1.3 后量子密碼

為了盡早部署能抵御量子計算攻擊的密碼算法，提前設(shè)計基于新型的、高效的、能抵抗量子計算機(jī)攻擊的困難問題的密碼算法，即后量子密碼（Post-Quantum Cryptography，PQC）算法，是當(dāng)今公鑰密碼學(xué)研究的重點(diǎn)內(nèi)容。2012年，美國國家標(biāo)準(zhǔn)與技術(shù)研究院（National Institute of Standards and Technology，NIST）宣布，現(xiàn)有的公鑰加密技術(shù)需要逐漸過渡到具有量子安全或者說后量子替代的方案（Post-Quantum Alternatives）上，并且正式啟動了后量子密碼的研究工作。2016年，NIST的PQC項目宣布正式開展后量子密碼標(biāo)準(zhǔn)征集工作[22-23]，主要聚焦公鑰加密算法（包括密鑰封裝機(jī)制）和數(shù)字簽名兩類后量子密碼算法的征集。在候選密碼算法的安全性分析方面，NIST建立了5個安全等級。其中，第Ⅰ級為至少與破解AES-128的困難程度相當(dāng)，第Ⅴ級則是以對AES-256密鑰的窮盡搜索為參照。NIST要求每個研究團(tuán)隊提交可以抵御量子計算攻擊的密碼算法的詳細(xì)文檔、工程實現(xiàn)和相關(guān)測試數(shù)據(jù)。此次后量子密碼標(biāo)準(zhǔn)征集競賽面向全球范圍展開，共有來自6大洲，25個國家和地區(qū)的密碼學(xué)家參與了競賽[24]。后量子密碼標(biāo)準(zhǔn)的第一輪方案提交截至2017年11月30日，NIST共收到82個后量子密碼算法方案。在進(jìn)行初步審查后，NIST最終公布了64個“完整且適合”的方案正式進(jìn)入第一輪篩選，具體見表1-1。其中，來自我國復(fù)旦大學(xué)、上海交通大學(xué)和密碼科學(xué)技術(shù)國家重點(diǎn)實驗室的相關(guān)研究團(tuán)隊也貢獻(xiàn)并提交了幾個后量子密碼方案。

表1-1 第一輪后量子密碼方案統(tǒng)計

在這64個候選方案中，主要包括由以下4類數(shù)學(xué)問題構(gòu)造的后量子密碼算法：基于格的（Lattice-based）共計26個，基于編碼的（Code-based）共計19個，基于多變量的（Multivariate-based）共計9個，基于哈希的（Hash-based）共計3個。經(jīng)過為期一年多的評估，已有近1/3的方案被發(fā)現(xiàn)存在各類安全缺陷，近1/5的方案已被徹底攻破。NIST于2019年1月31日宣布[25]，只有26個后量子密碼方案成功進(jìn)入了第二輪半決賽篩選。其中，基于格的有12個，基于編碼的有7個，基于多變量的有4個，具體見表1-2。

表1-2 第二輪后量子密碼方案統(tǒng)計

再次經(jīng)歷一年半的嚴(yán)格評選后，2020年7月22日，NISI宣布只有7個后量子密碼方案入圍了第三輪決賽篩選[26]。其中，公鑰加密算法和密鑰封裝機(jī)制方案包括Classic McEliece、CRYSTALS-KYBER（簡稱Kyber）、NTRU（Number Theory Research Unit）和SABER（也稱Saber），數(shù)字簽名方案包括Rainbow（彩虹簽名）、FALCON和CRYSTALS-DILITHIUM。除Classic McEliece和Rainbow外，其他5個均為基于格的后量子密碼方案。按照NIST PQC項目的規(guī)劃[27]，最終的審查工作同樣將持續(xù)一年到一年半，預(yù)計在2024年，后量子密碼的標(biāo)準(zhǔn)化工作正式完成。這些方案中將有一個或幾個會成為最終的后量子密碼方案標(biāo)準(zhǔn)。

除NIST PQC項目在推進(jìn)后量子密碼算法的標(biāo)準(zhǔn)化進(jìn)程外，其他國際組織同樣也在積極部署：IEEE P1363.3工作組已經(jīng)標(biāo)準(zhǔn)化了一些基于格的密碼算法[28]；歐盟專家組PQCRYPTO和SAFEcrypto針對后量子密碼方案提出了建議并發(fā)布了相關(guān)報告[29-30]；ISO/IEC JTC1/SC27機(jī)構(gòu)已經(jīng)對后量子密碼學(xué)進(jìn)行了為期兩年的研究，并且正在開發(fā)相關(guān)標(biāo)準(zhǔn)。后量子密碼很可能是一項在根本上改變?nèi)祟惿鐣畔踩男录夹g(shù)，將作為RSA、ECC等傳統(tǒng)公鑰加密算法的替代逐步融入信息化的工作和生活，為抵御量子計算機(jī)的攻擊做好充足的準(zhǔn)備。信息安全相關(guān)的行業(yè)將會產(chǎn)生巨大的變化，也將出現(xiàn)更多后量子密碼應(yīng)用方面的市場需求。