量子计算承诺带来变革性进步，但也对当今的密码安全构成非常现实的威胁。未来可扩展的量子计算可能破解当前使用的公钥密码方法，破坏数字签名，导致认证系统和身份验证受损。

虽然可扩展量子计算目前尚未实现，但现在就是准备的时候。微软正在准备实现量子安全，并与美国国家标准与技术研究院（NIST）、互联网工程任务组（IETF）、国际标准化组织（ISO）、分布式管理任务组（DMTF）、开放计算项目（OCP）和欧洲电信标准协会（ETSI）等监管和技术机构合作，以协调量子安全加密标准并支持全球互操作性。

前方的机遇与挑战

向后量子密码学（PQC）的迁移不是一蹴而就的时刻，而是一个需要立即规划和协调执行的多年度转型，以避免最后一刻的忙乱。

这也是每个组织解决遗留技术和实践，并实施改进的密码标准的机会。通过立即行动，组织可以升级到本质上量子安全的现代密码架构，用最新的密码标准升级现有系统，并拥抱密码敏捷性（轻松更改算法的能力），以现代化其密码标准和实践，为可扩展量子计算做准备。

对量子未来的投资

在微软，我们一直通过开发量子计算的进步（如Majorana 1量子处理器和4D几何纠错码）以及PQC的要求来投资这一转变。

我们的PQC工作始于2014年，当时我们发表了关于后量子算法的研究，后来进行了量子密码分析，以更严格地确定当代算法何时会被破解。为了为PQC算法开发做出贡献，我们参与了2017年原始NIST PQC征集的四次提交，以及当前征集的一次提交。自2018年以来，我们一直在试验经过验证的PQC算法版本，2019年，微软研究院使用Project Natick水下数据中心完成了华盛顿州雷德蒙和苏格兰之间受实验性PQC保护的VPN隧道的测试。

为了支持标准开发并促进后量子密码算法融入互联网协议，微软作为创始成员加入了开放量子安全项目。此外，我们领导了NIST NCCoE后量子项目的集成工作流。微软研究院正在贡献于更新ISO密码标准以包括PQC，我们与学术和行业合作伙伴共同开发的FrodoKEM密码系统有望成为ISO标准算法。

2024年，我们宣布并贡献了Adams Bridge Accelerator，这是一个开源的量子弹性密码硬件加速器，并集成到开放计算项目（OCP）的Caliptra 2.0中。

最后，为了帮助客户和合作伙伴开始探索并将量子安全算法集成到他们的环境中，我们为Windows Insiders和Linux预览了PQC功能，并更新了SymCrypt以支持经过验证的PQC算法。这将帮助他们主动为其软件和服务准备PQC支持。

创建量子安全计划

2023年，微软安全执行副总裁Charlie Bell概述了微软构建量子安全未来的愿景，这导致了微软量子安全计划（QSP）的创建。该计划统一并加速了微软保护我们的基础设施以及客户、合作伙伴和生态系统免受量子计算演变风险的努力。

微软QSP与美国政府的要求和时间表保持一致，包括美国管理和预算办公室（OMB）、网络安全和基础设施安全局（CISA）、NIST以及国家安全局关于组织开始准备和过渡到PQC启用指南。我们还密切关注国际政府（包括欧盟、日本、加拿大、澳大利亚和英国）的量子安全倡议，以与他们的努力保持一致。

微软QSP战略

我们的QSP是一项全面且全公司范围的努力，旨在使微软、我们的客户和合作伙伴能够平稳安全地过渡到量子时代。该计划由QSP领导团队管理，代表所有主要业务组、研究和工程部门以及职能。

QSP战略由三个优先事项指导：

• 通过更新微软第一方和第三方服务、供应链和生态系统，使其成为量子安全和密码敏捷的。
• 用适当的工具和指南支持客户、合作伙伴和生态系统实现量子安全。
• 促进量子安全技术和密码敏捷性的全球研究、标准和解决方案。

我们的量子安全旅程始于全企业范围的库存评估和优先排序密码资产风险。从那里，我们与行业领导者合作解决关键依赖关系，投资于量子安全研究，并合作进行硬件和固件创新。我们在核心基础设施上加速采用量子弹性算法，并得到微软开源硅计划的支持。

作为这项基础工作的结果，我们与全球政府时间表保持一致，努力满足CNSSP-15中概述的最前沿的CNSA 2.0截止日期。结合全球不同法规的方面和时间表，微软的路线图旨在到2033年完成其服务和产品的过渡——比大多数政府设定的2035年截止日期提前两年——目标是到2029年实现量子安全能力的早期采用，随后几年逐步使其成为默认，或在可能的情况下更早。

为了保持微软服务和系统对足以破解现代密码算法的强大量子计算机的韧性，我们开发了一个基于模块化框架的分阶段过渡策略。这种方法考虑了每个服务的独特要求、性能约束和风险状况，导致要么直接转向完全PQC，要么作为中间步骤采用结合经典和量子抵抗算法的混合方法。因此，尽管早期采用将从2029年开始，但核心服务将在此之前的几年内达到成熟。

以下是此战略的三个关键阶段：

1. 基础安全组件

微软已将PQC算法集成到基础组件中，如SymCrypt，这是主要的密码库，为Windows、Microsoft Azure、Microsoft 365和其他平台提供一致的密码安全。SymCrypt支持对称（例如，AES [高级加密标准]）和非对称算法（例如，RSA [Rivest–Shamir–Adleman]、ECDSA [椭圆曲线数字签名算法]），提供必要的密码操作，如加密、解密、签名、验证、哈希和密钥交换。最近，我们通过密码API：下一代（CNG）以及证书和密码消息功能提供了ML-KEM（模块格密钥封装机制）和ML-DSA（模块格数字签名算法）。这些功能现在可供Windows Insiders和Linux客户使用，未来五年将有更多基础功能，始终与不断发展的行业标准和进步保持一致并受时间限制。

随着量子计算的进步，“现在收获，以后解密”（HNDL）网络攻击的威胁变得越来越紧迫——威胁行为者今天记录和存储加密数据，意图在量子能力成熟后解密。为了应对这种风险，安全协议标准正在优先考虑量子安全密钥交换机制。例如，TLS 1.3正在增强以支持混合和纯后量子密钥交换方法，使其成为集成PQC算法的强大适应基础。通过SymCrypt-OpenSSL的1.9.0版本，我们根据最新的IETF互联网草案启用了TLS混合密钥交换，为帮助准备HNDL威胁提供了早期机会。此功能将很快进入Windows TLS堆栈。

2. 核心基础设施服务

更新产品和服务中的基础组件，视为核心基础设施服务，为微软和我们的客户提供未来量子风险的量子安全。示例包括Microsoft Entra身份验证、密钥和秘密管理以及签名服务。通过优先考虑这些服务，微软将首先保护最敏感和最基本的组件，为更广泛的过渡提供坚实基础。

3. 所有服务和端点

将PQC集成到Windows、Azure服务、Microsoft 365、数据平台、AI服务和网络中，使更广泛的微软服务生态系统实现量子安全，跨所有平台和应用程序提供全面保护。

下一步

在我们之前的博客《开始您的量子安全之旅》中，我们为客户开始其量子安全之旅提供了一些实用建议和服务。在未来的更新中，我们将继续提供见解和指南，基于我们在这一最重要旅程中采取这些关键步骤的实践经验。

过渡到量子安全环境是一个复杂但必不可少的过程，我们鼓励我们的客户和合作伙伴现在开始制定他们的策略。