1. 引言
抗量子算法在后量子密码学中发挥关键作用,用于应对对数字签名和现有加密方法的威胁。
随着时间推移,量子计算机(量子计算机)终将发展到可以破解当前广泛使用的加密算法,如 Rivest-Shamir-Adleman(RSA)、Diffie-Hellman 以及高级加密标准(AES)。当前正在进入后量子密码学时代,而现有加密保护机制的不可避免失效,正推动新型抗量子算法的研发。
抗量子算法通过引入更复杂的数学问题来提供新的解决方案,这些问题对于量子计算机而言并不容易求解。由于目前尚无法确定这些新算法的长期安全性,因此通常会并行推进多种方案,以便在某些算法被攻破时仍有替代选择。
2. 抗量子算法的重要性
当前使用的密码算法之所以安全,是因为破解它们需要极长时间------可能是数千年。这种安全性被称为"计算安全性"(computational security )。然而,在量子计算机面前,这种安全性将不复存在。理论上,一台拥有超过 4000 个稳定量子比特(qubits)的量子计算机,可以在几秒钟内破解 2048 位的 RSA(RSA)加密。
目前还没有量子计算机拥有如此规模的稳定量子比特,但关于"具备密码学意义的量子计算机"(CRQC,cryptographically relevant quantum computer)何时出现的预测,普遍集中在 2030 至 2035 年之间。这意味着准备时间并不充裕,因为大型组织完成向抗量子算法的迁移,可能需要长达 10 年甚至更久。
后量子密码学(PQC,post-quantum cryptography)的研究已经持续多年。早在 1994 年,Peter Shor 提出了 Shor 算法,这是第一个专门用于破解现有加密算法的量子算法。此后,NIST 已经评估并认证了四种抗量子算法,并正在推进第五种算法,以应对 Shor 算法及其他量子攻击。
Google Cloud 机密计算与加密产品管理总监 Nelly Porter 表示:
"量子计算在短期内最现实的威胁,是其能够破解广泛使用的公钥密码系统,这将危及数字通信的安全性和隐私。"
量子计算同样威胁到数字签名的完整性。数字签名用于验证消息或文档的来源,并确保其未被篡改。
Porter 补充道:
"这对于建立数字通信中的信任至关重要。我们必须确保能够防止数字签名被伪造,尤其是在长期固件和软件更新场景中。"
3. 抗量子算法是如何工作的?
当今的加密算法通常基于生成由两个或多个大质数组成的私钥,并将它们相乘得到结果。这个结果成为公钥的一部分,其他人可以使用它来加密发送给接收方的消息。接收方则使用最初的质数(私钥)来解密消息。然而,量子计算机可以从公钥中快速推导出私钥。
RSA 以及其他加密算法通过不断使用更大的质数来维持"计算安全性"。但当攻击者拥有量子计算机时,这种方式将不再有效,因此需要采用以下替代性的后量子密码学(PQC)方法。
- 1)基于格的密码学(Lattice-based cryptography)
- 2)基于哈希的密码学(Hash-based cryptography)
- 3)基于编码的密码学(Code-based cryptography)
3.1 基于格的密码学(Lattice-based cryptography)
基于格的密码学(LBC)依赖于复杂的数学问题,这些问题建立在"格"结构之上------可以将其理解为多维空间中由无限交叉线构成的网格。LBC 的安全性依赖于在该网格中识别特定点。
其中,一组点可以表示私钥,另一组点表示公钥。在低维空间中推导这些密钥对相对容易,因此为了抵御量子计算攻击,LBC 通常需要使用数百维的高维空间。
3.2 基于哈希的密码学(Hash-based cryptography)
基于哈希的密码学使用一种称为"哈希函数"的算法,将任意数据形式的密钥转换为唯一的哈希值或密文。该哈希值是一个固定长度的字母数字字符串,也称为"摘要"(digest)。
基于哈希的一次性签名(OTS,one-time signature )方案中,每个密钥对只能用于签名一次,否则该密钥对将面临被伪造签名的风险。
3.3 基于编码的密码学(Code-based cryptography)
基于编码的密码学依赖使用纠错码的密码系统。其过程是通过数学方式对私钥进行变换(本质上是引入错误),从而生成公钥。这些"错误"只能由接收方解码。
基于编码的密码学被认为对量子计算攻击具有较强的抗性。
4. 抗量子算法的示例
NIST 已发布以下四个后量子密码学(PQC)加密标准。其中一些用于通用加密,另一些用于数字签名:
- FIPS 203 是主要的通用加密标准。之所以被选中,部分原因在于其加密密钥相对较小,更易于交换,并且运行速度较快。FIPS 203 是一种基于格的算法,源自 CRYSTALS-Kyber 算法,目前称为基于模块格的密钥封装机制(ML-KEM)。
- FIPS 204 是保护数字签名的主要标准,同样基于格算法。它使用 CRYSTALS-Dilithium 算法,目前称为基于模块格的数字签名算法(ML-DSA,Module-Lattice-Based Key-Encapsulation Mechanism)。
