该论文是一篇关于后量子密码学（PQC）在软件系统中实现的系统化知识（SoK）研究。随着量子计算威胁的临近，将现有密码学算法迁移至抗量子算法已成为保护软件系统的关键任务。尽管标准化算法（如CRYSTALS-Kyber、Dilithium等）已发布，但开发者和组织在将其集成到实际软件系统中仍面临重大挑战。现有研究多聚焦于密码学性能和算法安全性，缺乏对影响PQC成功实现的更广泛社会-技术因素的理解。本文从人（Human）、组织（Organisation）、技术（Technology）三个维度系统梳理了PQC实现的方法与挑战。通过综合现有文献，研究发现当前知识体系存在显著不平衡：技术解决方案占据主导地位，而人力和组织层面的考虑（如开发者培训、组织流程调整、成本效益分析等）被严重忽视。进一步分析表明，这些挑战并非孤立存在于单一维度，而是跨HOT维度的相互关联的社会-技术约束，共同影响实现效果。为此，作者提出了PQC-HOT模型，这是一个概念框架，用于解释HOT维度之间的交互如何共同影响PQC实现。该模型将SoK中识别的实现干预措施和挑战整合为一个结构化的框架，支持系统化的决策、规划和组织转型策略。基于这些洞察，论文还指出了未来研究方向，包括如何设计可扩展、可持续的PQC实现方案。本文适合安全架构师、开发团队、风险管理者和政策制定者阅读，帮助他们从全局视角理解PQC迁移的复杂性。

本文研究了在集成NPU（神经网络处理单元）的设备上实现和优化HQC（Hamming Quasi-Cyclic）解码算法。HQC是一种基于编码的后量子密码学密钥封装机制，已被NIST选为标准化候选算法之一。解码过程主要由Reed-Muller和Reed-Solomon两部分组成，计算开销巨大。作者针对Qualcomm Hexagon处理器（具有Hexagon Vector eXtensions HVX向量扩展）进行了优化，而非使用张量推理引擎。他们观察到HQC解码天然具有向量化计算特征，包括Reed-Muller可靠性向量、Hadamard变换系数、Reed-Solomon综合向量、有限域乘积和打包的支持点求值等。基于此，作者重新设计了核心解码内核，使其适应HVX友好的数据布局和执行模式，具体包括：向量化的Reed-Muller Hadamard变换、标量等效的峰值选择、面向HVX的有限域算术、向量化的综合计算以及缩短支持定位子根求值。作者通过Hexagon模拟器和骁龙8 Gen2硬件开发套件上的真实设备实验评估了优化后的解码器。结果表明，Hexagon/HVX辅助解码显著降低了延迟和能耗，能效提升高达18.13倍，同时大量减轻了主机CPU的负担。这些结果证明，当底层内核被重构以围绕向量执行时，集成NPU的移动平台可以有效支持结构化后量子密码解码。

该论文针对后量子密码学中核心的最近向量问题（SVP），提出了一种基于领域知识指导的进化筛选方法。传统密码学依赖的整数分解和离散对数问题在量子计算机面前脆弱，而SVP是量子安全密码学的基石。作者将Ajtai等人提出的筛法视为遗传算法（GA），并通过引入领域信息的SVP表示和交叉操作对其进行增强，同时将应用自然扩展到模块格。具体地，他们设计了一种更贴合格结构的编码方式，使得遗传算法中的个体能更好地反映问题特性；并通过领域知识引导的交叉算子，加速高质量解的搜索。实验表明，该方法在多个标准格实例上显著提升了求解效率，改进了Laarhoven之前的遗传算法框架。该研究属于后量子密码分析领域的理论方法创新，为评估格基密码的安全性提供了更高效的算法工具。

该论文研究卫星通信中的密钥交换问题。卫星环境具有资源受限（如计算能力、内存、带宽）和高传输延迟等独特挑战，传统的互联网密钥交换（IKE）协议无法直接适用。论文首先分析了将IKE协议应用于卫星场景需要解决的两大核心问题：一是协议效率，即如何适应卫星终端的资源限制和带宽需求；二是量子安全性，即如何抵御具备量子计算能力的攻击者，避免被“先存储后解密”攻击。为此，作者从设计和实验两个角度出发，定义并评估了若干低复杂度且抗量子攻击的协议变体。这些变体基于后量子密码学原语（如基于格的密码、基于编码的密码等），并对原IKE协议的消息交换流程进行了精简优化，以减少往返次数和载荷大小。此外，论文还考虑了从经典密码原语向后量子密码原语的过渡问题，提出并分析了一种混合加密方案，同时使用经典和量子安全原语，以兼容现有基础设施并提供渐进式迁移路径。实验部分通过模拟卫星链路环境，对比了不同变体的握手时间、带宽消耗和计算开销，验证了所提方法在保持安全性的前提下显著降低了资源需求。该研究为设计实用、高效且抗量子的卫星通信密钥交换协议提供了参考。

