背景
数字社会的信任危机
在数字化浪潮席卷全球的今天,密码技术作为网络空间的“安全基因”,保障着从网上银行、电子邮件到国家政务、军事指挥的一切机密性与真实性。目前,广泛使用的公钥密码体系——RSA(Rivest‑Shamir‑Adleman)和椭圆曲线密码(ECC)——其安全性分别基于大整数分解和离散对数问题的数学难解性。在经典计算机架构下,破解 2048 位的 RSA 密钥需要数千年的计算时间,因此被认为是安全的。
然而,这种安全基石正面临着一场前所未有的风暴——量子计算。
量子计算的“达摩克利斯之剑”
量子计算利用量子叠加和纠缠特性,能够在特定问题上实现指数级的加速。1994 年,美国数学家彼得·肖尔(Peter Shor)提出了著名的 Shor 算法,该算法能在多项式时间内破解大整数分解和离散对数问题。这意味着,一旦拥有足够多物理量子比特且容错能力强的量子计算机问世,现有的公钥密码体系将瞬间崩塌。
近年来,量子计算技术发展迅猛。从谷歌宣称的“量子霸权”到不断刷新的量子比特数量记录,专家们普遍认为,能够在合理时间内破解 RSA‑2048 的量子计算机(约需 2000 万个物理量子比特)可能在 2030 年至 2040 年之间成为现实。这一威胁催生了一个紧迫的需求:“现在窃取,以后解密”(Harvest Now, Decrypt Later)攻击。攻击者可以先存储当前加密的敏感数据,待未来量子计算机成熟后再进行批量破解。
从传统密码到抗量子密码
为了应对这一威胁,密码学界开辟了两条主要技术路径:一是基于量子物理原理的量子密钥分发(QKD),二是基于新型数学困难问题的抗量子密码(PQC)。本文聚焦于后者。
抗量子密码,又称后量子密码,旨在设计一种能在经典计算机上运行,但对量子计算攻击免疫的密码算法。它并非对现有算法的简单修补,而是基于全新的数学难题,这些难题即便在量子计算环境下也尚未找到高效的求解算法。
本文将带领读者深入这一神秘而关键的领域,全面解析抗量子密码技术。
量子计算威胁:为什么现有密码必须升级?
经典计算机与量子计算机的本质区别
经典计算机以比特(bit)为基本单位,每个比特非 0 即 1。而量子计算机使用量子比特(qubit),由于量子叠加原理,一个量子比特可以同时处于 0 和 1 的叠加态。n 个量子比特可以同时表示 2^n 个状态的叠加。这种天然的并行性使得量子计算机在处理某些特定数学问题时拥有绝对优势。
经典计算 vs 量子计算:
经典比特:只有 0 或 1,一次只能处理一条路径。
量子比特:可以同时处于 0 和 1 的叠加态,通过量子纠缠可以并行处理指数级的状态空间。
Shor算法:公钥密码的终结者
Shor 算法的核心在于利用量子傅里叶变换来寻找大整数因子或离散对数的周期。对于 RSA 加密,其安全性基于这样一个事实:将一个大整数 N 分解为两个质因数 p 和 q 在经典计算下极其困难。Shor 算法通过将分解问题转化为寻找函数 f(x)=a^x mod N 的周期问题,在量子计算机上通过一次运算即可求出该周期,进而快速破解 N。
经典分解复杂度:对于整数 N,最有效的经典算法(如普通数域筛选法)的复杂度约为
O(e(logN)1/3(loglogN)2/3)O(e(logN)1/3(loglogN)2/3)
而 Shor 算法的复杂度为 O((logN)3)O((logN)3),这是指数级的加速。
数据对比:破解一个 2048 位 RSA 密钥,经典计算机需要约 10^19 MIPS 年的计算量(相当于全球所有计算资源算几千年),而一台拥有 2000 万量子比特的容错量子计算机仅需 8 小时左右。
Grover算法:对称密码的威胁
除了 Shor 算法,Grover 算法也对密码学构成威胁。Grover 算法是一种量子搜索算法,可以在无序数据库中实现平方级的加速。对于密钥长度为 k 的对称密码(如 AES),Grover 算法可以将穷举搜索的复杂度从 O(2^k) 降低到 O(2^(k/2))。这意味着,为了维持 128 位的安全强度,对称密码的密钥长度需要增加到 256 位。
然而,与公钥密码的“彻底崩塌”不同,对称密码和哈希函数通过增加密钥长度或输出长度(如从 SHA‑256 升级到 SHA‑384)即可有效抵御量子攻击。因此,抗量子密码的焦点主要集中在公钥密码体系的替代上。
表2‑1:量子计算对主要密码算法的影响
抗量子密码算法家族详解
抗量子密码并非单一算法,而是基于不同数学难题的一系列算法族。目前,国际公认最具潜力的五大主流方向包括:基于格的密码、基于编码的密码、基于多变量的密码、基于哈希的密码以及基于同源的密码。每个族系都有其独特的数学基础、优缺点和典型算法。
基于格的密码:最耀眼的明星
什么是格?
