1、后量子密码应用研究报告(2023 年)“密码+”应用推进计划 2023 年 11 月 II 编写委员会 编写单位编写单位(排名不分先后):“密码+”应用推进计划、中国信息通信研究院云计算与大数据研究所、复旦大学、长春吉大正元信息技术股份有限公司、上海泓格后量子科技有限公司、华为技术有限公司、之江实验室、蚂蚁区块链科技(上海)有限公司、中国农业银行股份有限公司、银联商务股份有限公司、中国银行软件中心、中国金融认证中心、北京数字认证股份有限公司、中电科网络安全科技股份有限公司、北京信安世纪科技股份有限公司、兴唐通信科技有限公司、中国科学院信息工程研究所、四川轻化工大学、中国电信研究院、杭州量安科技
2、有限公司、上海图灵智算量子科技有限公司、信通数智量子科技有限公司、浙江九州量子信息技术股份有限公司、郑州信大捷安信息技术股份有限公司、安徽华典大数据科技有限公司 编写编写人员人员(排名不分先后):徐秀、何阳、马聪、武昱、赵运磊、韩璇、李健、梁志闯、李强、王贵林、刘亚敏、刘哲、戴望辰、蓝怡琴、余剑斌、刘邓、文黎明、祁玉琼、姜磊、李昀、李凯、孙冬旎、林立、郭智慧、高文华、李向锋、张小青、秦体红、朱桂桢、李帅钢、毕蕾、高媛媛、金贤敏、陈立权、王稀、魏瑛、王靖然、张峰、方黎明、於建江、黄大骏、刘为华、汪国航、叶辉、金凡、秘相友、张翼、胡军华、郭笑兵 III 前言前言 密码技术是国之重器,在当前复杂的国
3、际形势下,密码技术作为网络空间安全关键技术的重要性更为凸显。但是随着量子计算的快速发展,现阶段部署的一些经典密码算法(特别是公钥密码算法)将受到巨大的安全性挑战。如果量子计算机到来,将对当前密码技术带来颠覆性影响,严重影响信息系统安全与稳定运行,甚至影响国家安全。因此,当前围绕抗量子计算的新一代密码技术后量子密码成为全球竞争的焦点和战略抓手。本研究报告系统性分析了当前量子计算对经典密码的威胁、量子计算发展的进展以及后量子密码发展的必要性。量子计算机的发展超过预期,后量子密码迁移必须尽早提上日程。当前美、欧各国都在密集地发布后量子密码相关的战略计划,后量子的国际标准化进程也在紧锣密鼓地推进。针对
4、当前后量子密码的技术路线和后量子密码应用研究现状,本研究报告创新性地提出“两把锁、双保险”的混合式后量子密码迁移方案,并研究了行业迁移策略、预测了迁移时间、分析了迁移挑战。后量子密码迁移是一项庞大而紧迫的工程,会面临算法技术、法律合规、专利等方面的风险,还要消耗巨大的成本,必须提前考虑各种潜在风险,提早布局,安全设计,稳步迁移。最后,本研究报告从顶层规划、自主技术储备、标准体系建设、构建迁移生态、健全密码人才队伍等方面给了后量子密码发展建议。IV 目录 前言.III 1.量子计算威胁现状.3 1.1 量子计算及其对经典密码的威胁.3 1.2 量子计算发展现状.4 1.3 量子安全技术路线.5
5、1.3.1 量子密码技术.5 1.3.2 后量子密码技术.6 2.后量子密码研究现状.7 2.1 后量子密码发展的必要性.7 2.2 后量子密码发展政策.8 2.2.1 美国.8 2.2.2 欧盟.9 2.2.3 英国.10 2.2.4 德国.11 2.2.5 法国.11 2.2.6 加拿大.11 2.2.7 中国.12 2.3 后量子密码技术路线.12 2.3.1 基于格.12 2.3.2 基于哈希.13 V 2.3.3 基于编码.13 2.3.4 基于多变量.14 2.3.5 基于同源.14 2.3.6 其他.15 2.3.7 总结.15 2.4 后量子密码标准化进展.16 2.4.1 国
6、际标准进展.16 2.4.2 国内标准进展.21 3.后量子密码应用现状.23 3.1 后量子 PKI.23 3.2 后量子 SSL/TLS.23 3.3 后量子区块链.24 3.4 后量子可信启动.27 3.5 后量子安全存储技术.28 4.后量子密码迁移研究.30 4.1 后量子密码迁移方案.30 4.1.1 混合方式.30 4.1.2 行业迁移策略.33 4.2 后量子密码迁移时间预测.35 4.3 后量子密码迁移挑战.39 4.3.1 算法技术风险.39 4.3.2 法律合规风险.40 VI 4.3.3 迁移成本巨大.41 4.3.4 人员储备不足.42 4.3.5 标准的专利风险.4
