密码学是保证网络通信安全的堡垒,随着量子计算的出现,经典密码学在维护信息安全方面面临着巨大的挑战。目前,后量子密码算法是一种新的密码算法,理论上可以证明它可以保证量子环境中的通信安全。本文通过分析现有量子计算技术的研究进展和后量子密码方案设计,强调了后量子密码学研究的紧迫性,展示了后量子密码学研究在信息安全中的重要性,并最终指出了后量子密码学下一步可能的研究方向,以期为我国后量子密码学技术的研究提供参考。
在以知识经济为基础的信息社会中,确保网络信息安全无疑已成为国与国之间的无形武器。从历史上看,图灵发明了电子计算机来破译密码机,打破了国家间信息安全的壁垒。从那时起,人们通过设计基于数学困难的NP问题的加密和解密算法,在经典计算机上维护了近50年的网络信息和通信安全。然而,在1982年,量子力学与计算机相结合的想法首次被提出,开创了量子时代的新时代。1985年,量子计算机的基本概念得到进一步阐述,并证实在某些方面,量子计算机确实比经典计算机更强大。1994 年,Shor 提出了一种能够在多项式时间内求解大整数分解和离散对数问题的 Shor 量子算法。至此,人们已经意识到,现有密码技术所筑起的“墙”在强大的量子计算机面前是如此“脆弱”,因此设计与研究能够抵御量子计攻击的下一代加密算法变得刻苦可口。
量子计算机的发展现状
20世纪末,量子计算机作为量子力学与计算机技术结合的重要成果,引起了国际关注。鉴于量子计算机的实际战略意义,世界各国高度重视并不断加大投资力度,先后制定了各项政策,建立了一系列研究机构,启动了各种项目,支持量子计算机的研究,推动了量子技术研发和技术产业的蓬勃发展。美国政府在这一领域处于领先地位,并投入巨资开展了五个专门针对量子计算机的研究项目,即美国国防高级研究计划局提出的“量子信息科学与技术发展计划”、美国国家安全局指导的ARDA5计划、美国科学基金会支持的QuBIC计划、美国国防高级研究计划局提出的“量子信息科学与技术发展计划”、美国国家安全局提出的“量子信息科学与技术发展计划”、美国国家安全局提出的“量子信息科学与技术发展计划”、美国国家安全局指导的“量子信息科学与技术发展计划”、美国国家安全局指导的“量子信息科学与技术发展计划”、美国国家安全局提出的“量子信息科学与技术发展计划”、美国国家安全局提出的“量子信息科学与技术发展计划”、美国国家安全局提出的“量子信息科学与技术发展计划”、美国国防高级研究计划 由美国宇航局领导的QCTG计划,以及由美国国家标准与技术研究院(NIST)指导的PLQI计划。此外,欧盟、加拿大、中国等组织、国家和地区也对量子计算机领域的研究做出了积极响应,并取得了一系列研究成果。
2001年,IBM成功开发的模范量子计算机成功引领了该领域的研究。2007年,中国科学家潘建伟首次在量子计算机上实现了肖尔量子分解算法,标志着我国光量子计算机研究达到了世界先进水平。2008年,加拿大的D-wave改进了其现有的量子计算机系统,并成功地将比特数增加到48个量子比特。2010年,英国布里斯托大学研制出速度更快、存储容量更大的新型光子芯片,为量子计算机的信息存储提供了新的思路。同年,由潘建伟团队与清华大学组成的联合团队,通过研究量子隐形传态技术的特点,成功实现了全球最远距离的量子传输,并将研究成果发表在国际权威期刊上,向世界展示了基于量子计算机的量子通信网络的可行性。同时,杜江峰教授发表了一篇关于保持固态自旋比特量子相干性的论文,对固态自旋量子计算机的实现具有重要意义。后来,来自英国和澳大利亚的联合研究团队设计了一种名为FTQC的容错量子计算方案,为量子计算机的实际应用奠定了基础。
