加密的时间、证加密的时间、对典型大小的Internet数据包进行验证加密的时间、消息进行验证加密的时间；生成密钥对（私钥等开源资源。其中较全面的资源库如开放量子安全项目的Liboqs。其他资源包括科技相关学科，通过量子研究生院等培育大学量子教育与研究基地，构建培养“核加强量子相关密码人才培养与国际合作，可从或升级产品与服务，满足技术、产品与服务层面的（3）基础支撑侧：为保证抗量子密码迁移的供应链的“产学研用测管”有序推IBM公司针对抗量子密码学领域已经制定并发布了详细的计划和路线图，包括IBM量子安全路线图（IBMQuantumSafeRoadmap）和IBM量子发展路线图块4770-001CryptographicCoprocessorSCCA”，CEX8C），支持Kyber、Dilithium两种抗量子密码算法，月通过PCIPTSHSMV4.0认证。统、密钥管理系统等产品，其产品线支持的l我国密码行业标准化进程中的算法：基于NTRU的密钥封装机制、基于3.3抗量子密码迁移工程指南目前，各国都积极开展抗量子密码迁移的研究与实践。以美国为例，2021年10月，美国国土安全部（DHS）与国家标（1）参与标准化组织（Engagementwithstandardsorganizations）。组织应与（2）明确关键数据清单（Inventoryofcriticaldata）。识别本组织需要采用密（3）明确密码技术清单（Inventoryofcryptogr（4）识别内部标准（Identificationofinternalstandards）。组织应评审及改进组织内部关于信息安全及采购相关的标准，以支织应确定其信息系统哪些环节使用到及出于何种防护目的使用到存在量子脆弱性（6）确定系统迁移的优先级（Prioritizationofsystemsfo件,描述了迁移到新的量子安全密码标准时可能出现的问题及潜在序发现工具的方法、架构和安全特征）草案（QuantumReadiness:Cryptographic技术互操作性和性能报告）草案（QuantumReadiness:TestingDraftStandards,抗量子密码迁移的目的是使组织信息系统免除或减轻因量子计算威胁带来的成立一个专门的项目管理团队来负责规划和执行迁移到量子安全密码的整个正确使用；基于反馈和监控结果，持续改进全、系统架构等相关领域的知识。人员构成上，应包括组织内部的IT运维人员、分析、评估、控制的过程。标准的风险评估主要从资产（Asset）的关键程度、脆建量化或半量化模型，输出风险的优先级，并制定风险控制策略。量子风险评估（Quantum-riskAssessment）是在量子计算对传统公钥密码产生威胁的产，尤其是那些具有中长期保密价值的信息资产，将容易受MethodologyforQuantumRiskAsses），表（timeline），推进量子安全密码的开发和验证；与学术界和研究界专家合作，确保供应链角色了解正在采取的步骤，及对其自身流程AgilityRiskAssessmentFramework”，提出了“密码功能与服务敏捷性风险评估框架”密码算法、协议等密码功能。类似于Mosca方法，该框架用于分析和评估由于缺乏密码功能与服务敏捷性而导致的风险，并指导组织制定适当的风险缓解不同于Mosca定理，该框架是针对抗量子密码的特定描述，但其思想可以借2021年8月美国国家网络安全卓越中构和安全特征）草案中，NIST提出了基于发现工具的量子脆弱性公钥算法与发现方法。在《迁移到抗量子密码》（MigrationtoPost-quantumC在量子计算威胁下的风险清单，作为后续制定基于优先表3-1易受攻击的经典密码算法算法功能规范DiffieHellman（DH）密钥交换用于密钥交换的非对称密码协议IETFRFC3526EllipticCurveDiffieHellman（ECDH）密钥交换用于密钥交换的非对称密码协议NISTSP80056A/B/CMenezesQuVanstone（MQV）密钥交换用于密钥交换的非对称密码协议NISTSP80056A/B/CRSA密码算法用于数字签名、加密的非对称密码算法SP800-56B修订版2、FIPSPUB186-5椭圆曲线数字签名算法（ECDSA）用于数字签名的非对称密码算法FIPSPUB186-5密攻击如SNDL攻击，可导致敌手现在搜集加密数据，在以后使用量子计算机执术发现的目标是帮助组织和机构了解其当前使用的密码措施在量子计算环境下的现的目标是帮助组织识别和评估组织在其系统中存在的量子脆弱性公钥算法如RSA、ECDSA和ECDH等及其使用，并为迁移到量量子脆弱性密码技术发现可用于以下用例场景中发现易受量子计算攻击的密），通信协议、关键信息基础设施和访问控制机制中。