7、2 5.后量子密码发展建议.46 5.1 强化政策顶层设计.46 5.2 加强自主技术储备.46 5.3 推动标准体系建设.47 5.4 构建密码迁移生态.47 5.5 健全密码人才队伍.48 参考文献.49 1 缩 略 语 NIST National Institute of Standards and Technology 美国国家标准与技术研究院 BSI Bundesamt fr Sicherheit in der Informationstechnik 德国信息安全联邦办公室 BMI Bundesministerium des Innern 德国联邦内政部 BMBF Bundesmin
8、isterium f r Bildung und Forschung 德国联邦教育与科研部 NSTC United States National Research Council 美国国家科学与技术委员会 ANSSI Agence nationale de la s curit des syst mes dinformation 法国信息系统安全局 NLNCSA Netherlands National Communications Security Agency 荷兰国家通信安全局 EuroHPC JU European High-Performance Computing Joint U
9、ndertaking 欧洲高性能计算联合中心 NSA National Security Agency 美国国家安全局 NCSC National Cyber Security Centre 英国国家网络安全中心 NIST IR NIST Interagency Report NIST内部报告 ISO International Organization for Standardization 国际标准化组织 CRYPTREC Cryptography Research and Evaluation Committees 日本密码学研究和评估委员会 ECC Elliptic curve cry
10、ptography 椭圆曲线密码学 QKD Quantum Key Distribution 量子密钥分发 QSDC Quantum Security Direct Communication 量子安全直接通信 PQC/PQCrypto Post-quantum Cryptography 后量子密码 LWE Learning with Errors 容错学习 RLWE Ring-Learning with Errors 环上的容错学习 SIDH Supersingular Isogeny Diffie-Hellman 超奇异同源密钥交换 SIKE Supersingular Isogeny K
11、ey Encapsulation 超奇异同源密钥封装 PKI Public Key Infrastructures 公钥密码基础设施 UEFI Unified Extensible Firmware Interface 统一可扩展固件接口 2 图 表 目 录 图表 1 量子环境下经典密码的安全强度2.3 图表 2 各类抗量子密码算法特点总结.15 图表 3 安全启动过程.28 图表 4 QKD+PQC 的融合组网方式.33 图表 5 美国 NSA 发布的 CNSA 2.0 迁移时间线.37 3 1.量子计算威胁量子计算威胁现状现状 1.1 量子计算及其量子计算及其对对经典密码经典密码的威胁的威
12、胁 量子计算是结合了量子力学和计算机科学的一种新型计算方式,其基于量子力学原理、利用量子信息单元进行计算,与经典计算模式有很大差异。量子比特为量子计算的基本单元,具有叠加、纠缠等特性。量子计算机即利用量子比特进行信息处理和计算的非古典型计算机。早在 1980 年代,著名物理学家费曼便提出了基于量子力学规律制造计算机的设想。通过利用量子比特的叠加和纠缠特性,量子计算机有可能高效率解决一些在经典计算模式下“指数”级困难的问题。因此,量子计算机以其拥有强大的计算能力和在特定问题上的高效解决方案而成为了科学技术进程中备受关注的领域。量子计算的发展对密码学带来了巨大威胁。1994 年 Shor1提出的量
13、子算法,可以在多项式时间内快速分解大整数以及求解离散对数,理论上 Shor 算法可以彻底破解当前广泛应用的 RSA 和椭圆曲线公钥密码算法,因它们的安全基础分别为大整数分解和椭圆曲线离散对数问题。1996 年 Grover 提出的量子算法,对无序集中的搜索复杂度有开平方量级的降低,理论上也可以使对称密码算法例如分组加密、杂凑函数的安全强度减半。目前,在量子环境下传统密码算法的安全强度如下表所示:图表 1 量子环境下经典密码的安全强度2 密码体制密码体制 密码算法密码算法 密钥密钥/输出长度输出长度 安全强度安全强度 量子算法量子算法 传统计算 量子计算 4 公钥密码 RSA-1024 1024
