KuCoin
登錄
language_currency
主頁
Blog 列表
Ecosystem
詳情
img

KuCoin 發布後量子密碼學 (PQC) Gateway 概念驗證

2025/12/09 10:48:02

前瞻性的安全實踐,共同探索後量子時代 Web2 和 Web3 的安全解決方案

自定義

在科技迅速變革的時代,安全是一段不斷探索與進步的旅程。量子計算作為尖端技術之一,雖為我們帶來了巨大機遇,但同時對當前保護全球數字安全的公開密鑰加密系統(如 RSA、ECC)構成了潛在的長期威脅。面對這一趨勢,我們選擇主動探索,而不是被動等待。

今天,我們很高興分享一項重要的探索成果:KuCoin 與 Web3 Infrastructure Foundation (W3IF) 旗下的開源項目 pqc-gateway ( https://github.com/web3infra-foundation/pqc-gateway ) 以及技術合作夥伴 flomesh.io 成功完成了抗量子密碼學 (PQC) Gateway 的概念驗證 (POC),並向公眾開放體驗。這標誌著我們邁向後量子安全長遠目標的一個堅實步伐。

 

關於 Web3 Infrastructure Foundation (W3IF)
W3IF 基金會(官方網站: https://web3infra.foundation/ )是一個位於香港的非牟利開源軟件基金會,致力於全球範圍內匯聚高品質的開源 Web3 基礎設施項目,推動去中心化技術生態系統的建設,涵蓋共識算法、零知識證明、去中心化身份認證(DID)以及可信計算等關鍵領域。本次合作中的 pqc-gateway 項目是基金會生態系統的重要組成部分。

 

I. 什麼是 PQC?它為我們解決了哪些問題?

  • PQC,全名為後量子密碼學(post-quantum cryptography)或抗量子密碼學(quantum-resistant cryptography)。PQC 並不特指某一種演算法,而是一類新一代的加密演算法,旨在抵禦未來量子計算機的攻擊。
  • 其核心解決的問題是:當前廣泛使用的非對稱加密演算法(例如 RSA、ECC)的安全性基於某些數學問題的計算複雜性。然而,量子計算機可以利用其獨特的量子比特(例如 Shor 演算法)在極短時間內解決這些問題,對從網絡通信到依賴這些演算法的區塊鏈資產的安全系統構成威脅。
  • PQC 的價值在於,即使擁有強大的量子計算機,破解 PQC 演算法在理論上仍然非常困難。它旨在構建一座能夠穿越「量子時代」的新安全橋樑。

全球監管及標準制定機構也已積極採取行動,表明了這一遷移的方向和緊迫性:

  • 美國國家標準與技術研究院(NIST)已經主導並完成了首批 PQC 演算法的標準化(例如 Kyber、Dilithium 等),為技術路徑指明了方向[1]。同時,更多的演算法已進入最終草案版本,整個生態系統正迅速成熟。
  • 美國國家安全局(NSA)發佈了一項具有約束力的國家戰略,要求將傳統公鑰演算法(RSA、ECC)的過渡工作在 2030 年左右完成。自 2035 年起,用於國家安全系統的所有新設備和軟件必須僅使用 PQC 演算法[2].
  • 。美國證券交易委員會(SEC)也已開始為未來做準備,擬定了一份面向全球金融機構的提案,名為《金融行業的後量子密碼學準備》(Post-Quantum Cryptography Readiness for the Financial Industry, PQFIF),表明抗量子安全即將成為金融合規的硬性要求[3].

。所有這些表明,向 PQC 過渡已不再是「是否」的問題,而是「何時」和「如何」。

 

II. 共同探索:我們的 PQC Gateway POC 實踐

在此背景下,KuCoin 已與 pqc-gateway 開源項目及技術合作夥伴合作,致力於推進 PQC 的應用探索。flomesh.io 在 W3IF Foundation 的支持下,將理論探索付諸實踐。我們共同建立了一個抵禦量子攻擊的網關概念驗證環境。

其核心原則是:在用戶瀏覽器與 KuCoin 伺服器之間建立 HTTPS 連接的過程中,將傳統的 RSA/ECC 密鑰交換和身份驗證算法替換為 NIST 標準草案中的抗量子(PQC)算法。

