后量子暗码的发展趋势研讨

liukang20241天前吃瓜快乐1199

暗码是确保网络通讯安全的堡垒，跟着量子核算的呈现，经典暗码系统在维护信息安全方面面临着巨大的应战。现在，后量子暗码算法是理论上证明可确保量子环境下通讯安全的新式暗码方案。经过剖析现有量子核算技能与后量子暗码方案规划的研讨进展，着重后量子暗码研讨的紧迫感，标明后量子暗码的研讨在信息安全中的重要性，终究指出后量子暗码下一步或许的研讨方向，为我国后量子暗码技能研讨供给参阅。

古有飞鸽，现有网络，在以常识经济为基础的信息化社会中，确保网络信息安全无疑成为国与国之间无形的兵器。历史上，图灵创造电子核算机破译了暗码机，打破了国家之间信息安全的屏障。尔后在经典核算机上，人们经过规划依据数学上 NP 难问题的加解密算法，维护了近 50 年的网络信息与通讯安全。可是，1982年 Feynman初次提出将量子力学与核算机相结合的想象，拓荒了量子年代的新纪元。1985 年Deutsch进一步论述了量子核算机的基本概念，并证明了在某些方面，量子核算机比较经典核算机而言的确具有更强壮的功用。1994 年 Shor给出了一个能够在多项式时刻内处理大整数分化和离散对数问题的 Shor 量子算法。至此，人们察觉到在功用强壮的量子核算机面前，现有暗码技能搭成的“城墙”是如此的“一触即溃”，因而规划研讨能够反抗量子计进犯的下一代加密算法也变得火烧眉毛。

量子核算机的打开现状

20 世纪后期，量子核算机作为量子力学与核算机技能相结合的重要作用而备受世界重视。鉴于其具有实践的战略含义，世界各国都高度重视并不断加大投入，经过接连拟定各种方针、树立一系列的研讨安排、发动各类项目来支撑量子核算机的研讨，推进了量子科技研制和技能产业的蓬勃打开。美国政府在此范畴首要举动，斥巨资推出了 5 个专门针对量子核算机的研讨方案，别离是由美国国防高档研讨方案局提出的“量子信息科学与技能打开规划”、由美国国家安全局辅导的 ARDA5 方案、以美国科学基金会为依托的 QuBIC 方案、由美国宇航局领导布置的 QCTG 方案以及美国国家规范与技术研究院（National Institute of Standards and Technology，NIST）指挥的PLQI方案。除此之外，欧盟、加拿大、我国等安排、国家和区域在量子核算机范畴的研讨也做出活跃响应并取得了一系列的研讨作用。

2001 年，一个由 IBM 公司成功研制的 7qubit 的示例性量子核算机成功领跑了该范畴的研讨。2007 年，我国科学家潘建伟初次在量子核算机上完结了 Shor 量子分化算法，该作用标志着我国光学量子核算机的研讨在世界上现已到达了先进水平。2008 年，加拿大的 D-wave公司对已有量子核算机系统进行改善并成功将运算位数进步到 48 qubit。2010 年，英国布里斯托尔大学开发出了一种新的光子芯片，该芯片速度更快、存储量更大，为量子核算机的信息存储供给了新的思路。同年，潘建伟团队与清华大学组成的联合小组经过研讨量子隐形传态技能的特色，成功完结了世界上最远间隔的量子传输并将该研讨作用宣告在世界威望杂志 Nature Photonics 上，该作用向全球展现了基于量子核算机的量子通讯网络完结的可行性。与此一同，杜江峰教授在 Nature 上宣告了一篇关于坚持固态自旋比特的量子相干性研讨的论文，该作用对固态自旋量子核算机的完结具有重要含义。后来，英国和澳大利亚的联合研讨小组规划了一种称为 FTQC 的容错量子核算方案，该方案的提出奠定了量子核算机走向有用化的根底。

