对比表格：数字签名方案、密钥交换协议、密码学协议、后量子密码学——密码学基础

文章目录

一、数字签名方案
- [1.1 ECDSA：基于椭圆曲线的数字签名算法](#1.1 ECDSA：基于椭圆曲线的数字签名算法)
- [1.2 EdDSA：Edwards曲线数字签名算法](#1.2 EdDSA：Edwards曲线数字签名算法)
- [1.3 RSA-PSS：带有概率签名方案的RSA](#1.3 RSA-PSS：带有概率签名方案的RSA)
- [1.4 数字签名方案对比](#1.4 数字签名方案对比)
二、密钥交换协议
- [2.1 Diffie-Hellman密钥交换](#2.1 Diffie-Hellman密钥交换)
- [2.2 ECDH：椭圆曲线Diffie-Hellman密钥交换](#2.2 ECDH：椭圆曲线Diffie-Hellman密钥交换)
- [2.3 量子抗性密钥交换协议：CRYSTALS-Kyber](#2.3 量子抗性密钥交换协议：CRYSTALS-Kyber)
- [2.4 密钥交换协议对比](#2.4 密钥交换协议对比)
三、密码学协议
- [3.1 TLS 1.3：传输层安全协议](#3.1 TLS 1.3：传输层安全协议)
- [3.2 Signal协议：端到端加密通信](#3.2 Signal协议：端到端加密通信)
- [3.3 IKEv2：互联网密钥交换协议](#3.3 IKEv2：互联网密钥交换协议)
- [3.4 密码学协议对比](#3.4 密码学协议对比)
四、后量子密码学
- [4.1 基于格的密码学](#4.1 基于格的密码学)
- [4.2 基于哈希的密码学：SPHINCS+](#4.2 基于哈希的密码学：SPHINCS+)
- [4.3 基于多变量多项式的密码学：Rainbow](#4.3 基于多变量多项式的密码学：Rainbow)
- [4.4 基于超椭圆曲线同源系统的密码学：SIKE](#4.4 基于超椭圆曲线同源系统的密码学：SIKE)
- [4.5 后量子密码学方案对比](#4.5 后量子密码学方案对比)

这一部分作为了解吧，前几章有代码，可以深入学习一下。

同系列：

一、数字签名方案

数字签名是现代信息安全体系中的基石，它为数字通信提供了身份验证、数据完整性和不可否认性。想象一下，在物理世界中，你用独特的笔迹签署文件；在数字世界中，数字签名扮演着类似角色，但提供了更强的安全保障。

1.1 ECDSA：基于椭圆曲线的数字签名算法

椭圆曲线数字签名算法(ECDSA)是一种使用椭圆曲线密码学的数字签名方案。与传统的RSA签名相比，ECDSA能够提供相同的安全强度，但使用更短的密钥长度。

工作原理：

密钥生成：选择一条椭圆曲线和基点G，生成私钥d（随机数）和公钥Q=d×G
签名生成：计算消息哈希，使用私钥和随机数k生成签名对(r,s)
签名验证：使用发送者的公钥验证签名的有效性

应用场景：

比特币和以太坊等区块链技术
TLS/SSL安全通信
数字证书签名

优势：

高效率：相比RSA，计算速度更快
紧凑性：较短的密钥长度和签名大小
强安全性：256位ECDSA提供与3072位RSA相当的安全强度

工具与实现：

OpenSSL库（支持各种编程语言）
专业密码库如Bouncy Castle (Java)
区块链开发工具如web3.js（以太坊）

1.2 EdDSA：Edwards曲线数字签名算法

EdDSA (Edwards-curve Digital Signature Algorithm) 是一种基于扭曲Edwards曲线的数字签名算法，最著名的实现是Ed25519。