14、bits 80bits 0bits Shor算法:破解 RSA-2048 2048bits 112bits 0bits ECC-256 256bits 128bits 0bits ECC-384 384bits 192bits 0bits SM2 256bits 128bits 0bits 对称密码 AES-128 128bits 128bits 64bits Grover算法:安全性减半 SM4 128bits 128bits 64bits AES-256 256bits 256bits 128bits 杂凑密码 SHA-256 256bits 128bits 64 bits Grover算
15、法:安全性减半 SM3 256bits 128bits 64bits 从表 1 中可看出,量子计算的发展对公钥密码算法的威胁更为严重,因 Shor 算法可以将 RSA 或 ECC 等密码算法彻底破解,这些算法不是量子安全的;而对于对称密码或杂凑密码的影响在可控范围内,可通过配置加倍安全参数的长度,如对称密码的密钥长度加倍,杂凑密码输出长度加倍等方式应对量子计算的威胁。1.2 量子计算量子计算发展现状发展现状 量子计算在各国及相关企业的投资和布局研究下取得了一些重要进展。在国家政策层面,多个国家都已经陆续推出了量子计算相关的政策,美国在 2018 年签署“量子科技发展战略”,欧盟在 2020年发
16、布“欧洲量子计算战略”,日本在 2017 年制定“量子科学技术战略”。在生态方面,2017 年 IBM 成立量子计算产业联盟,由世界500 强企业、学术机构、初创公司和国家研究实验室组成的全球性团体;国内的量子计算生态也在逐渐构建,诞生一批如阿里巴巴达摩院量子实验室、本源量子、国盾量子、启科量子等企业,专门从事量子计算研究和开发工作,开展各种基础研究和应用实践。在技术路线方面,量子计算机的实现技术主要有超导量子比特技术、离子阱技术和光量子计算技术等三种技术,其中超导量子计算机是发 5 展最快的路线,2022 年 IBM 的超导量子处理器 Osprey 已经达到了433 量子比特,预计未来 3
17、年将突破 1000 量子比特,到 2030 年实现100 万量子比特。(1)超导量子比特技术:基于约瑟夫森结,有较高的可控性和比特寿命,代表企业与研究机构包括 IBM、谷歌和本源量子。(2)离子阱技术:利用离子阱陷住原子离子,并通过激光进行操作控制,实现较高的保真度,代表企业与研究机构包括 IonQ 和Honeywell。(3)光量子计算技术:利用光子作为量子比特载体,具有较强的容错性和抗干扰力,代表企业与研究机构包括图灵量子、中国科学技术大学。1.3 量子安全技术路线量子安全技术路线 目前实现量子安全的技术路线主要有两类:量子密码技术和后量子密码技术(又称抗量子密码技术)。1.3.1 量子密
18、码技术量子密码技术 量子密码技术是一种基于量子力学原理的加密方式,使用量子比特相互作用和测量来保证信息的安全性。量子密码技术中最实用的方案是量子密钥分发 QKD,已工程实用的 QKD 如基于诱骗态BB84 协议、GG02 协议以及与一次一密结合的加密技术均具有可证明安全性;量子安全直接通信 QSDC 是另一种量子密码技术,可在量子信道中直接传输秘密信息。与传统密码不同的是,量子密码技 6 术的安全性基于量子物理的本质特性:量子测不准原理、量子力学的不确定性、测量坍缩、纠缠粒子的关联性和非定域性。以量子密钥分发为代表的量子密码技术已经走向了实用化阶段。通过量子密钥和对称加密结合,利用 QKD 替
19、代公私钥的密钥协商技术,是目前量子密码技术的核心方法,这种新型的量子密码技术在产业技术标准化、量子基础设施组网、量子应用创新等方面都有较快的发展。国际电信联盟电信标准化部门 ITU-T、欧洲电信标准化协会 ETSI、国际标准化组织与国际电工委员会第一联合技术委员会ISO/IEC JTC1、电气与电子工程师协会 IEEE 等国际和区域性标准化组织布局开展量子密钥分发 QKD、量子密钥分发网络、量子计算、量子互联网等方面研究工作并取得阶段性成果。中国通信标准化协会 CCSA、密码行业标准化技术委员会 CSTC 和全国量子计算与测量标准化技术委员会 TC578 等国内标准组织积极布局和开展量子保密通
