免責聲明

萊迪思不對本文檔所含信息的準確性或其產品用于任何特定用途的適用性作出任何擔保或保證。本文件中的所有信息均按原樣提供，不保證無任何紕漏，所有相關風險完全由買方承擔。此處提供的信息僅供參考，可能包含技術上的不準確或遺漏，也可能因多種原因而變得不準確，萊迪思不承擔更新或以其它方式更正或修訂這些信息的義務。萊迪思銷售的產品已經過有限的測試，買方有責任獨立確定其產品的適用性，并進行測試和驗證。萊迪思產品和服務的設計、制造或測試并非用于生命或安全關鍵系統、危險環境或任何其他要求故障安全（fail-safe）性能的環境，包括產品或服務故障可能導致死亡、人身傷害、嚴重財產損失或環境損害的任何應用（統稱“高風險用途”）。此外，買方必須采取謹慎的措施來防止產品和服務故障，包括提供適當的冗余、故障安全功能和/或關閉機制。萊迪思聲明不對產品或服務在高風險用途中的適用性作出任何明示或暗示的保證。本文檔中提供的信息為萊迪思半導體所有，萊迪思保留隨時更改本文檔信息或任何產品的權利，恕不另行通知。

包容性用語

本文檔的創建符合萊迪思半導體的包容性用語政策。在某些情況下，基礎工具和其他項目中的語言可能尚未更新。請參閱萊迪思的包容性用語常見問題解答6878，獲取術語的交叉參考。請注意，在某些情況下，如寄存器名稱和狀態名稱，有必要繼續使用舊的術語以保證兼容性。

引言

隨著數據泄露事件激增和攻擊者手段日益精進，量子計算的興起帶來了新的緊迫性 ——它使攻擊者能夠利用竊取加密數據并在未來將其解密，從而威脅所有數字系統的長期可信度。為此，各國政府和行業正加速制定法規，并采用《商業國家安全算法套件2.0》（CNSA 2.0）和美國國家標準與技術研究院（NIST）的FIPS 203/204等后量子加密（PQC）標準保護關鍵基礎設施和確保合規性。如今，數字系統依靠加密敏捷性和基于硬件的可信根應對不斷進化的威脅，其可信度也取決于此。本白皮書將介紹為何采用PQC刻不容緩、各國及行業如何應對以及萊迪思半導體公司支持PQC（后量子加密）的RoT（可信根） FPGA如何幫助組織在量子計算時代保障其未來安全。

為何采用后量子加密（PQC）刻不容緩

后量子安全基礎必須建立在可信硬件之上，萊迪思的RoT FPGA提供了這樣的安全基礎。憑借獨特的設計，萊迪思的RoT FPGA可執行后量子算法并具有業界最完整的CNSA 2.0算法覆蓋，支持包括ML-KEM、ML-DSA、LMS和XMSS在內的所有強制性標準。這使客戶不僅具備了保障未來安全的保障能力，而且能夠滿足美國國家安全局（NSA）等機構設定的合規期限。

不同于傳統微控制器或通用硬件安全模塊，萊迪思的RoT FPGA結合了以下特性：

-   全面符合CNSA 2.0：支持所有獲批的后量子加密（PQC）算法

-   硬件強制的RoT機制：保障啟動鏈安全、保護固件并消除拒絕服務的風險

-   加密敏捷性：支持經典、混合及PQC算法間的無縫遷移

-   高效性能：安全啟動速度提升高達10倍，功耗較競品降低了50%-75%

-   這使萊迪思的RoT FPGA成為當下部署PQC技術的實用基礎平臺。

刻不容緩的真正原因

關于大規模量子計算機何時問世的爭論仍在持續，但關于“先收集，后解密”（HNDL）式攻擊風險已迫在眉睫這一點已無爭議。攻擊者正在不斷收集加密通信、財務記錄、醫療數據及機密信息，計劃等到量子技術成熟后再進行解密。