跟着量子核算技能与硬件设备资料的飞速打开，人们益发深信量子核算机走向实践短缺的不再是技能原因，而是时刻的沉积，借此各国加速针对量子核算机的研讨脚步。2016 年，我国在“十三五”规划中清晰树立关于“量子通讯与量子核算机”的严重科研项目。同年，Shor 量子分化算法成功运转在潘建伟团队研讨的光量子核算机上，为留念这一研讨作用，发射了世界上第一颗名为“墨子号”的量子卫星。2017 年，潘建伟团队自主研制的 10 bit 超导量子线路样品成功完结了当时世界上最大数意图超导量子比特羁绊和完好丈量，在量子核算机的打开道路上又迈上了一个新的台阶。2018 年，欧盟正式发动“量子技能旗舰方案”，该方案拟在欧洲建造一个衔接一切量子核算机、模仿器与传感器的量子通讯网络。2019 年，谷歌团队在量子核算原型机“悬铃木”上仅用了3 分 20 秒就完结了超级核算机一万年核算量的作业，该作用将量子核算机的处理才能又带向新的高度，必定含义上完结了量子霸权。2020年，美国白宫网站发布的《美国量子网络战略想象》提出，开发一种由量子核算机和其他量子设备组成的量子互联网的想象，并指出下一步的作业是使量子信息科学全民化。2021 年，我国提出了新的“十四五”规划，指出这 5 年是我国量子技能完结“弯道超车”的要害时期，其方针之一便是研制通用量子核算原型机和有用化量子模仿机。同年 10 月，潘建伟团队与其他研讨安排协作，成功构建了 113 个光子 144 种形式的量子核算原型机“九章二号”，完结了在高斯玻色取样数学问题上的快速求解。除此之外，潘建伟团队及其协作伙伴还成功研制出了66超导量子比特的“祖冲之二号”，比较于“悬铃木”，在核算杂乱度方面进步了 6 个数量级。2022 年，Huggins 等人在 Nature 上宣告文章，将 QMC 办法与量子核算相结合，构建了混合量子经典核算模型，供给了一条完结实践量子优势的途径，为有用化量子核算机的规划供给了理论根底。

量子核算机的快速打开减少了高核算量问题的处理时刻，处理了许多杂乱的数学问题，给当时现已打开老练并且运用广泛的现代公钥暗码系统带来了巨大的要挟与严峻的应战。可是，确保量子核算机下网络安全与信息系统安全的要点在于暗码技能的打开，因而，在量子信息年代降临之前，规划能够有用抵挡量子核算机进犯的新式暗码系统就成了暗码学家们不得不面临的问题之一。

抵挡量子要挟时不我与

2.1　抵挡量子要挟的战略含义

暗码技能是维护信息安全的重中之重，大量运用于国家保密系统和大型国防配备。一旦量子核算机面世，现代暗码学中依据大整数分化、离散对数问题规划的公钥暗码将被攻破，直接要挟到当时党政军民范畴的网络与信息安全，乃至要挟国家安全。

在军事方面，“先存储后破译”是破解当前暗码系统的一个重要战略，即一些安排将现在无法破译的信息先存储起来，比及日后机遇老练再进行破译，假如依照“摩尔定律”的规则来看，这个老练的机遇很或许在十分长的时刻内都不或许降临，而量子核算的呈现，加速了老练机遇的到来，对长时刻保密性以及前向安全性都形成了丧命的要挟。一般，在国家戎行与许多重要安排的设备中存储了许多的国家安全情报，这些情报需求保存十几年乃至更长的时刻不能被破解，由此可见，量子核算的呈现将直接要挟到国家重要情报的安全，因而有必要赶快研制出能够反抗量子核算机的新式加密系统，以最大极限地免除该危险。

在日常通讯方面，许多要害的通讯协议大多以公钥加密、数字签名和密钥沟通为依托，可是这些公钥暗码学算法依据的特定数论难题的困难性在量子核算面前“何足挂齿”，一旦量子核算机有用化，这些通讯协议将纷繁变得不再安全，无法确保端到端的安全传输。

2.2　暗码算法的有用化需求时刻孵化

任何一个暗码算法的规划都是为了终究迁移到工程化。从现代暗码算法理论技能打开老练到终究的规范化，人们花费了近 20 年的时刻才结构出一套完好的公钥暗码系统根底设施。即便新式暗码算法的理论技能现已打开老练，但将现在广泛运用的暗码系统逐渐转化为能够反抗量子核算机进犯的新式暗码系统也需求许多时刻，更何况现在能够反抗量子核算机进犯的新式暗码算法的理论技能还未打开老练。因而，不论量子年代何时到来，赶快采纳举动规划新式暗码方案，确保量子核算机信息与通讯系统的安全都十分必要。

全球看护量子年代下的信息安全

沿用经典核算机中规划公钥暗码算法的思路，现在世界上应对量子核算机进犯的后量子密码（Post-Quantum Cryptography，PQC）算法首要会集在寻觅一类或多类在量子核算机上多项式时刻内不行解的数学困难问题。依据这些困难问题规划出的 PQC 算法能够在必定程度上反抗量子核算机的进犯，看护量子信息年代下的通讯安全。全球针对 PQC 算法的研讨首要会集在两个方面：世界学术沟通和算法规范化的树立。

3.1　后量子暗码理论的世界学术沟通

作为暗码学范畴的分支，世界 PQC 理论和技能的研讨一向以来都受到了各国重视，相关的学术沟通活动的数量和频度逐年递加，其影响规模向更多的国家和范畴辐射。

2006 年，国际密码研究协会举办了第一届后量子暗码技能世界会议，该会议评论了PQC 在未来的研讨中或许存在的潜在范畴。尔后，这项会议别离在北美、欧洲、东亚等多个区域接连举行，并经过在相邻会议空隙举行夏日或冬天训练营的办法，促进了各国研讨者之间的沟通，增强了 PQC 技能的打开。

