Arch Day 221
Arch Day 221: PQC迁移策略 — Crypto Agility、混合方案与行动清单
PQC迁移不是"等量子计算机来了再换算法",而是现在就开始的系统工程——全球预计迁移成本$150亿,NSA要求2030年国家安全系统完成迁移,NIST要求2035年完全禁用RSA/ECDSA。
2026-10-27
第八阶段 - 综合冲刺PQC迁移CryptoAgility混合方案NSACNSA2行动清单
日期: 2026-10-27 (Day 221) 阶段: 第八阶段 - 综合冲刺 标签: #PQC迁移 #CryptoAgility #混合方案 #NSA #CNSA2 #行动清单
核心概念
一句话定义
PQC迁移不是"等量子计算机来了再换算法",而是现在就开始的系统工程——全球预计迁移成本$150亿,NSA要求2030年国家安全系统完成迁移,NIST要求2035年完全禁用RSA/ECDSA。
知识点详解
1. 迁移时间线
| 时间 | NIST要求 | NSA CNSA 2.0 |
|---|---|---|
| 2025 | 开始规划 | 新系统必须支持PQC |
| 2027 | — | 新系统遵循CNSA 2.0 |
| 2029 | — | Google完成自身迁移 |
| 2030 | RSA/ECDSA弃用 | NSS独占CNSA 2.0 |
| 2035 | RSA/ECDSA禁用 | 所有系统完全量子抗性 |
2. Crypto Agility(密码学敏捷性)
系统设计应预留算法切换接口,而非硬编码特定算法:
Web3应用的Crypto Agility:
├── 签名层: 抽象接口,支持ECDSA/ML-DSA/FALCON切换
├── 密钥交换: 支持ECDH/ML-KEM混合
├── 钱包: 允许用户选择签名算法(EIP-8141方向)
└── 协议: 版本化密码学套件,可升级
3. 混合方案(2030年前推荐)
经典+PQC同时运行,防止两种风险:
- PQC算法被发现有缺陷(格密码学意外突破) → 经典算法兜底
- 量子计算机比预期更早到来 → PQC兜底
已部署的混合方案:
- Chrome: X25519**+**ML-KEM-768
- Signal: X25519**+**Kyber-1024
- Apple: X25519**+**ML-KEM
4. 性能影响
| 方面 | 影响 |
|---|---|
| TLS握手 | +1%~300%(取决于算法) |
| 证书链 | 从192B到9.9KB+ |
| CPU | 中性或更优(ML-KEM 40μs vs RSA 1ms) |
| 存储 | 公钥/签名增大10-50倍 |
| 全球成本 | 估计**$150亿** |
5. Web3项目行动清单
现在(2026):
- 审计所有密码学依赖
- 识别公钥暴露的地址/账户
- 设计Crypto Agility架构
- 研究BIP 360/EIP-8141
- 用户教育:不重复使用地址
中期(2027-2029):
- 部署混合签名(经典+PQC)
- 测试网验证PQC交易
- 开发一键迁移工具
长期(2030+):
- 完全切换PQC签名
- 弃用经典签名验证
面试题
问题:为什么不能等量子计算机出现后再迁移?
回答:三个原因——1) HNDL攻击已经在发生: 攻击者现在就在收集加密数据,等将来解密,迁移只保护未来数据;2) 迁移需要时间: 全球PQC迁移预计$150亿、数年时间,不可能"一夜切换";3) 标准定型需要前置: 从研究→标准→实现→部署→用户迁移,每个环节需要1-2年。Gartner建议将2029年视为运营截止日期。