随着量子计算技术和硬件设备材料的快速发展,人们越来越相信,量子计算机的匮乏不再是技术原因,而是时间的沉淀,使各国能够加快对量子计算机的研究步伐。2016年,中国“十三五”规划明确设立“量子通信与量子计算机”重大科研项目。同年,肖尔量子分解算法在潘建伟团队研究的光量子计算机上成功运行,并发射了世界上第一颗名为“墨子”的量子卫星,以纪念这一研究成果。2017年,潘建伟团队自主研发的10位超导量子电路样品,成功实现了当时全球超导量子比特纠缠和完整测量数量,在量子计算机的发展道路上达到了一个新的水平。2018年,欧盟正式启动“量子技术旗舰计划”,旨在在欧洲建立一个连接所有量子计算机、模拟器和传感器的量子通信网络。2019年,谷歌团队仅用3分20秒就完成了量子计算原型“铃木飞机”的万年计算,将量子计算机的处理能力提升到了一个新的水平,实现了某种意义上的量子霸权。2020年,白宫官网发布的《美国量子网络战略构想》提出了开发由量子计算机等量子器件组成的量子互联网的思路,并指出下一步是让量子信息科学普及。2021年,中国提出新的“十四五”规划,指出这五年将是中国量子技术实现“弯道超车”的关键时期,其目标之一是开发通用量子计算原型和实用量子模拟器。同年10月,潘建伟团队与其他研究机构合作,成功搭建了113个光子、144种模态的量子计算样机“九展二号”,实现了高斯玻色子采样数学问题的快速求解。此外,潘建伟的团队及其合作伙伴还成功研制了66个超导量子比特“祖崇智二号”,计算复杂度比“梧桐树”高出6个数量级。2022年,他们在《 ,将QMC方法与量子计算相结合,构建了混合量子经典计算模型,为实现实用量子优势提供了途径,为实用量子计算机的设计提供了理论依据。
量子计算机的快速发展,减少了高计算问题的处理时间,解决了大量复杂的数学问题,给已经发展和广泛使用的现代公钥密码系统带来了巨大的威胁和严峻的挑战。然而,密码技术的发展是保证量子计算机下网络安全和信息系统安全的关键,因此在量子信息时代到来之前,设计一种能够有效抵御量子计算机攻击的新型密码系统已成为密码学家必须面对的问题之一。
是时候防御量子威胁了
2.1 防御量子威胁的战略意义
密码技术是维护信息安全的重中之重,广泛应用于国家安全系统和大型国防装备。量子计算机一旦发展起来,现代密码学中基于大整数分解和离散对数问题设计的公钥密码学就会被打破,这将直接威胁到当前党政军民用领域的网络和信息安全,甚至威胁到国家安全。
在军队中,“先存储后破译”是破解当前密码系统的重要策略,也就是说,一些组织将无法破译最先存储的信息,等到未来时机成熟再破译,如果按照“摩尔定律”的规律,这个成熟时机很可能在很长一段时间内到来, 而量子计算的出现,加速了成熟时代的到来,对长期保密和前瞻安全造成了致命的威胁。通常,大量的国家安全信息都存储在国家军队和许多重要机构的装备中,这些信息需要存储十几年甚至更长时间才能被破解,因此可以看出,量子计算的出现将直接威胁到国家重要情报的安全, 因此,有必要尽快开发出能够抵抗量子计算机的新型加密系统,以最大程度消除这一隐患。
在日常通信方面,许多密钥通信协议大多基于公钥密码学、数字签名和密钥交换,但这些公钥密码算法所依据的具体数论问题的难度在量子计算面前“不值一提”,而一旦量子计算机投入实际使用, 这些通信协议将不再安全,也无法保证端到端的安全传输。
2.2 密码算法的实际应用需要时间来孵化
任何加密算法都是为最终迁移到工程而设计的。从现代密码算法理论和技术的发展和成熟到最终的标准化,用了近20年的时间构建了一整套公钥密码基础设施。即使新型密码算法的理论技术已经发展成熟,但要逐步将广泛使用的密码系统转变为能够抵御量子计算机攻击的新型密码系统,还需要花费大量时间,更不用说能够抵抗量子计算机攻击的新型密码算法的理论技术尚未成熟。因此,无论量子时代何时到来,都必须尽快采取行动,设计新的密码方案,确保量子计算机信息通信系统的安全性。