我們誠摯邀請您體驗這一初步成果:訪問 https://pqctest.kucoin.biz ,您的連接已經受到後量子加密技術的保護。

為了達到最佳體驗,推薦使用以下瀏覽器版本:

  • Chrome:版本 142.0.7444.135 及以上
  • Safari:版本 26.0.1 及以上
  • Firefox:版本 144.0.2 及以上

例如,在 Chrome 瀏覽器中,按下 F12 鍵進入控制台,選擇 Security 面板,若您的瀏覽器支持 PQC,您將在 Connection Key exchange 部分看到您的密鑰交換算法已使用 X25519MLKEM768 PQC 算法,表明您的通信已受到 PQC 技術的保護。

自定義

III. PQC 實施之路:挑戰與深入思考

將 PQC 從理論標準轉化為生產環境中可用的解決方案充滿挑戰。在這次 POC 實踐中,我們與 W3IF Foundation 的 pqc-gateway 項目團隊及 flomesh.io 深入探討了幾個核心問題,這些問題也是整個行業所面臨的“深水區”:

1. 性能與開銷: 安全性與效率之間的平衡藝術,以及未來的優化路徑

這是 PQC 實施的最直接挑戰,主要體現在計算和通信的兩個方面。

  • 計算開銷:大多數 PQC 演算法的計算負載遠超目前的 ECC。例如,簽名演算法 Dilithium 的簽名生成和驗證速度比傳統 ECDSA 慢數倍到數十倍。對於像 KuCoin 這樣的高性能交易平台網關而言,這將意味著 CPU 負載的大幅增加,可能直接影響系統的查詢速率和服務延遲。
  • **通信開銷(頻寬):** 這是目前 PQC 面臨的最大痛點之一。
    • **密鑰交換:** 演算法 Kyber 的密文和公鑰大小約為 1-2KB,而傳統 ECDH 僅為 32-64 字節。
    • **簽名:** Dilithium 的簽名大小約為 2-4KB,而 ECDSA 簽名通常僅為 64-128 字節。
  • **證書與公鑰基礎設施(PKI)的挑戰:**
    • 證書鏈擴展:TLS 證書鏈通常包括終端實體證書、中間 CA 證書和根 CA 證書。如果全部採用 PQC 簽名,整個證書鏈大小可能達到數十 KB。在握手過程中,瀏覽器可能需要下載數百 KB 的證書數據,這將嚴重影響首屏頁面的加載速度和用戶體驗。
  • **整體影響與未來解決方案:** 如果完全使用 PQC 演算法替代現有演算法,完整的 TLS 1.3 握手可能導致傳輸數據量激增 10 至 20 倍。這對於網絡延遲敏感場景和頻寬受限的環境(例如移動網絡)來說是一個巨大的挑戰。

展望未來,我們計劃與 W3IF 基金會及其技術合作夥伴密切合作,共同探索系統化的解決方案: 

    • **硬件卸載:**研究使用專用硬件(例如智能網卡、加密加速卡)來承擔高強度的 PQC 計算任務,釋放 CPU 以處理核心業務。
    • **證書壓縮技術:**探索高效壓縮演算法,以解決 PQC 證書尺寸過大的問題,在不影響安全性的前提下大幅降低數據傳輸量。
    • **CPU 指令集優化:**推廣並採用針對主流 PQC 演算法優化的 CPU 指令集,從根本上提升計算效率。

我們的目標是通過這些技術創新,最終實現安全性與效率的共存。

 

