3月3日，北約網(wǎng)絡(luò)安全中心（NCSC）完成量子安全通信測試。此次測試使用其專門的虛擬專用網(wǎng)絡(luò)（VPN）之一測試了“安全通信流”，并將其技術(shù)描述為“混合后量子VPN”，它將傳統(tǒng)加密算法與那些被認(rèn)為是“量子安全”的算法混合在一起。此次測試的成功，一方面表明以量子計算為代表的計算能力飛躍發(fā)展，量子計算變得越來越便宜、可擴(kuò)展和實(shí)用，另一方面密碼算法體系如何抵抗量子計算攻擊成為重要而緊迫的問題，基于新型數(shù)學(xué)難題的后量子密碼技術(shù)開始擔(dān)負(fù)起抵御量子計算挑戰(zhàn)的重任。

　　一

　　后量子密碼技術(shù)發(fā)展現(xiàn)狀

　　總體上看，歐、美、日這些傳統(tǒng)發(fā)達(dá)國家處于后量子密碼研究和應(yīng)用領(lǐng)域的領(lǐng)先地位。而且各國之間通過各類國際性組織聯(lián)合等方式開展了很多合作工作，較少體現(xiàn)出對抗。

　?。ㄒ唬┖罅孔用艽a技術(shù)上升到國家安全的高度

　　2022年2月，美國總統(tǒng)拜登簽署了第8號國家安全備忘錄——《關(guān)于改善國家安全、國防部和情報系統(tǒng)的網(wǎng)絡(luò)安全》，其中首次提及后量子密碼（PQC）。這將對美國乃至世界的量子技術(shù)和量子安全產(chǎn)生巨大影響。這份文件是美國國家安全機(jī)構(gòu)在當(dāng)前的聯(lián)邦網(wǎng)絡(luò)安全計劃中，首個特別提到后量子密碼（PQC）的文件。這對于4年來一直推動量子安全問題的量子聯(lián)盟倡議機(jī)構(gòu)以及整個量子信息科學(xué)來說，都是一場巨大的勝利。

　?。ǘ┤蚝罅孔用艽a標(biāo)準(zhǔn)化開展得如火如荼

　　近年來，各國密碼管理部門對 PQC 研究也開始重視和推進(jìn)，由于

　　目前尚未實(shí)現(xiàn)算法標(biāo)準(zhǔn)化，還未發(fā)展到實(shí)際系統(tǒng)研發(fā)和基礎(chǔ)設(shè)施推廣

　　建設(shè)階段，主要的表現(xiàn)是國際產(chǎn)業(yè)界和標(biāo)準(zhǔn)化組織以及各國密碼管理

　　部門都在積極推進(jìn) PQC 密碼的標(biāo)準(zhǔn)化工作。在歐洲，歐洲電信標(biāo)準(zhǔn)化協(xié)會在網(wǎng)絡(luò)安全技術(shù)機(jī)構(gòu)下成立小組專門負(fù)責(zé)PQC方面的標(biāo)準(zhǔn)制定和研究工作。在美國，2015 年，美國密碼和信息安全領(lǐng)域最權(quán)威的管理和研究機(jī)構(gòu)國家安全局（NSA）公開宣布由于面臨量子計算的威脅，其計劃將聯(lián)邦政府各部門目前使用的 ECC/RSA 算法體系向后量子算法進(jìn)行遷移。次年美國國家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）正式啟動后量子密碼標(biāo)準(zhǔn)競選， 預(yù)計2024年確立后量子公鑰密碼標(biāo)準(zhǔn)。此外，國際互聯(lián)網(wǎng)技術(shù)標(biāo)準(zhǔn)化組織 IETF 將基于哈希函數(shù)的簽名體制 XMSS 納入標(biāo)準(zhǔn)。

