TL;DR. 后量子密码学迫使支付通道作出二选一:在从未为 ML-KEM 与 ML-DSA 适配的 SWIFT MT 与 ISO 20022 信封内改造 RSA/ECC,或以密码敏捷的基础设施替换。架构师必须在 HNDL 转为运营损失前决断。

Points clés

现收割后解密:取消等待选项的威胁模型. HNDL 颠倒了通常的密码学时间线。常规风险评估问的是威胁何时落地。HNDL 问的是今天截获的数据何时对对手有用。对支付报文而言——收款人身份、账号、结构化汇款数据、制裁筛查载荷、行内结算指令——敏感窗口以年到几十年计。这类流量大多此刻已经在某个地方被录下。.
体积问题就是工程问题. 公众讨论 PQC 迁移,通常聚焦在算法选择上。更难的问题在维度。.
改造对替换:定义整个项目的决定. 诚实的表述是:改造是一份有效期很短的受控迁移计划,替换才是唯一稳定的归宿。要决定的是银行先出哪一笔预算,以及改造窗口在变成永久性凑合之前还能开多久。.
密码敏捷架构,逐层拆解. PQC 迁移真正要紧的基础设施层次,不是"数据、控制、经济"这种适合一般银行叙事的业务层次。要紧的层次是密码学的。.

后量子支付基础设施:为何银行可能替换而非改造传统通道

今天在生产中对每一笔批发支付进行认证的密码学原语——RSA、ECDSA、ECDH——都有到期日。美国 Quantum Computing Cybersecurity Preparedness Act ⧉ 在 2022 年底把这个到期日写进了联邦采购法。BIS 工作论文 No. 1208 ⧉ 把同一个到期日放进了央行的监管视野。NIST FIPS 203 ⧉ 与 FIPS 204 ⧉ 已在 2024 年 8 月发布了替代算法。

支付基础设施还没消化这意味着什么。

本文是替换而非改造的工程论证。受众是已经理解算法本身、需要决定如何处置 SWIFT MT、ISO 20022 pacs 与 pain 报文、RTGS 接口、HSM 资产,以及其下证书层级的架构师。

执行摘要 / 核心要点

**现收割后解密(HNDL)是运营层面的威胁。**对手在 2026 年录制加密的支付流量,以待具备密码分析能力的量子计算机(CRQC)出现后解密。被截获的流量包含结算指令、收款人数据,以及长期敏感的认证材料。

**NIST 已经标准化了替代算法。**ML-KEM(FIPS 203)用于密钥封装,ML-DSA(FIPS 204)用于数字签名,二者是默认选项。SLH-DSA(FIPS 205)覆盖无状态、基于哈希的备份。

**体积差异打破传统假设。**公钥与签名比 RSA-2048 对应物大 5–20 倍。这与支付网络的 MTU、MT 报文处理器中的定长缓冲假设,以及已部署 HSM 队列的密码学吞吐量发生冲突。

**混合(传统 + PQC)是迁移载具,不是目的地。**混合 TLS 与混合 X.509 在生产通道被替换期间,买下两到三年的互操作时间。它们不解决底层的容量问题。

**PKI 是承重墙。**当证书颁发机构的签名算法可被伪造,其下每一张证书都失效。银行的机构层敞口在信任链,而不在任何单个端点。

**密码敏捷性是要工程化的架构属性。**算法标识、密钥格式、签名信封与 HSM 分区必须全部可参数化。在编译期被钉死到 RSA 的任何东西都是技术债,而且会同时到期。

现收割后解密:取消等待选项的威胁模型 #

HNDL 颠倒了通常的密码学时间线。常规风险评估问的是威胁何时落地。HNDL 问的是今天截获的数据何时对对手有用。对支付报文而言——收款人身份、账号、结构化汇款数据、制裁筛查载荷、行内结算指令——敏感窗口以年到几十年计。这类流量大多此刻已经在某个地方被录下。

NSA 的 CNSA 2.0 时间表 ⧉ 给国家安全系统的过渡截止设在 2035 年。金融监管者走得更快——PRA 关于运营韧性的预期 ⧉ 已把密码敏捷性视为第三方集中度风险。2026 年的预期是,重要支付通道在韧性自评中公布其 PQC 迁移计划。