量子时代的全球信息安全保护
遵循在经典计算机中设计公钥密码算法的思想,世界上处理量子计算机攻击的后(PQC)算法主要集中在寻找量子计算机上多项式时间内无法解决的一类或多类数学难题。针对这些难题,PQC算法能够在一定程度上抵御量子计算机的攻击,保护量子信息时代的通信安全。全球对PQC算法的研究主要集中在两个方面:国际学术交流和算法标准化的建立。
3.1 后量子密码学理论的国际学术交流
作为密码学的一个分支,国际PQC理论与技术的研究一直受到各国的关注,相关学术交流活动的数量和频率逐年增加,其影响力已辐射到更多的国家和领域。
2006年,国际密码学研究协会组织了第一届后量子密码学国际会议,讨论了PQC未来研究的潜在领域。此后,该会议在北美、欧洲、东亚等地区举行,并通过在相邻会议的间隙举办夏季或冬季训练营,促进了各国研究人员之间的交流,促进了PQC技术的发展。
2011年,该公司注册了NTRU算法并申请了专利,从那时起,该公司为各种NTRU算法实现设计和开发了软件库。2013 年,欧洲电信标准协会 (ETSI) 和加拿大滑铁卢大学量子计算中心联合组织了量子安全密码学工作组 (IQC/ETSI-Safe) 会议,来自多个不同研究领域的代表,包括密码学、数学、物理和计算,目标是部署下一代密码基础设施, 特别是要承受量子计算的冲击。2015年1月,欧盟启动PQC算法应用项目。在众多欧洲企业、高校和科研机构的帮助下,项目和项目陆续开展,项目被纳入欧盟地平线2020计划,致力于打造新一代安全实用的PQC解决方案。2016 年 4 月,开发了一个基于困难的格问题 RLWE ( ) 的格密码库 ( ),表示,无论是使用经典计算机还是量子计算机,攻击者都可以实现至少 128 位的安全性。同年7月,谷歌宣布将开始测试PQC技术,并表示测试对象将是基于RLVE问题的密钥交换协议。2019 年 1 月,谷歌宣布将部署一种新的传输层安全协议 (TLS) 密钥交换方法,称为组合椭圆曲线和后量子密钥交换 ()。同时,谷歌和谷歌将共同探索PQC如何在实践中击败超文本传输安全(HTTPS)连接。2022年4月,IBM发布了第一个基于晶格理论的量子安全系统——。
亚洲密码学研究人员也在积极跟进后量子相关技术的发展。2016年6月,首届亚洲后量子密码学论坛在中国成都成功举办。由于PQC算法的快速发展,原定于2017年举办的第二届亚洲后量子密码学论坛移至2016年11月在韩国首尔国立大学举行。从2020年到2021年,丁金泰领导的团队破解了Luov和GeMMS两个NIST抗量子签名候选者,并在2020年欧洲密码学年会和2021年美国密码学年会上发表了他们的研究成果。2022年,上海交通大学顾大武教授领导的LoCCS实验室成功解决了80维容错学习问题(WITH,LWE),创造了解决晶格密码学难题的新世界纪录,该纪录已发布在晶格密码挑战赛官网LWE上。
3.2 后量子密码方案标准化的建立
目前,全球许多国家都意识到未来量子攻击给网络安全带来的潜在威胁,并采取了必要的行动和相关部署来应对这一威胁。与现代密码学中的DES、AES、RSA等加密算法标准类似,在PQC理论的研究过程中,标准化的建立逐渐发展起来,越来越多的国际参与者加入了PQC方案标准化和建立的研究。
3.2.1 美国后量子密码学标准化计划
早在2008年,NTRU加密算法就被电气和电子工程师协会(IEEE)(.1-2008)确立为正式标准。2010 年,它被公认标准委员会 (X9) 批准为新的数据保护加密标准。同时,美国国家标准协会X9.98标准(.98)规定了如何在金融交易中使用基于格子加密算法(如NTRU)的公私钥密码系统。
