微软为 Windows 11 与 Windows Server 2025 引入更多后量子密码学能力,包括 TLS 混合密钥交换预览、密码学 API 复合算法支持,以及 Windows Server 2025 中已可用的 ADCS 后量子证书签发。相关进展为企业评估量子安全迁移、梳理证书与 TLS 依赖、规划长期数据保护提供了新的实践入口。
今日技术观察 IT之家 6 月 3 日消息,微软宣布为 Windows 11 和 Windows Server 2025 推出新一轮后量子密码学(PQC)能力,帮助组织降低“先窃取后解密”(HNDL)风险。此次更新将量子安全防护从算法与 API 层面延伸至协议和平台组件,包括在 Windows TLS 协议栈中加入 PQ TLS 混合密钥交换、在 Windows 密码学 API 中支持复合 PQC 算法,以及通过 Active Directory 证 01 背景速览 背景速览:微软近期宣布面向 Windows 11 和 Windows Server 2025 扩展后量子密码学能力,重点从底层算法和 API 进一步延伸到 TLS 协议栈、证书服务等实际使用场景。其中,Windows TLS 将预览支持后量子 TLS 混合密钥交换,Windows 密码学 API 将支持复合 PQC 算法;Windows Server 2025 的 Active Directory 证书服务已可签发 ML-DSA 后量子证书,适用于代码签名、TLS 证书等相关场景。微软提到,相关能力旨在帮助组织应对“先窃取后解密”风险,即攻击者现在获取加密数据,未来等待更强计算能力出现后再尝试解密。 02 趋势影响 趋势影响:从这次更新可以看到,后量子密码不再只是实验室算法或单点 SDK 能力,而是在逐步进入操作系统、传输协议、证书信任体系等基础设施层。微软在 TLS 中采用混合方案,将传统算法与 NIST 标准后量子算法 ML-KEM 组合,例如 X25519_MLKEM768、SecP256r1_MLKEM768 和 SecP384r1_MLKEM1024。这种路线并不是立即替换现有密码体系,而是在过渡期中同时利用传统密码算法和后量子算法,为企业提供更可控的迁移路径。 03 企业应用启发 企业应用启发:对企业安全团队而言,这类更新的价值在于提供了可测试的真实环境入口。企业可以先盘点内部哪些系统依赖公钥密码、TLS 连接和证书信任,例如文档库、邮件归档、数据库、备份系统、代码签名平台和内部服务网关。对于保存周期较长、泄露后影响较大的数据,应优先评估是否需要引入后量子保护策略。开发团队也可以在测试环境中验证新算法对应用兼容性、证书链、握手性能和自动化运维流程的影响,而不是等到监管或客户要求出现后再被动调整。 04 合规观察 合规风险提醒:后量子密码迁移涉及证书体系、设备策略、应用兼容和供应链协同,不能简单理解为打开某个开关。根据微软说明,现有证书颁发机构无法直接升级为支持后量子证书的体系,企业需要部署新的并行 CA 层级进行测试和验证。这意味着企业在试点时应关注证书生命周期管理、信任根分发、旧系统兼容、日志审计、密钥管理和变更审批等问题。同时,预览能力不宜直接用于关键生产环境,企业应结合自身合…