6 月 3 日消息,为应对日益严峻的“先窃取后解密”(HNDL)量子计算安全威胁,微软今日宣布为 Windows 11 和 Windows Server 2025 推出新一轮的后量子密码学(PQC)能力更新。
本站从官方渠道获悉,继去年 11 月在系统中全面可用 PQC 算法后,微软此次将量子安全防护的触角从算法与 API 层面,正式延伸至实际应用的协议与平台组件。
在证书服务方面,Windows Server 2025 的 Active Directory 证书服务(ADCS)签发 ML-DSA 证书的功能已于 2026 年 5 月正式上线。目前,ADCS 原生支持 ML-DSA-44、ML-DSA-65 和 ML-DSA-87 三种参数集,可广泛应用于代码签名、TLS 证书等高安全性场景。由于现有的证书颁发机构(CA)无法直接原地升级,企业需要部署新的并行 CA 层级,以测试和验证后量子证书的颁发与信任校验流程。微软还计划在今年晚些时候进一步加入对 ML-KEM 和复合算法的支持,将量子安全能力扩展到更广泛的证书互操作领域。
为了让传输中的数据直接获得量子级别的安全保护,微软在 Windows TLS 协议栈中引入了全新的 PQ TLS 混合密钥交换机制,目前该功能已在 Windows Insider 预览频道中提供测试。新机制将经典算法与 NIST 标准的后量子算法 ML-KEM 进行了深度配对,共提供 X25519_MLKEM768、SecP256r1_MLKEM768 和 SecP384r1_MLKEM1024 三种组合方案。IT 管理员可通过组策略、移动设备管理(如 Intune)或 TLS PowerShell cmdlets 等常用工具轻松启用这些选项,为量子安全迁移策略做好真实环境下的评估准备。
与此同时,在密码学 API 层面,Windows Cryptography API Next Generation 及相关证书功能也正在引入对复合 ML-KEM 和复合 ML-DSA 的支持。遵循 IETF 的对应草案,新机制将传统 ECDSA 数字签名与 ML-DSA 结合,将传统 ECDHE 密钥交换与 ML-KEM 结合。在这一双重保障下,攻击者必须同时攻破经典算法和后量子算法才能威胁受保护的数据。该功能同样已在预览版中上线,预计将在未来几个月内随 Windows 11 和 Windows Server 2025 正式发布,方便开发者和安全架构师开展原型设计与验证。
微软指出,本次更新为许多组织采用量子安全加密提供了一个明确的起点。官方建议企业的安全团队即刻着手盘点公钥加密的使用位置,优先处理涉及长期保密数据(如文档库、邮件归档、数据库和备份存储)的系统,并对依赖 TLS 和证书信任的资产进行测试。同时,开发人员应在受控环境中测试应用程序对新算法的支持情况,而 IT 管理员则需提前规划证书策略、设备策略以及加密清单管理的运营变更。
根据微软公布的未来路线图,其后量子安全能力还将逐步覆盖 IPsec、Wi-Fi 网络保护、TLS 与 Kerberos 认证、Windows Hello 与通行密钥(Passkey),以及 BitLocker、软硬件固件签名等底层平台保护领域。部分新能力将在今年内落地,而更多深度集成计划则将于 2027 年陆续推出。
微信扫一扫 
支付宝扫一扫 