2015 年 8 月,美国国家安全局 (NSA) 宣布对美国政府目前使用的“加密算法 B 套件”进行安全升级,该套件将用于后量子过渡时期的加密标准。2016年4月,NIST发布了“后量子密码学”研究,并宣布启动PQC算法标准计划。截至 2017 年 12 月,NIST 共收到来自世界各地的 82 个加密候选协议,从那时起,后量子密码学标准协议的第一轮预选已经开始。2019年1月,NIST公布了第二轮标准方案,其中包括26个密码方案,包括17个公钥密码/密钥交换方案和9个数字签名方案。根据密码方案的构造方式,26种候选算法包括12种格子密码、7种基于编码的密码、4种基于多变量的密码、2种基于哈希的密码和1种基于同调曲线的密码。2021年1月,NIST公布了第三轮候选算法,包括7个决赛入围算法和8个备选算法,入围7个候选算法中有5个是格子密码,这表明目前的格子密码在所有PQC算法中具有很大的优势,是未来最有希望实现标准化的算法。2022 年 3 月,麻省理工学院与阿布扎比技术创新研究所合作,撰写并出版了《量子黑客从今天开始,面向明天》。对全球量子计算公司的密码学家、数学家、物理学家和高级管理人员的采访评估了复杂的量子黑客计算机对当今网络安全系统的威胁和影响,并分析了应对威胁的解决方案,这意味着NIST标准化正在进入第四轮。2022 年 7 月,NIST 完成了第三轮 PQC 标准化进程,共有 4 种候选算法入选标准化,分别是 -KYBER、-、 和 +,另外 4 种算法将持续到第四轮,这一里程碑意味着为期 6 年的标准化工作终于进入了最后阶段。
3.2.2 欧洲后量子密码学标准化计划
首先,欧洲研究团队为NIST-PQC算法的呼吁做出了重大贡献,NIST发布的26个标准方案中有20多个引领并参与其中。其次,在2015年,欧洲学术界和工业界研究人员在量子密码学领域的一个联合项目发布了一份初步报告,该报告对多个领域的标准化提出了建议,包括密码算法、对称授权和签名系统,并指出密码系统有可能演变成RSA/ECC密码系统的替代品。此外,由欧洲电信标准协会ETSI成立的“量子安全密码学行业标准工作组”主要负责PQC算法的收集、评估和开发以及行业标准的制定。
3.2.3 日本后量子密码学标准化计划
为了应对量子计算攻击和对加密设备的物理攻击(例如功率分析),日本启动了CREST加密数学项目,该项目旨在为下一代密码系统的开发奠定基础。CREST项目组织的年度后量子安全相关会议为日本的后量子密码学研究人员提供了一个交流重要成果的平台。在真正的PQC标准发布之前,日本密码学研究与评估委员会列出了3个密码:电子政务推荐密码列表,候选推荐密码列表和监控密码列表,并指出将推出新制定的PQC指南。
3.2.4 韩国后量子密码学标准化项目
2022年,韩国推出全球首条可防御量子计算机黑客攻击的PQC专线,该线路现已通过电信技术协会的测试验证。
3.2.5 中国后量子密码标准化计划
虽然中国在PQC标准化研究方面起步较晚,但它也参与并贡献了NIST-PQC算法收集活动。参与设计的中国团队包括密码科学与技术国家重点实验室、上海交通大学、复旦大学、中国科学院信息技术研究所和台湾中央研究院。其中,中国科学院数据与通信保护研究与教育中心设计的LAC算法,以及欧美加拿大等国家提供的PQC算法,入选NIST第二轮PQC密码算法榜单。此外,中国在征集国内PQC算法标准方面也做了一些工作。自2019年起,中国密码学会(CACR)开始举办全国性密码算法设计大赛,该竞赛只对中国密码学家开放,并受到广大密码学家的青睐,并在公钥密码学组的条目中收集了大量的PQC算法。本次大赛的成功举办,促进了我国密码学理论与应用技术的发展,是中国PQC算法标准制定过程的基础,意味着我国PQC技术的研究逐步跟上国际先进水平,致力于通过充分调动国内各界研究力量,推动本土化研发, 从而确保未来后量子时代的中国网络空间安全。
