後量子密碼學（PQC）標準日前正式發布，成為全球矚目的焦點，因為這次推出的 3 項新標準是為未來而準備，也就是為日後量子破密威脅所設計，如今美國國家標準暨技術研究院（NIST）首度宣布推出的是 FIPS 203、FIPS 204、FIPS 205，接下來還有第 4 個標準將在年底出爐。

回顧 PQC 標準的制定，總共歷經 8 年時間，最早從 2016 年美國 NIST 就開始舉行 PQC 密碼學競賽，當時收到來自 25 個國家的 82 個提交演算法，之後進行了 3 輪淘汰賽，直到 2022 年先選出 4 個候選演算法，也就是 CRYSTALS-Kyber、CRYSTALS-Dilithium、FALCON、SPHINCS+。目的就是選出可抵禦量子破密威脅的數學問題，以保護現在與未來的安全。

FIPS 203 作為通用加密的主要標準，FIPS 204 作為數位簽章的主要標準

歷經多年的發展，這些 PQC 加密方案終於在本週完成標準化程序，並且有 3 項 PQC 標準正式出爐，NIST 也公開了更多關於新標準的細節。NIST 表示，雖然自草案版本以來，這些標準沒有實質上的改變，但 NIST 現在更改了這些演算法的名稱，以指定最終標準使用的版本。具體而言，這次公布的聯邦資訊處理標準（FIPS）包括：

●FIPS-203 （ML-KEM）
●FIPS-204 （ML-DSA）
●FIPS-205 （SLH-DSA）

基本上，這些加密新標準可分成兩大應用面，一是通用加密（General encryption），用於保護在公共網路上交換的資訊，一是保護數位簽章（Protecting digital signatures），用於身分認證。

在通用加密方面，以 FIPS 203 為主要標準，這項標準是基於 CRYSTALS-Kyber 演算法而來，現已重新命名為 ML-KEM，代表 Module-Lattice-Based 的金鑰封裝機制（Key-Encapsulation Mechanism）。這項標準的優勢在於屬於相對小型的加密金鑰，可方便交換且執行快速。

在數位簽章方面，以 FIPS 204 為主要標準，此標準使用 CRYSTALS-Dilithium 演算法，現已更名為 ML-DSA，代表 Module-Lattice-Based 的數位簽章演算法。

此外，FIPS 205 也是為數位簽章設計的標準，這項標準使用 Sphincs+ 演算法，現已更名為 SLH-DSA，代表 Stateless Hash-Based 的數位簽章演算法。由於這項標準使用了與 ML-DSA 不同的數學方法，若是 ML-DSA 被發現有漏洞時，將可作為備用方法使用。

PQC 標準還在持續發展，FIPS 206 預計在年底發布

後續還有哪些重要發展？NIST 表示，他們還有 FIPS 206 會在稍晚發布，估計是 2024 年底，此項標準是使用 FALCON 演算法，並會更名為 FN-DSA。而且，PQC 標準的評選也尚未結束，NIST 還在繼續評估其他兩組演算法，希望這些演算法能成為備用的標準，以持續確保我們的安全。

其中一組是通用加密類型，將選出不同於 ML-KEM 的數學方法，預計從 3 個演算法中選出 1 到 2 個。另一組是數位簽章類型，主要是 NIST 希望促進數位簽章組合多樣化，因此在 2022 年再次公開徵求額外的演算法，並已開始對其進行評估，預計將從 15 個演算法選出下一輪的名單，繼續進行測試、評估與分析。

不過，在關注 PQC 標準發展之餘，NIST 提醒大家，沒有必要等待未來的標準，現在就可以開始使用這 3 項新標準，立即為應對量子破密的潛在威脅做好準備。

全面轉換需要時間，NIST 呼籲現在就可以使用這 3 個 PQC 標準

NIST強調，隨著量子運算技術的快速進步，一些專家已經預測，能夠破解當前加密方法的設備可能在十年內問世，這將對個人、組織，甚至整個國家的安全與隱私構成威脅。

因此，負責 PQC 標準化專案的 NIST 數學家 Dustin Moody 表示，NIST 鼓勵各界盡早開始轉換至這些新標準，並將其整合到現有系統中，因為全面轉換的過程將需要一定的時間。美國商務部標準暨技術副部長兼 NIST 院長 Laurie E. Locascio 也指出，量子運算技術有潛力幫助解決許多社會難題，而這些新標準則展示了 NIST 在推動技術進步的同時，致力於維護我們安全的承諾。

事實上，自 PQC 密碼學標準化競賽舉辦以來，臺灣也很重視這方面的發展，例如 2 年前國內首度舉辦 PQC 論壇，最近，也就是 3 個月前，國內有新的行動，臺灣後量子資安產業聯盟宣布成立，不僅希望加速我國後量子資安產業的發展，更重要是要確保臺灣具有後量子密碼準備能力。

但還需要有更多企業組織意識到，公鑰密碼系統的全面升級與轉換已成為不可避免的趨勢。因為過去 NIST 與 PQC 專家就有指出，目前網際網路上傳輸的所有資料，包括銀行交易、醫療紀錄以及加密通訊，都是透過 RSA 等加密演算法來保護。儘管現今的超級電腦幾乎無法破解這些演算法，但隨著量子電腦的快速發展，現有的公鑰加密系統（如 RSA、ECC 等）將面臨嚴重威脅，因此我們必須及早做好準備。

如今，隨著新一代 PQC 標準的問世，盡快開始過渡到新標準將是接下來的重點。

參考來源：iThome