密钥封装机制（KEM）和数字签名算法（DSA）的首选方案已经标准化。这意味着各种组织不需要等到备选方案完全准备好，就可以开始向后量子密码（PQC）的过渡。

美国国家标准与技术研究院（NIST）已经新增了第五种算法——HQC，作为其面向后量子计算时代的密码算法储备。预计将在2026年初发布HQC的标准草案，并计划在2027年正式确定最终的标准。

在第四轮后量子密码标准化进程的报告中，NIST表示：“经过深入研究和评估，最终确定将被纳入标准的密钥协商算法为HQC。据此，NIST将基于HQC制定相关标准，以此丰富和完善其密钥协商方案。”

此前NIST已选定另外四种算法，其中三种已作为正式标准发布：FIPS 203定义了ML-KEM（CRYSTALS-Kyber）、FIPS 204定义了ML-DSA（CRYSTALS-Dilithium）、FIPS 205则定义了SLH-DSA（SPHINCS+）。而作为第四种标准化算法的FIPS 206，是基于FALCON构建的。该标准的草案即将以FIPS 206（FN-DSA）的名称发布。

HQC将成为ML-KEM的备用方案。这两种机制同属于密钥封装机制（KEM），主要功能是在公开信道中安全地建立共享密钥。这种共享密钥随后可用于对数据进行加密，比如应用AES-256这类对称密钥加密系统。

对称加密算法的密钥越长，其抵抗量子计算破解的能力就越强。AES-256即是被视为抗量子计算的加密算法之一，目前并无迫切需要替代此类算法的必要性。

标准中的DSA指的是“数字签名算法”，而NIST则将这种技术形容为“电子指纹”，用以确认文档的发送者身份，比如在进行远程签署文件的过程中使用。

正如Sphincs+被用作Dilithium和FALCON的备用方案，HQC同样被作为ML-KEM的备份。这里的“KEM”代表的是“密钥封装机制”（Key Encapsulation Mechanism）。从逻辑上看，第五项标准化算法可能被命名为FIPS 207（xx-KEM）。

密钥封装机制（KEM）和数字签名算法（DSA）的标准化首选方案已准备就绪，这意味着各个机构无需等到备份方案完全准备好，即可开始向后量子密码（PQC）的过渡进程。

NIST的数学家兼项目负责人达斯汀·穆迪解释说：“各组织在进行加密系统的转换时，应当遵循NIST在2024年确定的统一标准。我们之所以选择HQC作为备用标准，是因为它采用了与ML-KEM不同的数学原理。”

尽管未来可能选择使用HQC，但在迁移至后量子密码（PQC）的过程中，ML-KEM仍然是首选方案。ML-KEM采用基于结构化格数学的算法，而与之不同的是，HQC则依赖于纠错码的不同数学原理。尽管HQC的算法更为复杂且需要更多计算资源，穆迪指出：“其简洁且安全的运行机制让评审专家确信它将成为一个值得信赖的备份选择。”

在数字签名技术领域，FIPS 204中的ML-DSA是当前主推的方案，而针对那些追求更短签名的应用需求，推荐使用FALCON算法（FIPS 206中的FN-DSA）。尽管Sphincs+（FIPS 205中的SLH-DSA）在体积和速度方面不及前两者，但其基于密码学哈希函数的独特数学原理，使其成为一种实用的备选方案。

为了应对未来可能出现的加密方案失效或被破解的情况，NIST建议在进行量子密钥分发（QKD）等PQC技术升级时，确保具备密码灵活性，以便在紧急情况下迅速切换至新的、合适的加密方案。

随着HQC算法的加入，NIST如今拥有了一套完整的首选和备选的后量子加密算法集合。