2011 年，美国安全创新公司注册并拥有NTRU 算法的专利，自此，该公司规划并开发了多种 NTRU 算法完结的软件库。2013 年，欧洲电信规范协会与加拿大滑铁卢大学量子核算中心联合举行了量子安全暗码作业组会议（IQC/ETSI Quantum-Safe Crypto Workshop），参会代表来自暗码学、数学、物理学、核算机等多个不同的研讨范畴，方针是布置下一代暗码根底设施，特别是抵挡量子核算带来的冲击。2015 年 1 月，欧盟发动 PQC 算法 SAFECRYPTO 运用项目。凭借欧洲多所企业、高校和研讨安排的力气，相继打开了 PQCRYPTO 项目和 PROMETHEUS 项目，并将 PQCRYPTO 项目归入欧盟地平线 2020方案，致力于打造新一代安全有用的 PQC 方案。2016 年 4 月，微软公司开发出了依据格上的困难问题 RLWE 的格暗码库（Lattice Crypto），微软公司标明进犯者无论是运用经典核算机仍是量子核算机，该软件库至少能够完结 128 位的安全功用。同年 7 月，谷歌公司宣告将开端进行 PQC 技能的测验活动，并标明本次测验方针为依据RLWE问题的密钥沟通协议。2019年1月，谷歌宣告将布置一种称为组合椭圆曲线和后量子密钥沟通（CECPQ2）的新的传输层安全性协议（Transport Layer Security，TLS）密钥沟通办法。一同，谷歌和 Cloudflare 将协作探究 PQC 怎么在实践中打败超文本传输安全协议（Hypertext Transfer Protocol Secure，HTTPS）衔接。2022 年4 月，IBM 公司发布了首个依据格理论研制的量子安全系统——IBMz16。

亚洲暗码学研讨者在后量子相关技能的发展中也在活跃跟进。2016 年 6 月，首届亚洲后量子密码论坛（PQCAsia Forum）在我国成都顺畅举行。鉴于 PQC 算法的飞速打开，原定于2017 年举行的第二届亚洲后量子暗码论坛提前到 2016 年 11 月于韩国首尔大学举行。2020—2021 年，丁津泰所带领的团队先后破解了两个NIST 抗量子数字签名候选方案，包含 Luov 和GeMMS，并将研讨作用宣告在 2020 年“欧洲暗码学年会”和 2021 年“美国暗码学年会”上。2022 年，上海交通大学的谷大武教授领导的LoCCS 实验室成功破解了 80 维格的容错学习问题（Learning With Errors，LWE），创造了格暗码中困难问题求解新的世界纪录，一同该纪录现已在格暗码应战的官方网站 LWE Challenge前进行了发布。

3.2　后量子暗码方案的规范化树立

现在，全球现已有许多国家意识到未来量子进犯对网络安全带来的潜在要挟，也已采纳必要举动和相关布置来应对此要挟。相似于现代暗码学中 DES、AES、RSA、ElGamal 等加密算法规范，在 PQC 理论的研讨进程中，规范化的树立也逐渐打开起来，越来越多的世界参加者纷繁参加 PQC 方案规范化树立的研讨中。

3.2.1　美国后量子暗码规范化方案

早在 2008 年，NTRU 加密算法就现已被美国电气和电子工程师协会确认为正式规范（Std1363.1—2008）。2010 年，其又被认可规范委员会（Accredited Standards Committee X9）同意为可用于数据防护的新式加密规范。一同，美国国家规范学会 X9.98 规范（ANSIX9.98）清晰了在金融交易进程中怎么运用依据比方 NTRU等格加密算法的公私钥加密系统。