這是各國政府加速采取行動的真正原因。NSA的CNSA 2.0要求到2025年在軟件和固件簽名中采用PQC技術，到2027年實現全面普及。歐盟及其他地區也制定了同樣緊迫的時間表。轉型窗口所剩無幾，延遲轉型的企業將面臨敏感數據在未來遭到泄露的風險。

顯然，PQC已不是未來的問題，而是當下要務。依托萊迪思的RoT FPGA構建安全基石，企業可以部署符合CNSA 2.0的解決方案，為今日產生當下創建的數據筑起抵御明日量子威脅的防護墻。

解析“先收集，后解密”式攻擊

盡管對稱分組加密方案一般被認為能夠抵御量子攻擊，但用于交換或建立共享密鑰的協議往往依賴易受量子威脅的非對稱加密技術。“先收集，后解密” （HNDL）式攻擊指攻擊者（通常是國家行為體或高級網絡犯罪分子）截獲并存儲當前加密數據，待量子計算能力成熟后再行解密。

該攻擊手段的危險性在于，其瞄準的是具有長期戰略價值或個人價值的敏感數據，例如醫療記錄、金融協議、知識產權、機密通信信息等，這些數據往往具有數十年的保存價值。不同于具有即時威脅的傳統攻擊，HNDL產生的是長期威脅。被竊取的數據始終處于加密狀態，表面看似安全，使企業產生虛假的安全感。

為降低此風險，組織必須著手規劃向量子抗性密鑰交換機制（如ML-KEM（FIPS 203)）過渡，尤其是針對最敏感的通信。盡早采用PQS標準對保障當前加密的數據在未來的安全性至關重要。

量子計算領域的進展

2025年，量子計算在軟硬件領域均取得重大突破。谷歌的105量子位Willow芯片將錯誤率降低了幾個數量級，僅用數分鐘便完成經典超級計算機需耗時萬億年的基準測試任務；微軟推出首個基于拓撲量子位的量子處理器Majorana 1，為構建容錯量子系統開辟了擴展路徑；NVIDIA與Quantum Circuits通過將CUDA-Q集成至Aqumen推進混合量子-經典計算技術的發展；亞馬遜與NVIDIA聯合推出了DGX Quantum，該平臺結合了AI超級芯片與量子控制系統，支持實時性錯誤糾正以及可擴展的量子工作負載。

根據當前進展，首臺實用后量子計算機（指能破解RSA-2048等主流加密系統的設備）預計將在2030至2035年間問世，具體時間取決于技術進步與實現條件。屆時，任何長度的經典公鑰加密方案都將面臨風險。

行業與監管機構的應對之策

全球網絡安全行業正積極應對量子計算迫在眉睫的威脅。各國政府及企業正加速采用PQC防范未來量子攻擊對敏感數據的威脅。例如NIST發布了NIST SP 800-208建議，推薦兩種基于哈希的狀態化簽名方案：Xtended Merkle Signature Scheme（XMSS）和Leighton-Micali Signature（LMS）。該機構還正式確立了首套PQC標準，包括FIPS 203基于模塊-格的密鑰封裝機制（ML-KEM）和FIPS 204基于模塊-格的數字簽名（ML-DSA）等算法標準。

歐盟已啟動協調路線圖，計劃到2030年通過量子抗性加密保障關鍵基礎設施的安全。

NSA發布的CNSA 2.0是對國家安全系統（NSS）加密標準的全面更新。該標準強制要求向量子抗性算法過渡，用基于格和哈希的替代方案取代RSA和ECC等易受攻擊的方案。

該文件明確了轉型時間表：到2025年，軟件和固件簽名須開始采用CNSA 2.0算法，到2027年在NSS系統全面推廣。預計到2035年所有NSS技術將實現全面合規，因此對于處理敏感或機密數據的組織而言，提前規劃與實施至關重要。

萊迪思提供怎樣的解決方案

萊迪思的RoT FPGA提供的功能包括安全啟動、低功耗運行、防篡改保護、位流與數據安全、實時固件防護及端到端IP保護——所有這些功能均基于不可篡改的硬件安全功能。目前這些基礎功能均已推出，而PQC構建于此堅實基礎之上，能夠更好地抵御新興威脅。