　　（三）后量子密碼技術(shù)遷移工作逐步受到政府組織的重視

　　盡管主流的密碼系統(tǒng)目前依然能夠有效運(yùn)行，但是在量子計算技術(shù)的潛在沖擊下，幾乎所有的加密算法都需要進(jìn)行改進(jìn)甚至必須進(jìn)行遷移。以美國為代表，2021 年 8 月，NIST 的國家網(wǎng)絡(luò)安全卓越中心正式啟動后量子密碼遷移工程。2021年9月17日，美國國土安全部（DHS）發(fā)布“應(yīng)對后量子密碼學(xué)”的備忘錄。緊接著在10月4日，美國國土安全部（DHS）與國家標(biāo)準(zhǔn)技術(shù)研究所（NIST）又合作發(fā)布了應(yīng)對量子技術(shù)風(fēng)險的路線圖，旨在幫助企業(yè)保護(hù)其數(shù)據(jù)和系統(tǒng)，降低量子技術(shù)發(fā)展相關(guān)的風(fēng)險。2021年11月13日，美國國家標(biāo)準(zhǔn)技術(shù)研究院（NIST）邀請各部門、各企業(yè)撰寫抗量子密碼遷移意向書，描述產(chǎn)品和技術(shù)性內(nèi)容，從而為抗量子密碼遷移計劃提供安全平臺支持和演示。本通知旨在跨出美國國家網(wǎng)絡(luò)安全卓越中心（NCCoE）與技術(shù)公司合作的第一步，雙方將合作應(yīng)對在“抗量子密碼遷移”計劃中認(rèn)識到的網(wǎng)絡(luò)安全挑戰(zhàn)。

　　二

　　后量子密碼技術(shù)安全性分析

　　密碼技術(shù)是網(wǎng)絡(luò)安全的根基。當(dāng)前，在一系列能夠抵抗量子計算的算法方案中，從理論基礎(chǔ)或者算法設(shè)計的可行性來看，后量子密碼技術(shù)主要包括以下基于格 （Lattice-based）、基于編碼 （Code-based）、基于多變量 （Multivariate-based）、基于哈希 （Hash-based） 四種密碼體制類型，具體指標(biāo)見表1 。到目前為止，后量子密碼技術(shù)還沒有經(jīng)受實(shí)戰(zhàn)的考驗(yàn)。在可信度、完整度、適用性方面還存在一定的問題。

　　（一）在可信度方面

　　對于 PQC 而言，NIST 的標(biāo)準(zhǔn)征集工作是一次發(fā)展契機(jī)。經(jīng)過 NIST 遴選的 PQC 方案將受到一定程度的安全分析和攻防驗(yàn)證，原則上將具有較好的可信度；而未通過 NIST 遴選的 PQC 方案，其發(fā)展則可能受到挫折。然而，仍然需要指出，即便是從經(jīng)典密碼分析角度而言，對于 PQC 的安全性理解仍然是任重道遠(yuǎn)。從另一個方面上來說，相比于從事經(jīng)典密碼分析專家的數(shù)量，具有密碼分析的經(jīng)驗(yàn)，又能夠深入理解量子計算的專家十分稀缺。因此，對于 PQC 算法的量子攻擊分析也許也并不充分。嚴(yán)格地說，PQC 算法的抗量子性是基于格和編碼等底層數(shù)學(xué)問題的量子困難性假設(shè)，這一假設(shè)還有待時間的檢驗(yàn)。

　?。ǘ┰谕暾确矫?/p>

　　量子安全技術(shù)中單獨(dú)的某一項技術(shù)有時不能構(gòu)成完整的信息安全解決方案。這一問題對于某些PQC算法也同樣存在，例如，部分基于糾錯碼的 PQC 只能加 密而不能簽名，一些多變量 PQC 只能簽名而不能加密。