综上所述,从世界各国政府在这一领域的投资和支持来看,在真正的量子信息时代到来之前,全球目标是在量子通信网络中实现安全通信和安全认证。
后量子密码学是如何构建的
PQC算法大多基于解决难度数学问题的难度,主要包括格、编码、哈希和多变量。此外,基于超奇异椭圆曲线、量子随机游走、大密钥长度对称密码算法等技术的PQC构建方法在量子计算机条件下也被认为相对安全。
4.1 基于格的后量子密码算法
格 () 是一种数学结构,定义为一组线性独立的非零向量(称为晶格基)的整数系数的线性组合。具体来说,给定一组网格
到任意整数
都是属于这个格子的向量,其中n称为格子的维数。对于同一个晶格,它可以有不同的晶格基,求解晶格中最短向量问题(SVP)和最近的向量问题(CVP)是晶格理论中主要的非确定性多项式问题(NP)。此外,格子中还存在一些其他难题,如LWE问题、有界距离解码问题、小整数解问题、gap-SVP问题等,因此大多数基于格的PQC算法都是基于这些难题设计的,但本质上可以转化为SVP难题和CVP难题。基于格的算法具有与现代公钥加密算法相同的功能,可以实现加解密、数字签名、属性加密、同态加密、密钥交换等多种密码结构。
第一个基于格的密码方案是 Ajtai 等人在 1997 年提出的 Ajtai-Dwork 密码学,它使用格问题中的最坏情况到案例规范来抵抗量子计算的攻击。第一个基于格的实用密码方案是1998年由等人提出的NTRU公钥密码学,该方案一直延续到NIST的第三轮候选算法中,并已应用于一些商业密码设备中,并有望在未来取代RSA加密算法。
在后量子加解密算法方面,通过总结目前主流的基于格的加解密算法,我们发现基于LWE难题的格密方案不仅应用广泛,而且具有更高的安全性。例如,基于第四轮NIST算法-Kyber的算法是基于M-LWE问题,即LWE问题和R-LWE问题的结合,与LWE问题相比,具有易于扩展和效率高的优点。M-LWE 问题的主要思想是多项式环
随机均匀选择
后面有一个公式
那
计算
其中难以区分
中等
s 和
是二项分布
问题的主要困难在于已知问题基于已知的
无法计算 s 和
他们中的任何一个。Kyber 算法通过公式使用这一原理
生成公私密钥对(t,s),知道公钥t后无法计算私钥s,然后对通信的明文信息进行加密或封装双方的临时会话密钥。以2020年提交的第三版Kyber算法为例,表1阐述了Kyber算法在IND-CPA安全下实现不可区分性的具体实现思路,表2阐述了Kyber算法在自适应选择密文攻击下的密文不可识别性(IND-CCA2)安全性的具体实现思路。
表1 Kyber算法实现流程(IND-CPA安全性)。
表2 Kyber算法实现流程(IND-CCA2安全性)。
在后量子签名算法方面,基于格的签名算法的构建与现有的公钥密码学略有不同。对于现有的公钥密码,如RSA和椭圆曲线,可以通过切换加解密算法的公钥和私钥的顺序来转换为签名算法。然而,基于格的密码学方案并不具备这种双重特性,基于格的后量子签名算法通常采用零知识证明协议构建,即证明者证明自己拥有与相应身份的公钥相匹配的私钥,但不泄露任何关于私钥的信息。
2008年,等人提出了GPV框架,指出了基于格的签名算法的设计思路,如表3所示。
表3GPV框架
基于GPV框架,基于格的签名算法在生成公私密钥对的过程中类似于后量子加解密算法,即LWE问题和SIS问题。除此之外,另一种流行的签名算法也进入了NIST的第四轮。
