2023年12月19日，美国国家标准与技术研究院（NIST）发布两份后量子密码迁移草案，旨在帮助美国各类机构进行后量子密码标准的迁移适配。这两份文件分别为《量子准备：密码发现》和《量子准备：互操作性测试和性能标准草案》[1]。在这些文件中，NIST官员概述了迁移到新的后量子密码标准时可能出现的问题，并提供了潜在的解决方案。

1、《量子准备：密码发现》[2]。该文件侧重于指导组织使用自动发现工具去识别易受量子计算攻击的公钥算法实例，以创建加密算法清单，帮助组织制定后量子密码迁移路线图。该草案提供了自动发现工具功能测试计划，旨在确定自动发现工具的基本能力；自动发现工具的演示用例场景以及演示范围；在本次演示中应对的安全威胁；大多数组织可开始使用的安全威胁发现流程；基于演示用例并集成各种发现工具的安全识别架构。

该草案可以指导美国各机构开展后量子密码迁移工作，主要包括：确定在信息系统中使用公钥算法的位置和方式；通过展示工具、进行实践和参考指南，提高机构内部对后量子密码迁移规划的认识和理解；围绕人员、流程、技术和工具，制定机构的后量子密码迁移手册。

2、《量子准备：测试互操作性和性能标准草案》[3]。该文件强调了如何协调后量子密码算法与现有网络基础设施，提供了解决受控非生产环境中兼容性问题的方法，并提供了传输层安全（TLS）协议、安全外壳（SSH）协议和硬件安全模块（HSM）等各种场景下后量子密码算法的标准化实施方法。

该草案的受众主要是负责实施后量子密码标准协议的技术开发人员、安全架构师、系统管理员以及相关管理者。该草案划定了一个测试范围，在该范围内进行互操作性测试可以实现3个方面的目标：确定后量子密码算法之间的兼容性问题；在受控的非生产环境中解决兼容性问题；减少单个组织为自身迁移工作进行类似互操作性测试所花费的时间。

该草案指出，参与者测试了NIST前期选定的5种后量子密码标准算法，包括：首选的后量子密钥封装算法CRYSTALS-Kyber；首选的后量子签名算法CRYSTALS-Dilithium；后量子签名算法Falcon；后量子签名算法SPHINCS+；基于状态散列的签名算法。此外，性能测试结果表明，与当前的椭圆曲线密码技术相比，首选的CRYSTALS-Kyber算法在成本上具有很强的竞争力，其混合组合对于目前大多数用例来说都是可行的。

                                                          （杨况骏瑜）