NIST正式發布3款PQC標準，鼓勵各界盡快轉換以因應量子破密威脅

後量子密碼學（PQC）標準在8月13日正式發布，成為全球矚目的焦點，因為這次推出的3項新標準是為未來而準備，也就是為日後量子破密威脅所設計，如今美國國家標準暨技術研究院（NIST）首度宣布推出的是FIPS 203、FIPS 204、FIPS 205，接下來還有第4個標準將在年底出爐。

回顧PQC標準的制定，總共歷經8年時間，最早從2016年美國NIST就開始舉行PQC密碼學競賽，當時收到來自25個國家的82個提交演算法，之後進行了3輪淘汰賽，直到2022年先選出4個候選演算法，也就是CRYSTALS-Kyber、CRYSTALS-Dilithium、FALCON、SPHINCS+。目的就是選出可抵禦量子破密威脅的數學問題，以保護現在與未來的安全。

不過，首批候選演算法在進入標準化程序後，有學者發表論文質疑一項數學方法，還好後來相關問題釐清。這個意外插曲發生在今年初，一篇由北京清華大學陳一鐳撰寫的論文發表在ArXiv網站，聲稱基於網格密碼學（Lattice-based）的演算法實際上並無法對抗量子破密，由於首批4個候選演算法中，就有3個是基於網格密碼學，因此引起PQC學者相當大的關注。此篇研究發布後的一周內，有人發現其論文中的論點有一個缺陷，才消除這次產生的疑慮。這也顯示，很多人持續在試圖破解這些演算法，但只要越經得起考驗，也就越會安全。

FIPS 203作為通用加密的主要標準，FIPS 204作為數位簽章的主要標準

歷經多年的發展，這些PQC加密方案終於在本週完成標準化程序，並且有3項PQC標準正式出爐，NIST也公開了更多關於新標準的細節。

NIST表示，雖然自草案版本以來，這些標準沒有實質上的改變，但NIST現在更改了這些演算法的名稱，以指定最終標準使用的版本。具體而言，這次公布的聯邦資訊處理標準（FIPS）包括：

●FIPS-203 （ML-KEM）
●FIPS-204 （ML-DSA）
●FIPS-205 （SLH-DSA）

基本上，這些加密新標準可分成兩大應用面，一是通用加密（General encryption），用於保護在公共網路上交換的資訊，一是保護數位簽章（Protecting digital signatures），用於身分認證。

在通用加密方面，以FIPS 203為主要標準，這項標準是基於CRYSTALS-Kyber演算法而來，現已重新命名為ML-KEM，代表Module-Lattice-Based的金鑰封裝機制（Key-Encapsulation Mechanism）。這項標準的優勢在於屬於相對小型的加密金鑰，可方便交換且執行快速。

在數位簽章方面，以FIPS 204為主要標準，此標準使用CRYSTALS-Dilithium演算法，現已更名為ML-DSA，代表Module-Lattice-Based的數位簽章演算法。

此外，FIPS 205也是為數位簽章設計的標準，這項標準使用Sphincs+演算法，現已更名為SLH-DSA，代表Stateless Hash-Based的數位簽章演算法。由於這項標準使用了與ML-DSA不同的數學方法，若是ML-DSA被發現有漏洞時，將可作為備用方法使用。

PQC標準還在持續發展，FIPS 206預計在年底發布

後續還有哪些重要發展？NIST表示，他們還有FIPS 206會在稍晚發布，估計是2024年底，此項標準是使用FALCON演算法，並會更名為FN-DSA。

而且，PQC標準的評選也尚未結束，NIST還在繼續評估其他兩組演算法，希望這些演算法能成為備用的標準，以持續確保我們的安全。

其中一組是通用加密類型，將選出不同於ML-KEM的數學方法，預計從3個演算法中選出1到2個。

另一組是數位簽章類型，主要是NIST希望促進數位簽章組合多樣化，因此在2022年再次公開徵求額外的演算法，並已開始對其進行評估，預計將從15個演算法選出下一輪的名單，繼續進行測試、評估與分析。

不過，在關注PQC標準發展之餘，NIST提醒大家，沒有必要等待未來的標準，現在就可以開始使用這3項新標準，立即為應對量子破密的潛在威脅做好準備。

全面轉換需要時間，NIST呼籲現在就可以使用這3個PQC標準

NIST強調，隨著量子運算技術的快速進步，一些專家已經預測，能夠破解當前加密方法的設備可能在十年內問世，這將對個人、組織，甚至整個國家的安全與隱私構成威脅。

因此，負責PQC標準化專案的NIST數學家Dustin Moody表示，NIST鼓勵各界盡早開始轉換至這些新標準，並將其整合到現有系統中，因為全面轉換的過程將需要一定的時間。

美國商務部標準暨技術副部長兼NIST院長Laurie E. Locascio也指出，量子運算技術有潛力幫助解決許多社會難題，而這些新標準則展示了NIST在推動技術進步的同時，致力於維護我們安全的承諾。

事實上，自PQC密碼學標準化競賽舉辦以來，臺灣也很重視這方面的發展，例如2年前國內首度舉辦PQC論壇，最近，也就是3個月前，國內有新的行動，臺灣後量子資安產業聯盟宣布成立，不僅希望加速我國後量子資安產業的發展，更重要是要確保臺灣具有後量子密碼準備能力。

但還需要有更多企業組織意識到，公鑰密碼系統的全面升級與轉換已成為不可避免的趨勢。因為過去NIST與PQC專家就有指出，目前網際網路上傳輸的所有資料，包括銀行交易、醫療紀錄以及加密通訊，都是透過RSA等加密演算法來保護。儘管現今的超級電腦幾乎無法破解這些演算法，但隨著量子電腦的快速發展，現有的公鑰加密系統（如RSA、ECC等）將面臨嚴重威脅，因此我們必須及早做好準備。

如今，隨著新一代PQC標準的問世，盡快開始過渡到新標準將是接下來的重點。