在具体的设计过程中,两种算法对算法本身的安全性和算法的运行速度进行了不同的改进。其中,签名算法采用Fiat-with技术设计,采用拒绝采样的方法,使基于格子的Fiat-方案更加紧凑和安全;由于传统签名算法中高斯采样难以高效、安全地实现,签名算法改进了采样方法,只有通过均匀分布的采样才能完成签名的创建。同时,为了减小公钥的大小,签名算法采用了将高低阶分开的新技术,将其减少两倍以上。对于签名算法,通过在抽样过程中应用快速傅里叶采样技术,并在算法内部使用真实的高斯采样器,保证了算法在无限制签名情况下的安全性,即关键信息的泄漏可以忽略不计。同时,由于实现过程中傅里叶采样速度快的优势,该算法在普通计算机上每秒可以生成数千个有效签名,签名验证过程比其他签名算法快近5~10倍。和的签名算法的具体步骤分别如表4和表5所示。
表 签名算法的实现过程
表 签名算法的实现过程
虽然晶格密码学的研究起步较晚,但其简单的结构和许多高度复杂的数学难点使其在后量子时代受到世界各地学者的广泛欢迎。2013年以来,格密码学的研究成果显著增加,在基于格的密码学不断改进的过程中,密钥大小不断减小,计算速度不断提高,安全性、密钥大小和计算速度之间逐渐实现了更好的平衡。2022年7月,NIST第四轮后量子密码学中出现了三种基于格的密码方案,这表明格密码学虽然仍处于开发阶段,但被认为是最有前途的后量子密码算法之一。
4.2 基于编码的后量子密码算法
编码理论是数学和计算机科学的一个分支,用于处理在嘈杂信道中传输信息时的错误处理。基于编码的密码学也被认为是量子计算机中一种相对安全的密码算法,其核心在于在编码中引入一定数量的错误码字,并且难以纠正不正确的码字或计算校验矩阵的混合。
其中之一
迄今为止最早提出的基于代码的加密算法是1978年提出的公钥密码学方案[27],该方案使用随机二进制不可约Goppa码作为私钥,表示为A,并使用可逆矩阵S和随机排列矩阵P对私钥A作为公钥一部分的通用线性代码A'进行A'=SAP转换。最后,公钥密码方案的公钥由Goppa码的汉明权重t和矩阵A'组成,私钥由生成矩阵A、可逆矩阵S和随机排列矩阵P组成(方案的整体流程如表6所示)。基于该方案的难题是对称群的隐式子群问题,即在加密过程中对明文信息x进行y=y'+e=x×A'+e运算时,很难从具有混淆e(t误差的向量)的矩阵A'中推导出Goppa码。该算法比现有的公钥密码学更快,但由于公钥体积较大,该算法不是很实用,但对算法的改进终于进入了第三轮NIST的候选算法。
表6 公钥加密方案流程
随后,在1986年,提出了一种基于GRS码密码算法的背包式公钥密码学,它与密钥生成过程的不同之处在于,在密钥生成过程中,当确定私钥A(生成矩阵)时,使用可逆矩阵M和排列矩阵P来隐藏校验矩阵H,而不是通过A'=MHP操作生成矩阵A, 从而生成算法的公钥A'。为了证明密码算法的安全性,王新梅等人在1994年证明了它们在安全性方面是等价的。
1990年,王新梅提出了第一个基于代码的数字签名方案。次年,李兴元构建了一个同时具备签名、加密和纠错能力的公钥系统。随后,学者们在此基础上进行了一系列改进,并指出基于代码的公钥密码学可能是基于数论的公钥密码学的良好替代品。
4.3 基于哈希的后量子密码算法
这
基于Hash函数设计的后量子密码算法主要集中在数字签名算法上,Hash函数具有良好的抗碰撞性能,当Hash函数能够抵抗强碰撞时,设计的数字签名算法能够有效抵抗量子计算的攻击。在基于哈希函数的数字签名算法中,具有代表性的是1989年发明的数字签名方案(MSS),该算法基于一次性签名方案和和的工作。MSS的基本思想是利用哈希树将多个一次性验证密钥(哈希树的叶子)的有效性降低到一个公钥(哈希树的根)的有效性。由于其良好的强抗碰撞性,MSS可以有效抵抗量子计算的攻击,因此MSS一直受到学者的青睐。自 2006 年召开第一届后量子密码学国际会议以来,已经提出了对 MSS 的改进,例如在 2006 年,一种使树构建更加高效和实用的方法;2008年,基于算法,等人提供了一种在数字签名机制中计算认证路径的新方法,大大缩短了算法在最坏情况下的运行时间;2011 年,等人提出了一种可证明安全的 XMSS 数字签名方案,该方案具有基于 MSS 的较小签名。