- FIPS 205 也用于数字签名,源自 基于哈希的 Sphincs+ 算法,目前称为无状态基于哈希的数字签名算法(SLH-DSA)。NIST 将 FIPS 205 作为 FIPS 204 的备用方案。
- FIPS 206 源自 FALCON 基于格的算法,目前称为 FN-DSA(基于 NTRU 格并结合快速傅里叶变换的数字签名算法,Fast-Fourier Transform over NTRU-Lattice-Based Digital Signature Algorithm)。该标准同样用于数字签名。
尚未最终确定的 Hamming Quasi-Cyclic(HQC)算法,被规划为通用加密标准,用于在 FIPS 203 被攻破时作为备份。与 FIPS 203 类似,HQC 使用密钥封装机制在公开信道上传输共享密钥。但 HQC 采用基于编码的密码学方法,安全性更高,但计算开销也更大。
一些厂商已经开始在产品中采用 NIST 的 PQC 标准。如,Google Cloud 的 Cloud KMS 已通过其 API 提供基于 FIPS 203、204 和 205 的抗量子数字签名能力。
5. 开发抗量子算法的挑战
开发抗量子算法最大、也是最明显的挑战在于未知因素。抗量子密码学面临的挑战主要包括:
- 第一代具备实际密码破解能力的量子计算机(CRQC)性能会有多强?
- 技术演进速度会有多快?
- 潜在对手(如国家级力量)在发现抗量子算法漏洞方面进展如何?
正是由于这些不确定性,NIST 才会同时认证多个备选的 PQC 标准。
"没有人知道中国是否已经破解了 NIST 的 CRYSTALS 格算法。"
------ Safe Quantum CEO John Prisco
Safe Quantum 首席执行官 John Prisco 表示,抗量子算法随着时间推移很可能被攻破。他建议采用"纵深防御"(defense in depth)策略,将量子技术与数学算法结合,以降低风险。
6. 抗量子发展的未来将如何?
抗量子发展的首要目标是多样性。由于目前尚无法在具备实际密码破解能力的量子计算机(CRQC)环境中验证这些算法,因此必须准备多种方案,以防其中部分被攻破。同时,现有的后量子密码(PQC)算法也会持续改进。
Nelly Porter 表示:"研究人员将持续优化后量子密码算法,使其更加高效,包括更小的密钥尺寸和更快的计算速度。这对于资源受限的设备尤为重要。"
Porter 以及其他专家普遍认为,未来的抗量子算法将具备以下特征:
- 更加多样化:部分算法用于通用加密需求,部分则针对特定应用场景优化
- 依赖更复杂的数学问题:以构建更强的抗量子安全性
- 与现有体系融合:逐步集成到当前的加密实践、软件、硬件以及通信协议中
- 与传统加密结合:形成混合加密体系(hybrid cryptography),提升整体安全性
John Prisco 认为,在后量子时代保护敏感数据的最佳方式,是将抗量子算法与量子密钥分发(QKD)结合使用。QKD 能让通信双方生成共享的随机密钥,再配合抗量子算法实现安全通信。
他还指出,中国正在大力投资 QKD 技术,并表示:"这就像一次'斯普特尼克时刻',应该促使美国量子领域加大在 QKD 和 PQC 方面的投入。"
Prisco 进一步强调:
"要与当今的安全防护体系竞争,必须采用纵深防御(defense in depth)策略。所谓信息论安全(information-theoretic security),是指在无限时间和计算能力下也无法被破解的加密方式。QKD 已经具备这种特性,应当在美国得到更广泛的部署与发展。"
然而,量子密钥分发(QKD)也存在一些缺点:成本较高、需要专用设备和暗光纤(dark fiber),并且在传输距离上存在限制。IBM 虽然发明了 QKD 协议 BB84,但在商业化方面投入并不多。Ray Harishankar 表示:"QKD 擅长解决特定类型的问题,而后量子密码学是一种更通用的解决方案。"
抗量子算法的应用范围也将从企业和政府网络扩展到企业与消费者使用的各类设备。不过,某些抗量子算法在这些设备上的表现可能并不理想。
Ray Harishankar 指出:"如果考虑更小型的设备,比如 ATM 机、物联网设备或车载嵌入系统,我们就需要寻找替代方案。加密无处不在------如医疗设备也在加密数据。在这些不同场景中,需要针对不同形态(form factor)的设备采用不同的算法。我们要么优化现有算法的性能,要么开发更适合目标设备的新算法。"
参考资料
1\] Michael Nadeau 2025年4月9日博客 [Quantum-resistant algorithms: Why they matter](https://www.techtarget.com/searchcio/tip/Quantum-resistant-algorithms-Why-they-matter)