2015 年 8 月，美国国家安全局宣告对当时美国政府所运用的“暗码算法 B 套件”进行安全性晋级，晋级的算法将用于后量子年代过渡期的加密规范。2016 年 4 月，NIST 发布“后量子暗码学”研讨陈述，并宣告将发动 PQC算法规范方案。到 2017 年 12 月，NIST 共收到来自全球共 82 份候选暗码方案，自此敞开了后量子暗码学规范协议的第一轮预选。2019年 1 月，NIST 揭晓第二轮的规范方案，本轮共有 26 个暗码方案锋芒毕露，其间包含 17 个公钥加密 / 密钥沟通方案和 9 个数字签名方案。依照暗码方案的结构办法来看，这 26 个候选算法中包含 12 个格暗码，7 个依据编码的暗码，4 个依据多变量的暗码，2 个依据哈希的暗码和1 个依据同源曲线的暗码。2021 年 1 月，NIST发布的第三轮候选算法中包含 7 个决赛当选方案和 8 个备选方案，在这 7 个决赛当选方案中，有 5 个都是格暗码，这说明当时格暗码在一切的 PQC 算法中占有较大的优势，是未来最有望成为规范化的算法。2022 年 3 月，麻省理工学院与阿布扎比技能创新研讨所协作编写并出书了《从今天起，直面明日的量子黑客》（Facing Tomorrow’s Quantum Hackers Today）。该陈述对全球量子核算公司中的暗码学家、数学家、物理学家和高档管理人员进行采访，评价了一台老练的量子黑客核算机对现在网络安全系统的要挟与影响，并在此根底上剖析了应对要挟的处理方案，这意味着 NIST 规范化行将进入第四轮。2022 年 7 月，NIST 已完结第三轮 PQC 规范化进程，共有 4 个候选算法被选中规范化，别离是 CRYSTALS-KYBER、CRYSTALS-Dilithium、FALCON 和 SPHINCS+，别的还有 4 种算法将持续进入第四轮，这一里程碑事情意味着持续6 年的规范化作业总算进入了终究阶段。

3.2.2　欧洲后量子暗码规范化方案

首要，在 NIST-PQC 算法的搜集进程中，欧洲研讨团队做出了严重的奉献，在 NIST 发布的第二轮 26 个规范方案中，欧洲主导和参加的高达 20 多个。其次，欧洲量子暗码学术和工业界研讨者联合安排的 PQCrypto 项目于 2015 年发布了一份初始陈述，该陈述在加密算法、对称授权以及签名系统等多个范畴都提出了相关的规范化主张，并指出 McEliece 暗码系统具有打开成为代替 RSA/ECC 暗码系统的潜力。此外，欧洲电信规范协会 ETSI 建立的“量子安全暗码工业规范作业组”首要担任 PQC 算法的搜集、评价以及工业规范的拟定，该安排每年发布一本“量子安全白皮书”，用以发布后量子暗码研究的最新进展。

3.2.3　日本后量子暗码规范化方案

为应对量子核算进犯和对加密设备的物理进犯（例如功率剖析），日本推出了 CREST 密码数学项目，旨在为下一代加密系统的开发奠定根底。CREST 项目每年举行的后量子安全的相关会议，为日本后量子暗码学研讨者沟通重要作用供给了渠道。在真实的 PQC 规范发布之前，日本暗码研讨与评价委员会列出了 3 个暗码清单：电子政务引荐暗码清单、候选引荐暗码清单和监控暗码清单，并指出将发动最新制定的 PQC 攻略。

3.2.4　韩国后量子暗码规范化方案

为及时跟进世界后量子规范化作业，韩国于 2022 年推出了全球首个可防御量子核算机黑客进犯的 PQC 专线，现在，该线路现已过电信技能协会的测验和验证。

3.2.5　我国后量子暗码规范化方案

虽然我国在PQC规范化的研讨中起步较晚，但在 NIST-PQC 算法搜集活动中也参加并奉献了必定的力气。参加规划的我国团队包含暗码科学技能国家要点实验室、上海交通大学、复旦大学、中科院信工所以及我国台湾区域“中央研讨院”等。其间，由我国科学院数据与通讯维护研讨教育中心规划的 LAC 算法，与欧洲、美国、加拿大等国家供给的 PQC 算法一同，当选了 NIST 第二轮 PQC 暗码算法名单。除此之外，我国在国内 PQC 算法规范的搜集活动中也做了一些作业。自 2019 年起，我国暗码学会（Chinese Association for Cryptologic Research，CACR）开端举行全国暗码算法规划比赛，该比赛仅面向我国的暗码学者，受到了广阔暗码学家的喜爱，并在公钥暗码组的参赛著作中搜集到许多的 PQC 算法。该比赛的成功举行推进了我国暗码理论与运用技能的打开，是我国在 PQC 算法规范拟定进程中的根底，意味着我国 PQC 技能的研讨正逐渐向世界先进水平看齐，致力于经过充分调动国内各界研讨力气，推进国产化研制，确保未来后量子年代下我国的网络空间安全。

综上所述，从世界各国政府对该范畴的投入与支撑力度来看，在真实的量子信息年代到来之前，全球的方针均是在量子通讯网络中实现保密通讯与安全认证。

后量子暗码的结构办法

在 PQC 算法的设计方案中，大多还是基于数学困难问题的难解性，现在干流数学困难问题首要包含格、编码、哈希以及多变量。除此之外，依据超奇特椭圆曲线、量子随机散步等技能的 PQC 结构办法以及较大密钥长度的对称暗码算法也被认为是量子核算机条件下相对安全的。

