壹  前言

量子計算硬體技術已經日益成熟，特別是Google團隊在《Nature》期刊發表量子晶片Willow更進一步帶動量子計算的發展[1]。隨著量子計算硬體技術的進步，搭配量子計算演算法(如：Shor演算法)將可能威脅到現行主流的非對稱式密碼學方法(RSA密碼學方法和橢圓曲線(Elliptic Curve, EC)密碼學方法)。因此，美國國家標準暨技術研究院(National Institute of Standards and Technology, NIST)近幾年陸續評選出具備抗量子計算攻擊的後量子密碼學演算法，並且進行標準化，制定後量子密碼學標準，以及擬訂遷移到後量子密碼學標準的時程規劃草案。

貳  後量子密碼學標準化進展

一、 後量子密碼學標準演算法和待標準化演算法

美國國家標準暨技術研究院從2016年開始評選後量子密碼學演算法，過程中參與評選的後量子密碼學演算法其核心密碼學主要可以分為基於格(Lattice)、基於雜湊(Hash)、基於編碼(Code)、基於多變量(Multivariate)、以及超奇異橢圓曲線同源(Supersingular Elliptic Curve Isogeny)函數，並且分別從下面三個面向作為選定為後量子密碼學標準演算法的指標[2]：

1. 安全性：評估具備抗量子電腦攻擊且抗經典電腦攻擊的能力。安全性是最重要的指標，存在安全缺陷的演算法將會被淘汰。

2. 成本與效能：從計算時間長度(包含產製金鑰對時間、加解密時間、簽驗章時間)和資料長度(包含金鑰長度、密文長度、簽章長度)來評比。由於金鑰封裝機制(Key-Encapsulation Mechanism)演算法在傳輸層安全性協定(Transport Layer Security)或其他應用上可能在每次傳輸需要動態產製暫時(ephemeral)金鑰對，所以評選金鑰封裝機制演算法時需要評估產製金鑰對時間和加解密時間。然而，數位簽章演算法(Digital Signature Algorithm, DSA)在應用上則多為靜態(static)金鑰對，所以評選數位簽章演算法主要評估簽驗章時間。

3. 演算法與實作特性：靈活性、簡單性、易於採用。

根據三個指標的評比後，由於基於格的密碼學方法具備安全性，並且成本與效能的綜合表現上也相對優於其他密碼學方法，所以基於格的密碼學方法將成為主要後量子密碼學方法之一。美國國家標準暨技術研究院在2022年9月第三輪後量子密碼學評選報告中指出選定一個金鑰封裝機制演算法(CRYSTALS-Kyber)和3個數位簽章演算法(包含CRYSTALS-Dilithium、Falcon、SPHINCS+)作為待標準化演算法[2]，並且在2024年8月發布3份聯邦資訊處理標準(Federal Information Processing Standards, FIPS)文件，分別制定FIPS 203金鑰封裝機制標準「基於模格金鑰封裝機制(Module-Lattice-Based KEM, ML-KEM)」(前身為CRYSTALS-Kyber)[3]、FIPS 204數位簽章標準「基於模格數位簽章演算法(Module-Lattice-Based DSA, ML-DSA)」(前身為CRYSTALS-Dilithium)[4]、FIPS 205數位簽章標準「基於無狀態雜湊數位簽章演算法(Stateless Hash-Based DSA, SLH-DSA)」(前身為SPHINCS+)[5]。

在金鑰封裝機制部分，ML-KEM是屬於基於格的密碼學方法，美國國家標準暨技術研究院擬再制定另一個不同核心密碼學的演算法，所以在2025年3月第四輪後量子密碼學評選報告中指出選定另一個金鑰封裝機制演算法(HQC (Hamming Quasi-Cyclic))作為待標準化演算法[6]。在數位簽章演算法部分，ML-DSA和Falcon雖然都是屬於基於格的密碼學方法，但美國國家標準暨技術研究院已於第三輪後量子密碼學評選報告中選定基於雜湊的密碼學方法SPHINCS+，並已經制定為數位簽章標準SLH-DSA。

表1整理目前的後量子密碼學標準演算法和待標準化演算法，並且從核心密碼學進行分類。其中，數位簽章演算法Falcon標準化後的演算法名稱預計將命名為FN-DSA (FFT (Fast-Fourier Transform) over NTRU (Nth-degree Truncated polynomial Ring Unit)-Lattice-Based DSA)。

	金鑰封裝機制	數位簽章演算法
基於格	ML-KEM	ML-DSA FN-DSA (待標準化)
基於雜湊		SLH-DSA
基於編碼	HQC (待標準化)