本文提出了一种针对基于2-power cyclotomic环的模块格密码系统的概率多项式时间量子攻击。攻击的核心创新在于利用扩域链Q⊂Q(ζ_8)⊂⋯⊂Q(ζ_{2^k})对主理想问题（PIP）进行塔式分解，将高维格上的困难问题转化为低维子域上的可解问题。对于ML-KEM-1024，作者验证了逼近因子γ≤21<q/2=1665，成功概率≥0.99。该量子算法需要O(n^3 log^2 n)个量子门、O(n^2 log n)个量子比特和多项式时间的经典计算。攻击同样适用于Falcon、Hawk、NTRU-HPS和NTRU-HRSS的所有标准化参数集。这一结果意味着，如果攻击被证实正确，那么当前NIST选定的后量子密码标准中基于2-power cyclotomic环的多个方案将不再安全。论文是作者系列工作的第四部分，提供了完整的理论分析和算法复杂度证明。

2024年8月，美国国家标准与技术研究院（NIST）正式发布了后量子密码学标准FIPS 203（ML-KEM）、FIPS 204（ML-DSA）和FIPS 205（SLH-DSA），从而填补了算法层面的空白。然而，生产环境中的实际部署仍存在显著差距，包括混合组合器（hybrid combiners）、版本化密钥格式、协议辅助工具以及迁移工具链的缺失。为了解决这一问题，本文提出了quantum-safe，一个采用混合默认（hybrid-by-default）设计的Python密码学库。作者首先对现有的九个后量子密码库进行了八个生产就绪维度的系统性评估，发现其中三个维度（混合KEM支持11%、迁移工具22%、协议集成33%）的覆盖率低于35%。quantum-safe在所有八个维度上均获得满分。该库提供的API将混合KEM任务从手工编写45行组合器代码简化为仅需3行，从而显著降低了不安全实现的风险。本文还报告了首次针对Python混合后量子密码库的统计严格单次操作开销测量（3000次迭代、CPU固定、自举95%置信区间）。实验表明，完整的X25519 + ML-KEM-768握手在Docker/Linux环境下耗时243微秒，仅占典型TLS 1.3往返预算的0.5%–2.5%。在5000并发用户下，吞吐量保持2848 ops/s，退化率仅为4.9%，证实了liboqs在C级别操作期间释放了Python全局解释器锁。此外，作者创新性地引入了变异系数（Coefficient of Variation, CoV）作为所有FIPS 203/204操作的时序侧信道代理指标。ML-KEM-768的解封装操作CoV为3.9%，处于AES-256-GCM的噪声基线（2.1%）之内；ML-DSA-65的签名操作CoV为51.5%，这符合FIPS 204拒绝采样算法的预期，而非侧信道泄漏。这种CoV方法此前未被应用于后量子密码库评估，为形式化常数时间验证工具提供了一种轻量级互补手段。所有实验结果均可通过单个Docker命令重现，确保了研究的可复现性。

该论文针对澳大利亚新支付平台（NPP）的后量子密码学迁移问题进行了蒙特卡罗模拟研究。NPP每日处理520万笔实时交易，服务等级协议（SLA）要求端到端延迟低于2000毫秒。随着量子计算机预计在2030-2035年出现，以及“先收割、后解密”（HNDL）威胁的活跃，迁移到抗量子密码（PQC）迫在眉睫。论文评估了NIST FIPS 204/205/206签名标准（ML-DSA、SLH-DSA/SPHINCS+、Falcon）在NPP基础设施中的性能，联合建模了M/M/c队列饱和度、广义极值（GEV）尾部边界和HNDL精算暴露。模拟覆盖1000个季节性混合的模拟天（8000万事件），并在七节点多云测试床上使用liboqs 0.15.0跨四种微架构（Intel Xeon Ice Lake/Cascade Lake、AMD EPYC Milan、ARM Graviton3）进行跨平台验证。结果显示，ML-DSA和Falcon在所有配置下均达到100% SLA合规；最坏情况下NPP的p99开销为1.57毫秒（ML-DSA-87，占SLA预算的0.079%）。论文引入了加密稀释指数（CDI = delta-p99/p99_e2e），显示所有非SPHINCS+算法的CDI < 0.04。GEV分析得出p99.9边界低于154毫秒（95%置信区间）。Falcon-512是唯一适合SWIFT MT字段限制（2048字节，组合后1563字节）的NIST PQC签名。SPHINCS+在NPP流量下会导致HSM队列饱和（rho=1.8855，c=2服务器），达到0% NPP SLA合规，被描述为混合部署中的DoS放大面（利用率比约9428倍ECDSA）。HNDL精算模型估计到2030年将有95.6亿条NPP记录面临风险。迁移成本在2026年达到峰值2140万美元，到2028年降至每年150万美元。论文为支付基础设施的PQC迁移提供了详细的性能基准和成本分析，适合基础设施架构师、风险管理者和安全研究者阅读。