20、信、量子计算和测量等领域标准研究。1.3.2 后量子密码技术后量子密码技术 后量子密码仍然使用经典方式处理信息,只是与传统的 RSA 和椭圆曲线密码相比,其安全性基于不同的数学困难问题。后量子密码的发展史最早可以追溯到 1978 年的 McEliece 加密、Merkle 哈希树签名等。但当时,量子计算机对密码算法的威胁并没有很明确,也没有“后量子”的概念。由于量子计算技术的快速发展,开始形成“后量子密码”或“抗量子密码”的概念,即抵抗量子计算攻击 7 的密码算法。后量子密码技术还处于测试验证阶段,产业化发展仍需一段时间。2.后量子密码研究现状 2.1 后量子密码发展的必要性后量子密码发展的必
21、要性 在量子计算威胁的背景下,现阶段部署的一些传统密码算法将受到巨大的安全性挑战。这会严重影响到国家安全,破坏国家信用和国家主权。业界普遍认为后量子密码的研究和应用刻不容缓,应该尽早部署能够抵御量子威胁的后量子密码技术,从而将全球信息网络系统面临的总体风险降至最低。首先,具有强大密码破解能力的量子计算机近年来已经不断取得实质性进展,其发展速度超过预期。2019 年,谷歌和瑞典斯德哥尔摩皇家理工学院公布的一项研究成果,分析了量子计算机如何用2000 万个物理量子比特来计算,在 8 个小时内暴力破解 2048 位RSA 密码。这给我们发出了警醒,量子计算发展的进度不可预见,其发展速度超出预期,如果
22、量子威胁因为技术突变提前到来,将会导致量子危机。业界应比预想的时间要更早地实现从传统密码到后量子密码的升级换代。其次,对于需要长久保护的国家高机密高敏感数据,存在前向安全风险,即未来的量子计算机可能会破译这些机密数据。一些恶意组织将当前无法破译的信息保存起来,等到量子计算机商业化之后再来破译和攻击,以获取商业机密。所以,即便量子计算机 10 年 8 或 20 年之后才具有实质威胁,如果当前传输的数据具有较长期限的机密性或敏感性要求,那么这些数据仍然具有前向安全风险。因此在关系国防安全、国计民生、商业机密的战略领域应该尽早开始部署后量子密码技术。再者,后量子密码迁移是一项极为复杂的长期系统性工程
23、,需要耗费相当长的时间,必须提前规划。密码迁移一般要全面考虑算法安全性、算法性能、实施的便利性、合规性等方面。以往密码安全体系的迁移工作历时往往达到 10年以上,如 ECC早在 20 世纪 80年代就被提出,但它花了 20 多年才获得广泛的采用,目前我国的SM 系列国密标准的推广时间也约为 10 年。相比之下,后量子密码的过渡更为复杂,周期可能更长。再考虑到未来不断增长的密码安全需求,每一类别的后量子密码都只适用于部分应用场景,因此需结合应用场景的实际需求具体选择,客观上增加了后量子迁移的复杂程度。2.2 后量子后量子密码密码发展发展政策政策 2.2.1 美国美国 后量子密码和迁移战略方面,美
24、国发布和更新了诸多政策。2018 年 9 月,美国国家科学与技术委员会 NSTC 发布量子信息科学国家战略总览3。2018 年 12 月,美国政府发布国家量子规划法案,从法律上宣布成立国家量子规划 NQI4,以加速量子科技研发,促进美国经济发展和国家安全。2019 和 2020 年,美国通过国 9 防授权法案,由此美国国防部开展和支持量子信息科学和技术研发,以提升相关技术落地能力、增强人才培育能力和提高量子技术意识。2022 年 1 月,美国总统签署第 8 号国家安全备忘录 NSM-8,首次将后量子密码纳入国家安全备忘录。2022 年 5 月,美国签署总统政令,要求确保美国在量子计算领域的领先
25、地位,并推进后量子算法迁移,减少量子计算带来的安全风险。2022 年 7 月,美国国众议院通过量子计算网络安全防范法案,鼓励联邦政府信息系统向后量子密码迁移,以抵抗量子计算机的攻击。2022 年 8 月,美国通过芯片与科学法案修正了 NQI 法案以授权开展量子网络基础设施、通信、计算资源和教育资源的研发与标准化。2022 年 9 月,美国 NSA发布了含后量子密码算法推荐的 CNSA 2.0 套件5,给出政府信息系统 6种场景在 2033 年前完成后量子迁移的时间表。2022 年 12 月,NSA发布2022 年网络安全年度回顾强调抵御迫在眉睫的量子技术威胁的最佳方法是后量子密码学,NSA的目
