Quantum Cryptography
后量子密码NIST标准CRYSTALS-KyberQKD
Candies 量子密码学
量子威胁与后量子防御——从 Shor 算法破解到 NIST 标准化后量子密码
量子计算对经典密码体系构成根本性威胁:Shor 算法可高效破解 RSA 与 ECC,Grover 算法将对称密码有效密钥长度减半。Candies 量子技术域以 QKD 信息论安全、NIST 后量子密码标准(CRYSTALS-Kyber/Dilithium)与混合防御策略三大支柱,全面呈现量子时代的密码安全演进。
核心指标
- 4项
NIST PQC标准
- 1184B
Kyber公钥尺寸
- 30亿+
Chrome PQC用户
- Shor算法
RSA-2048威胁
Core technologies
核心能力矩阵
从聚变能源到太空太阳能,全栈能源技术能力覆盖基础研究到工程落地。
后量子密码学
后量子密码(PQC)是运行在经典计算机上但能抵抗量子计算攻击的数学算法。NIST 2024年发布首批标准:FIPS 203 CRYSTALS-Kyber(基于模块化LWE问题的KEM,NIST Level 5安全相当于AES-256)、FIPS 204 CRYSTALS-Dilithium(基于模块化SIS问题的数字签名)、FIPS 205 SPHINCS+(基于哈希的无状态签名,安全性仅依赖哈希函数)。PQC的主要挑战是密钥和签名尺寸增大(Kyber公钥1184B vs ECDH 32B),对带宽和存储有影响。
- 标准化时间 2024
- Kyber公钥 1184B
量子密钥分发
QKD提供信息论安全性——安全证明仅依赖量子力学基本原理,不依赖任何计算复杂度假设,即使攻击者拥有无限计算能力(包括量子计算机)也无法破解。BB84协议在100km光纤上的安全密钥率约1Mbps,MDI-QKD通过测量设备无关设计消除探测器侧信道攻击,TF-QKD突破距离限制实现830km光纤QKD。QKD系统已商业化,但设备成本(单链路数十万元)和部署复杂度仍是规模化障碍。
- 安全基础 量子力学
- 商用链路成本 ~50万元
混合密码学策略
混合密码策略通过组合多种安全假设实现纵深防御。双重密钥交换(Hybrid KEM):先执行经典X25519密钥交换获得shared_secret_1,再用Kyber768交换获得shared_secret_2,两者组合(KDF)为最终会话密钥。任一层被破解时另一层仍提供安全保护。NIST、NSA和BSI均推荐在PQC过渡期使用混合方案。QKD+PQC分层:QKD用于最高安全等级场景,PQC用于大规模通用部署。
- 防御层次 2层+
- 性能开销 <5%
量子随机数生成
量子随机数生成器(QRNG)利用量子力学内禀随机性(如单光子分束、真空涨落)产生真随机数,输出不可预测且不可复制。相比伪随机数生成器(PRNG)依赖种子和算法确定性输出,QRNG从物理层面保证随机性。QRNG已集成到QKD系统和量子安全芯片中,芯片级QRNG面积<1mm²,速率>1Gbps,成本降至消费电子可接受水平。
- 随机性来源 量子测量
- 芯片QRNG速率 >1Gbps
Architecture
量子安全密码体系架构
从威胁分析到防御部署的五层密码安全架构——量子威胁评估层识别脆弱算法和数据资产,后量子密码(PQC)层部署NIST标准化抗量子算法,QKD层提供信息论安全密钥分发,混合防御层实现经典+PQC+QKD纵深防御,密码敏捷层支持算法热切换和过渡迁移。
量子威胁评估层
识别组织内使用RSA/DSA/ECDSA等量子脆弱算法的系统和数据资产,评估"先存储后破解"(HNDL)威胁的时间窗口。NIST建议2035年前完成所有公钥密码系统的迁移。密码清单(Crypto Inventory)和密码敏捷性评估是迁移起点。
后量子密码(PQC)部署层
NIST 2024年发布首批标准:FIPS 203 CRYSTALS-Kyber(基于模块化LWE问题的KEM,NIST Level 5安全相当于AES-256)、FIPS 204 CRYSTALS-Dilithium(基于模块化SIS问题的数字签名)、FIPS 205 SPHINCS+(基于哈希的无状态签名,安全性仅依赖哈希函数)。PQC算法运行在经典计算机上,不需量子硬件,可渐进式部署。
QKD信息论安全层
QKD提供不依赖计算假设的信息论安全密钥。BB84协议在100km光纤上的安全密钥率约1Mbps,MDI-QKD通过测量设备无关设计消除探测器侧信道攻击。QKD与AES-256结合实现一次一密级数据加密。量子随机数生成器(QRNG)为密钥提供真随机性。
混合防御策略层