2. 協議與互操作性:生態協作的複雜性

TLS 是一個複雜的協議生態系統,引入 PQC 需要各方的協作,包括協議擴展和證書系統。

  • 與現有生態系統的兼容性及逐步部署路徑:在互聯網基礎設施層面進行全面且徹底的技術革新是不切實際的,因此逐步部署是唯一可行的路徑。
    • 解決兼容性挑戰:在這次 POC 中,我們已成功通過巧妙的網關設計和協議協商策略解決了與現有生態系統的兼容性問題。我們的網關能夠智能辨識客戶端(瀏覽器)對 PQC 的支持能力。對於尚未支持 PQC 的瀏覽器,網關可以無縫切換回傳統加密算法,確保所有用戶都能順暢訪問網站,從而保證服務的普遍可用性。這是我們在此次實踐中取得的重大進展。
    • 瀏覽器支持的現狀與限制:為何目前僅能在密鑰交換層面見到 PQC 的應用。
      目前主流瀏覽器(Chrome、Safari、Firefox)正處於支持 PQC 的早期階段,它們的支持策略是循序漸進且分階段的:
    1. 優先支持密鑰交換:目前瀏覽器版本主要在密鑰交換階段整合對 PQC 算法(例如 Kyber)的支持。這是因為密鑰交換直接影響後續通信的會話密鑰安全性,這對於防止「現在存儲,未來解密」攻擊至關重要。因此,當您訪問我們的測試域名時,您的瀏覽器已能夠使用 PQC 算法與我們的網關協商量子抗性會話密鑰。
    2. 數字簽名支持的滯後:與此相對,瀏覽器對於數字簽名(主要用於伺服器身份驗證,即證書鏈驗證)的支持仍在改進中。因此,在當前體驗中,PQC 的應用主要體現在密鑰交換層面。整個行業仍需等待瀏覽器和證書機構(CAs)在簽名層面的全面跟進。

 

3. 敏感密鑰材料的安全管理

密碼學升級不僅僅是更改算法,它還對整個安全生命周期管理提出了新要求。如何安全地生成、存儲、輪換和銷毀對應 PQC 算法的私鑰,確保這些新的、可能更複雜的敏感信息不會洩露,是比算法更換本身更複雜和關鍵的挑戰。我們正在將現有成熟的密鑰管理系統與 PQC 的新功能進行適應和驗證。

IV. 從交易平台到區塊鏈:PQC 安全的未來展望

儘管挑戰重重,但該網關的 POC 驗證為我們開啟了更廣泛 PQC 應用場景的大門。交易平台的安全性只是起點;區塊鏈本身的安全性,尤其是錢包和智能合約的安全性,同樣面臨著來自量子計算的挑戰。在未來,我們將探索的視野延伸至鏈上領域,致力於保障用戶的綜合數字資產安全:

  • 抗量子化的錢包:探索使用 PQC 算法生成和存儲私鑰,或構建抗量子化的簽名方案,從根本上保護錢包資產免受未來量子計算威脅。
  • 安全的 DApp 應用:支持和推動 DApp 開發者採用 PQC 算法進行用戶身份驗證及交易簽名,為整個去中心化應用生態系統搭建後量子時代的安全基礎。
  • 鏈上交易與智能合約:研究與 PQC 相容的新一代交易簽名格式與智能合約驗證機制,確保鏈上操作在量子時代仍然安全且值得信賴。

我們的願景是建立一個三維抗量子安全保護系統,從交易平台到區塊鏈網絡,從集中式服務到去中心化應用,真正保障每個人的鏈上安全。

五、結語:與您同行的安全之旅

這次與 W3IF Foundation 的合作 POC, flomesh.io 及其 pqc-gateway 開源項目,加上我們對挑戰的深入分析與未來規劃,僅僅是 KuCoin 在後量子遷移長路上的起點。我們不敢聲稱已經解決了所有問題,但我們堅信,早期探索、積極實踐以及開放合作,是應對未來不確定性的最佳方式。

KuCoin 始終將用戶資產和數據的安全性作為首要責任。通過從交易平台到區塊鏈生態的全面探索,我們的目標不僅是提升自身的安全技術壁壘,更是為行業在實施 PQC 的過程中積累最佳實踐。我們期待與更多的合作夥伴和用戶攜手,共同構建一個更加安全的數字資產生態系統,以自信面對下一個計算時代。

因為真正的安全來自於對未來的敬畏與從腳下開始的行動。

 

參考資料:

[1] NIST PQC 標準化: https://csrc.nist.gov/projects/post-quantum-cryptography/selected-algorithms-2022
[2] NSA 網絡安全諮詢 - PQC 遷移: https://www.nsa.gov/Press-Room/Press-Releases-Statements/Press-Release-View/Article/3498776/post-quantum-cryptography-cisa-nist-and-nsa-recommend-how-to-prepare-now/
[3] SEC - PQFIF 草案建議: https://www.sec.gov/files/cft-written-input-daniel-bruno-corvelo-costa-090325.pdf

 

免責聲明: 本頁面經由 AI 技術(GPT 提供支持)翻譯,旨在方便您的閱讀。欲獲取最準確資訊,請以原始英文版本為準。