HNDL 对手今天并不需要 CRQC。对手需要的是:

**网络位置。**海底光缆窃听、ISP 层抓取、被入侵的中间盒,都在范围内。批发支付流量集中在为数不多的几条网络路径上。
**存储。**到 2026 年,一拍字节的结构化支付数据已是可管理的归档量。
**耐心。**每条截获报文的捕获成本接近零。收益稍后到达。

因此迁移论证不是"量子计算机可能在 2035 年到来",而是"今晚每一条用 RSA-2048 完成密钥交换的 TLS 会话,只要其中的数据仍然敏感,就一直处于暴露状态"。

体积问题就是工程问题 #

公众讨论 PQC 迁移,通常聚焦在算法选择上。更难的问题在维度。

原语	公钥	签名 / 密文
RSA-2048	256 字节	256 字节(签名)
ECDSA P-256	64 字节	64 字节(签名)
ML-KEM-768	1,184 字节	1,088 字节(密文)
ML-DSA-65	1,952 字节	3,309 字节(签名)
SLH-DSA-128f	32 字节	17,088 字节(签名)

这些数字直接映射到传统支付基础设施从未为之设计的失效模式:

**路径上的数据包分片。**承载混合 ML-KEM-768 与传统 X25519 的 ClientHello 超过典型的 1,500 字节以太网 MTU。两个支付端点之间的中间盒会对握手进行分片、丢包或重写。失效表现为间歇性 TLS 错误,看上去像瞬态网络噪声。
**MT 处理器中的缓冲假设。**许多 SWIFT MT 集成承载的是为 ECDSA 适配尺寸的签名信封。把 ML-DSA 签名放入同一信封,解析器要么截断,要么拒绝。
**HSM吞吐量。**已部署 HSM 队列上 ML-DSA 单次签名比 ECDSA 慢 3–10 倍,而这些硬件的密钥/秒预算在日终批处理窗口已经吃紧。
**证书链体积。**四级 CA 层级以 ML-DSA 签名重发后,体积从约 6 KB 涨到约 60 KB。到通道的每一次 TLS 握手都要付这笔代价。

改造路径是分别处置这些约束——这边加大缓冲,那边换更快的 HSM,中间盒上加分片容忍。这是一座站得住脚的六个月桥梁,但不是一种架构。

改造对替换:定义整个项目的决定 #

诚实的表述是:改造是一份有效期很短的受控迁移计划,替换才是唯一稳定的归宿。要决定的是银行先出哪一笔预算,以及改造窗口在变成永久性凑合之前还能开多久。

改造意味着:

在现有通道边界终结的混合 TLS(ML-KEM + X25519)。
由具备 PQC 能力的次级证书颁发机构签发双签证书(RSA 为主、ML-DSA 为辅)。
更大的 MT 缓冲,以及在支付 VPN 上更严的 MTU 策略。
在厂商支持 PQC 原语处升级 HSM 固件;不支持处则整体更换 HSM。

这些工作可以做。它不解决底层问题:SWIFT MT 与许多 ISO 20022 实现把密码学信封编码进了一种把算法钉死的报文格式。下一次算法过渡——而且一定会有,无论是 ML-KEM 最终显示出弱点,还是新标准取代它——同一次迁移会在同一条通道上再跑一遍。

替换意味着接受这样一个事实:密码学层不是报文格式的属性。它是报文格式调用的一个可分离信封服务的属性。具体而言:

传输安全边界移到一个服务网格或边车,后者终结混合 TLS,并以稳定接口把明文报文交给通道。
报文级签名由一个专用签名服务产生,其算法选择是配置参数,而不是写死的假设。
证书由其签名算法本身可轮换的 CA 颁发。
HSM 分区按用途寻址(传输、签名、密钥封装),而不是按报文格式。