萊迪思PQC FPGA器件通過提供廣泛的支持算法套件滿足PQC技術發展需求，涵蓋基于格的加密（ML-DSA和ML-KEM）及基于哈希的簽名（LMS/XMSS）等，可適應多元市場需求與應用場景。

鑒于加密技術發展的動態性，這些器件以加密敏捷性為核心設計目標，可快速適應新興協議與技術改進。

為簡化向后量子標準的過渡，萊迪思器件支持混合加密模型，通過實現經典算法與抗量子算法的并存增強安全保障。

此外，這些器件經過精心設計，可與量子隨機數生成器（QRNG）等新興量子技術組合成更加強大、與時俱進的安全解決方案。

經典 + PQC密鑰層次結構

在公鑰簽名方案中，私鑰的保密性是安全性的基礎。但多年來反復發生的密鑰泄露事件表明，密鑰外泄是真實且持久的威脅，因此必須建立后備機制。

為此，設備必須支持多個有效公鑰，以實現安全的密鑰輪換和遭泄露憑證的快速撤銷。

萊迪思PQC器件通過強大的密鑰分層架構實現了該功能，支持多個有效公鑰同時并存。

配置的密鑰可混合采用ML-DSA、XMSS或LMS等后量子方案及經典算法，為系統設計者帶來了高度靈活性。

密鑰一經配置，即可根據請求進行啟用、延長或撤銷，從而支持密鑰的良性輪轉與穩固的生命周期管理。

這一架構能夠確保在那些將彈性與敏捷性置于首位的環境中，實現可擴展、安全且能否靈活適應的密碼運算。

采用PQC方案的位流認證與用戶數據簽名

LMS和XMSS是IETF提出的基于哈希的數字簽名算法，而由NIST標準化的ML-DSA（FIPS 204）被CNSA 2.0認定為有效的PQC選項。

萊迪思PQC器件系列中，CNSA 2.0算法已支持用于位流認證。該認證功能是這類設備的核心安全特性。

客戶可在硬件安全模塊（HSM）生態系統中使用其LMS、XMSS或ML-DSA私鑰對位流映像進行簽名。該映像在設備中通過預先配置的對應公鑰進行編程時將被驗證。

客戶還可使用ML-DSA對萊迪思FPGA器件上的用戶數據進行簽名，確保敏感信息除位流認證外還能獲得后量子數字簽名保護。

采用ML-KEM的安全信道——防范“先收集，后解密”式攻擊

如前文所述，量子計算帶來的最大威脅之一是“先收集，后解密”（HNDL）式攻擊，即竊取并長期存儲加密數據，待量子計算機性能足以破解經典加密方案時再行解密。

傳統Nexus器件雖支持創建采用RSA或ECDH的安全信道，但這些方法易受HNDL攻擊。

為此，萊迪思PQC器件采用基于硬件的ML-KEM實現抗量子密鑰封裝。

這些器件支持整個ML-KEM套件，通過兩種方式實現安全通信：使用第三方公鑰封裝共享密鑰，或發起密鑰交換并解封由其他可信代理生成的密鑰。

共享密鑰建立后，可立即通過板載AES引擎創建抵御未來量子攻擊的安全信道。

此外，萊迪思PQC器件支持（符合CNSA2.0要求）所有ML-KEM安全等級，包括ML-KEM-512、ML-KEM-768和ML-KEM-1024，使用戶可根據具體應用需求定制安全級別與性能。

支持ML-DSA/ML-KEM的SPDM

由分布式管理任務組（DMTF）制定的安全協議與數據模型（SPDM）規范是一項標準化協議，專門用于實現跨平臺及傳輸層的安全通信、設備身份驗證及認證，從而構建零信任安全環境。