4.1　依据格的后量子暗码算法

格（lattice）是一种数学结构，界说为一组线性无关的非零向量（称作格基）的整系数线性组合。详细来说，给定一组格基对恣意的整数都是归于这个格的向量，其间 n 称为格的维数。关于同一个格，其能够具有不同的格基，并且求解格中的最短向量问题（Shortest Vector Problem，SVP）和最近向量问题（Closest Vector Problem，CVP）是现在格理论中首要的非确认性多项式难题（Nondeterministic Polynomially problem，NP）。除此之外，格中还有一些其他的困难问题，比方 LWE 问题、有界间隔解码问题、小整数解问题、gap-SVP 问题等，因而，依据格的 PQC 算法大多依托这些困难问题而规划，但其本质上又都能够转化为 SVP 困难问题和 CVP 困难问题。依据格的算法与现代公钥加密算法的功用相同，均可完结加解密、数字签名、特点加密、同态加密、密钥沟通等多种暗码学结构。

第一个依据格的暗码方案是 1997 年由 Ajtai等人提出的 Ajtai-Dwork 暗码系统，该方案运用格问题中 Worst-case 到 Average-case 的规约来反抗量子核算的进犯。第一个依据格的有用的暗码方案是 1998 年由 Hoffstein 等人提出的 NTRU 公钥加密系统，该方案坚持到了 NIST第三轮的候选算法中，并且现在现已运用在某些商用的暗码设备中，有望日后代替 RSA 加密算法。

在后量子加解密算法方面，经过总结现在干流的依据格的加解密算法，咱们发现以 LWE困难问题为根底的格暗码方案不只运用广泛，而且安全性更高。以 NIST 第四轮当选算法CRYSTALS-Kyber 为例，该算法依据的困难问题是 M-LWE 问题，即 LWE 问题与 R-LWE 问题的组合，该问题比较于 LWE 问题而言具有易于扩展和功率高的长处。M-LWE 问题的首要思维是关于在多项式环中均匀随机选取的与经过公式核算得到的是不行区别的，其间中s 和是从二项分布中随机均匀选取的，该问题的首要困难性在于依据已知无法核算 s 和中的恣意一个。Kyber 算法便是运用此原理，经过公式生成公私钥对 (t,s)，到达已知公钥 t 后无法核算私钥 s 的作用，尔后再对通讯的明文信息进行加密或许对通讯两边的暂时会话密钥进行封装。以 2020 年提交的第三版 Kyber算法为例，表 1 论述了挑选明文进犯下的不行区别性（IND-CPA）安全的 Kyber 算法的详细完结思路，表 2 论述了自适应挑选密文进犯下的密文不行识别性（IND-CCA2）安全的 Kyber 算法的详细完结思路。

表 1 　Kyber 算法完结进程（IND-CPA 安全）

表 2　 Kyber 算法完结进程（IND-CCA2 安全）

在后量子签名算法方面，依据格的签名算法的结构与现有的公钥暗码系统略有不同。关于 RSA、ElGamal、椭圆曲线等现有公钥暗码系统而言，经过互换加解密算法的公私钥次序即可将其转换为签名算法；可是依据格的暗码方案不具有此种对偶特性，在规划依据格的后量子签名算法时一般选用零常识证明协议进行结构，即证明者证明自己具有与对应身份的公钥相匹配的私钥，可是不走漏任何关于私钥的信息。

2008 年，Gentry 等人提出了 GPV 结构，该结构指出了依据格的签名算法的规划思路，如表 3 所示。

表3　GPV 结构

以 GPV 结构为根底，依据格的签名算法在进行公私钥对生成的进程中底层依据的困难问题与后量子加解密算法相似，即 LWE 问题和SIS 问题，一同为了便于签名算法的完结，规划方案时大多凭借 NTRU 格实例化 GPV 结构，并经过采样完结数字签名的创立，比方进入 NIST第四轮的签名算法：FALCON 算法。除此之外，另一个比较受欢迎的签名算法 CRYSTALSDilithium 也进入了 NIST 的第四轮中。

在详细的规划进程中，CRYSTALS-Dilithium和 FALCON 两个算法针对算法自身的安全性和算法的运转速度别离进行了不同的改善。其间 CRYSTALS-Dilithium 签名算法在规划时选用Fiat-Shamir with Aborts 技能，该技能运用回绝采样的办法将依据格的 Fiat-Shamir 方案变得愈加紧凑且安全；因为传统的签名算法中高斯采样难以高效且安全地完结，Dilithium 签名算法改善了采样办法，仅经过均匀分布采样就完结了签名的创立；一同为减小公钥的巨细，Dilithium签名算法选用别离高低阶位的新技能将其缩小了两倍以上。关于 FALCON 签名算法，经过在采样进程中运用快速傅里叶采样技能，并在算法内部运用真实的高斯采样器，由此确保了在无限签名情况下 FALCON 算法的安全性，即密钥信息的走漏可忽略不计；一同因为快速傅里叶采样在完结进程中具有速度快的优势，使得FALCON 算法在一般核算机上每秒能够生成数千个有用的签名，并且验签进程比较其他签名算法而言快将近 5~10 倍。关于 Dilithium 和 FALCON签名算法的详细进程别离如表 4 和表 5 所示。