除了MSS研究之外,2016年,等人还估计了量子查询的复杂性,以找到函数冲突。2017年,+算法提交NIST PQC大赛,经过层层筛选,该算法进入NIST第三轮候选算法,再通过进一步的安全性分析,该算法在NIST第四轮评审中脱颖而出,成为官方候选签名算法之一。+ 签名算法是使用称为 的结构构建的,它是 trees 和 tree 之间的折衷,其外部结构是 k 叉树
,共有D层;k-fork 树的每个节点都是一棵高度为 h' 的树,树的每个子节点都是一个 key,其中 leaf 节点用于为外部结构的子节点生成公钥,non-leaf 节点用于生成 FORS key 的公钥;外部结构的叶节点也是树,用于对信息进行签名。+ 签名算法通过伪随机数生成器和随机种子构建超树,然后基于超树生成公私密钥对。对消息进行签名时,首先计算消息 m 的哈希值 H(m),然后取出 H(m) 的 h 位来确定使用哪个 FORS 密钥,然后取出 kα 位进行 FORS 签名,最后使用从叶节点到根节点的超级树的签名链作为消息 m 的签名链。在签名验证中,接收者依次验证签名链上的每个签名。
虽然基于Hash函数的数字签名方案成果不多,但考虑到Hash函数的独特性质和实用性,基于Hash函数的签名算法有望成为量子时代最有前途的数字签名方案之一。
4.4 基于多变量的后量子密码算法
作为后量子密码学算法最早的成员之一,基于多变量的后量子密码算法比其他三种主流构造方法具有更多的研究成果。基于多变量的公钥密码学将有限域上的一组二次多项式作为其公钥映射,其主要安全假设是求解有限域上非线性方程组的NP难问题。
最早的多元公钥密码学是1988年由等人提出的,在随后的20年里,清华大学邱成通数学科学中心的丁金泰、日本、台湾的杨博寅等众多知名学者在多元公钥密码学领域进行了激烈的讨论,并取得了良好的研究成果。自2010年以来,学者们主要关注多变量公钥密码学的三个方面:对加密和签名方案基础理论的深入研究和改进与优化,全同态加密(FHE)等热点领域的关键研究,以及对新算法设计结构的尝试和探索。据统计,自2006年以来,第八届后量子密码学国际会议收集的论文中有39%是针对多元密码学算法的设计与改进[36],远高于基于其他方法设计的后量子密码学算法,可见多元公钥密码学在后量子时代的地位和意义。
在众多多变量公钥密码系统中,进入NIST第三轮的多元签名算法是丁金泰教授在2005年设计的数字签名算法。该算法由于相对较小的有限域和基本的逻辑运算而具有较高的运算速度,并且由于其签名长度较短,该算法比其他签名算法更实用。该算法使用非平衡油醋 (UOV) 系统来创建特征,核心是多层 UOV 结构的中心映射。UOV系统是油醋(OV)系统的扩展,其中OV系统在签名过程中随机选择一组醋变量进入油醋多项式,然后结合签名消息m求解关于油变量的线性方程,而UOV系统是一个多层油醋系统, 也就是说,每一层都是油醋的多项式,上一层的所有变量都是下一层的醋变量。数字签名算法的具体过程如表7所示。
表7 数字签名算法的实现
自 1999 年以来,签名算法已经进行了各种密码分析,例如攻击、攻击、攻击等。直到 2022 年,签名算法才再次得到进一步改进,结果显示,对于 NIST 在第二轮提交的 SL 1 参数集的给定公钥,在标准笔记本电脑上,通过密钥恢复攻击,平均 53 小时可以返回相应的密钥。
