原文: A Survey of Post-Quantum Cryptography Support in Cryptographic Libraries
作者: Nadeem Ahmed, Lei Zhang, Aryya Gangopadhyay
引言:正在倒计时的时钟
对手们正在紧锣密鼓地行动。此刻,他们正在捕获并存储那些支撑着全球经济、政府通信和个人生活的加密数据。他们今天还无法破解这些加密,但他们正押注于一个量子计算机将使其失效的未来。这就是“现在收割,以后解密”的威胁,它为全球的网络安全专家们设下了一个正在倒计时的时钟。
尽管量子威胁已广为人知,但全球向新一代后量子密码学(PQC)的过渡却充满了令人惊讶且反直觉的现实。为了解真实的竞争态势,我们将深入探讨 2025 年对构成我们数字安全基石的开源软件库进行调研后得出的五个最具影响力的结论。这场深入探究驱动我们世界运行的代码之旅,揭示了一场为迈向量子安全未来而进行的分裂、紧迫且性能惊人的竞赛。
1. 最大的惊喜:后量子密码的性能可能比现有算法更快
与过去十年的普遍假设相反,迈向后量子安全不仅不会带来性能损失——在某些情况下,它甚至可能让互联网的部分环节变得更快。主流观点曾认为,PQC 是一次必要但痛苦的升级,迫使人们在未来安全性和当前速度之间做出取舍。然而,数据讲述了一个不同的故事。
Sosnowski 等人在 2023 年进行的一项全面研究测试了这一观念,他们在保护大多数网络流量的 TLS 1.3 协议中,用 Kyber 和 Dilithium 等领先的 PQC 决赛算法替换了现有算法。结果令人震惊:PQC 算法不仅没有造成性能瓶颈,在某些情况下,它们甚至比传统算法更快。
研究者的结论非常明确:
“HQC 和 Kyber 与我们当前的最先进水平持平,而 Dilithium 和 Falcon 甚至更快。”
这一发现改变了游戏规则。它打破了人们对采用 PQC 的最大认知障碍之一,证明组织可以升级其数字防御以抵抗量子攻击,而无需牺牲用户所期望的速度和响应能力。
2. 时间线并非遥远的未来——它正在当下发生
如果你认为 PQC 过渡是 2030 年代才需考虑的理论演习,那你就已经落后了。各国政府和主要科技公司并未坐等量子计算机的出现;他们正以迫切的紧迫感采取行动。
美国政府通过其第 10 号国家安全备忘录(NSM-10),已强制要求其系统在 2035 年前全面过渡到抗量子密码学。美国国家安全局(NSA)的动作甚至更快,其 CNSA 2.0 套件要求早在 2025 年就对软件和固件签名等关键应用采用 PQC。这不仅是政策,更是驱动历史上最大规模安全升级之一的强制命令。
大规模的实施已经展开。谷歌已在其 Chrome 浏览器中推出了使用 Kyber 算法的混合密钥交换来保护流量——这可能是历史上最大规模的 PQC 部署。同样地,Cloudflare 现在使用后量子密码学来保护其网络上网站和应用程序的连接。这已不再是一个研究项目;而是一项正在进行中的、公开的大规模工程实践。
3. 数字基础出现裂痕:并非所有密码库都已就绪
尽管前沿领域进展迅速,但开发者赖以构建安全应用程序的基础软件却处于分裂状态。2025 年对全球最流行的密码库进行的一项调研揭示了 PQC 就绪度上截然不同的景象。
- 领导者(全面支持):积极主动的密码库,如 Bouncy Castle、wolfSSL 和 Botan,已经实现了关键的 NIST 决赛算法。wolfSSL 自称是“全球首个支持 CNSA 2.0 合规的密码技术提供商”,直接瞄准政府需求。至关重要的是,全球最核心的库 OpenSSL 代表了这场过渡的风向标。尽管源调查指出其在 2025 年初处于开发阶段,但澄清了 2025 年 4 月发布的 OpenSSL 3.5 带来了对 NIST 标准的完整官方支持,使其稳固地进入了“领导者”类别。这一近期的转变是整个互联网生态系统的关键时刻。
- 进行中(部分或开发中支持):谷歌的内部库 BoringSSL 拥有可用于生产的 Kyber 和 Dilithium,但其专注于谷歌自身生态系统,限制了普遍可用性。在嵌入式系统中流行的 MbedTLS,通过基于哈希的有状态签名方案 LMS 实现了部分支持,但仍在努力集成主要的 NIST 决赛算法。
- 落后者(无支持):令人不安的是,其他广泛使用的库,如 libsodium、LibreSSL 和 Crypto++,对 PQC 没有官方支持,甚至没有公开的路线图。依赖于这些工具的生态系统正被置于脆弱的位置,在“量子就绪”和“量子暴露”之间造成了日益扩大的差距。
这种碎片化迫使开发团队做出艰难选择:是基于像 libsodium 这样现代化但未做好 PQC 准备的库,并计划未来痛苦的迁移;还是采用像 Botan 这样不太熟悉但量子就绪的库,从而引入新的依赖和学习曲线。两种选择都不理想,而这正是当前 PQC 过渡中的核心摩擦点。
4. 小型设备并未被遗忘
一个常见的误解是,PQC 对于构成物联网(IoT)的数十亿小型、资源受限的设备来说计算量太大。人们担心,从智能电表到医疗传感器的一切设备都将变得脆弱,因为它们缺乏运行下一代密码学的能力。
现实再次更为乐观。专注于嵌入式领域的库 wolfSSL 已经展示了 PQC 算法在微控制器上的高效运行。此外,物联网领域另一个流行的库 MbedTLS 已经支持 LMS,这是一种基于哈希的有状态签名方案,为安全固件更新提供了强大的 PQC 解决方案。
这一点至关重要,因为物联网设备通常传输敏感数据,且使用寿命超过十年。一个 2025 年安装的智能电表或医疗设备,在 2040 年量子攻击成为现实可能时,仍必须是安全的。对于这些产品而言,PQC 支持不仅是一个功能,更是其长期生存能力的根本要求。
5. 这不仅是数学问题,更是安全代码问题
如果一个理论上牢不可破的算法,其实际代码却存在缺陷,那么它就毫无价值。向 PQC 的过渡鲜明地提醒了我们这一根本的安全原则,证明新算法并非万灵药。
2023 年底,研究人员发现了一系列他们称之为 “KyberSlash” 的漏洞。这种时序攻击并未破坏 Kyber 算法的底层数学原理,而是利用了代码根据秘密数据执行所需时间的细微差异。通过精确测量执行时间,攻击者可以恢复私钥。
这一事件证明,PQC 的实现和经典密码学一样容易受到侧信道攻击。它强调了一个关键事实:向 PQC 的迁移需要严格、专家级的密码工程和审计,以避免用新的漏洞替换旧的漏洞。安全仍然是一个持续的过程,而非一次性的产品升级。
结论:量子安全的未来正在被构建
向后量子世界的过渡是一个紧迫、复杂且不均衡的过程。然而,证据表明前进的道路是可行的。新算法的性能出奇地强大,时间表迫在眉睫,并且在支撑我们数字生活的开源生态系统中,工具正在迅速变得可用。
迁移正在进行中,但基础软件库之间就绪度的分裂状态给整个行业带来了严峻挑战。随着数字世界在“量子就绪”和“尚未准备”之间分裂,软件供应链中的落后者能否及时赶上,以防止重大的安全断裂?
本文为基于AI技术的总结改写,若需了解详细信息,请参考原文出处。