工作原理：

密钥生成：从私钥种子导出扩展私钥，计算公钥
签名生成：使用确定性方法（无需随机数生成器），降低实现错误风险
签名验证：验证签名与消息和公钥的关系

主要特点：

确定性签名：相同消息和密钥总是产生相同签名
批量验证：可高效验证多个签名
没有特殊情况：简化实现，减少安全漏洞

应用场景：

Signal等安全通信软件
SSH密钥认证
DNSsec域名系统安全扩展

工具与库：

libsodium（跨平台密码学库）
NaCl（Networking and Cryptography library）
Ed25519实现库（多种编程语言）

1.3 RSA-PSS：带有概率签名方案的RSA

RSA-PSS (Probabilistic Signature Scheme) 是RSA签名的一种现代变体，增加了随机性元素，提高了安全性。

技术细节：

使用掩码生成函数(MGF)添加随机性
对消息进行盐化处理，使得即使相同消息的多次签名也会产生不同结果
包含严格的数学证明，满足选择性伪造攻击下的安全性

应用场景：

企业级PKI基础设施
数字证书生成
文档签名系统

优势与劣势：

优势：更强的安全性证明，抵抗选择性伪造攻击
劣势：计算开销较大，对嵌入式设备有挑战

实现工具：

OpenSSL (RSA-PSS模式)
Microsoft CryptoAPI
PKCS#11兼容设备和库

1.4 数字签名方案对比

特性	ECDSA	EdDSA	RSA-PSS
安全级别(等效位长)	256位	255位	3072位
签名大小	64字节	64字节	384字节
签名速度	快	非常快	慢
验证速度	中等	快	快
随机数需求	高质量随机数(关键)	不需要(确定性)	需要盐值
数学基础	椭圆曲线离散对数	扭曲Edwards曲线	大数分解
量子抵抗性	弱	弱	弱
实现复杂度	中等	低(简单)	高
标准化状态	FIPS 186-4, SEC1	RFC 8032	PKCS#1 v2.2, RFC 8017

二、密钥交换协议

密钥交换是现代加密通信的基础环节，它解决了一个根本问题：如何在不安全的通道上安全地建立共享密钥。这些协议允许通信双方在没有预共享秘密的情况下，协商出一个双方都知道但窃听者无法获取的共同密钥。

2.1 Diffie-Hellman密钥交换

Diffie-Hellman密钥交换（DH）是第一个公开的密钥交换协议，由Whitfield Diffie和Martin Hellman于1976年提出，是现代密码学的里程碑。

工作原理：

双方共享两个公共参数：一个大素数p和一个基数g
Alice生成私钥a，计算公钥A = g^a mod p，并发送A给Bob
Bob生成私钥b，计算公钥B = g^b mod p，并发送B给Alice
Alice计算共享密钥 K = B^a mod p
Bob计算共享密钥 K = A^b mod p
两者得到相同的密钥K = g^(ab) mod p

安全基础 ：

基于离散对数问题的困难性。即使攻击者知道p、g、A和B，计算私钥a或b在计算上仍然不可行。

应用场景：

IPsec VPN
早期TLS版本
SSH密钥协商

局限性：

易受中间人攻击，需要额外认证机制
计算强度较大，对有限资源设备有挑战
对量子计算攻击无防护

实现工具：

OpenSSL的DH函数
Java JCE (Java Cryptography Extension)
wolfSSL（嵌入式系统）

2.2 ECDH：椭圆曲线Diffie-Hellman密钥交换

ECDH是Diffie-Hellman密钥交换的椭圆曲线变体，提供了相同的功能，但有更高的效率和安全性。

技术细节：

双方共享椭圆曲线参数和基点G
Alice生成私钥a，计算公钥A = aG（椭圆曲线点乘）
Bob生成私钥b，计算公钥B = bG
Alice计算共享点 S = aB
Bob计算共享点 S = bA
两者得到相同的点S = abG，通常使用S的x坐标作为共享密钥

优势：

更小的密钥尺寸（256位ECDH≈3072位DH）
更快的计算速度
降低带宽和存储需求

应用场景：

TLS 1.2/1.3
移动应用加密通信
物联网设备安全通信

常用曲线：

P-256（NIST推荐）
Curve25519（更高效，广泛使用于现代系统）
Brainpool曲线（欧洲标准）

工具与库：

BoringSSL/OpenSSL的EC函数
libsodium（X25519实现）
Bouncy Castle加密库

2.3 量子抗性密钥交换协议：CRYSTALS-Kyber

随着量子计算的发展，传统的密钥交换协议面临风险。CRYSTALS-Kyber是NIST后量子密码标准化进程中的获胜者，提供了对抗量子计算攻击的密钥封装机制(KEM)。

工作原理：

基于格密码学中的模块学习带错误问题(MLWE)
使用多项式运算而非大数或椭圆曲线运算
包含独特的噪声采样和错误校正机制

技术特点：

提供IND-CCA2安全性（适应性选择密文攻击下的安全）
支持密钥封装机制(KEM)而非直接的密钥交换
平衡了安全性、性能和密钥/密文大小

优势与挑战：

优势：抵抗量子计算攻击，高效实现
挑战：较大的密钥和密文尺寸，新技术的部署复杂性

标准化状态：

2022年被NIST选为后量子密钥封装标准
正在整合到TLS、SSH等协议中

实现工具：

libpqcrypto（后量子密码库）
Open Quantum Safe项目
BoringSSL实验分支

2.4 密钥交换协议对比

特性	Diffie-Hellman	ECDH (Curve25519)	CRYSTALS-Kyber
公钥大小	256-512字节	32字节	800-1568字节
私钥大小	256字节	32字节	1632-3168字节
计算效率	低	高	中等
带宽需求	高	低	高
数学基础	离散对数问题	椭圆曲线离散对数	模块化学习带错误
量子抵抗性	无	无	强
成熟度	非常成熟	成熟	新兴
典型应用	传统VPN	TLS 1.3, Signal	后量子TLS (实验)
安全等级	128位 (3072位参数)	128位	128-256位