双重密钥交换:先执行经典ECDH密钥交换获得shared_secret_1,再用Kyber KEM交换第二层密钥,两层密钥异或后作为最终会话密钥。即使一层被破解,另一层仍提供安全保护。QKD+PQC分层:QKD用于最高安全等级通信(外交/军事),PQC用于大规模通用部署。
密码敏捷与迁移管理层
密码敏捷(Crypto Agility)架构支持在不修改应用层代码的情况下热切换底层密码算法。TLS 1.3+、IPSec和SSH协议已开始集成PQC算法套件。密码迁移路线图:①发现→②优先级排序→③测试→④部署→⑤验证→⑥退役旧算法。
Comparison
行业对照
与传统方案关键指标对比。
| 指标 | Quantum Technology | 传统方案 |
|---|---|---|
| RSA-2048 安全性 | Shor 算法在足够量子比特下可在数小时内破解,需要迁移到 PQC领先 | 经典计算机破解需 ~10³⁰ 年,目前安全 |
| AES-256 安全性 | Grover 算法将有效密钥长度减半为 128 位,仍安全但需关注领先 | 经典暴力破解需 2²⁵⁶ 次操作,不可行 |
| 密钥交换方式 | Kyber KEM 基于格上MLWE问题,已知量子算法无法高效求解领先 | ECDH/DSA 基于椭圆曲线离散对数,量子计算可破解 |
| 签名方案 | Dilithium/SPHINCS+ 基于格/哈希问题,量子安全且已标准化领先 | ECDSA/RSA-PSS 基于因数分解/离散对数,Shor 算法可伪造 |
| 部署复杂度 | PQC密钥/签名更大(Kyber 768B/Dilithium 2.4KB),需更新协议栈领先 | 现有PKI/TLS/SSH生态成熟,部署成本低 |
| 密钥大小 | Kyber-768 公钥 1.2KB,Dilithium-3 公钥 2KB,带宽增加 10-30 倍领先 | RSA-2048 公钥 256B,ECDH-P256 公钥 64B,紧凑高效 |
| 加密速度 | Kyber 封装 ~50μs,Dilithium 签名 ~200μs,软件实现性能可接受领先 | AES-256-GCM 硬件加速 ~10 GB/s,延迟可忽略 |
| 带宽开销 | PQC TLS 握手增加 ~5-30KB(Kyber+Dilithium),需优化握手协议领先 | TLS 握手增加 ~1-2KB(RSA/ECDH),对网络影响小 |
| 向后兼容性 | PQC 需更新 TLS/OpenSSH/PKI 栈,混合模式过渡期兼容经典+PQC领先 | 现有协议和硬件完全兼容,无需改动基础设施 |
| 标准化进程 | NIST 2024 年发布 FIPS 203/204/205(Kyber/Dilithium/SPHINCS+),正在推广领先 | NIST 标准数十年历史(RSA/SHA/AES),全球信任链成熟 |
Roadmap
研发路线图
从基础研究到工程验证的关键里程碑与项目节点。
- 理论威胁已完成
Shor 算法提出
Peter Shor 提出多项式时间大数分解算法,证明量子计算机可高效破解RSA公钥密码体系,直接催生了后量子密码学和量子安全密码迁移的紧迫性。
- 标准化进程已完成
NIST PQC 标准化启动
NIST启动后量子密码标准化项目,面向全球征集抗量子计算攻击的公钥密码算法。经过6年三轮评审,从82个候选算法中筛选出最终标准。这是密码学历史上规模最大的标准化竞赛。
- 标准落地已完成
NIST 首批 PQC 标准发布
NIST正式发布四项后量子密码标准:FIPS 203(Kyber KEM)、FIPS 204(Dilithium签名)、FIPS 205(SPHINCS+签名)、FIPS 206(FALCON签名),标志全球密码系统向量子安全迁移进入实施阶段。
- 迁移部署规划中
全球密码迁移完成
各国政府和关键基础设施完成从RSA/ECC到PQC算法的全面迁移。NIST建议2035年前退役所有量子脆弱公钥算法。银行、电信、云服务商完成TLS/SSH/IPSec协议栈的PQC集成。
Use cases
应用场景
从量子计算到量子传感,覆盖量子技术全应用域。
- 政府与国防
机密通信量子安全升级
外交电报、军事指挥和情报通信从经典加密升级为QKD+PQC混合方案,实现信息论安全与计算安全双重保护
- 政府与国防
密码迁移治理
建立国家密码迁移路线图,识别关键系统中的量子脆弱算法,按风险优先级分阶段迁移到NIST PQC标准
- 金融合规
交易系统PQC升级
银行核心交易系统、SWIFT报文和支付网关从RSA/ECC升级到Kyber/Dilithium,满足监管机构对量子安全的合规要求
- 金融合规
区块链量子安全加固
将区块链的ECDSA数字签名替换为SPHINCS+或Dilithium,保护加密货币和智能合约免受量子计算攻击
- 企业安全
TLS/SSH协议栈PQC集成