替换设计能在下一次算法变更时,无需重新触碰通道。

密码敏捷架构,逐层拆解 #

PQC 迁移真正要紧的基础设施层次,不是"数据、控制、经济"这种适合一般银行叙事的业务层次。要紧的层次是密码学的。

层	它做什么	PQC 的问题	架构指令
HSM / 密钥管理	在硬件隔离下生成、存储和运算密钥材料	已部署的 HSM 固件是否支持 ML-KEM、ML-DSA,以及混合密钥封装 API?在同一硬件上,签名吞吐相对 ECDSA 的差距是多少?	按算法支持和每秒能力盘点每一个 HSM 分区。把没有固件路径、钉死 RSA 的设备下线。在生产切换前建立专门的 PQC 分区。
PKI / 证书颁发机构	通过 X.509 证书签发、撤销并串接信任链	CA 今天能否用 ML-DSA 签名?根轮换与链路重发是否有经过测试的流程?CRL 与 OCSP 响应器是否按 ML-DSA 签名体积适配过?	把 CA 栈视为承重墙。现在就建立具备 PQC 能力的次级 CA。根轮换的时点按最长寿命的证书依赖来定,而不是按便利性。
传输 / 网络	终结支付端点之间的 TLS、IPsec 与 MACsec	负载均衡器、WAF 与中间盒路径能否容忍超过传统 MTU 的混合握手?会话恢复票据是否按 PQC 密钥适配过?	把 TLS 终结移到一条密码敏捷的边界(边车或网格)。提高支付 VPN 的 MTU 策略。在故意诱发分片的条件下完整测试整条路径。
应用 / 报文载荷	承载 SWIFT MT、ISO 20022 pacs / pain / camt 报文及其密码学信封	通道的报文处理器能否容忍 ML-DSA 体积的签名信封?中间解析器是算法感知的,还是按长度截断?	把信封和载荷分离。在服务边界签名,而不是在报文格式处理器内部签名。把算法标识当作数据,而不是当作 schema。
审计 / 证据	产出监管者与客户依赖的密码学保管链	一旦签名算法被弃用,历史签名记录是否仍然可验证?是否有长期的存档签名计划?	用基于哈希的原语(SLH-DSA)对存档做存档反签名,以获得能在任何单一算法被攻破后仍然成立的保证。把审计链当作受监管资产,而不是构建副产物。

纪律是:在每一层把每一个算法选择都做成配置值。任何一层把 RSA-2048 写死的机构,当那个算法倒下时,都会继承一次协调的生命周期终止事件。

这对不同类型银行的含义 #

敞口画像因机构而异,指令也随之不同。

全球性银行 #

全球性银行运营着最大的已部署 HSM 队列、最长的证书链,以及对手方之间最复杂的网络路径。主导风险不是算法选择——而是在数百个内部服务和数十个外部对手方之间同时切换算法的协调成本。

指令是:把具备 PQC 能力的 CA、密码敏捷的传输边界,以及算法参数化的签名服务,作为 2026 年的工作来投入,先于任何单一通道的改造完成。改造此后就变成一个已知框架内的常规生产变更。没有这个框架,每一次通道改造都会重新打开同一套架构争论。

区域性银行 #

区域性银行的算法面更小,但专业人手按比例也更少。主导风险是 HSM 厂商把银行锁定在自己尚未承诺支持的算法上。

指令是:从 2026 年起,把 PQC 支持——具体说是 ML-KEM 与 ML-DSA,以及经过测试的固件升级路径——写进每一份 HSM 合同续约。没有这一条款的银行,会按厂商的时间表(而不是自己的时间表)被迫硬件更换。

金融科技与 PSP #

支付服务商与金融科技通常坐在银行对手方与商户或终端用户系统之间。其密码学敞口在两侧的 API 边界。

指令是:把混合 TLS 接口——传统加 ML-KEM——发布在面向银行那一侧,作为 2026 年商务对话的入场券。带着已经演示过 PQC 互操作性的金融科技,会在集成周期中赢过尚未起步者。

企业财资主管 #

财资主管不直接运营密码学基础设施。他们消费它——每一个银行 API、每一次安全文件传输、每一份签名确认,都依赖银行的 PKI。

指令是:在 2026 年的每一份银行 RFP 里加三个问题:银行今天在面客 TLS 上用的是哪些 PQC 算法、对 ML-DSA 签名的支付确认有何计划、在 RSA 被弃用之后如何保住历史签名记录的可验证性。无法回答这些问题的银行,正在透露其底层工程准备度的信号。