公及用户和管理程序。因此，抗量子密码迁移需要明确公钥密码的使用位置和方式。的密码算法、持续集成/持续交付开发管道中的密码相关代码或依赖项、终端用户迁移的逻辑次序与实施方案，包括混合过渡方案升级产品与服务，满足技术、产品与服务层面的度看，涉及到HSM设备、密码库、实现验及SLH-DSA（FIPS205），后续可能还会发布其他新的抗量子密码算法标准。我2022年10月，欧盟网络安全局（ENISA）发布《抗量子密码–整合研究》（Post-quantumCryptography-IntegrationStudy）报告，作为2021年IPsec等安全协议中、及围绕抗量子密码设计新协议的可能性，并对抗量子系统的经典密码算法（如RSA、ECC）相结合，以形成一种既能抵御量子计算攻击又能ML-DSA（FIPS204）及SLH-DSA（FIPS205）方案依然具有存在的合理性与必要性，主要基（3）“知者行之始，行者知之成。”混合过渡方案不是等待抗量子密码算法、/archive/id/draft-connolly-tls-mlkem-key-agreement-01.htlRFC9370MultipleKeyExchangesintheInternetKeyExchangeProtoclRFC9242IntermediateExchangeinlRFC8784MixingPresharedVersion2(IKEv2)forPost-quantumSecurity，2020年6月。参见：httplInternetX.509PublicKeyInfrastructure:AlgorithmIdentifiersforML-DlInternetX.509PublicKeyInfrastructure-AlgorithmIdentifiersf参见：/doc/draflMixingPresharedKeysintheIKE_INTERMEDIATE_CHILD_SAExchangesofIKEv2for月。参见：/archive/id/draft-ietf-ipsecme-ikev2-qr-alt-03./archive/id/draft-ounsworth-lam/archive/id/draft-conlPost-quantumHybridKeyExchangewithML-KEMintheInternetKey/archive/id/draft-kampanakis-ml-kem-参见：/doc/html/draft-tls-westerb在TLS中引入抗量子密码与经典密码的混合过渡方案，主要目的是在保有TLS协议兼容性的同时，增强对未来量子计算攻击的抵抗能力。这种方案通常l协议扩展：首先需要对TLS协议进行扩展，以支持PQC算法。这包括定义新的密码套件及其对象标识（OID），这些套件结合了PQC密钥交换l增强安全性：通过引入PQC算法，增强了TLS协议对未来量子计算攻击SSH的增强与TLS类似，通过在SSH握手过程中密钥，从而增强对未来量子计算攻击的抵抗能力。SSH协议本身支持多种认证和）），n客户端和服务器在SSH握手过程中协商使用支持PQC的密钥交换方n双方确认会话密钥后，使用经典的对称密码算法加密和解密后续传输中引入PQC与经典密码的混合过渡方案，可以增强的PKI体系通过引入抗量子密码学算法来升级现有的公钥基础设施，以应对量子计算的威胁。这包括在证书生成、分发、验证和撤销等各个环节中集成态协议（OCSP），以确保数字证书在泄露或私钥混合数字证书结合了经典密码学（如RSA、ECC）和抗量子密码学（PQC）在抗量子密码迁移实践中，可以考虑实现与量子密钥分发（QKD）系统及量信双方之间实现密钥的安全分发。由于量子态的不可克隆性和测量扰动性，QKD数据时，可以同时结合二者的密钥。同时，QRNG为整个系统提供高质量的随机名过程提供高质量的随机数；对QRNG进行定期验证，确保其生成的随势，对关键数据进行加密保护；在数据传输过程中，利用QKD实时分发用，识别并解决实际应用中的问题，提升金融系4.1手机银行系统抗量子密码应用方案.