後量子密碼學（七）：NISTPQC 計畫

未來與行動

未來取決於今日的行動。

-聖雄甘地

NIST PQC 專案與最終標準

隨著量子電腦逐漸成熟，傳統的公鑰密碼系統（如 RSA、ECC）在未來可能被快速破解。為了提前做好準備，美國國家標準與技術研究院（NIST）在 2016 年發起了 後量子密碼學 (Post-Quantum Cryptography, PQC) 標準化專案。這個專案像是一場全球性的競賽，邀請世界各地的學者與研究團隊提交基於新的數學難題的密碼系統，並透過多輪嚴格的分析與測試，來篩選出安全性無疑慮的密碼系統。而後，透過一系列的標準化流程，決選出的密碼系統將成為後量子時代的密碼標準。透過標準化流程，決選出的密碼具有一定的安全性基礎，也將會成為後續後量子密碼遷移的目標。

為什麼要現在就行動？

除了擔心未來某一天量子電腦出現之外，對現有的資料造成更嚴重威脅的是 「先存後解」攻擊 (Harvest Now, Decrypt Later)。

想像一下：

今天，Alice 用 RSA 加密後，把她的醫療紀錄傳給 Bob 的醫院。
攻擊者 Eve 雖然現在還沒有能力破解，但她把整份加密資料都 存下來。
十年後，量子電腦出現，Eve 就能把這份早已儲存的資料 一口氣解開，所有本來應該保密數十年的資訊都將外洩。

這就是「先存後解」的危險：今天的加密資料，未來仍可能被解密。

因此，即使量子電腦還沒普及，我們也必須 立即升級，用 PQC 來保護需要長期保密的資料（例如軍事、金融、醫療、政府通信）。換言之，我們應該現在就開始著手準備與升級/轉移至PQC。

從競賽到標準

這場公開的競賽共吸引了69 個候選算法參與，歷經多輪淘汰，最後進入決賽的算法只有少數幾個。在長達數年的公開審查與攻防測試下，NIST 最終選定了三個演算法，並在 2024 年將其正式發布為聯邦資訊處理標準（FIPS）：

FIPS-203 (ML-KEM)：基於格 (Lattice) 的密鑰封裝機制，用來取代傳統的密鑰交換（如 Diffie-Hellman）。
FIPS-204 (ML-DSA)：基於格的數位簽章算法，設計用來取代 RSA與ECDSA。
FIPS-205 (SLH-DSA)：基於雜湊函數 (Hash-based) 的數位簽章，提供不同數學假設下的備選方案。

NIST PQC 標準的核心，不只是抵抗量子電腦，更是要防止「今天的資料」在未來被解密。

為什麼選這三個？

在評估過程中，NIST 考慮了 安全性、效能、實作便利性 以及 與現有系統整合的可行性。

ML-KEM 與 ML-DSA 都來自「模格 (Module Lattice)」數學結構，在速度與安全上取得平衡，適合廣泛部署。
SLH-DSA 雖然簽章較大，但基於雜湊函數的安全性假設非常穩固，作為重要的後備方案。此方案也適用於需要較高安全性的場景。

PQC 標準化的意義

應對先存後解威脅：現在升級加密，才能確保未來資料不會被回溯解密。
全球共識：PQC 不只是美國的專案，其他國家與產業也會跟隨這些標準。
過渡與升級：現有系統（TLS、VPN、區塊鏈）將逐步升級到 PQC。

下一步

NIST的國家 PQC 標準的發布只是作為開始，未來仍會有更多演算法持續被研究、審查，作為 補充與替換。這是一個持續演進的過程，就像眾多大大小小的密碼過度一樣。然而，後量子密碼遷移的耗時耗力是可以預期的，關於這方面的研究也將會繼續如火如荼的展開。