　　（三）在適用性方面

　　原則上說，要保障量子安全就必須在整個信息系統(tǒng)上都應(yīng)用量子 安全技術(shù)。因此，量子安全技術(shù)如何適配全系統(tǒng)中不同場景和不同設(shè) 備形態(tài)并進(jìn)行應(yīng)用，也是需要解決的問題。對于 PQC 技術(shù)而言，困難主要集中在如何減小算法復(fù)雜度和密鑰規(guī)模，以便集成在輕量化設(shè)備中。

　　總體來說，基于四種密碼體制類型，基于格和編碼的構(gòu)造是最多的，且主要被用于構(gòu)造公鑰加密（密鑰交換）算法；由于基于多變量的陷門構(gòu)造相對更為可行和高效，因此主要集中于數(shù)字簽名方案，公鑰加密方案較少；而基于哈希的構(gòu)造方案中樹狀結(jié)構(gòu)的使用，目前只有數(shù)字簽名的構(gòu)造，缺少公鑰加密算法。

　　三

　　后量子密碼產(chǎn)業(yè)推進(jìn)和應(yīng)用情況

　　根據(jù) Inside Quantum Technology 的一份最新報告，到 2029 年，后量子密碼（PQC）軟件和芯片的市場將增至 95 億美元。PQC 功能將嵌入到眾多設(shè)備和環(huán)境中，其中 80%以上的收入將來自網(wǎng)絡(luò)瀏覽器、 物聯(lián)網(wǎng)、機(jī)床和網(wǎng)絡(luò)安全行業(yè)本身。

　　（一）大型跨國公司和行業(yè)巨頭搶占先機(jī)

　　國際上 ICT 行業(yè)大型跨國公司如 IBM、微軟、谷歌、等都投入了力量在 PQC 的研究上并形成了相應(yīng)研究成果。IBM 在該領(lǐng)域研究重點(diǎn)是格密碼。微軟參與到了 FrodoKEM、SIKE、Picnic、qTESLA 四個用于簽名和密鑰交互的 PQC 項目的研究中，PQC 庫的開發(fā)和安全協(xié)議集成也是其重點(diǎn)投入的工作。2016 年微軟公司發(fā)布了基于格密碼庫（Lattice Crypto），2018 年微軟發(fā)布了著名開源項目 OpenVPN 的一個名為 PQCrypto-VPN 的分支項目，這個項目在 OpenVPN 中實(shí)現(xiàn)了PQC 算法，并可以在 VPN 中測試 PQC 算法的功能和性能。谷歌公司在對當(dāng)前后量子密碼技術(shù)發(fā)展進(jìn)行調(diào)查后，也提出了基于環(huán)上帶誤差學(xué)習(xí)問題的密鑰交換協(xié)議，還對運(yùn)行于瀏覽器的 PQC 算法進(jìn)行了實(shí)驗(yàn)。

　?。ǘ┏鮿?chuàng)公司和安全行業(yè)公司不斷涌現(xiàn)

　　當(dāng)前，國際上也出現(xiàn)了一些面向 PQC 方向的初創(chuàng)公司和安全行業(yè)公司，傳統(tǒng)安全公司 Onboard Security，研究方向面向格密碼算法 NTRU，初創(chuàng)公司 Duality Technologies 提供基于量子安全的同態(tài)密碼隱私保護(hù)解決方案。美國安全創(chuàng)新公司（Security Innovation）注冊并 擁有 NTRU 算法的專利，其提供兩種授權(quán)選項：開源 GNUGPL v2 授權(quán) 以及商業(yè)授權(quán)。從 2011 年起，該公司發(fā)布了多種實(shí)現(xiàn) NTRU 算法的軟件庫，其中包括安全套接字協(xié)議層（SSL）和 ARM7/9 處理器庫等。

　　（三）開源社區(qū)開源項目創(chuàng)新層出不窮

　　開源界也形成了 PQC 方向相關(guān)的開源社區(qū)，并開發(fā)了一些 PQC 方面開源項目。如“開放量子安全（Open Quantum Safe）”項目，目的是打造名為 liboqs 的抗量子破解加密算法的 C 語言庫，該項目已經(jīng)被應(yīng)用到著名的開源安全軟件 OpenSSL 上。類似的項目還有NTRUOpenSourceProject 等。