26、标是到 2033年为所有国家安全系统(NSS)实现后量子密码。2022年 12 月 21日,美国总统拜登签署了量子计算网络安全防范法案,使其正式成为一项法律,鼓励联邦政府机构采用不受量子计算影响的加密技术。2023 年 3 月 2日,美国发布国家网络安全战略6,提出联邦政府将优先考虑将公共网络和系统过渡到抗量子密码的环境中,并要求私营机构效仿联邦政府,逐步完成相关网络和系统向抗量子密码的过渡。2.2.2 欧盟欧盟 战略层面,2020 年欧盟宣布的网络安全战略中将量子计算与加 10 密作为最重要的安全相关技术之一单独提出来,以强调量子计算与加密技术对于确保关键基础设施安全的重要性。2021 年
27、2 月,欧盟网络安全局 ENISA 发布了后量子密码学:现状和量子迁移报告,并于 2022 年 10 月进一步发布后量子密码:集成研究报告,从技术角度介绍了两种基本的后量子迁移思路:将后量子算法集成到现有 ICT 系统,特别是 TLS 等重要的安全协议性中,或直接设计新的后量子安全协议。经费层面,欧盟于 2018 年启动了欧盟量子旗舰研究规划,在该旗舰研究规划下目前已展开的研究项目 20 余个,包括构建量子计算机的 OpenSuperQ(第一期 100量子比特,第二期 1000 量子比特)。2019年,欧盟启动了创新框架项目 EuroQCI,其目标是在未来 10 年内研发和部署欧盟境内端到端安
28、全的量子通信关键基础设施,项目包括地面和空间通信方案,且要求达到 EAL4+的高安全级别认证。同时,欧洲高性能计算联合中心 EuroHPC JU 表明,将在 2021-2033年投资 80 亿欧元,进行量子计算和量子模拟的基础设施构建,以及与高性能基础设施的集成。欧盟地平线项目则重视在量子密码和后量子密码方面进行布局和投入,其后量子密码方面的 PQCRYPT 项目在 2015-2018 年期间投入经费 390万欧元。2.2.3 英国英国 英国国家网络安全中心 NCSC 7在 2020 年 11 月发布了预备使用量子安全密码的白皮书,表达其对如何应对量子计算威胁进行安全迁移的观点,为技术决策者提
29、供后量子迁移背景信息。11 2.2.4 德国德国 战略层面,2015 年德国联邦教育与科研部 BMBF 发布了政策报告2015-2020 年数字世界的自主和安全8,其中声明将促进长效安全密码及其应用实现的研发作为作为联邦政府研究策略规划的一部分。2020 年 8 月,德国信息安全联邦办公室 BSI 发布了关于迁移到后量子密码的推荐建议。2021 年,德国联邦内政部 BMI 发布德国网络安全战略,指出通过量子技术保障 IT 安全的战略需要通过一系列措施来实现,包括在高安系统中进行量子安全密码的迁移等。2022 年 5 月,BSI9发布量子安全密码基础,现状和推荐技术白皮书,积极推动安全系统的后量
30、子迁移。经费层面,BMBF 于 2018 年公布后量子密码研究申请指南,计划在 2019-2022 资助周期内遴选了七个研究项目,总研究经费为2420 万欧元,其中德国 BMBF 负担大约 1610 万欧元。2018 年,BMBF 发布量子技术-从基础研究到市场10的研究规划,目标是在 2018-2022 年的周期内提供 6 亿 5 千万欧元经费,用于面向应用和有商业化潜力的量子技术研发。2.2.5 法国法国 法国信息系统安全局 ANSSI11于 2022年 1 月公布立场文件,为开发安全产品的工业界提供指导,并为法国安全认证计划“Security Visas”规划出迁移时间线。2.2.6 加
31、拿大加拿大 加拿大国防部和武装部队(DND/CAF)于 2023 年 3 月发布量 12 子科学和技术战略实施计划Quantum 2030,其中确定在国防和安全方面具有应用前景的量子技术任务。并提出为应对量子计算威胁,新型的后量子密码(PQC)标准正在制定,同时有必要考虑可选的、互补的安全解决方案,例如量子保密通信。2.2.7 中国中国 中国在后量子密码研究项目中给与政策和资金支持,鼓励量子计算和后量子密码的技术创新和产业发展。2022 年,人民银行深化金融科技应用、推进金融数字化转型提升工程相关工作部署中把“探索量子技术金融应用”作为重要的工作任务,加快推进抵抗潜在量子计算攻击的能力研究。2