图4-1手机银行密码应用现状表4-1手机银行密码产品与密码算法使用现状使用对象密码产品密码算法手机银行系统SSL安全网关SM2、SM3、SM4密码服务平台SM2、SM3、SM4金融数据密码机SM2、SM3、SM4手机银行APP智能终端密码模块SM2、SM3、SM4表4-2手机银行密码技术应用现状密码技术流程描述用户身份鉴别手机银行身份鉴别是采用双因素认证机制，一般模式是静态口令+动态认证码或生物特征识别。手机银行APP调用智能终端密码模块，以数字信封方式对手机银行APP中的静态密码、短信认证码进行加密保护，手机银行系统调用密码服务平台/密码机进行验证。传输通道加密手机银行APP与银行系统侧SSL安全网关建立链路通道，对手机银行交易的传输通道进行机密性和完整性保护。交易抗抵赖性对于大额转账的需求，非同名转账单日累计金额超过5万元，采用了数字签名等安全可靠的支付指令验证方式，即手机银行APP调用智能终端密码模块进行签名，银行系统侧进行验签，从而保障交易过程不可抵赖性。报文传输加密手机银行APP调用智能终端密码模块，通过数字信封密码技术对交易数据进行机密性、完整性保护，银行系统侧调用密码服务平台/密码机进行完整性校验、数据解密。现向抗量子密码算法的平滑过渡，不影响手表4-3手机银行抗量子密码迁移范围使用对象原密码产品升级产品支持的抗量子密码算法手机银行系统SSL安全网关升级同时支持抗量子SSL安全网关Kyber、Dillithium、SPHINCS+、FALCON、Aigis-enc、Aigis-sig、LAC.PKE密码服务平台升级同时支持抗量子密码服务平台Kyber、Dillithium、SPHINCS+、FALCON、Aigis-enc、Aigis-sig、LAC.PKE金融数据密码机增加支持抗量子金融数据密码机Kyber、Dillithium、SPHINCS+、FALCON、Aigis-enc、Aigis-sig、LAC.PKE手机银行APP智能终端密码模块升级同时支持抗量子智能终端密码模块Kyber、Dillithium、SPHINCS+、FALCON、Aigis-enc、Aigis-sig、LAC.PKE图4-2手机银行抗量子密码迁移总体架构手机银行APP新版本集成抗量子智能终端密码模块，通过抗量子密码算法对手机银行APP中的静态密码、短信认证码进行加密保护，手机银行涉及大于5万元的大额支付，手机银行APP新版本调用抗量子智能终端密码），手机银行APP新版本调用抗量子智能终端密码模块，通过抗量子密码算法对结合手机银行业务特点，秉持平滑过渡原则，对于还未升级改造的手机银行APP旧版本，在身份鉴别、传输通道、交易抗抵赖、报文传输加密方面继续采用4.2证券网上交易系统抗量子密码应用方案业务主要包括证券AB股业务、债券业务、开放式基金业等，也是目前证券公司图4-3证券网上交易系统PKI密码应用面对量子计算的威胁，需要解决网上交易系统的SSL协议中数字签名、公私支持抗量子密码运算的能力，包括抗量子协同签名系统、抗量子SSL网关、抗量子密钥管理系统和抗量子数字证书系统(CA)。实现抗量子算法的网上交易系统改图4-4网上交易系统抗量子密码应用4.3证券集中交易系统抗量子密码应用方案图4-5集中交易系统网络拓扑图4-6集中交易密码实施架构对应到密码应用需求，密码支撑层部署实施的l抗量子密钥管理系统对系统内各类密钥、用户PIN等信息统一管理；l抗量子SSLVPN采用抗量子密码算法实现安全网络协议，提供身份鉴别和传l抗量子视频监控一体机提供基于抗量子密码算法实现对监控音视频进行透明4.4移动通信4A系统抗量子密码应用方案4A统一安全管理平台是一个以身份为中心，实现帐号、认证、授权和审计统高系统的安全性、管理效率和用户访问的便捷性。其核心包括账号（Account）管图4-74A系统网络拓扑图图4-84A系统密码应用保障框架4A系统现有密码体系的技术上，引入抗量子密码算法，采用抗量子产品体系，逐图4-94A系统抗量子密码迁移架构的能力，包括抗量子密码服务平台、抗量子IPSec/SSLVPN网关、抗量子智能密4.5移动通信OMC系统抗量子密码应用方案户通过4A系统身份鉴别后，在堡垒机上采用BS模式访问OMC网管，对网元进机上部署国密浏览器结合OMC系统前部署的SSLVPN安全网关实现，重云服务器密码机、签名验签服务器、密钥管理系统、数字证书认证系统、VPN安图4-10移动通信OMC系统抗量子密码迁移过程2、OMC系统调用抗量子密码服务平台的密码能力（调用抗量子云服务器密），4.6电力监控系统抗量子密码应用方案点共同确保了电力监控系统能够在复杂多变的电力环目前