　　四

　　幾點(diǎn)認(rèn)識

　?。ㄒ唬?公鑰密碼系統(tǒng)向后量子密碼系統(tǒng)過渡困難重重

　　傳統(tǒng)計算技術(shù)和量子計算技術(shù)的進(jìn)步，推動了對更強(qiáng)大密碼技術(shù)的需求。當(dāng)前，為了抵御對傳統(tǒng)計算的攻擊，NIST已經(jīng)建議從提供80位安全性的密鑰大小和算法過渡到提供112位或128位安全性的密鑰大小和算法。而為了提供抵御量子攻擊的安全性，未來還需要進(jìn)行一個過渡，即把公鑰密碼系統(tǒng)過渡到新的后量子密碼系統(tǒng)。為了應(yīng)對未來基于量子計算機(jī)攻擊手法的出現(xiàn)，新的后量子加密算法有望成為未來全球加密與數(shù)字簽名新標(biāo)準(zhǔn)。為了要能夠與量子計算機(jī)攻擊相抗衡，后量子加密算法也要融合多領(lǐng)域密碼知識，包括編碼密碼、網(wǎng)格密碼、多變量密碼、散列密碼，以及超通用橢圓曲線同源密碼等。

　　（二）加速推進(jìn)后量子密碼相關(guān)標(biāo)準(zhǔn)的落地

　　當(dāng)今已有一些國家正在制定新標(biāo)準(zhǔn)，用來對抗未來量子計算機(jī)攻擊。像是曾制定出AES和DES加密標(biāo)準(zhǔn)的美國標(biāo)準(zhǔn)與科技研究院，早從幾年前就在著手進(jìn)行后量子密碼的國家標(biāo)準(zhǔn)制定。在我國，后量子密碼算法設(shè)計競賽和標(biāo)準(zhǔn)化工作已經(jīng)展開，除了大學(xué)和研究機(jī)構(gòu)加大投入，一批致力于后量子密碼應(yīng)用的創(chuàng)新創(chuàng)業(yè)團(tuán)隊也在積極作為。尤其在量子密鑰分發(fā)與后量子密碼相結(jié)合的方向上，中國的科研和產(chǎn)業(yè)化團(tuán)隊已經(jīng)邁出了他們的步伐。未來這些標(biāo)準(zhǔn)一旦成為全球通用國際標(biāo)準(zhǔn)，他們就會在相關(guān)領(lǐng)域搶占先機(jī)，擁有話語權(quán)。

　　（三）發(fā)揮企業(yè)在后量子密碼發(fā)展應(yīng)用過程中的重要影響力

　　通過新型密碼產(chǎn)品的商業(yè)化推廣使用活動，企業(yè)界能夠不斷積累和分析用戶數(shù)據(jù)，從而促進(jìn)后量子密碼系統(tǒng)安全性能和運(yùn)行效應(yīng)的提升。2021年7月，ADVA 公司推出業(yè)界首個由后量子密碼保護(hù)的光傳輸解決方案--FSP 3000 ConnectGuard光學(xué)加密解決方案。該解決方案現(xiàn)在可以保護(hù)數(shù)據(jù)免受可能破壞當(dāng)今加密算法的量子計算機(jī)的網(wǎng)絡(luò)攻擊。2020年，十多個日本公司包括東芝、NEC和三菱電機(jī)等日本IT巨頭和組織正在合作開發(fā)被稱為“量子密碼學(xué)”的下一代加密技術(shù)。這個為期五年的項目將探討延長安全數(shù)據(jù)通信距離的可能性。它還將致力于研發(fā)可用于超高速、大容量5G網(wǎng)絡(luò)的安全加密技術(shù)。