三、密码学协议

密码学协议整合了各种密码学原语（如加密、签名、密钥交换）来实现特定的安全目标。这些协议是现代安全通信和数据交换的基础。

3.1 TLS 1.3：传输层安全协议

TLS (Transport Layer Security) 1.3是互联网安全通信的基石，于2018年标准化，替代了旧版本TLS和过时的SSL协议。

核心创新：

简化握手：将加密协商减少到1-RTT（往返时间）
0-RTT恢复：允许客户端在首个消息中发送加密数据
前向安全性：即使长期密钥泄露，过去会话仍受保护
删除了不安全的算法：如RC4、DES、3DES、SHA-1等
强制加密所有握手消息：增强隐私保护

技术细节：

密钥导出：使用HKDF（基于HMAC的密钥派生函数）
握手过程：客户端Hello → 服务器Hello+加密扩展+证书+完成 → 客户端完成
加密套件：采用AEAD（认证加密与关联数据）如AES-GCM和ChaCha20-Poly1305
支持PSK（预共享密钥）和票据机制实现会话恢复

应用场景：

HTTPS网页加密
API安全通信
企业级VPN解决方案

实现工具：

OpenSSL 1.1.1+
GnuTLS 3.6.3+
wolfSSL 4.0+
BoringSSL（Google维护）

3.2 Signal协议：端到端加密通信

Signal协议是现代端到端加密即时通信的黄金标准，由Open Whisper Systems开发，提供了一系列强大的安全属性。

关键特性：

前向安全性：即使私钥泄露，过去的通信仍然安全
后向安全性（又称"未来安全性"）：即使当前密钥泄露，未来通信仍然安全
抵抗重放、中间人和会话操纵攻击
隐藏元数据：最小化敏感通信模式泄露

技术组件：

X3DH（扩展三重DH）：初始密钥协商
Double Ratchet算法：持续更新密钥
预共享密钥：抵抗未来量子计算攻击
AEAD加密：确保消息机密性和完整性

工作流程：

注册：用户生成身份密钥对、签名预密钥和一批一次性预密钥
初始协商：使用X3DH建立初始共享密钥
会话维护：通过Double Ratchet算法定期更新密钥
消息传递：使用派生密钥加密消息，确保安全属性

应用产品：

Signal Messenger
WhatsApp
Facebook Messenger私密对话
Google Messages的RCS加密

实现库：

libsignal（多平台实现）
Signal Protocol Java库
Signal Protocol JavaScript库

3.3 IKEv2：互联网密钥交换协议

IKEv2 (Internet Key Exchange version 2) 是IPsec VPN的关键组件，负责认证VPN对等体并建立安全关联(SA)。

协议功能：

相互认证：确保连接双方身份
密钥协商：安全生成共享密钥
建立安全关联：定义IPsec通信参数
支持NAT穿越：解决网络地址转换问题
快速恢复：提高移动设备连接可靠性

技术细节：

消息交换格式：请求/响应对，简化错误处理
认证方法：预共享密钥、数字证书、EAP
DH密钥交换：支持多种组，包括椭圆曲线选项
生存检测：快速检测失效连接
密钥材料生成：使用PRF（伪随机函数）

应用场景：

站点到站点VPN
远程访问VPN
移动VPN连接（特别适合切换网络）

主要实现：

strongSwan（开源IKEv2实现）
Cisco IOS/IOS-XE
Windows 10/11内置VPN客户端
iOS/macOS内置VPN客户端

3.4 密码学协议对比

特性	TLS 1.3	Signal协议	IKEv2
主要用途	Web安全、API通信	即时消息加密	VPN隧道建立
握手往返次数	1-RTT (0-RTT恢复)	异步/非交互式	2-RTT
前向安全性	支持	强支持(每消息)	支持(可选)
后向安全性	不支持	支持	不支持
认证方法	证书、PSK	身份密钥+指纹验证	PSK、证书、EAP
密钥协商	(EC)DHE	X3DH+Double Ratchet	(EC)DHE
协议复杂度	中等	高	高
故障恢复能力	中等	强	强
部署普及度	极高	高(即时通讯)	高(企业VPN)
标准化	IETF RFC 8446	开放规范	IETF RFC 7296

