XMSS（扩展默克尔签名方案）作为首个标准化的有状态后量子签名算法，通过Merkle树与改进型WOTS+签名机制结合，实现基于哈希函数的抗量子签名能力。其核心优势在于安全性仅依赖哈希函数特性，天然抵御Shor算法攻击，同时具备实现简单、验证高效的特点。IETF RFC8391和NIST SP800-208分别对XMSS进行了标准化规范，定义了密钥管理、签名流程和安全参数。典型应用场景包括区块链交易

科蓝软件作为中国金融科技领军企业，连续多年入选全球FinTech百强榜单。面对量子计算带来的安全挑战，公司率先布局抗量子安全技术，推出自主研发的"端云一体抗量子可信通信组件"。该组件整合openHiTLS社区密码技术及鲲鹏、鸿蒙生态资源，构建了覆盖全域的新一代可信通信安全体系，具备国密合规、硬件信任根支持和抗量子算法等核心能力。目前已在金融、政务等关键行业开展应用验证，未来将持

在互联网早期，一个 IP 地址只对应一个网站，服务器只需要返回唯一的证书即可，不需要 SNI。但随着虚拟主机技术的普及，一个 IP 地址会承载几十、上百个不同的域名，每个域名都有自己独立的 SSL 证书。这时问题就出现了：TLS 握手的第一步，客户端就需要服务器返回对应的 SSL 证书，来验证服务器的身份；但服务器不知道客户端要访问哪个域名，就不知道该返回哪个证书。这就形成了一个 “先有鸡还是先有

本文深入解析了SPAKE2+密码认证密钥交换协议的技术原理与实现。SPAKE2+基于椭圆曲线密码学，允许通信双方仅凭共享低熵密码即可在不安全信道完成安全认证和密钥协商。文章详细介绍了协议的数学基础（包括椭圆曲线点运算、大数模运算等）、核心流程（注册阶段和包含四个步骤的认证阶段），并基于openHiTLS开源库分析了关键数据结构、内存管理、转录计算和密钥派生等实现细节。SPAKE2+具有抵抗字典攻击

本文深入解析华为云密钥管理系统（KMS）的三类核心数据加解密方案：敏感信息对称加密适用于4KB以下小数据，采用CMK直接操作；信封对称加密通过"CMK+DEK"双密钥体系处理海量数据；RSA非对称加密解决跨主体传输安全问题。三类方案在密钥架构、性能表现和数据规模上各具特点，企业需根据实际场景进行技术选型。文章还总结了密钥管理、代码配置等安全最佳实践，强调华为云KMS通过标准化密

ARM CCA（机密计算架构）是专为云环境设计的安全革新方案，通过引入"领域世界"（Realm）形成三世界架构（REE/TEE/Realm），解决传统TEE在云场景下的局限性。其核心创新包括：动态创建的硬件隔离飞地（Realm）、可信代理RMM实现管理解耦、三世界安全切换机制。该架构支持多租户机密计算，允许运行完整OS，将Hypervisor从可信计算基中移除，为医疗金融等行业

AES-TBOX技术通过预计算查表优化AES算法性能，将SubBytes、ShiftRows和MixColumns操作合并为4个32位查找表（TE0-TE3），实现"空间换时间"的加密加速。openHiTLS开源项目采用该技术，通过8KB静态表和宏定义轮操作，将传统AES的逐字节计算转为批量查表处理，提升加解密速度2-3倍。该方案特别适合无硬件加速的高并发场景，但需权衡8KB内

摘要：量子计算的崛起对传统密码体系构成严峻威胁，尤其是Shor算法能破解RSA、ECC等主流加密算法。后量子密码学应运而生，其中FrodoKEM基于格的LWE问题构建，具有高安全性但效率较低。FrodoKEM已获多国政府推荐，适用于长期数据保护、军事通信等高安全场景。尽管在性能上不如Kyber等算法，但FrodoKEM凭借更保守的安全假设和抗量子攻击能力，成为后量子密码体系的重要选择。未来需通过硬

轻量级分组密码为物联网设备提供高效安全防护，通过精简轮函数、紧凑S盒和高效运算组合（如ADD-ROTATE-XOR）实现资源优化。PRESENT（硬件友好）、SPECK/SIMON（软件高效）是三大代表算法，分别适用于不同场景。PRESENT适合RFID等硬件受限设备，SPECK/SIMON在嵌入式系统中表现优异。这些算法展现了轻量级密码"按需设计"理念，为物联网安全奠定基础，

华为谢尔德实验室向openHiTLS社区贡献了FrodoKEM后量子密钥封装算法的高质量实现代码。FrodoKEM是基于无结构格路线的抗量子密码算法，已进入ISO/IEC国际标准草案，能有效应对量子计算威胁。此次开源贡献不仅展示了华为在后量子密码领域的技术实力，还进一步完善了openHiTLS社区的后量子密码算法矩阵，为构建安全开放的抗量子密码生态提供新动力。随着量子计算发展，传统RSA、ECC等