RFC 9794：后量子密码学术语新标准

英国国家网络安全中心（NCSC）对互联网工程任务组（IETF）的贡献将有助于提升互联网安全性。

迁移至后量子密码学（PQC）以应对量子计算未来发展带来的威胁，是一项全球性、跨年度的挑战。

作为英国在网络安全和密码学领域的技术权威机构，NCSC深度参与这一进程。我们已发布迁移技术指南和时间表，并启动了认证咨询计划以支持企业和行业的迁移工作。但我们深知无法独自完成这一使命，因此与学术界和产业界紧密合作，以掌握密码学研究和创新的最新进展，并确定确保过渡效果所需的技术建议和指导。

支撑PQC迁移的是算法、协议和系统的标准。这些国际标准文件由来自政府、学术界和产业界的专家共同商定，定义了事物应如何运作或确立了最佳实践。标准确保各组织能够构建可互操作的产品和解决方案。

在此过程中，关键的标准制定组织之一是互联网工程任务组（IETF），该组织负责设计和维护——用他们自己的话说——“让互联网更好工作”的协议。这些协议以RFC文件形式记录。

为促进国际社会平稳安全地迁移至PQC，NCSC积极参与了PQC标准的制定。2025年6月，IETF发布了RFC 9794，明确了“后量子/传统混合方案的术语”。该RFC为协议中的PQC标准化定义了基础语言，由NCSC与海军研究生院的Britta Hale博士共同撰写。统一的PQC术语确保技术提案和讨论具有清晰性和一致性，防止因误解导致安全问题。

自2016年起，美国国家标准与技术研究院（NIST）一直致力于标准化基于不同数学问题的新型密码算法，这些算法专门设计用于抵抗密码学相关量子计算机（CRQC）的攻击。对这些数学问题和算法的研究被称为后量子密码学（PQC）。2024年8月，NIST发布了密钥建立和数字签名算法标准ML-KEM、ML-DSA和SLH-DSA，并继续研究替代算法。同期，NCSC发布了《为后量子密码学做好准备的下一步行动》指南。

与此同时，IETF一直致力于制定在互联网协议中使用这些算法的标准。IETF负责设计互联网上最重要的安全协议，包括TLS、SSH和IPSec。这些协议需要更新以使用PQC算法，确保其安全性免受拥有CRQC的攻击者威胁。

在IETF内部，每个协议在单独的工作组中开发。然而，量子计算机的威胁和PQC的引入引发了许多跨领域问题，涉及多个协议。因此，IETF成立了名为“协议中后量子使用”（PQUIP）的新工作组，作为讨论和提供适用于整个IETF的PQC指导的平台。

该工作组及其产出的文档对支持IETF协议的安全性至关重要。NCSC认为提高安全性和缓解量子威胁的关键在于确保IETF标准有统一的术语可供依赖，特别是在后量子和传统算法结合使用（称为PQ/T混合方案）的主题上。

术语使用不一致是潜在的安全风险，因为它可能导致同一概念有多个术语，或者更令人担忧的是，在讨论具有不同安全属性的不同概念时使用相同的措辞，从而破坏标准制定过程中的安全分析。

为应对此风险，NCSC于2022年7月发布了RFC初稿，以明确后量子/传统（PQ/T）混合方案的术语。IETF中的标准始于互联网草案，并通过共识制定，考虑亲自和通过邮件列表贡献的专家意见。NCSC与一系列合作伙伴合作决定正确的术语和概念，整合了来自多个不同来源的专家评论和分析。最终在2025年6月，在获得学术界和产业界专业人士的同意后，新标准作为RFC发布。

该RFC从第一性原理出发，指定与密码算法相关的定义，并逐步构建至密码构件、协议和安全属性，为一系列用例提供有用参考。迁移至PQC是复杂的，需要涉及不同密码学专业水平的利益相关者，因此语言的统一性和清晰性至关重要。建立这一基础将使读者能够共同评估和比较，为其系统安全做出正确决策。

关于具体安全考虑、迁移时间表以及使用PQ/T混合方案的优缺点（以及协议特定考虑）的通用指导不在本文档范围内。但RFC提供了在安全评估和方案比较中使用的准确术语，为未来工作奠定基础。

尽管有些人更喜欢RFC中指定术语的替代术语，但该文档承认并识别了这些替代方案，并将其纳入主要定义中，以确保技术讨论中含义的一致性。

目前，该RFC已被IETF内的20多个技术草案RFC、学术论文以及其他标准制定组织的指南引用。因此可以肯定地说，NCSC的RFC将提高未来长期依赖的技术提案的安全性。

NCSC参与IETF已有多年。RFC 9794是NCSC撰写的第二个RFC，紧随RFC 9424（“入侵指标及其在攻击防御中的作用”）之后发布。能够贡献我们的网络安全和密码学专业知识，有助于使互联网、英国公民和使用它的组织更加安全。

我们鼓励对PQC技术未来感兴趣的其他人参与IETF，并为新兴技术标准的安全性做出贡献。