Android 17 后量子加密落地：系统可信根的量子抗性升级

背景：量子威胁已非"将来时"

量子计算对现有公钥密码体系（RSA、ECC）的潜在威胁，正在从理论走向现实。NIST 在 2024 年正式发布了后量子加密（PQC）标准，包括模块-格密码算法 ML-DSA（Module-Lattice Digital Signature Algorithm），标志着全球加密体系进入迁移周期。

Google 是这场迁移的重要推动者。2026 年初，Windows 11 和 Windows Server 2025 已率先落地 PQC；而 Android 17，则是 Google 在移动端的首次重大推进。

Android 17 的三层落地

1. 启动链（AVB）：ML-DSA 量子抗性签名

Android Verified Boot（AVB）是设备启动时的信任链根基。Android 17 将 ML-DSA 集成进 AVB，意味着从按下电源键到系统完全启动的每一步，数字签名都已经是量子抗性的。这是把"现在就换锁"焊进了启动链条里，而不是等到量子计算机成熟后再亡羊补牢。

2. 远程证明：KeyMint 证书链 PQC 迁移

KeyMint 是 Android 设备用于密钥存储和远程证明的硬件抽象层。Android 17 更新了其证书链算法，支持量子抗性算法，设备可以向依赖方安全地证明自身状态，而不必担心未来量子计算机能伪造证明。

3. Android Keystore：开发者可用 ML-DSA-65/87

Android 17 的密钥库（Keystore）原生支持 ML-DSA-65 和 ML-DSA-87 两个安全级别，开发者通过标准 KeyPairGenerator API 即可调用量子安全签名能力，无需自己实现底层算法。

Google Play 混合签名：平滑过渡方案

对于已有应用，Google Play 推出了"混合签名"方案：同一签名块中同时包含经典签名和 PQC 签名，依赖方可以逐步过渡，无需强制用户在某个时间节点全部切换。这一策略参考了 TLS 协议中混合密钥交换的思路，是目前最被认可的渐进式迁移路径。

Google 同时推动开发者每两年升级一次签名密钥，以配合 PQC 迁移周期。

意义：加密体系从"传输层"到"可信根"的架构升级

这轮 PQC 落地不是某个单点功能的增强，而是把抗量子能力压到了 Android 系统最底层——启动链和密钥库。这意味着：

• 攻击面扩大：量子计算机即便成功攻击，也难以篡改已签名验证的启动链
• 纵深防御：即使传输层被破解，设备硬件层的签名验证仍然可信
• 先行者窗口：加密体系迁移历来"先行者受益，后动者买单"，Google 选择了现在动手

结语

从 NIST PQC 标准落定，到 Windows Server 2025，再到 Android 17，抗量子加密正在从标准文档走向真实系统。这次 Android 的升级，是移动端第一次把量子抗性嵌进系统可信根，是加密体系架构的一次标志性迁移。

来源：Google Online Security Blog（2026-03-25）/ Neowin（2026-03-26）