接下来会发生什么 #

支付场景中 PQC 部署的第一波,终端用户看不见。握手里出现混合 TLS,证书链变长,HSM 签名延迟上抬几毫秒,通道继续运作。这是成功路径。

可见的失效将来自改造:无法接收 ML-DSA 签名信封而出现截断的通道、CRL 分发点被新签名体积噎住的 CA、把混合握手分片为乱序 ClientHello 的中间盒。这些失效会贯穿整个 2027 年在生产里落地。

2026 年的架构决定是:要投入让改造变得无关紧要的替换基础设施,还是投入一连串看起来各自更便宜、合起来却更长、更贵的通道级修补。选第一条路的银行,在过渡期里运营更安静。选第二条路的银行,会用这十年余下的时间向监管者解释事件复盘。

PQC 不是一个伪装成基础设施问题的密码学问题。它是一个由密码学触发的基础设施问题。

常见问题 #

有没有强制这项工作的截止日期?

硬性监管截止日期按辖区而定。美国的 Quantum Computing Cybersecurity Preparedness Act ⧉ 约束联邦系统。NSA CNSA 2.0 时间表 ⧉ 把国家安全系统的目标设在 2035 年。BIS Project Leap ⧉ 的发表以及 FSB 的工作议程,正在为系统性支付基础设施把这个时间线往前拉。HNDL 意味着运营时钟早在任何名义日期之前就已经走起。

为什么推荐 ML-KEM 作为密钥封装,而不是更快的方案?

ML-KEM(CRYSTALS-Kyber 的标准化版本)在格基候选中,密文与密钥体积小、实现成熟度高、侧信道防护到位的组合最强。NIST 已将其作为 FIPS 203 ⧉ 发布。更快的候选确实存在,但要么体积更大,要么安全参数的置信区间更弱。

为什么不到处用 SLH-DSA 替代 ML-DSA?

SLH-DSA(SPHINCS+ 的标准化版本)是基于哈希的,因此只依赖哈希函数的安全性,这是可得的最保守假设。其签名比 ML-DSA 大 5–20 倍。这对存档反签名可以接受,但对每条报文都计较体积的交易签名不可行。标准模式是:生产签名用 ML-DSA,存档保证用 SLH-DSA。

银行可不可以等到通道发布 PQC 规约?

等待的银行会继承通道发布的迁移窗口,而它比银行自己的内部变更周期更短。等到 SWIFT、本地 RTGS 运营方,以及相关 CCP 各自发布 PQC 规约时,迁移窗口会是 12 到 24 个月。没有预先建好 CA、传输与 HSM 能力的银行,只能靠运营层面的捷径勉强赶上。

最该先投入的、杠杆最高的一件事是什么?

一座具备 PQC 能力、纳入现有 PKI、能够在不打断生产信任的前提下签发双算法证书(RSA 加 ML-DSA)的次级证书颁发机构。它确立了轮换原语。其他工作——传输升级、HSM 分区规划、报文信封变更——都可以围绕它排程。

参考资料 #

Congress.gov,(2022)。H.R. 7535 — Quantum Computing Cybersecurity Preparedness Act ⧉。
NIST,(2024)。FIPS 203 — Module-Lattice-Based Key-Encapsulation Mechanism Standard ⧉。
NIST,(2024)。FIPS 204 — Module-Lattice-Based Digital Signature Standard ⧉。
NIST,(2024)。FIPS 205 — Stateless Hash-Based Digital Signature Standard ⧉。
NSA,(2022)。Commercial National Security Algorithm Suite 2.0 ⧉。
BIS,(2024)。Working Paper No. 1208 — Project Leap: Quantum-proofing the financial system ⧉。
Bank of England(PRA),(2024)。SS1/21 — Operational resilience: Impact tolerances for important business services ⧉。

最近审阅 2026-05-31。

最近审阅 2026-05-31.