虽然NIST第4轮的标准化候选算法中没有多元公钥密码学,但在一些注重算法效率的应用场景中,它可能会进入一个新的水平。
4.5 其他后量子密码学算法
除了上述四种主流算法外,量子密码学和基于同源的密码学也在密码学家的研究范围内。2012 年,Mosca 等人提出了量子单因素函数的候选方案,Mosca 等人研究了经典身份验证密钥交换框架中量子密钥的分布。2006年,引入了硬(HHS)的概念,并扩展了相关理论,为基于椭圆曲线同调的密码系统奠定了基础。同年,等人提出了一个适用于公钥密码学的新通用数学问题:对于有限域上的椭圆曲线,在给定的椭圆曲线之间计算同调性(代数同态),同时,提出了用于同调密码学的公钥密码学和-密钥协议。2014年,Jao等人发表了一种基于椭圆曲线同调的不可否认的数字签名方案。2017 年,Gélin 等人和 Ti 分别讨论了超奇异同源密码系统中的循环终止失败攻击和一级故障攻击。2022 年,Maino 和 Chi-Domínguez 为超级奇点同源密钥交换协议 (SIDH) 提出了不同的密钥恢复攻击方案。虽然这些后量子密码算法还没有像其他主流算法那样形成系统,但在不久的将来,这些后量子密码算法或者其他新的后量子算法将逐渐登上舞台。
后量子密码学的趋势
量子计算机的出现可以看作是新一代的技术革命,作为下一轮计算机迭代的发展方向,量子计算机在密码破解、机器学习、量子模拟等诸多领域具有独特的优势,量子计算机很有可能在未来成为人们日常生活的一部分。后量子密码学算法作为一种应对量子计算攻击的新型密码方案,只研究了30年左右,还有很多问题需要探索。
5.1 经典后量子密码算法的优化与扩展
量子计算的发展对密码学技术提出了更高的要求,同时也为密码分析技术的进步做出了贡献。尽管已经设计并研究了多种类型的后量子密码算法,但对这些密码算法的理论攻击仍然存在,例如第三轮NIST选择算法中对Kyber的密钥失配攻击,因此未来仍需要对现有的后量子密码算法进行改进。此外,算法的实际改进也具有重要意义。通过不断优化算法的参数设计,提高了算法的运行效率,降低了算法的时间复杂度和空间复杂度,使算法能够在实际应用中发挥作用。
5.2 量子算法和密码算法的结合
例如,Shor算法的发明解决了大整数分解的问题,该算法的提出提高了搜索速度,Simon算法的出现提供了一种求解函数周期的方法。一方面,将量子算法应用于后量子密码学的设计,可以提高运行效率,增强其可用性。另一方面,将量子算法应用于密码分析方法,可以从一定角度发现算法的潜在攻击可能性,优化算法参数,提高算法的安全性。
5.3 密码算法量子安全性评估
量子计算中的一些算法已被证明对经典密码算法具有有效的理论攻击,但尚不清楚此类攻击是否对后量子密码算法有效。同时,新的量子算法的出现是否会对现有的后量子算法构成威胁也是未知数,因此评估密码算法的量子安全性是未来的研究方向。
5.4 探索量子环境中的新数学问题
除了目前基于格子、哈希、多元和编码的后量子密码算法外,还需要研究和设计更多基于同源曲线或量子随机游走的后量子密码算法。此外,在量子计算机的优势之外探索研究设计的数学难点也是一个新方向。
结论
鉴于量子计算的发展,美国一直在实施一项庞大的量子计划,并公开宣布,当该项目进行到一定程度时,将不再对世界开放,这意味着我们将无法了解其他国家的最新研究进展, 这将在一定程度上影响中国的战略决策。同时,根据量子计算对网络空间安全的威胁,全球目标在反量子密码学研究上是统一的,但国家之间还存在一定的差距,之后,中国应该继续在量子计算和反量子密码学领域进行科学研究计划,缩小与西方的差距, 有效保障国家网络和信息安全。