SPDM促進了組件間的加密和驗證通信，其功能類似于 TLS 1.3.，但針對嵌入式和固件級環境進行了優化。

該模型支持相互身份驗證、密鑰交換和會話保密性，非常適合芯片到芯片和設備到主機的交互。

SPDM的核心功能是能通過固件認證等機制核驗硬件組件的身份與完整性，設備可向驗證方提供其固件狀態的加密證明。

隨著SPDM 1.4的發布，該協議現已支持ML-KEM和ML-DSA等PQC算法，為抵御未來的量子威脅提供了保障。

萊迪思PQC器件全面支持SPDM兼容系統，提供了必要的密碼學原語（包括ML-KEM、ML-DSA、AES-GCM）及MCTP傳輸支持，實現了所有平臺組件的安全集成。

萊迪思器件中的DICE

設備標識符組合引擎（DICE）是由可信計算組（TCG）制定的安全規范，用于為資源受限設備建立具有強加密特性且不可篡改的身份標識。

在萊迪思器件中，通過將加載的位流、其配置信息及固有硬件密鑰進行密碼學組合，生成稱為“復合設備標識符”（CDI）的唯一標識。該CDI反映設備當前狀態，并作為生成唯一非對稱密鑰對的基礎。

當該密鑰對在制造過程中獲得萊迪思證書頒發機構的認證時，即可生成設備專屬證書。這些DICE證書可與SPDM協同使用，在零信任環境中建立設備間安全通信。設備可通過萊迪思器件正品追溯簽名憑證共享配置數據。

此外，系統設計者可使用萊迪思PQC器件的功能，將認證基礎設施的安全性提升至能夠抵御量子攻擊的新高度。

萊迪思PQC器件的平臺固件彈性（PFR）

平臺固件彈性（PFR）是專為保護關鍵平臺固件（例如BIOS、引導加載程序及其他底層系統組件）而設計的安全框架，可抵御網絡威脅、未經授權的修改及運行故障。

萊迪思PQC器件率先實現了基于NIST特別出版物800-193指南的PFR解決方案，并結合了CNSA 2.0定義的高級加密技術。

隨著PQC算法的持續開發，融合經典與抗量子方法的混合方案為未來發展提供了切實可行的安全路徑。這種模型在保持成熟算法可靠性的同時，實現了PQC的實際應用測試，從而增強了可信度并促進了該技術的普及。

萊迪思PQC器件可以很好地支持該混合PFR模型。這些器件可結合ECDSA等經典算法與ML-DSA、LMS、XMSS等抗量子算法進行固件身份驗證，并結合ML-DSA/ML-KEM與ECDSA和AES-GCM用于認證和安全信道服務。

這種分層加密策略能夠保證當某一算法因量子技術突破或未知漏洞而失效時，其余算法仍能持續提供保護。這種冗余設計大幅增強了整體系統彈性。

使用PQC技術保證制造安全

本文檔闡述的多數安全功能，均依賴于器件制造階段預置的敏感數據。這些數據可能包含用于認證運行時密鑰的密碼密鑰、配置文件、策略設置或X.509證書。

但制造過程在安全評估中常被忽視，導致這一關鍵階段面臨潛在威脅。

而萊迪思PQC器件在受保護的測試設施中，通過“最后一英寸安全”配置協議啟動其生命周期。其制造過程采用的硬件安全模塊（HSM）均以后量子密碼技術（如ML-DSA與ML-KEM的組合方案）進行強化，這為敏感配置數據構筑了一道安全傳輸并能抵御量子級別攻擊的堅固防線。

結論

量子計算帶來的威脅已不再是理論層面的推演，而是真實存在且迫在眉睫的挑戰，尤其是能夠利用當前加密技術漏洞的“先收集，后解密”式攻擊。

為應對這一威脅，全球政府與組織正積極推動從經典公鑰密碼學向后量子公鑰密碼學的轉型，以保護數字基礎設施的安全。

萊迪思的PQC器件恰逢其時地提供了有效的解決方案，滿足了不斷演進的安全需求。這些器件憑借對大量密碼算法的支持及內置的密碼敏捷性，能夠很好地適應PQC的未來發展。

此外，FPGA固有的靈活性使其能夠集成PFR和SPDM等高級安全服務，進而使用現有密碼原語構建能夠抵御量子時代威脅的彈性架構。