嵌入式行业变天，厂商都在加码PQC后量子加密

如今，我们必须直面一个迫在眉睫的严峻威胁：量子计算机。

随着各国政府监管机构制定严格的时间表，产品设计师们正面临一项严峻挑战：如何为持续服役数十年的设备提供可靠的安全防护。

如今，越来越多嵌入式厂商将后量子加密（PQC，Post-Quantum Cryptography）作为基础要素，在其MCU、跨界MCU、MPU、SoC等产品中无缝采用PQC技术。今天，EEWorld就来复盘和盘点一下PQC技术，以及哪些厂商在重视PQC技术。

嵌入式行业变天，厂商都在加码PQC后量子加密图1

后量子加密，很重要

尽管实用化量子计算机尚未普及，但风险已经提前到来。量子计算机即将破解Rivest-Shamir-Adleman（RSA）和椭圆曲线密码学（ECC）等传统加密技术。这意味着，生命周期较长的产品必须采用能抵御未来威胁的密码技术。

攻击者可以在今天窃取并保存加密数据，待未来量子计算能力成熟后再进行破解，这种攻击模式被称为“先窃取、后破解”（Harvest Now, Decrypt Later、HNDL），严重威胁金融、医疗、工业等领域的长期数据安全。

这一风险对于需要长期保密的数据尤为严重，例如政府机密文件、医疗记录、工业数据和知识产权等。对于智能电表、工业设备、汽车电子等使用寿命长达10至15年的设备而言，如果今天不考虑量子安全，未来很可能面临数据暴露风险。因此，各国政府和产业界正积极推动PQC部署，以确保当前系统在未来依然具备安全性。

后量子加密 (PQC) 是一种能够抵御量子计算机攻击的新型算法。后量子算法以全新数学难题为基础，未来将取代RSA和ECC等现行加密方案。实现此类算法，需要依靠深度创新以及学术界与工业界之间的密切合作。从量子计算的影响来看：

RSA和ECC将受到Shor算法的直接威胁，难以通过简单增加密钥长度实现长期安全；
AES和SHA等对称密码算法受到的影响相对有限，通过提升密钥长度即可维持安全性，例如AES-256已被视为量子时代的推荐方案。

目前，LMS、ML-KEM、ML-DSA等主流后量子密码算法已经基本明确了各自的应用定位，分别面向固件签名、密钥交换和通用数字签名等场景。

据MarketsandMarkets预测，全球后量子密码（PQC）市场预计将从2025年的约5亿美元增长至2030年的28亿美元，年复合增长率超过45%。远期看，PQC市场规模有望在2035年突破百亿美元。

嵌入式行业变天，厂商都在加码PQC后量子加密图2

全球时间表与合规要求

当前，全球监管机构已给出强制时间表，2030～2035年是统一的合规截止期。行业普遍预计，2027年将成为后量子密码进入主流量产平台的重要时间节点。

NSA（美国）：软件/固件签名须立即启动过渡，2030年全面使用后量子签名算法；
NIST（美国）： RSA-2048 和 ECC-256 将于2035年全面禁用；
欧盟、英国：要求2030年前完成关键基础设施的量子安全升级；
中国：量子科技已列入“十五五”未来产业首位。

嵌入式行业变天，厂商都在加码PQC后量子加密图3

CNSA 2.0勾勒后量子加密过渡时间表，来源丨NSA

具体来说，美国的国家标准与技术研究院（NIST）在2024年底发布的《向抗量子密码算法标准迁移》（简称NIST IR 8547）的指导要求文件影响巨大。文件中明确，到2030年将淘汰经典非对称密码，2035年正式禁用。

2024年8月，美国国家标准与技术研究院（NIST）正式发布首批后量子密码标准，包括用于密钥封装的FIPS 203（ML-KEM），以及用于数字签名的FIPS 204（ML-DSA）和FIPS 205（SLH-DSA），标志着PQC正式进入标准化落地阶段。其中，Keccak算法作为SHA-3标准的核心技术，在这些后量子算法中发挥了重要作用。

美国国家安全局在《商业国家安全算法套件2.0版》(CNSA 2.0) 中发布指导方针，要求所有国家安全系统的新采购项目须在2027年前符合NIST PQC算法标准。

而后，全球各国政府及机构正在制定PQC采用的最后期限，目标是在2035年前完成大部分迁移工作。加拿大、英国和欧盟于2025年第二季度先后发布了抗量子密码（PQC）迁移规划，加拿大在2026年4月之前，英国拟在2028年之前，欧盟成员国拟在2026年底之前，完成抗量子密码迁移的初步规划及相关准备工作。