表 4　Dilithium 签名算法的完结进程

表 5　FALCON 签名算法的完结进程

格暗码的研讨虽然起步较晚，可是其简略的结构以及许多高杂乱度的数学困难问题使其在后量子年代广受各国学者的欢迎。自 2013 年起，格暗码的研讨作用明显添加，在依据格的暗码系统不断改善的进程中，密钥尺度不断缩小、运算速度不断进步，逐渐在安全性、密钥尺度以及核算速度上到达更好的平衡。2022 年7 月当选 NIST 第四轮的后量子暗码中有 3 个依据格规划的暗码方案，由此足以见得虽然格暗码仍处于打开阶段，但现在其现已被认为是最有远景的后量子暗码算法之一。

4.2　依据编码的后量子暗码算法

编码理论是数学与核算机科学的一个分支，用来处理在噪声信道中传送信息时进行过错处理。依据编码的暗码系统也被认为是在量子核算机中相对安全的暗码算法，其间心在于将必定数量的过错码字引进编码中，纠正过错码字或核算校验矩阵的随同式是困难的。

一个较早提出且至今运用的依据编码的加密算法是 1978 年 McEliece[27] 提出的 ClassicalMcEliece 公钥加密方案，该方案运用随机二进制不行约的 Goppa 码作为私钥，记作 A，对私钥 A运用可逆矩阵 S 和随机置换矩阵 P 进行 A'=SAP改换后得到的一般线性码A'作为公钥的一部分。终究 McEliece 公钥加密方案的公钥由 Goppa 码的汉明分量 t 和矩阵 A' 组成，私钥由生成矩阵A、可逆矩阵 S 和随机置换矩阵 P 组成（方案的全体流程如表 6 所示）。该方案依据的困难问题是对称群躲藏子群问题，也便是在加密进程中对明文信息 x 进行的 y=y'+e=x×A'+e 操作中，从参加混杂 e（带有 t 个过错的向量）的矩阵 A'中反推 Goppa 码是困难的。该算法相关于现有公钥暗码系统而言加密速度快，可是因为其公钥尺度过大，该算法并不是很有用化，不过针对该算法的改善终究也进入到了 NIST 第三轮的候选算法中。

表 6 McEliece 公钥加密方案进程

尔后，1986 年 Niederreiter 提出了一种依据GRS 码的背包型公钥暗码系统——Niederreiter暗码算法，该算法与 McEliece 不同的当地在于在密钥生成进程中，当确认私钥 A（生成矩阵）后，凭借可逆矩阵 M 和置换矩阵 P 经过 A'=MHP操作来躲藏校验矩阵 H 而非生成矩阵 A，然后生成算法的公钥 A'。为证明 Niederreiter 暗码算法的安全性，1994 年，王新梅等人证明其在安全性方面与 McEliece 是等价的。

针对依据编码的数字签名方案而言，王新梅于 1990 年提出了第一个依据编码的 Xinmei数字签名方案。次年，李兴元结构了一类一同具有签名、加密和纠错才能的公钥系统。随后，学者们在此根底前进行了一系列的改善，并指出依据编码的公钥暗码系统或许能够成为依据数论的公钥暗码系统的一个很好的代替。

4.3　依据哈希的后量子暗码算法

依据 Hash 函数规划的后量子暗码算法首要会集在数字签名算法中，Hash 函数具有一个很好的性质便是抗磕碰性，当 Hash 函数能抗强磕碰时，规划的数字签名算法便可有用反抗量子核算的进犯。在依据 Hash 函数的数字签名算法中，具有代表性的是 1989 年 Merkle 从一次性签名方案动身，学习 Lamport 和 Diffie 的作业，创造的 Merkle 数字签名方案（MSS）。MSS 的基本思维是运用 Hash 树将多个一次性验证密钥（Hash树的叶子）的有用性下降到一个公钥（Hash树的根）的有用性。因为其杰出的抗强磕碰性，使得其能够有用反抗量子核算的进犯，因而，MSS 受到了学者们的喜爱。从 2006 年举行的第一届世界后量子暗码会议开端，就不断有人提出针对 MSS 的改善，例如 2006 年，Michael Szydlo提出了一种使 Merkle 树的构建愈加有用和有用的办法；2008 年，依据 Szydlo’s 算法，JohannesBuchmann 等人供给了一种核算数字签名机制中认证途径的新办法，并大大减少了最坏情况下算法的运转时刻；2011 年，Buchmann 等人在 MSS 的根底上提出了一种具有更小签名的可证明安全的 XMSS 数字签名方案。

