后量子加密的未来展望（二）：两套标准与上市时程

预见商用量子计算机的降临，美国国家标准与技术研究院（National Institute of Standards and Technology；NIST）已于2024年7月确定公钥加密／金钥封装机制（public key encryption/Key Encapsulation Mechanism；KEM）以及數字签名（digital signatures）的标准。

KEM使用CRYTALS-Kyber（Cryptographic Suite for Algebraic Lattice-Kyber）演算法，为FIPS（Federal Information Processing Standard） 203；數字签名使用CRYSTALS-Dilithium演算法，为FIPS 204。另有FALCON（FIPS 205）、SPHINCS（FIPS206）等其他类型的數字签名的标准及演算法。

CRYSTALS是利用代数晶格（algebraic lattice）中的数学难题如寻找最小矢量等来设立破解难度，而代数晶格（又称秩序理论；order theory）是抽象代数（abstract algebra）的一个分支。

KEM的功用是后量子版的RSA，有Kyber-512、Kyber-768及Kyber-1024等3种强度等级。Dilithium后量子版的數字签名，也有Dilithium-II、Dilithium-III及Dilithium-IV等3个强度等级。

中国也由商业口令研究所（Institute of Commercial Cryptography Standards；ICCS）在2025年2月开始启动下時代商用加密演算法（Next Generation Commercial Cryptography algorithm；NGCC）計劃，并向世界征求对后量子加密标准的意见。

中国选用的演算法也是基于晶格（lattice-based）的演算法，分别是用于加密的Aigis-enc及用于數字签名的Aigi-sig。

由于未来可能存有两套后量子加密标准，两种会并行存在并建立中介机制、或者终将合流变为单一标准，此一问题对于从事后量子相关产品服务业者至关重要，值得密切注意。

目前已进入后量子加密（PQC）领域的半导体厂商包括英飞凌（Infineon）、恩智浦（NXP）、Thales及Microchip。产品应用包括云端、PC、IoT、汽车、嵌入式系统、ID、工业用等。

特别值得一提的是中国电信量子群（China Telecom Quantum Group）将于2025年11月释出中国第一个高效能芯片，置于他们整合量子金钥分发（QKD）+PQC系统之上。由于此芯片已经包括混合的传统及量子通讯網絡的应用，对于两个标准之间的竞合会产生一定的影响。

PQC产品什么时候会大量上市？答案取决于量子电脑的进展速度，量子电脑进展到某一种度，才可能对现存加密体制构成威胁。

量子电脑的运算能力的主要因数之一是逻辑量子元（logic qubit），就是可以实际用于计算的量子位元数，这个与量子电脑实际上建构的物理量子位元（physical qubits）数目有很大的差别。量子位元的维持、运算、量测都可能发生错误，需要使用一群量子位元来执行量子纠错码（Quantum Error Correcting Code；QECC）的功能，确保逻辑量子位元计算的正确性。依现在错误发生率的技术水准，1个逻辑量子位元可能需要近千个物理量子位元来保护。所以量子电脑所需的物理量子位元数量庞大，但可以使用的逻辑位元数量较小。但是在逻辑量子位元数目上百之后，在有些应用就有能力超过传统计算，取得量子优势（quantum supremacy）。

对于现在常用的加密机制RSA-2048及AES-256，目前估计约4,000~6,000个逻辑量子位元数即可以破解。

目前有3家公司明确的公布商业量产通用容错量子电脑（universal fault-tolerant quantum computer）的时程。

Quantinum宣布于2030年前推出100个逻辑量子位元数的离子陷阱（trapped ions）量子电脑；IBM则宣布于2029年推出200个逻辑量子位元数的超导体（superconductor）量子电脑。这两家也许对目前的加密机制还构不成太大威胁。

另一家PsiQuantum预计也是在2029年量产通用容错量子电脑，其上的光子（photonic）量子位元数从計劃开始就是以百万个物理量子位元为目标，估计可以使用3,000~5,000个逻辑量子位元，这已有可能危及目前的加密安全体系。

假设以上的量产时间和估算为真，PQC的商机何时开始浮现？答案是量子计算机交机的那一天得全面准备妥当。任何没有PQC保护的網絡，彷若透明，对于譬如国防、金融等敏感体系尤为如此。一个国家、地区、或个人如果没有PQC 的保护，就会变成網絡孤岛，没有人愿意与之往来；在金融业，这就像是被退出SWIFT体系，所以加密方式的转换必须在高逻辑量子位元树的量子电脑问世之前全面完成。

PQC产品的NIST FIPS各种标准验证需要约12~24个月的时间，产品验证后需送客户设计和验证，才会有机会入驻網絡各节点和终端系统。现在已是2025年下半，离2029年还有多久？所以那些公司已经有产品布置，一点也不令人讶异。

还有一个备注。美国和中国的加密标准虽然不同，但是都是基于晶格的演算法。这类演算法的安全性是因为目前没有已知量子演算可以轻易破解此类问题，基于晶格的演算法所产生的问题并未严格地被证明是BQP之外的类别。

也就是说，如果努力发展新量子演算法，也许基于晶格的演算法又会被破解，到时候PQC的布置又得重来一次，很伤脑筋。