国内也在关注PQC，中国商业密码标准研究院于2025年启动一项全球计划，致力于研发能抵御量子计算机攻击的新一代算法。

嵌入式行业变天，厂商都在加码PQC后量子加密图4

PQC，延伸至嵌入式领域

虽然PQC通常被视为软件层面的技术升级，但硬件实际上是实现高效、安全部署的重要基础。

基于硬件实现的后量子密码具有多方面优势：

利用专用加速器提升加密运算性能；
降低系统功耗，适合嵌入式设备部署；
提供更强的物理防攻击能力；
实现安全密钥存储与隔离；
减少软件漏洞带来的攻击面；
提供更稳定、可预测的安全运行环境。

因此，嵌入式系统、安全芯片、FPGA、SoC、GPU以及各类边缘计算设备，正在逐步集成PQC支持能力。

面对汽车、工业、物联网等领域设备服役周期长达10至20年、无法频繁更换硬件的现实困境，单纯依赖未来硬件迭代已无法满足当下的安全需求。因此，当前的主流做法是嵌入到硬件信任根（RoT）。系统架构设计方式多样，可根据应用场景从简至繁，但最终安全根基仍需追溯至硬件信任根。要实现后量子安全性，硬件信任根必须具备PQC安全，因为所有更高层级（软件）组件的安全性与敏捷性皆依赖于此。

一旦硬件信任根得到保障，系统便能在每次重置时验证硬件与软件的真伪性与完整性。这一可信起点为数据加密和运行时应用奠定基础，例如采用传输层安全协议（TLS）1.3建立安全通道时，亦可集成对PQC算法的支持。

随着轻量化技术逐渐成熟，物联网终端、工业控制系统以及各类嵌入式通信模块等场景，开始具备部署后量子密码的条件。

汽车行业：一辆汽车的使用周期通常长达10至15年，未来需要持续依赖OTA空中升级、V2X车联网通信以及车载软件更新，部署PQC后，可在车辆全生命周期内构建面向量子时代的安全防护体系；
工业控制和关键基础设施领域：大量PLC、传感器、工业网关等设备的服役周期甚至可达数十年，通过引入PQC，可保障固件完整性、设备身份认证、指令传输和远程运维安全，为智能工厂、能源系统及智慧城市构筑长期可信的安全基础；
物联网领：医疗设备、智能电表以及各类消费级IoT终端普遍存在在线时间长、升级困难等特点，PQC能够保护云端连接、远程升级和数据通信安全，有效应对“先窃取、后解密”等量子时代的新型攻击模式。

嵌入式行业变天，厂商都在加码PQC后量子加密图5

与此同时，开源芯片生态也在积极推进相关探索。一些安全芯片项目正尝试将后量子密码能力直接集成至RISC-V等开源架构的硬件安全模块中，使抗量子攻击能力能够在芯片层面原生实现。

嵌入式行业变天，厂商都在加码PQC后量子加密图6

混合密码学是过渡方案

由于量子时代尚未完全到来，许多算法基于全新的数学难题，其长期安全性尚未经过数十年的充分验证。即便已经进入标准化阶段，未来仍有可能发现新的漏洞，甚至被传统计算机破解。

因此，业界普遍采用“混合密码学（Hybrid Cryptography）”作为过渡方案。例如在密钥交换过程中，同时使用ECDH和ML-KEM生成共享密钥；在数字签名场景中，同时采用ECDSA和ML-DSA进行认证。这种方式能够兼顾当前安全需求和未来量子安全需求，在迁移阶段提供双重保障。

这种混合机制既能应对量子计算带来的威胁，也能降低新型PQC算法本身存在的不确定性，因此被认为将在未来较长时间内成为主流方案。这也对安全系统提出了更高要求：不仅需要同时支持传统密码和后量子密码，还需要具备“密码敏捷性”，能够在系统部署后根据标准演进或算法变化快速完成升级和切换，而可重构计算架构正是实现这一目标的重要技术路径。