在数学上,格是 n 维欧氏空间中的一组具有周期性结构的点。简单理解,格就是空间中的“网格”。给定一组线性无关的基向量 b1,b2,…,bnb1,b2,…,bn,它们的整数线性组合就构成了一个格:
格有两个重要的性质:
基不唯一:同一个格可以由不同的基生成,有的基是“好基”(短且正交),有的基是“坏基”(长且歪斜)。基于格的密码正是利用这种不对称性:用坏基作为公钥,好基作为私钥。
计算困难问题:给定一个格的“坏基”,找到格中的最短非零向量(SVP)或最近向量(CVP)是极其困难的。
核心困难问题:SVP、CVP与LWE
最短向量问题(SVP):在格中寻找长度最短的非零向量。已知在一般格上,SVP 是 NP 困难问题(在某些范数下)。
最近向量问题(CVP):给定一个不在格上的目标点,找到格中离它最近的格点。
带误差的学习问题(LWE):由 Oded Regev 于 2005 年提出,已成为现代格密码的基石。LWE 问题描述如下:给定一组随机向量 ai∈Zqnai∈Zqn 和对应的带噪声的内积 bi=⟨ai,s⟩+eibi=⟨ai,s⟩+ei,其中 ss 是秘密向量,eiei 是从某个误差分布中采样的小整数。求解 ss 在计算上是困难的。LWE 问题被证明在最坏情况下与某些格上的困难问题等价,因此具有可靠的安全性基础。
代表算法:CRYSTALS‑Kyber 与 CRYSTALS‑Dilithium
CRYSTALS‑Kyber:一种密钥封装机制(KEM),基于模格上的 Module‑LWE 问题。它通过将公钥和密文设计为向量和矩阵,在安全性和效率之间取得了良好平衡。Kyber 已被 NIST 选为通用加密的标准(FIPS 203)。其密钥尺寸适中(公钥约 800 字节,密文约 768 字节),计算速度快,非常适合 TLS 等网络协议。
CRYSTALS‑Dilithium:一种数字签名算法,基于 Module‑LWE 和 Module‑SIS 问题。它的特点是无需高熵随机数,实现简单,签名大小约 2.4KB,验证速度极快。Dilithium 已被 NIST 选为数字签名标准(FIPS 204)。
基于格的密码之所以成为“明星”,是因为它在安全性、性能和密钥尺寸之间取得了最佳平衡,并且能够支持全同态加密等高级密码功能。
基于编码的密码:古典与新生的融合
核心思想
基于编码的密码起源于 1978 年 Robert McEliece 提出的 McEliece 加密方案。其安全性基于一般线性码的译码问题:对于一个随机生成的线性纠错码,如果没有快速译码算法,要从带有错误的码字中恢复出原始信息是极其困难的。这类似于在一个巨大的向量空间中寻找一个靠近已知点的码字。
代表算法:Classic McEliece
Classic McEliece 使用 Goppa 码,这是一种具有快速译码算法的代数几何码。公钥是经过随机置换的生成矩阵,私钥则是能够快速译码的秘密结构。该方案自 1978 年提出以来,四十多年未被有效破解,安全性极其可靠。然而,它的致命缺点是公钥尺寸巨大——对于 128 位安全强度,公钥大小约为 1 MB,而 RSA‑2048 的公钥只有 256 字节。这在网络应用中(如 TLS 握手)会带来巨大的传输开销和延迟。
表3‑1:不同安全级别下Classic McEliece的密钥尺寸(估算)
基于多变量的密码