32、022 年中央经济工作会议首次明确提出加快量子计算等前沿技术的研发和应用推广,但尚未发布后量子密相关政策文件。2.3 后量子密码技术路线后量子密码技术路线 根据后量子密码算法所基于的底层困难问题,主流后量子密码算法大致分为 5 类:基于格(Lattice-based)的、基于哈希(Hash-based)的、基于编码(Code-based)的、基于多变量(Multivariate-based)的以及基于同源(Isogeny-based)的后量子密码算法。2.3.1 基于格基于格 基于格的算法由于在安全性、公私钥尺寸、计算速度上达到了较好的平衡,被认为是目前最有应用前景的后量子密码算法之一。基于格
33、的密码算法最早出现于 1996 年,它的安全性依赖于求解格中 13 问题的困难性,主要用于构造加密、数字签名、密钥交换、属性加密、陷门函数、伪随机函数、同态加密等。与基于数论问题的密码算法构造相比,在达到相同(甚至更高)的安全强度时,基于格的算法的公私钥尺寸更小,计算速度也更快,且能被用于构造多种密码学原语,因此更适用于实际应用环境。近年来,基于 LWE 问题和 RLWE 问题的格密码学构造发展迅速。2.3.2 基于哈希基于哈希 基于哈希的签名算法不依赖于具体数学困难问题,也不依赖于特定的哈希函数,是后量子密码中理论安全性最强的一类。基于哈希的签名算法从 Lamport 提出的一次性签名方案演
34、变而来,最早由 Ralph Merkle 提出,并使用哈希树构造。基于哈希的密码算法仅限用于数字签名,至今学术界还没有专家提出基于哈希设计并实现的公钥加密或密钥封装的方案。基于哈希的数字签名方案的安全性依赖于哈希算法的一些安全性质,例如单向性(抗原像攻击)、弱抗碰撞性(抗第二原像攻击)和伪随机性等。如果使用的哈希函数被攻破,完全可以构造新的安全的哈希函数来替代,因此基于哈希的签名是后量子密码中理论安全性最强的一类。但是主要有以下两点缺点:一是签名体积大;二是对于有状态的基于哈希的签名,其所能支持的签名次数有限,增加签名数量也将降低计算效率,并进一步增加签名的体积。2.3.3 基于编码基于编码
35、基于编码的密码算法被认为是后量子密码中相对具有竞争力的 14 密码算法。基于编码的算法 1978 年,McEliece 提出了首个基于编码的公钥加密方案 McEliece 方案,从而开创了基于编码的密码学这一研究领域。其核心在于将一定数量的错误码字引入编码中,纠正错误码字或计算校验矩阵的伴随式是困难的。著名的基于编码的加密算法是 McEliece,McEliece 使用随机二进制的不可约 Goppa 码作为私钥,公钥是对私钥进行变换后的一般线性码。基于编码的密码通常具有较小的密文,但其缺点是公钥大、密钥生成慢,在实用化方面有待提升。2.3.4 基于多变量基于多变量 基于多变量的密码算法适用于一
36、些注重算法效率但不关心带宽的应用场景。基于多变量的公钥密码系统将有限域上一组二次多项式作为它的公钥映射,其主要安全假设为求解有限域上非线性方程组这个 NP 难问题,目前没有量子算法可以高效率求解,但是也没有安全性的形式化证明。多变量密码算法相比于其他后量子密码算法具有签名验签速度快、消耗资源少的优势,其缺点是公钥尺寸大,因此适用于无需频繁进行公钥传输的应用场景,例如计算和存储能力受限的物联网设备等。2.3.5 基于同源基于同源 基于同源的密码算法优缺点明显,安全性问题不断被挑战。同源密码是基于椭圆曲线同源问题的后量子密码系统,它基于一个新的困难问题,即寻找任意两条椭圆曲线之间的同源。2011
37、年基于超奇异同源的 SIDH 算法被提出,该算法是一个 Diffie-Hellman 类型的 15 密钥交换算法,2017 年基于 SIDH 算法的高效实现 SIKE算法被提出,随后一些新的基于同源的密码系统被提出,比如 CSIDH 和 SQIsign算法等。基于同源的密码继承了椭圆曲线密码的底层运算,公钥和密文尺寸都非常小,可以在通信量受限的环境下运行,但是其运行效率非常低,其密钥生成、加密和解密速度几乎比基于格大两个数量级,这使其不易实现在一些计算性能不足的设备上。在 NIST 将SIKE 进入第四轮不久,有专家利用 SIKE 的提示信息可以在数小时内恢复私钥信息,即 SIKE 被攻破,不
38、过 CSIDH 和 SQIsign 算法仍未被攻破。2.3.6 其他其他 NIST 在新的一轮数字签名算法征集中期望寻找不基于结构格的数字签名方案,新的一轮数字签名算法除了上述 5 种方案还有基于 MPC-in-the-head 的,基于对称的和其他类型。其中,MPC-in-the-head 是一种零知识证明,将零知识证明和单向函数组合在一起构造签名,MPC-in-the-head 签名密钥较小,但签名尺寸较大。基于对称的签名是指全部使用对称加密和哈希函数构造签名,因此这一类被认为是最可靠的。除了 Preon 外,其他的算法都已有不同程度攻击。Preon 是基于 zkSNARK 配合单向函数构
