报告

算法已就绪,基础设施尚未准备好。

by Simon McCorkindale

2026年5月第二周发表的三篇论文,分别从不同角度涵盖了后量子迁移栈的各个层面:美国国家标准与技术研究院(NIST)发布的下一代数字签名候选算法新报告、某生产银行内部的后量子密码学(PQC)概念验证部署,以及在树莓派硬件上运行的FN-DSA可用实现。综合来看,这三篇论文从三个角度传递了同一个信息——算法本身已不再是问题,运营层面才是。

NIST 的多重押注

5月14日,NIST发布了IR 8610,将九个算法候选推进至其”附加数字签名”进程的第三轮。这九个入围者——FAEST、HAWK、MAYO、MQOM、QR-UOV、SDitH、SNOVA、SQIsign和UOV——涵盖四个不同的数学族。五个候选算法遭到淘汰。

NIST启动这一进程的原因值得直言相告。其现有三项后量子签名标准中,ML-DSA(FIPS 204)和FN-DSA(FIPS 206,预计2027年发布)均基于格密码。一旦Module-LWE难题假设被攻破,两者将同时失效。SLH-DSA(FIPS 205)虽能幸存,但其签名长度最高达17 KB——若成为唯一剩余选项,体积过大难以单独承担。NIST此举是在构建保险机制。

最引人注目的数字属于SQIsign:在NIST安全类别1下,签名仅148字节,小于RSA-2048。对于DNSSEC、固件签名和物联网身份验证而言,这种紧凑性具有变革意义。HAWK提供纯整数运算,消除了FN-DSA对浮点运算的依赖——正是这一依赖使得在没有专用FPU的微控制器上安全部署FN-DSA颇为困难。多变量候选算法(UOV族)尽管经历了2025年的楔形攻击仍得以留存——NIST保留它们是因为其签名紧凑性无可替代,但标准化进程将比其他算法耗时更长。

这一切并不改变各组织在2026年应当采取的行动。ML-DSA和SLH-DSA已是最终标准。即便乐观估计,附加签名进程也要到2028至2030年才能产出最终标准。IR 8610的实际意义更为具体但同样重要:将算法选择视为可轮换的策略决策,而非固化在代码中的常量。NIST正在与自己刚刚发布的标准并行运行一条独立赛道。密码敏捷性是唯一理性的应对之道。

运营层面的瓶颈

NTU/OCBC的论文所回应的问题更为紧迫:为何本可推进的迁移至今仍未发生?

研究团队构建了一个自动化TLS配置解析框架,并将其应用于从GitHub公开仓库中采集的8,443个真实Nginx配置文件。量子漏洞发现结论明确:在所测语料库中,后量子混合密钥交换的采用率为零。X25519MLKEM768仅出现在四个配置中——在明确指定曲线的配置中占比0.8%。更令人担忧的是:28.9%的配置使用无前向保密的RSA密钥交换,这是一个无需量子硬件即可利用的前量子漏洞,只需未来发生密钥泄露即可被攻击。另有21.8%的配置仍允许TLS 1.0或1.1。

该论文的核心论点是:瓶颈在于运营层面,而非算法层面。X25519MLKEM768已在当前版本的OpenSSL和BouncyCastle中可用。算法已然存在,库也已提供支持。各组织所缺乏的,是对每个TLS端点实际配置允许内容的精确可见性——不是实时握手中协商的内容,而是那些静静潜伏在配置文件中、对任何网络扫描器都不可见的回退选项。

为证明一旦建立可见性迁移便切实可行,该团队在新加坡华侨银行(OCBC Bank)部署了混合PQC:一台Apache网络服务器和一个Java/Spring Boot API网关,均迁移至X25519MLKEM768。银行应用程序零改动。性能开销:连接建立耗时增加+23%(从24.7毫秒增至30.4毫秒),端到端延迟增加+1.3%,在100个并发客户端压力下零错误。这一结论表明,TLS终止层可独立于其所保护的应用程序进行迁移。有一点值得特别指出:使用HSM托管私钥的组织在开始迁移前,需评估HSM固件兼容性。在迁移过程中途发现HSM不兼容是一种常见的失败模式,而部署前扫描可有效预防这一问题。

受限硬件上的 PQC

Feingold与Yu将FN-DSA(FALCON-1024)部署在三台运行MQTT运动传感器网络的树莓派5上,使用liboqs、oqs-provider、OpenSSL和mosquitto开源技术栈。研究发现与普遍认知相悖:在相同硬件上,FALCON-1024证书生成平均耗时约69毫秒,而RSA-2048为320毫秒——前者约快4.5倍。RSA证书生成的性能瓶颈在于大整数素性检测和模幂运算;而FALCON采用NTRU格多项式运算和快速傅里叶变换,在等效安全级别下,于受限芯片上的运算效率确实更高。

诚实的注意事项:FALCON的高斯采样依赖浮点运算,由此带来时序泄露和旁路攻击风险。对于部署在物理可接触环境中的物联网场景,SOLMAE——一种专为旁路攻击防御而设计的类似方案——被认为是合乎逻辑的下一步。

实践意义在于这套开源技术栈:liboqs + oqs-provider + OpenSSL + mosquitto,全部公开可用,现已可在现成的ARM硬件上运行。

新西兰视角解读

我们的四月扫描发现,新西兰水务、污水处理和交通运输行业的源站侧PQC采用率为零。卫生行业整体PQC阳性率达80%,但源站侧同样为零——所有结果均来自CDN交付。NTU/OCBC的论文揭示了这一机制:各组织并不清楚自己的TLS配置实际允许哪些回退选项,更遑论内部服务网格和API网关的运行状态。CDN默认启用后量子TLS固然有益,但它衡量的是边缘节点,而非安全边界。

OCBC的概念验证,正是为尚未行动的新西兰银行提供了”这就是起步的样子”的参照模板。ASB、BNZ、Westpac和Kiwibank在四月扫描中均未显示源站侧PQC。NTU/OCBC的部署案例表明,一家规模相当的机构可以在可控开销下完成TLS终止层迁移,且无需变更任何应用程序。运营模板已然存在。

FALCON在树莓派上的运行结果,消除了新西兰水务和能源物联网系统残存的最后借口。DPMC关键基础设施法案预计将于2026年晚些时候颁布。从现在开始进行密码学资产清查的组织,届时将自然而然地满足合规要求。

落后者不会得到任何奖励。

参考文献:

Kaysec是Spinsphere旗下的后量子安全业务团队,Spinsphere是一家总部位于新西兰的量子技术公司。我们为新西兰各组织提供密码学资产清查、”先收割后解密”(HNDL)风险评估、TLS配置审计及PQC迁移规划服务。欢迎联系我们