谷歌云 KMS 推出后量子密钥管理支持，应对“现在收集，以后解密”威胁

最近，谷歌云宣布在其密钥管理服务（Cloud KMS）中引入一项新功能，即支持后量子密钥封装机制（KEM）。该功能目前尚处于预览阶段。借助谷歌云平台的支持，组织可以针对密码相关量子计算机（CRQC）不可避免会带来的威胁做好准备——这类计算机可能突破当今标准的公钥加密技术。

该公司希望通过这项新功能来解决“现在收集，以后解密”攻击——攻击者会捕获并存储当前的加密数据，并计划在将来通过强大的量子计算机对其进行解密。通过提供量子安全 KEM，Cloud KMS 使得数据需要长期保密的组织可以从现在开始迁移。

在LinkedIn的评论中，谷歌云首席顾问 Brent Muir 强调了立即采取行动的重要性：

尽管这些攻击目前仍属理论范畴，但攻击者现在可以截获并存储加密数据，并意图在数年后借助密码相关量子计算机（CRQC）进行解密。这使得保护需要长期保密的敏感数据变得至关重要——即便量子威胁看似遥远。

从传统的非对称加密（如 RSA）迁移到后量子 KEM，会给开发人员带来不小的架构和性能挑战。KEM 颠覆了经典加密算法中发送者选择并加密对称密钥的模式。共享密钥是封装过程本身生成的随机值，这意味着开发者无法对传统的 Encrypt()函数做简单地替换。谷歌强烈建议采用像混合公钥加密（HPKE）（RFC 9180）这样的高级标准，这简化了新 KEM 的集成，并且在 Tink 等库中可以使用。

此外，后量子公钥和密文要大得多，通常有数量级的差异。例如，推荐使用的ML-KEM-768密钥大约是 P-256 密钥的 18 倍，这要求架构师重新评估应用程序性能，特别是在带宽、存储和内存使用方面。

为了缓解新出现的后量子算法中任何未发现的缺陷，谷歌强烈推荐采用结合经典算法和 PQC 算法的混合方法。

Cloud KMS 的新功能提供：

• ML-KEM-768 和 ML-KEM-1024：符合 NIST 标准的基于 Module-Lattice 的密钥封装机制（FIPS 203）实现。

• X-Wing（混合 KEM）：建议大多数通用应用程序使用，这种 KEM 将传统的 X25519 算法与后量子 ML-KEM-768 算法相结合，提供了分层防御。

NielsIO 首席架构师 Swamynathan Arunachalam 也注意到了这一发展：

现在，GCP 在 Cloud KMS 中提供了后量子密钥封装机制支持，该功能尚处于预览阶段，客户可以开始向后量子世界迁移了。

谷歌云通过其开源加密库BoringCrypto和Tink提供底层实现，并计划在 2026 年针对自己的基础设施连接推出 PQC。Tink 库还将在今年年底之前为 Java、C++、Golang 和 Python 提供更加用户友好的 HPKE 支持。

最后，尽管威胁日益增长，但组织在这方面所做的准备仍然很有限。在最近的一篇博文中，Actalent 隐私和合规专家 Toyosi Kuteyi 强调了这方面的差距：

尽管人们对量子威胁的认识正在增长，但准备程度依然很低：

 

- 只有 9%的组织制定了后量子路线图（Bain & Co.，2024 年）。

- 普华永道和微软的报告显示，大多数组织仍在“评估选项”。

- 许多人产生了一种错误的安全感，认为自己不是目标。

 

这种认识与行动之间的差距使 2025 年变得非常关键。

最后，该公司表示，通过 Cloud KMS API 将量子安全 KEM 集成到工作流中非常简单。文档页面提供了详细的说明和代码示例。

声明：本文为 InfoQ 翻译，未经许可禁止转载。

原文链接：https://www.infoq.com/news/2025/10/cloud-kms-post-quantum-kem/