在 MSS 的研究之外，2016 年，Targhi 等人估量出了寻觅一个函数磕碰的量子查询杂乱度。2017 年，SPHINCS+ 算法被提交到 NIST PQC 比赛中，经过层层挑选，该算法进入到了NIST 第三轮候选算法中，后续经过进一步的安全性剖析，该算法在 NIST 第四轮评价中锋芒毕露，成为正式候选的签名算法之一。SPHINCS+签名算法选用了一种被称为 SPHINCS 超树的结构进行结构，SPHINCS 超树是一种在 Merkle 树和 Goldreich 树之间相折中的结构，其外层结构是一个 k 叉树，一共有 d 层；k 叉树的每个节点是一个高度为 h' 的 Merkle 树，Merkle树的每个子节点是一个密钥，其间叶子节点用来给外层结构的子节点生成公钥，非叶子节点用来给 FORS 密钥生成公钥；外层结构的叶子结点也是 Merkle 树，用来给消息进行签名。SPHINCS+ 签名算法经过一个伪随机数生成器和一个随机种子结构一个 SPHINCS 超树，然后依据 SPHINCS 超树生成公私钥对。在进行音讯签名时，首要核算音讯 m 的哈希值 H(m)，然后取出 H(m) 的 h 个比特用来确认运用哪一个 FORS密钥，再取出 kα 个比特用于 FORS 签名，终究将 SPHINCS 超树从叶子节点到根节点连在一同的签名链作为音讯 m 的签名。在进行签名验证时，接收者顺次验证签名链上的每个签名即可。

虽然现在依据 Hash 函数的数字签名方案作用并不多，可是考虑 Hash 函数共同的特点及其有用性，在量子年代，依据 Hash 函数的签名算法有望成为最有出路的数字签名方案之一。

4.4　依据多变量的后量子暗码算法

作为后量子暗码算法的最早成员之一，基于多变量的后量子暗码算法比较其他 3 种干流结构办法而言具有更多的研讨作用。一个依据多变量的公钥暗码系统将有限域上一组二次多项式作为它的公钥映射，其首要安全假设为求解有限域上非线性方程组这个 NP 难问题。

最早的多变量公钥暗码系统由 Matsumoto 等人于 1988 年提出，在随后的 20 多年时刻里，比方清华大学丘成桐数学科学中心的丁津泰、日本的 Kohtaro Tadaki 和我国台湾区域的 Bo-Yin Yang 等许多闻名学者在多变量公钥暗码范畴打开剧烈评论并取得了不错的研讨作用。2010 年以来，学者们针对多变量公钥暗码系统的研讨首要会集在 3 个方面：对包含加密、签名等方案中基本理论的深入研讨与改善优化，对相似全同态加密（Fully Homomorphic Encryption，FHE）等热门范畴的要点攻关，对全新算法规划结构的测验与探究。据统计，自 2006 年起，在全八届世界后量子暗码会议搜集的论文中，有 39%的论文是针对多变量暗码算法的规划与改善[36]，远远高于依据其他办法规划的后量子暗码算法，由此可见多变量公钥暗码系统在后量子年代的位置和含义。

在众多的多变量公钥密码体制中，进入NIST 第三轮的多变量签名算法便是由丁津泰教授于 2005 年规划的 Rainbow 数字签名算法。该算法因为选用相对小的有限域以及根底的逻辑运算而具有较高的运算速度，一同该算法相较于其他签名算法而言因其较短的签名长度而更为有用。该算法选用非平衡油醋（Unbalanced Oil and Vinegar，UOV）系统创立签名，中心是一个多层的 UOV 结构的中心映射。UOV 系统是油醋（Oil and Vinegar，OV）体制的扩展，OV系统在签名进程中随机选取一组醋变量代入油醋多项式中，然后结合签名音讯 m 求解一个关于油变量的线性方程组，而 UOV 系统是一种多层的油醋系统，即每一层都是油醋多项式，并且上一层的一切变量是下一层的醋变量。Rainbow数字签名算法的详细流程如表 7 所示。

表 7 Rainbow 数字签名算法的完结进程

Rainbow 签名算法自 1999 年起一向饱尝各种暗码剖析，例如 MinRank 进犯，HighRank 进犯，Billet-Gilbert 进犯等。直到 2022 年，Beullens再次对 Rainbow 签名算法进行了进一步的改善，并标明关于给定的 NIST 第二轮提交的 SL 1 参数集的公钥，经过密钥康复进犯，在规范笔记本电脑上均匀 53 小时即可回来相应的密钥。