四、后量子密码学

后量子密码学(PQC)是为了应对量子计算威胁而发展的新型密码学分支。量子计算机一旦实用化，将能通过Shor算法快速破解RSA、ECC等传统密码系统。后量子密码学提供了能够抵抗量子计算攻击的替代方案。

4.1 基于格的密码学

格密码学是后量子密码学中最成熟、应用最广泛的分支，基于格中的硬问题。

NTRU

NTRU是最早的实用格基加密系统之一，基于多项式环中的格问题。

技术原理：

使用两个小系数多项式作为私钥
公钥是这两个多项式的商在特定环中的表示
加密通过与随机多项式的组合实现
解密使用私钥多项式执行逆运算

优势：

高效实现：比RSA和ECC快数倍
专利过期：可自由使用
长期安全研究：自1996年提出以来持续研究

应用场景：

长期数据加密
嵌入式系统加密
物联网安全通信

实现工具：

NTRU Open Source Project
OpenQuantumSafe库
Bouncy Castle新版

CRYSTALS-Kyber

Kyber是NIST后量子密码标准化过程中的获胜者，采用模块化学习带错误(MLWE)问题。

技术特点：

模块化设计：更高效的实现和验证
可调参数集：根据安全需求和性能平衡
CCA2安全：抵抗自适应选择明文攻击

应用前景：

成为后量子TLS的标准KEM
替代现有密钥协商协议
用于混合加密方案

实现状态：

正在集成到主流密码库
多语言实现可用
TLS和SSH的实验性支持

4.2 基于哈希的密码学：SPHINCS+

SPHINCS+是一种无状态哈希基签名方案，仅依赖哈希函数的安全性，不需要额外的密码学假设。

关键技术：

超树结构：使用多层默克尔树
少量签名：减少签名大小和生成时间
FORS（Forest of Random Subsets）：提高安全性和效率

优缺点：

优点：保守安全假设，仅依赖哈希函数
缺点：大签名尺寸（约30KB）和较慢的签名生成

适用场景：

固件验证
软件发布签名
长期证书

实现工具：

SPHINCS+参考实现
PQClean项目
Open Quantum Safe框架

4.3 基于多变量多项式的密码学：Rainbow

Rainbow是一种多变量公钥密码系统，基于多变量二次方程组求解的困难性。

技术细节：

油和醋结构：特殊结构使签名生成高效
多层设计：平衡安全性和效率
小签名尺寸：相比其他后量子方案优势明显

安全状态：

注意：2022年被发现存在安全问题
不再被推荐用于生产环境
研究继续改进下一代方案

研究价值：

多变量密码学仍是重要研究方向
为未来抗量子签名提供思路
合适参数集可能恢复安全性

4.4 基于超椭圆曲线同源系统的密码学：SIKE

SIKE (Supersingular Isogeny Key Encapsulation) 基于超奇异椭圆曲线同源图的计算困难性。

原理概述：

使用超奇异椭圆曲线的同源映射
公钥是曲线变换的结果
私钥是产生特定同源的整数
共享秘密通过计算特殊曲线上的j-不变量获得

技术特点：

最紧凑的后量子方案：密钥和密文尺寸小
基于传统椭圆曲线操作：可利用现有硬件加速
计算密集型：操作复杂且计算量大

安全状态：

注意：2022年被Castryck-Decru攻击破解
已退出NIST标准化流程
研究团队正开发改进版本

研究意义：

同源密码学仍是活跃研究领域
为紧凑型后量子方案提供思路
改进版本可能修复当前缺陷

4.5 后量子密码学方案对比

特性	NTRU	CRYSTALS-Kyber	SPHINCS+	Rainbow	SIKE
密码类型	加密/KEM	KEM	签名	签名	KEM
数学基础	格问题	模块化格问题	哈希函数	多变量方程	同源图
公钥大小	699-1230字节	800-1568字节	32-64字节	~60KB	~330字节
密文/签名大小	699-1230字节	768-1568字节	~17-50KB	~33字节	~330字节
运算速度	快	快	慢	中等	非常慢
标准化状态	备选	NIST第一轮选定	NIST第一轮选定	已淘汰	已淘汰
安全状态	安全	安全	安全	已攻破	已攻破
实现成熟度	高	中高	中	中	中
主要优势	长期研究	效率与安全平衡	保守安全假设	小签名尺寸	小密钥尺寸
主要劣势	参数选择复杂	相对新	大签名尺寸	安全问题	已被攻破