企业Web服务、VPN和远程访问系统升级TLS 1.3和SSH协议,集成Kyber KEM密钥交换,抵御"先存储后破解"威胁
- 企业安全
IoT设备密码敏捷化
为IoT设备部署密码敏捷固件,支持远程OTA更新密码算法,在量子计算威胁变为现实前完成无缝迁移
Case studies
案例研究
量子技术从实验室到产业落地的真实案例前后对比。
互联网安全
Cloudflare 大规模 PQC 部署
Cloudflare在其全球CDN网络(300+城市)部署X25519Kyber768混合密钥交换,为数百万网站提供量子安全TLS连接,是全球最大规模的PQC实际部署。
- 之前
- 全球CDN使用ECDH密钥交换,面临未来量子计算破解风险
- 之后
- X25519+Kyber768双重密钥交换,单次握手增加约1KB开销,性能影响<5%
- 300+ 覆盖城市
- <5% 性能开销
浏览器安全
Google Chrome PQC 密钥交换
Google在Chrome浏览器中部署X25519Kyber768混合密钥交换(2024年起默认启用),保护浏览器与服务器之间的TLS连接。Chrome日活跃用户超过30亿,这一部署使PQC保护覆盖全球最大的互联网用户群体。
- 之前
- 浏览器TLS连接仅使用经典ECDH密钥交换
- 之后
- 默认启用X25519+Kyber768混合模式,TLS握手延迟增加约1ms
- 30亿+ 覆盖用户
- ~1ms 延迟增加
量子安全硬件
中国量子密码芯片集成
中国国盾量子等企业推出集成QRNG和QKD功能的量子安全芯片,可嵌入手机、路由器和IoT设备,实现端到端量子安全通信的硬件级保障。芯片面积<5mm²,功耗<100mW。
- 之前
- 量子安全通信依赖专用QKD设备,体积大、成本高、难以规模化
- 之后
- 量子安全芯片集成QRNG+QKD,可嵌入消费电子,成本降至百元级
- <5mm² 芯片面积
- <100mW 功耗
Quantum Cryptography
量子密码学技术
量子威胁、后量子密码标准(NIST PQC)与混合防御策略——量子时代的密码安全体系。
NIST 后量子密码标准
FIPS 203 CRYSTALS-Kyber:基于MLWE(Module Learning With Errors)问题的密钥封装机制(KEM),提供IND-CCA安全性。三种参数集:Kyber-512(NIST Level 1)、Kyber-768(Level 3)、Kyber-1024(Level 5)。封装密钥768字节,解封装密钥1088字节。FIPS 204 CRYSTALS-Dilithium:基于SIS(Short Integer Solution)问题的数字签名,签名2420字节,公钥1312字节。FIPS 205 SPHINCS+:基于哈希函数的无状态签名,安全性仅依赖哈希抗碰撞性,签名较大(7856字节)但假设最少。FIPS 206 FALCON:基于NTRU格的紧凑签名方案,签名666字节但实现复杂。
量子计算威胁模型
Shor算法威胁:可在O(n³)时间内完成大数分解和离散对数求解,直接破解RSA-2048(需约4000个逻辑量子比特)、ECDSA P-256和DSA。Grover算法威胁:将对称密码和哈希函数的有效搜索空间减半,AES-256降为128位安全。"先存储后破解"(Harvest Now, Decrypt Later)威胁:攻击者现在截获加密数据存储,等量子计算机成熟后解密,对长保密期数据(政府/医疗/金融)构成现实威胁。QKD攻击模型包括个体攻击、集体攻击、相干攻击和实际侧信道攻击(探测器致盲、效率不匹配)。
格基密码与编码基密码
格基密码基于格上困难问题(最短向量SVP、最近向量CVP、LWE/MLWE/SIS)的安全性,是PQC的主力方向。CRYSTALS-Kyber(KEM)和CRYSTALS-Dilithium(签名)均基于格问题。格密码优势:运算效率高(多项式时间)、密钥/密文尺寸适中、支持高级功能(全同态加密)。编码基密码:Classic McEliece基于纠错码的译码困难性(Niederreiter变体),公钥较大(261KB)但安全性经过40年检验。多变量基密码和同源基密码是备选方向,但标准化进展较慢。
侧信道攻击与设备无关 QKD
QKD实际部署面临多种侧信道攻击:探测器效率不匹配攻击(2010年Lydersen等)利用单光子探测器的死时间和效率差异窃取密钥;致盲攻击通过强光使探测器从单光子模式退化为经典模式;时序攻击利用设备响应时间差异推断密钥信息。设备无关QKD(DI-QKD)通过Bell不等式检验验证量子纠缠的真实性,安全性不依赖设备内部实现,仅需满足量子力学基本假设。2022年多个团队首次在实验中实现DI-QKD。
FAQ
常见问题
关于量子技术的核心问题与解答。