虽然在 NIST 第四轮的规范化候选算法中没有多变量公钥暗码系统，可是在某些重视算法功率的运用场景中，多变量公钥暗码系统或许会进入一个新的高度。

4.5　其他后量子暗码算法

除上述 4 种干流算法外，依据量子暗码和依据同源的暗码系统也在暗码学家的研讨规模内。2012 年，Kashefi 等人提出了量子单向函数的候选方案，Mosca 等人研讨了经典认证密钥沟通结构下量子密钥的分配问题。2006年，Couveignes介绍了困难的同质空间（Hard Homogeneous Spaces，HHS）的概念并延伸介绍了相关理论，为依据椭圆曲线同源的暗码系统奠定了根底。同年，Rostovtsev 等人提出了一个新的适用于公钥暗码系统的通用数学问题：关于有限域上的椭圆曲线，核算给定椭圆曲线之间的同源（代数同态），与此一同，ElGamal公钥加密和 Diffie-Hellman 密钥协议被提出用于同源暗码系统。2014 年，Jao 等人发布了一个在椭圆曲线同源根底上不行否认的数字签名方案。2017 年，Gélin 等人和 Ti别离对超奇特同源暗码系统的循环停止毛病进犯和第一类故障攻击进行了讨论。2022 年，Castryck、Maino 和 Chi-Domínguez 针对超奇特同源密钥沟通协议（SIDH），别离提出了不同的密钥康复进犯方案。虽然这些后量子暗码算法并未像其他干流算法相同构成系统，可是在不久的将来，这些后量子暗码算法或许其他新的后量子算法也会逐渐登上舞台。

后量子暗码的打开趋势

量子核算机的呈现能够当作新一代的技能革新，作为核算机下一轮迭代的打开方向，量子核算机在暗码破解、机器学习、量子模仿等多个范畴具有得天独厚的优势，日后量子核算机也极有或许成为人们日常日子中的一部分。后量子暗码算法作为应对量子核算进犯的新式暗码方案，研讨时刻不过短短 30 年左右，仍有许多问题亟须探究。

5.1　经典后量子暗码算法的优化与拓宽

量子核算的打开对暗码技能提出了更高的要求，一同也促成了暗码剖析技能的前进。虽然现在现已规划研讨出许多类型的后量子暗码算法，可是针对这些暗码算法的理论进犯依然存在，例如面向 NIST 第三轮当选算法中 Kyber 的密钥不匹配进犯等，因而在未来对已有的后量子暗码算法的改善之路仍需持续前行。除此之外，针对算法的有用化改善相同具有重要含义。经过不断优化算法的参数规划，进步算法的运转功率，下降算法的时刻杂乱度和空间杂乱度，使算法在实践运用中发挥作用。

5.2　量子算法与暗码算法的结合

量子算法的规划方针是处理某一类特定的问题或许缩短某些算法的运转时刻，例如 Shor算法的创造处理了大整数分化问题，Grover 算法的提出进步了查找的速度，Simon 算法的呈现供给了一种求解函数周期的办法。研讨量子算法与暗码算法相结合的新式算法，一方面，将量子算法运用于后量子暗码的规划中能够进步算法的运转功率，增强其可用性；另一方面，将量子算法运用于暗码剖析办法中能够从某个视点发现算法潜在的进犯或许性，优化算法参数，进步算法的安全性。

5.3　暗码算法量子安全性的评价

量子核算中的一些算法现已被证明对经典暗码算法存在有用的理论进犯，这种进犯针对后量子暗码算法而言是否有用现在还不知道。一同，新的量子算法的呈现是否会对现有后量子算法形成要挟也相同不知道，因而评价暗码算法的量子安全性是未来的一个研讨方向。

5.4　量子环境下新的数学问题探究

除了现在依据格、哈希、多变量、编码的后量子暗码算法，研讨规划更多的依据同源曲线或许量子随机散步的后量子暗码算法也是很有必要的。除此之外，研讨规划在量子核算机优势外的数学困难问题也是一种新的探究方向。

结　语

针对量子核算的打开，美国现已在施行巨大的量子方案，并揭露宣告当项目进行到必定程度后便不再向全球揭露，意味着咱们将无从获悉其他各国最新的研讨进展，这将在必定程度上影响我国的战略决策。一同，依据量子核算对网络空间安全方面带来的要挟，全球方针统一在抗量子暗码的研讨上，可是国与国之间还存在必定距离，尔后，我国应连续在量子核算、抗量子暗码范畴的科研方案，缩小与西方的差距，实在确保国家的网络与信息安全。

告发/反应