嵌入式行业变天，厂商都在加码PQC后量子加密图7

嵌入式行业变天，厂商都在加码PQC后量子加密图8

PQC迁移三个阶段

从实施路径来看，PQC迁移通常遵循“评估-过渡-执行”三个阶段。

首先是评估阶段，需要全面梳理现有密码体系和应用场景，识别需要升级的系统与模块，分析升级对性能、成本、兼容性以及业务流程的影响，并结合风险等级制定优先级明确的迁移路线图；
其次是过渡阶段，优先在高价值、高风险场景中部署PQC，例如关键设备的固件签名、身份认证和密钥交换机制。同时根据标准演进和技术成熟度，持续优化迁移方案；
最后是执行阶段，完成产品、系统和服务的全面升级，实现端到端的抗量子安全能力，为未来量子计算环境做好准备。

目前，LMS、ML-KEM、ML-DSA等主流后量子密码算法已经基本明确了各自的应用定位，分别面向固件签名、密钥交换和通用数字签名等场景。然而，与RSA和ECC等传统算法相比，PQC普遍存在密钥尺寸更大、计算开销更高的特点，因此会对设备的软件架构、硬件资源、系统性能、生产流程以及开发工具链产生不同程度的影响。具体影响范围和优化方案仍与最终采用的算法及部署方式密切相关，相关评估和验证工作也正在持续推进之中。

嵌入式行业变天，厂商都在加码PQC后量子加密图9

这些厂商，加码PQC

ST（意法半导体）为客户提供全栈式PQC评估与落地工具链，包括三方面：

一是由ST自主开发、维护的STM32软件密码库X-CUBE-PQC / X-CUBE-CRYPTOLIB，算法已通过NIST CAVP认证，符合国际密码标准，支持新旧全系列STM32 MCU；
二是安全元件密码库NesLib / NesLib-PQML，覆盖安全固件升级（LMS签名）、密钥封装（ML-KEM）、数字签名（ML-DSA）三大PQC应用场景；
三是PQC硬件加速器，内置SHA-3哈希算法、Keccak、以及NTT（数论变换）单元等关键加速模块，专门针对PQC算法的核心运算做硬件加速，自带侧信道攻击防护，从硬件层面保障密码实现的安全性，针对ML-KEM、ML-DSA等主流PQC算法做了性能优化，解决纯软件的性能瓶颈；支持Common Criteria认证，适配高安全等级的终端设备。

嵌入式行业变天，厂商都在加码PQC后量子加密图10

恩智浦（NXP）将为几乎所有新产品提供PQC支持，首批涵盖i.MX 94和i.MX 95工业应用处理器系列、S32N车载超级集成处理器、S32K5汽车微控制器，以及MCX系列高端微控制器。面向移动、工业物联网及安全身份认证市场的新一代安全芯片将配备专用PQC硬件支持，并可作为即用型解决方案集成到任何集成电路(IC)。对于能够运行后量子加密算法的现有可升级系统，通过软件升级即可扩展其运行时PQC加密服务。

恩智浦将PQC嵌入硬件信任根，为新产品实现安全启动、软件或固件更新及安全通信，以抵御量子威胁。在恩智浦，PQC并非附加功能，而是贯穿工业、边缘计算、汽车、移动及安全身份认证等整个产品线的安全策略核心。

对于面向长期服役和高安全等级应用的产品，恩智浦开始导入融合传统密码与后量子密码的混合硬件信任根，并支持ML-DSA、LMS等标准化PQC算法；对于安全芯片等超高安全要求的产品，恩智浦还将引入额外的专用PQC硬件，以满足通用准则评估保障级6级等安全规范对性能与物理安全的要求。

嵌入式行业变天，厂商都在加码PQC后量子加密图11

Microchip将PQC集成在信任的硬件根基，实现从开机到生命终止的安全运行。方法与行业领导者一致，将抗量子算法直接嵌入产品架构中，以实现加密敏捷性并符合CNSA 2.0、FIPS 203、FIPS 204和FIPS 205等标准。

Microchip持续扩展其Trust Shield系列支持PQC的产品组合，目前支持的产品包括：PIC64HX和PIC64-HPSC两大64位RISC-V MPU系列均已将后量子安全纳入设计，前者面向工业边缘计算和AI应用，集成硬件信任根、安全隔离和后量子加密能力，后者则针对航空航天、国防等高可靠场景；MEC175xB嵌入式控制器也集成了基于硬件的PQC能力，可为PC和服务器平台提供安全管理支持；针对PQC推出了TS1800 平台信任根（Platform Root of Trust）控制器与TS50x安全开机控制器。