另外，雖然Classic McEliece演算法具有加解密速度快且密文長度短的優勢，但其產製金鑰對時間較長，所以不適合需要動態產製暫時金鑰對的應用情境。因此，在第四輪後量子密碼學評選報告中Classic McEliece演算法未被美國國家標準暨技術研究院選為待標準化演算法，但由於Classic McEliece演算法仍具有上述優勢，所以Classic McEliece演算法有可能被國際標準化組織(International Organization for Standardization, ISO)考慮成為待標準化演算法之一[6]。

二、 額外數位簽章後量子密碼學標準化進展

由於目前評選為數位簽章演算法標準(包含ML-DSA、SLH-DSA、以及FN-DSA)，簽章長度仍然較長，無法在一些需要簽章長度短的應用上使用，所以美國國家標準暨技術研究院從2023年開始評選額外數位簽章方案(Additional Digital Signature Schemes)。目前已經經過第一輪評選，在額外數位簽章方案第一輪評選報告中已經評選出14個候選演算法進入第二輪評選[7]，並且預期未來將可能評選出另一個簽章長度短且簽章速度快的數位簽章標準。

參  遷移到後量子密碼學標準的時程規劃草案

有鑑於量子計算硬體和量子計算演算法技術的發展，美國國家標準暨技術研究院於2024年11月發布遷移到後量子密碼學標準的時程規劃草案，在草案中明確規範RSA密碼學方法和橢圓曲線密碼學方法的棄用時間和禁用時間。現行金鑰建立標準棄用和禁用時間整理如表2，以及現行數位簽章標準棄用和禁用時間整理如表3 [8]。其中，RSA-2048對應112位元安全強度、RSA-3072對應128位元安全強度；橢圓曲線Curve P-224對應112位元安全強度、Curve P-256對應128位元安全強度；Edwards曲線Curve Ed25519對應128位元安全強度[9]。

金鑰建立標準	安全強度	規劃時間
有限域Diffie-Hellman (DH)和MQV	112位元安全強度	2030年後棄用 2035年後禁用
	≥128位元安全強度	2035年後禁用
橢圓曲線DH (ECDH) (SP 800-56A) [10]	112位元安全強度	2030年後棄用 2035年後禁用
	≥128位元安全強度	2035年後禁用
RSA (SP 800-56B) [11]	112位元安全強度	2030年後棄用 2035年後禁用
	≥128位元安全強度	2035年後禁用

數位簽章標準(FIPS 186) [12]	安全強度	規劃時間
橢圓曲線ECDSA	112位元安全強度	2030年後棄用 2035年後禁用
	≥128位元安全強度	2035年後禁用
Edwards曲線EdDSA	≥128位元安全強度	2035年後禁用
RSA	112位元安全強度	2030年後棄用 2035年後禁用
	≥128位元安全強度	2035年後禁用

美國國家標準暨技術研究院建議可以開始朝遷移到目前已經制定的後量子密碼學標準演算法，包含金鑰封裝機制標準ML-KEM和數位簽章標準ML-DSA與SLH-DSA，相關參數及其安全強度整理如表4所示[8]。預計未來如果FN-DSA和HQC完成標準化後，將會再增加後量子密碼學標準演算法。

金鑰封裝機制標準	參數	安全強度
ML-KEM (FIPS 203) [3]	ML-KEM-512	128位元
	ML-KEM-768	192位元
	ML-KEM-1024	256位元
ML-DSA (FIPS 204) [4]	ML-DSA-44	128位元
	ML-DSA-65	192位元
	ML-DSA-87	256位元
SLH-DSA (FIPS 205) [5]	SLH-DSA-SHA2-128 SLH-DSA-SHAKE-128	128位元
	SLH-DSA-SHA2-192 SLH-DSA-SHAKE-192	192位元
	SLH-DSA-SHA2-256 SLH-DSA-SHAKE-256	256位元

肆  結語

美國國家標準暨技術研究院已經制定金鑰封裝機制標準ML-KEM和數位簽章標準ML-DSA與SLH-DSA，並且已經擬訂遷移到後量子密碼學標準的時程規劃草案。本院積極跟進後量子密碼學標準與遷移草案，部署後量子密碼學標準演算法到公開金鑰基礎建設(Public Key Infrastructure, PKI)和相關產品與服務，提升抗量子計算攻擊的能力，並且接軌國際與國內外大廠完成互通測試。

伍  參考文獻