後量子密碼學 (PQC) 詳解：在量子時代下，捍衛我們的數碼未來

後量子密碼學：傳統加密技術面臨的迫切威脅與轉型指南

什麼是後量子密碼學 (PQC)？

後量子密碼學 (PQC) 指的是一類全新的密碼學演算法，其設計宗旨在於能夠抵禦來自傳統電腦和量子電腦的雙重攻擊。最關鍵的一點是，PQC 演算法運行於我們今天使用的傳統電腦上，這意味著它們可以直接部署在現有的 IT 基礎設施中，而無需量子硬體。

這與量子密碼學 (quantum cryptography) 不同，後者是利用量子力學原理來保護通訊安全。

當前加密技術的弱點在於其數學基礎。RSA 和 ECC 依賴於整數分解和離散對數等數學難題，這些問題對於傳統電腦來說極難解決。然而，量子演算法——尤其是秀爾演算法 (Shor’s algorithm)——能夠以指數級的速度破解這些難題。儘管目前還沒有任何量子電腦能在真實世界中破解 RSA 或 ECC，但全球系統的 PQC 遷移預計需要十年以上，因此立即採取行動已是當務之急。

新一代的守護者：PQC 演算法一覽

PQC 演算法建立在一些即使對量子電腦而言也被認為是困難的數學問題之上。NIST 的標準主要基於以下幾個類別：

1. 格密碼學 (Lattice-Based Cryptography)：

   這種方法依賴於在複雜的多維網格（即「格」）中求解難題的困難度，現已成為 PQC 的領跑者。它構成了 NIST 標準的核心，包括用於金鑰交換的 ML-KEM (原名 Kyber)，以及用於數碼簽章的 ML-DSA (原名 Dilithium) 和 FALCON。這些演算法在安全性、效能和金鑰大小之間取得了絕佳的平衡，是廣泛應用的理想選擇。

2. 編碼密碼學 (Code-Based Cryptography)：

   這種方法基於解碼糾錯碼的困難度，是歷史最悠久、最受信任的 PQC 技術之一。其主要演算法為 McEliece 和 HQC (於 2025 年 3 月被 NIST 列為決選演算法)。雖然它以其強大的安全性及適合長期數據保護而聞名，但其公鑰尺寸通常非常大。

3. 雜湊簽章 (Hash-Based Signatures)：

   這類演算法的安全性源於密碼學雜湊函數。NIST 已將 SLH-DSA (原名 SPHINCS+) 標準化為數碼簽章演算法。雖然它極為可靠且設計保守，但效能較慢。不過，其無狀態 (stateless) 的設計使其成為韌體簽署和數碼憑證等應用的絕佳選擇。

4. 多變數及同源密碼學：

   多變數密碼學因金鑰尺寸過大和過去部分變體的漏洞而受阻。同源密碼學曾因其極小的金鑰尺寸而備受期待，但其主要候選演算法 (SIKE) 遭受成功攻擊後，已被 NIST 從當前的標準化進程中排除。

全球標準化與部署的競賽

NIST 一直是全球 PQC 標準化的領導者，透過多年的公開競賽來嚴格審查各種演算法。隨著 2024 年正式標準的發布及 2025 年的完善，全球的焦點已轉向實施、測試和遷移指南。

這項努力是全球性的。歐洲透過 ETSI 等組織正在制定區域政策；中國正在為其關鍵基礎設施推動國家級的 PQC 標準；韓國的國家情報院和 KISA 已發布 PQC 過渡藍圖，並正在金融、公共和醫療領域進行試點計畫。