後量子加密的未來展望（二）：兩套標準與上市時程

預見商用量子計算機的降臨，美國國家標準與技術研究院（National Institute of Standards and Technology；NIST）已於2024年7月確定公鑰加密／金鑰封裝機制（public key encryption/Key Encapsulation Mechanism；KEM）以及數位簽名（digital signatures）的標準。

KEM使用CRYTALS-Kyber（Cryptographic Suite for Algebraic Lattice-Kyber）演算法，為FIPS（Federal Information Processing Standard） 203；數位簽名使用CRYSTALS-Dilithium演算法，為FIPS 204。另有FALCON（FIPS 205）、SPHINCS（FIPS206）等其他類型的數位簽名的標準及演算法。

CRYSTALS是利用代數晶格（algebraic lattice）中的數學難題如尋找最小向量等來設立破解難度，而代數晶格（又稱秩序理論；order theory）是抽象代數（abstract algebra）的一個分支。

KEM的功用是後量子版的RSA，有Kyber-512、Kyber-768及Kyber-1024等3種強度等級。Dilithium後量子版的數位簽名，也有Dilithium-II、Dilithium-III及Dilithium-IV等3個強度等級。

中國也由商業密碼研究所（Institute of Commercial Cryptography Standards；ICCS）在2025年2月開始啟動下世代商用加密演算法（Next Generation Commercial Cryptography algorithm；NGCC）計畫，並向世界徵求對後量子加密標準的意見。

中國選用的演算法也是基於晶格（lattice-based）的演算法，分別是用於加密的Aigis-enc及用於數位簽名的Aigi-sig。

由於未來可能存有兩套後量子加密標準，兩種會並行存在並建立中介機制、或者終將合流變為單一標準，此一問題對於從事後量子相關產品服務業者至關重要，值得密切注意。

目前已進入後量子加密（PQC）領域的半導體廠商包括英飛淩（Infineon）、恩智浦（NXP）、Thales及Microchip。產品應用包括雲端、PC、IoT、汽車、嵌入式系統、ID、工業用等。

特別值得一提的是中國電信量子群（China Telecom Quantum Group）將於2025年11月釋出中國第一個高效能晶片，置於他們整合量子金鑰分發（QKD）+PQC系統之上。由於此晶片已經包括混合的傳統及量子通訊網路的應用，對於兩個標準之間的競合會產生一定的影響。

PQC產品什麼時候會大量上市？答案取決於量子電腦的進展速度，量子電腦進展到某一種度，才可能對現存加密體制構成威脅。

量子電腦的運算能力的主要因數之一是邏輯量子元（logic qubit），就是可以實際用於計算的量子位元數，這個與量子電腦實際上建構的物理量子位元（physical qubits）數目有很大的差別。量子位元的維持、運算、量測都可能發生錯誤，需要使用一群量子位元來執行量子糾錯碼（Quantum Error Correcting Code；QECC）的功能，確保邏輯量子位元計算的正確性。依現在錯誤發生率的技術水準，1個邏輯量子位元可能需要近千個物理量子位元來保護。所以量子電腦所需的物理量子位元數量龐大，但可以使用的邏輯位元數量較小。但是在邏輯量子位元數目上百之後，在有些應用就有能力超過傳統計算，取得量子優勢（quantum supremacy）。

對於現在常用的加密機制RSA-2048及AES-256，目前估計約4,000~6,000個邏輯量子位元數即可以破解。

目前有3家公司明確的公布商業量產通用容錯量子電腦（universal fault-tolerant quantum computer）的時程。

Quantinum宣布於2030年前推出100個邏輯量子位元數的離子陷阱（trapped ions）量子電腦；IBM則宣布於2029年推出200個邏輯量子位元數的超導體（superconductor）量子電腦。這兩家也許對目前的加密機制還構不成太大威脅。

另一家PsiQuantum預計也是在2029年量產通用容錯量子電腦，其上的光子（photonic）量子位元數從計畫開始就是以百萬個物理量子位元為目標，估計可以使用3,000~5,000個邏輯量子位元，這已有可能危及目前的加密安全體系。

假設以上的量產時間和估算為真，PQC的商機何時開始浮現？答案是量子計算機交機的那一天得全面準備妥當。任何沒有PQC保護的網路，彷若透明，對於譬如國防、金融等敏感體系尤為如此。一個國家、地區、或個人如果沒有PQC 的保護，就會變成網路孤島，沒有人願意與之往來；在金融業，這就像是被退出SWIFT體系，所以加密方式的轉換必須在高邏輯量子位元樹的量子電腦問世之前全面完成。

PQC產品的NIST FIPS各種標準驗證需要約12~24個月的時間，產品驗證後需送客戶設計和驗證，才會有機會入駐網路各節點和終端系統。現在已是2025年下半，離2029年還有多久？所以那些公司已經有產品布置，一點也不令人訝異。

還有一個備註。美國和中國的加密標準雖然不同，但是都是基於晶格的演算法。這類演算法的安全性是因為目前沒有已知量子演算可以輕易破解此類問題，基於晶格的演算法所產生的問題並未嚴格地被證明是BQP之外的類別。

也就是說，如果努力發展新量子演算法，也許基於晶格的演算法又會被破解，到時候PQC的布置又得重來一次，很傷腦筋。