从“迁移”到“过渡”：NIST后量子最新报告解读

2024年11月12日，美国国家标准与技术研究院（NIST）发布了NIST IR 8547《Transition to Post-Quantum Cryptography Standards》初稿。这份报告提出了向后量子密码标准过渡的路线图，引发广泛关注。报告中，一个看似细微的术语变化却尤为引人注目——从此前的“Migration to Post-Quantum Cryptography”（向后量子密码迁移）转变为“Transition to Post-Quantum Cryptography”（向后量子密码过渡）。这一措辞上的变化不仅表明NIST对技术演进的思考更加深入，同时也反映了密码迁移在实际操作中的复杂性与长期性。

▼ 1.从“迁移”到“过渡”：为什么用词改变重要？

“Migration”意为“迁移”，强调传统密码向抗量子密码的彻底替换，突出紧迫性与完整性。而NIST此次采用“Transition”（过渡）一词，更准确反映了密码技术演进的复杂性，这意味着新旧技术可能将长期共存，需动态调整逐步推进。

▼ 2.从紧迫到现实：逐步过渡策略

在过往的公开文件和会议中，NIST多次强调“先存储，后解密”（Harvest Now, Decrypt Later）的风险，敦促尽早采用抗量子密码技术。而此次报告首次以“Transition”定义迁移进程，提出了更为灵活的应对策略。根据报告中的描述，我们总结出以下三个阶段：

 ▌ 短期（2024-2029）：标准发布与早期实施阶段

NIST预计将在这一阶段发布针对特定应用场景的指南，推动早期采用者逐步实践。

 ▌中期（2030-2035）：传统算法逐步淘汰阶段

到2030年，NIST计划将112位安全强度的传统公钥算法标记为“不推荐使用”（Deprecated），并在2035年全面禁用这些算法。

 ▌长期（2035年以后）：全面采用抗量子密码标准

从2035年起，新系统将全面强制使用抗量子密码算法，传统算法将不再被允许用于任何新的加密和签名任务。

▼ 3.过渡过程中的关键考量

NIST在该报告中详细讨论了代码签名、用户和设备认证、网络安全协议、电子邮件和文件签名加密等应用场景的特殊考虑，强调了不同应用场景的特殊需求，并指出某些系统可能需要优先迁移，以降低长期机密信息被量子计算机攻击的风险。此外，NIST建议灵活制定迁移时间表，以平衡不同应用的安全需求与技术复杂性。

另外，向后量子密码的迁移可能首先采用混合方案，即在密钥生成或数字签名时同时使用抗量子算法和传统算法。这类方案旨在保证：只要其中一个算法安全，整体方案就能保持安全性。在某些仍需使用传统算法的场景中，混合方案可作为兼容抗量子密码的过渡路径。NIST将是否采用混合密钥协商或双重签名的决定权交由具体应用场景，根据其对实施成本、性能影响和工程复杂性的承受能力来确定。为支持希望采用混合模式的组织，NIST表示，在混合方案与核准标准适当结合时，将在FIPS 140验证中提供支持。

▼ 4.算法不推荐使用与禁用时间表

报告中对传统算法的淘汰规划进一步明确，以下是主要算法的不推荐使用与禁用时间表：

这些算法的淘汰节点表明，NIST希望通过明确的时间限制，引导行业稳步完成抗量子密码的迁移。

▼ 5.为什么从“Migration”到“Transition”是一个必然选择？

这一术语变化折射出的是技术实施的现实挑战和多方需求之间的平衡：

 ▌技术成熟度的差异：尽管NIST已公布了首批后量子密码算法标准，但许多相关配套技术（如硬件安全模块、加密库、协议标准、基础设施等）尚未完全成熟。

 ▌应用场景的多样性：不同领域对密码技术的需求和敏感度差异很大。例如，金融机构和政府部门对数据安全的要求极高，必须尽早部署抗量子密码；而某些低风险领域则可以延长过渡期，减少成本压力。

 ▌产业链的广泛参与：密码技术的更新不仅仅是标准化的问题，更需要软硬件厂商、开发者和运营机构的全方位协作，以便在全球范围内逐步推进这一技术升级。

▼ 6.总结

从“Migration”到“Transition”，NIST的用词变化不仅反映了技术演进的实际需求，也标志着后量子密码过渡策略的进一步明确。各行业应密切关注NIST动态，积极制定符合自身需求的过渡计划，在量子计算时代到来之前，稳步提升数据安全能力。

作为数据安全领域的专家，握奇将积极响应这一趋势，提前规划与部署，持续为客户提供面向未来的抗量子密码解决方案，助力构建稳固的数字安全防护体系。