後量子 TLS 遷移：實務指南

熊偉翔 · 2026 年 6 月

「遷移到後量子密碼學」常被講得像是一個開關。對 TLS 來說並非如此—它是一連串具體的、封包層級的步驟，各有不同的負責人、難度也天差地遠。密碼學是容易的部分；NIST 已經做完了。難的是你與位元組之間的一切。以下就是這條路，依序而行。

為什麼期限是現在，即使量子電腦還沒到

威脅在於「先擷取、後解密」：對手今天先把你加密的 TLS 流量錄下來，等到具密碼學意義的量子電腦問世時再解密。任何機密壽命超過那個時間點的資料—醫療紀錄、財務資料、機密文件、長壽命的密鑰—在今天就已經曝險，無論那台機器何時到來。

被攻破的部分很明確：非對稱的金鑰交換。TLS 以 ECDH（或 RSA）建立共享密鑰；Shor 演算法兩者都能解。加密大量資料的對稱式密碼—AES-GCM、ChaCha20—只是被 Grover 演算法削弱，而加大金鑰長度就能補回安全餘裕。所以「後量子 TLS」精確地說，就是替換金鑰交換。不是整個堆疊。

那些法令，以及各自真正的要求

它們常被混為一道「PQC 期限」。其實是三份文件、三種不同的要求：

• NSM-10（2022 年 5 月）—國家層級的指令：把國家安全系統移轉到具量子抵抗力的密碼學，啟動相關機制。

• OMB M-23-02（2022 年 11 月）—近期、可驗證的要求：盤點你的密碼系統並回報。不是部署—是盤點。它究竟要求什麼，解碼到封包層。

• CNSA 2.0—時程表：用哪些演算法（ML-KEM 做金鑰建立、ML-DSA 做簽章）以及國家安全系統 2035 年完成轉換的期限。

在它們之下，NIST 已於 2024 年將 ML-KEM 定案為 FIPS 203。演算法的問題已經塵埃落定；剩下的是推行。實務上的解讀是：盤點現在就要交，替換則一路做到 2035。私部門與各國的時程不盡相同，但「先擷取後解密」的邏輯與演算法的選擇，到哪裡都一樣。

後量子 TLS 在封包上的樣貌

今天已部署的答案，是一種混合式金鑰交換：X25519MLKEM768—傳統的 X25519 與 ML-KEM-768 一起運作，共享密鑰由兩者共同推導而出（draft-ietf-tls-ecdhe-mlkem；ML-KEM 即 FIPS 203）。逐位元組來看，它長這個樣子。

是混合式、而非純 ML-KEM，而且是刻意如此：在轉換期間，即使新的 KEM 出現實作瑕疵，你也不該比 X25519 更弱。只要其中一者守得住，你就受到保護。但它有代價—ML-KEM 的金鑰交換約 1.2 KB，會把 ClientHello 撐過某些中介設備與負載平衡器當初設定的大小假設。那是真實的故障來源，不是註腳。而那個代碼點 0x11ec，正是那種一個字元寫錯就會悄悄讓整件事失效的細節—我們有傷疤可以證明。

步驟一—盤點：你無法遷移你看不見的東西

這是第一份交付物，也是多數團隊做錯的一項。協商出的金鑰交換，是每次交握、在執行期，從雙方各自提供的選項中挑出來的。它不是你設定檔裡寫的：函式庫在不同版本間有不同的預設、中介設備會改寫交握，而第三方呼叫與影子 IT 不會出現在任何你掌握的設定檔裡。

所以一份用資產試算表建立的盤點，從第一天起就是錯的—它記錄的是意圖，而不是真正跨越封包的位元組。唯一具權威性的來源，就是交握本身：在封包上觀察、按服務分類為易受量子攻擊或混合式。後續的一切，都仰賴把這一步做對。

步驟二—遷移：兩條路，由誰擁有端點決定

凡是你同時控制兩端的地方，就升級端點。OpenSSL 3.5+、近期的瀏覽器與主要 CDN 都已支援 X25519MLKEM768；通常只是升個版本、加一行設定。這是乾淨的路—能走就盡量走。

凡是你不能控制的地方，你就會遇上長尾。老舊服務、廠商設備、嵌入式堆疊、任何你無法重新編譯的東西—以及每一次第三方呼叫的另一端。升級端點在這裡行不通，而一次真正的遷移，大部分其實就活在這裡。對那條長尾，可行的選項是在路徑中升級密碼學、而非在端點：終止並重新建立連線，讓封包承載一次後量子交握，即使其中一端只懂傳統密碼。一條連線、兩次交握—它的運作方式，以及它隱含的信任模型，都值得在你動用它之前先弄懂。

多數真實的遷移都是混合的：能升級的就升級，不能的就接合橋接。比例由你實際能控制多少資產來決定—而那通常比資產盤點宣稱的要少。

步驟三—舉證：稽核軌跡才是交付物

遷移不是部署完就算數；要能展示得出來才算數。步驟一中找出易受攻擊密碼學的那份逐次交握紀錄，正是步驟三的證據—協商出混合群組的交握比例，按服務、隨時間爬升至 100%。那份紀錄既滿足盤點義務，也告訴你某條路徑是真正被覆蓋了、還是悄悄退回傳統。偵測與舉證，是同一件工具。

真正困難之處

不在密碼學—那已經標準化並在出貨了。困難是營運層面的：你無法控制的系統、撐破中介設備的 1.2 KB ClientHello、能力混雜的路徑（一端後量子、另一端不是）仍須乾淨地協商，以及持續地舉證、而非只證一次。這些都是封包層級、部署層級的問題—也正是永遠不會出現在廠商規格表上的工作。

這就是我們做的事。我們從封包描繪出你真實的密碼態勢，能升級的就升級，不能的就接合橋接，並產出法令所要求的持續性證據—且無須碰那些你碰不到的端點。如果你正握著一份 M-23-02 盤點、或一份 2035 計畫，試著把它變成封包上的現實，那就是我們該談的。

← 所有文章