嵌入式行业变天，厂商都在加码PQC后量子加密图12

嵌入式行业变天，厂商都在加码PQC后量子加密图13

英飞凌（Infineon）此前曾宣布，其新PSOC Control C3 Performance Line系列微控制器（MCU）符合商业国家安全算法（CNSA）套件2.0中概述的后量子密码学（PQC）固件保护要求。MCU还支持PSA（平台安全架构）3级合规性。通过符合这两个标准，英飞凌的PSOC Control C3性能系列满足了各种工业应用的安全需求，并简化了它们在PQC时代向更高安全性的过渡。

嵌入式行业变天，厂商都在加码PQC后量子加密图14

瑞萨（Renesas）在此前表示，正在推进后量子密码学（PQC）等零接触安全解决方案，以抵御量子计算时代的网络威胁，进一步强化边缘AI系统的安全性。

国民技术的解决方案是：将后量子密码（PQC）直接嵌入硬件信任根（RoT），抵御量子计算机攻击，保护固件完整性，确保设备长期安全可靠。与传统信任根仅支持RSA/ECC不同，国民技术硬件信任根原生集成了CRYSTAL-Kyber、CRYSTALS-Dilithium等PQC算法IP，并支持LMS、XMSS、SPHINCS+等后量子数字签名算法，从而在安全启动和固件更新保护两方面实现量子安全加固。

嵌入式行业变天，厂商都在加码PQC后量子加密图15

亦芯微在2025年9月发布支持SIMD的混合计算兼容型RISC-V后量子密码SoC芯片ECPQ80HP，该芯片基于28nm工艺设计与实现，内置芯来科技RISC-V N300处理器内核。该PQC芯片以量子密码IP核为基础，充分利用RISC-V开源扩展指令集的优势, 建立PQC算法定制指令集，并基于可重构技术，通过定制指令对可配置硬件算子的灵活调用实现了多样化加密算法及参数的高效兼容。

嵌入式行业变天，厂商都在加码PQC后量子加密图16

国芯科技于2026年4月宣布 CCRC4XXX系列内测成功——这是国内首款融合 RISC-V 架构、AI 推理、抗量子密码三大特征的高性能汽车 MCU。CCRC40xx的密码体系是“传统+国密+抗量子”三融合架构：传统密码：RSA-2048/4096、ECC-P256/P384——满足当前通信协议需求；国密算法：SM2/SM3/SM4——满足国内法规合规要求；PQC 抗量子密码：NIST标准化的ML-KEM（密钥封装）、ML-DSA（数字签名）——面向量子计算威胁。

全球嵌入式非挥发性内存领导厂商力旺电子（eMemory）与旗下专注于硬件安全硅智财的子公司熵码科技（PUFsecurity）今年1月宣布其合作开发的 PUF-PQC后量子密码学（Post-Quantum Cryptography， PQC）硬件加速解决方案，已正式通过美国国家标准暨技术研究院（NIST）的最新标准认证。

目前，这套获得NIST全系列认证的PUF-PQC解决方案已全面上市，并可无缝整合至多家晶圆代工厂的先进制程与成熟制程平台。无论是追求成本效益的物联网端点设备，还是追求极致效能的高速运算（HPC）与AI芯片，PUF-PQC都能协助客户在符合CNBC 2.0（后量子密码迁移框架）等国际高规格资安标准的前提下，构建强固的安全防御体系，引领产业自信迈向后量子时代。

FPGA厂商Lattice也分享过对于PQC的看法。其认为，由于PQC的核心聚焦于算法，它常被视为开发者需要解决的一类基于软件的挑战。然而，满足这些需求并非仅靠软件就能完成。打造灵活且面向未来的PQC解决方案，最佳方式是采用软硬件协同设计方法。

这首先需要了解最适合支持灵活、可靠且可现场升级的量子能力的硬件。其中一种解决方案是量子随机数发生器（QRNG）——这类设备利用光子或其他亚原子粒子的固有随机特性，生成真正不可预测的数字序列。QRNG将量子能力的潜在威胁转化为保护方案，既能产生高质量的熵，又能保持来源可追溯性和可验证性。这种高效的随机数生成能力是规模化PQC运算的关键，可在不牺牲性能或带宽的前提下生成随机加密密钥。

除QRNG之外，开发者还应在其PQC基础设施中采用现场可编程门阵列（FPGA）。FPGA配备专用数字信号处理（DSP）模块，可通过编程支持计算密集型算法，既能作为协处理器与其他片上系统（SoC）设备协同工作，又能充当全栈信任锚，同时支持在中层实现更灵活的算法部署，以及在顶层适配区域性/混合应用。这类器件本身具备可现场升级特性，能够实现面向未来的PQC模型所需的密码敏捷性和规模化灵活性。