39、造签名,其签名尺寸较大且计算效率较低。2.3.7 总结总结 综合来看,上述 5 类主流的后量子密码算法的特点总结如表 2。图表 2 各类抗量子密码算法特点总结 16 类别类别 优点优点 缺点缺点 基于格 安全性高,性能优越,功能全 带宽较大 基于哈希 公钥很小,安全假设少 性能有待提升,功能上只能构造签名 基于编码 密文较小 公钥大,密钥生成慢,在实用化方面有待提升 基于多变量 签名验签速度快,消耗资源少 公钥大,安全性低 基于同源 带宽很小 计算速度慢,缺乏可证明安全性 2.4 后量子密码后量子密码标准化进展标准化进展 2.4.1 国际标准进展国际标准进展(1)NIST 后量子密码标准化后量
40、子密码标准化动态动态 NIST 发起的后量子密码标准化项目是当前影响力最大、参与范围最广的标准化项目。其目标是遴选出通用的抗量子算法攻击的公钥加密、签名和密钥封装/建立算法,以替代美国现有的 FIPS 186和SP 800-56A/B/C 标准中的 RSA 和椭圆曲线离散对数类公钥密码算法。早在 2012 年,NIST 便开始了对后量子密码的研究,建立相关团队,跟进业界进展,联络工业和国际标准化组织,以筹备该标准化项目。2016 年,NIST 通过 PQCrypto、亚洲抗量子密码论坛等会议平台进行宣传,以呼吁全球密码学家积极参与;并于 2016 年 12月发布了正式的算法征集公告 NIST
41、IR 8105。截止到 2017 年 11 月底,共征集到来自全球 25 个国家的 82 个提案,其中 69 个算法满足NIST 的“完整且合适”接受准则,进入第一轮评估。这包含了 3 个来自中国的算法,和 22 个来自欧盟的算法。17 2019年初,NIST 发布第一轮评估报告 NIST IR 8240,并宣布有26 个算法进入第二轮评估。其评估报告主要从安全性、实现性能、设计灵活性等角度出发,参考其内部团队的分析、公开论坛的讨论和业内自发分析和实现研究等各方资讯,对各个候选算法进行评估、比较和筛选。2020年 7 月,NIST发布第二轮评估报告 NIST IR 8309,并宣布 7 个算法
42、进入“决赛圈”以及 8 个算法进入“备选圈”。2022 年 7 月,NIST发布第三轮评估报告 NIST IR 841312,宣布了第一批标准算法:基于有结构格的公钥加密/密钥封装算法Crystals-Kyber,以及 基于有 结构 格的 公钥签 名算法 Crystals-Dilithium、Falcon 与基于哈希的公钥签名 SPHINCS+。基于编码的Classic McEliece、BIKE 和 HQC 以及基于超奇异椭圆曲线同源的SIKE 进入第四轮评估,但是 SIKE 算法很快受到严重攻击,宣告退出。同时,NIST 也宣布将继续征集额外的数字签名算法,尤其欢迎不同于有结构格技术路线的
43、具有“签名短、验证快”优势的通用签名算法提案,这一征集独立于原项目第四轮评估进行。在 2023 年 7月,NIST 公布了 40 个进入额外数字签名征集的算法。NIST 于 2023 年 8月 24 日发布第一批后量子密码算法标准草案,包括 Crystals-Kyber(FIPS.203)、Crystals-Dilithium(FIPS.204)和SPHINCS+(FIPS.205),第四种 Falcon 的标准化草案将会在 2024 年发布。NIST 计划于 2024 年发布标准正式稿,NIST 后量子标准项目负责人 Dustin Moody 表示,“我们正在接近隧道尽头的曙光”。18 (2
44、)欧盟国家标准化动态)欧盟国家标准化动态 欧盟并没有公布单独的后量子密码标准化计划,而是通过其“地平线 2020”项目配合美国 NIST 的标准化项目。美国 NIST遴选出的第一批标准 4 个算法中,其主提交人均来自欧洲。实际上,欧洲密码学研究团队实力强劲,过往由美国 NIST 组织的几个密码算法公开征集项目最终的优胜算法均为欧洲团队,例如分组密码 AES(原 Rijndael)、哈希函数 SHA-3(原 Keccak)和轻量级对称密码ASCON。在德国 BSI、法国 ANSSI、荷兰 NLNCSA 等欧盟国家的监管机构发布的后量子密码白皮书中,也均推荐使用 NIST 项目候选算法。尤其,德国
45、 BSI 信任基于无结构格的加密 FrodoKEM 和基于编码的加密 Classic McEliece,认为它们虽然性能不及 Kyber,但安全性更可靠,可以用于需要长期保密的高安全场景,并在其技术规范(BSI TR-02102-1)中推荐。由于目前在 NIST 标准化项目中 FrodoKEM已落选,而 Classic McEliece 也未能成为第一批标准,因此德国 BSI正积极推动这两个算法在 ISO的标准化(PWI 19541)。(3)其他国家动态)其他国家动态 日本日本.日本密码学研究团队也积极参与了 NIST的 PQC标准化项目,有 3 个第一轮算法是日本团队主导设计的,但也均未进入
46、第二轮。日本的密码学研究和评估委员会 CRYPTREC 持续关注国际标准化进展并发布相关报告。韩国韩国.韩国密码学研究团队积极参与了 NIST 的 PQC标准化项目,19 有 5 个由韩国团队主导设计的算法进入了第一轮,但均未进入第二轮。随后,在 2021 年,韩国抗量子密码学研究中心宣布启动“抗量子密码学竞赛”,截止到 2022 年 11 月,共有 7 个公钥加密/密钥建立算法和 9 个数字签名进入第一轮评估。第一轮评估将于 2023 年 11月结束。(4)标准化组织动态)标准化组织动态 ISO.2015年 ISO/IEC JTC1 SC27 就开始筹备 WG2 工作组以为后量子密码标准化做
47、准备。2017 年 WG2 启动了常备文档 SD8 的撰写,作为后量子密码学的综述,并于 2020 年 5 月正式发布。ISO 初期的标准化计划也会专注在加密、密钥建立和数字签名算法上,随后再开始考虑基于身份的加密、基于身份的签名、匿名签名、同态加密以及其它类型的密码算法。目前 ISO/IEC 正在进行 14888-4“有状态的基于杂凑的签名机制”规范的开发,并启动了 PWI 19541,将 向 18033-2 AMD2 中 增 加 FrodoKEM、Classic McEliece 和Crystals-Kyber 算法。此外,一类特殊的后量子密码基于格的全同态加密的标准进展较快,WG2 正在
48、开发相关标准 ISO/IEC 18033-8。IETF.IETF 有多个工作组在推动密码协议纳入后量子密码算法的演进。LAMPS 工作组工作组.2019 年发布了 RFC 8696,描述了在 CMS规范中将密钥传输和使用预共享密钥的密钥协商的输出混合以抗量子攻击的方法。2020 年发布了 RFC 8708,描述了在 CMS 中使用 20 HSS/LMS 算法。2022 和 2023 年发布了一系列草案,例如:在 CMS规范中使用密钥封装机制的草案,也可以支持后量子密钥封装机制;在 CMS 中使用 Kyber 和 SPHINCS+算法的草案;以及在 X.509 证书中使用 Kyber和 Dili
49、thium算法的草案。TLS 工作组工作组.2020 年发布了两份草案,分别讨论对 TLS 1.3 和1.2 的扩展,使其支持混合使用传统和后量子密钥建立算法来进行密钥协商;发布了 RFC 8773,扩展了 TLS 1.3,使用外部预共享密钥来抗量子攻击。IPSECME 工作组工作组.2020 年发布了 RFC 8784,在 IKEv2 中支持混合预共享密钥以抗量子攻击。2022年发布了 RFC 9242,为 IKEv2协议的后量子演进提供支持。2022 年扩展了 RFC 7296 使 IKEv2 支持多重密钥交换,包含后量子密钥交换。COSE 工作组工作组.2023 年发布了一系列草案,分别
50、描述了Dilithium、Falcon和 SPHINCS+算法的 JOSE 和 COSE编码。PQUIP 工作组工作组.2022 年底新成立的工作组,以专门支持 IETF协议和文档的后量子演进。IEEE.2008 年 IEEE P1363.1 规范纳入了基于格的加密算法NTRU。该算法也投向了 NIST 后量子标准化项目并进入了第三轮,但在第三轮结束时出局。2022 年 IEEE 发布了 P3172,讨论传统算法与后量子算法的混合机制的实现、密码学敏捷性等问题。ITU-T.2020 年发布了 ITU-T X.1811(X.5GSec-q),给出了对 5G系统中的后量子安全方案的初步推荐。21
浙ICP备2021020529号-1 | 浙B2-20240490 