数学原理
多变量密码的安全性基于求解有限域上的多元二次多项式方程组(MQ 问题)的 NP 困难性。给定一组二次多项式:
找到一组变量 (x1,…,xn)(x1,…,xn) 使得所有多项式等于 0 或特定值,这是一个公认的难题。在密码设计中,私钥允许快速求解方程组,而公钥则表现为一组看似随机的二次多项式。
代表算法:Rainbow
Rainbow(彩虹)是油醋签名体制的扩展,曾在 NIST 遴选中进入第三轮。它将变量分为多个层次(油变量和醋变量),使得签名生成非常快且签名长度较短(典型签名约 66 字节)。然而,Rainbow 在后续的分析中已被攻破(2022 年),显示了多变量密码分析领域的活跃性。尽管如此,多变量签名仍然在计算资源受限但对签名大小敏感的场合(如区块链交易)具有吸引力。
基于哈希的密码
原理与特点
基于哈希的密码完全依赖于哈希函数的抗碰撞性和单向性。最著名的例子是Merkle 树签名。它将一次性签名(如 Lamport 签名)通过一棵二叉树组合起来,实现多次签名。由于哈希函数被认为是抗量子的(Grover 算法仅提供平方加速),因此基于哈希的签名非常安全。
一次性签名:每个密钥对只能签名一次,否则安全性会下降。
Merkle 树:将多个一次性公钥的哈希值作为叶子节点构建一棵二叉树,根节点作为全局公钥。签名时需要提供一次性签名以及从叶子到根的认证路径。
代表算法:SPHINCS+
SPHINCS+ 是一种无状态的基于哈希的签名方案,已被 NIST 选为数字签名标准之一(FIPS 205)。它通过使用一种称为“超树”的结构和伪随机函数,避免维护签名状态,克服了传统 Merkle 签名需要记录已用密钥对的问题。SPHINCS+ 的主要缺点是签名尺寸较大(约 17‑49 KB,取决于安全级别),且签名速度相对较慢,但在需要极高安全确信度的场景(如固件签名)中很有价值。
表3‑2:SPHINCS+ 不同参数集的签名大小(128位安全级别)
其他候选算法
基于同源的密码:如 SIKE(基于超奇异椭圆曲线同源)。其密钥尺寸极小(公钥仅几百字节),曾是热门候选,但在 2022 年被一种数学攻击攻破,说明该领域仍不成熟。
基于辫群的密码:虽然研究较早,但由于安全性和效率问题,已逐渐边缘化。
表3‑3:主要抗量子密码算法类型对比
全球标准化进程:从竞赛到实战
标准化是抗量子密码技术从学术论文走向产业应用的关键一步。目前,全球标准化工作主要由美国 NIST 主导,同时各国也在积极布局。
NIST PQC 项目:领跑全球的选拔赛
时间线回顾
2016 年,美国国家标准与技术研究院(NIST)正式启动后量子密码标准化项目,面向全球征集抗量子算法。这一过程公开、透明,吸引了全球密码学家的关注。
第一轮(2017):收到 82 个候选算法,经过初步分析淘汰 13 个。
第二轮(2019):26 个算法进入第二轮,接受全球密码学界的深入分析。
第三轮(2020‑2022):筛选出 7 个决赛算法和 8 个候补算法。
第四轮(2023‑2024):针对未直接胜出的算法(主要是基于编码的 KEM)进行第四轮评估。
首批标准正式发布(2024年)
2024 年 8 月,NIST 正式发布了备受期待的首批三项抗量子密码标准:
FIPS 203:基于格的密钥封装机制标准,即 ML‑KEM(源自 CRYSTALS‑Kyber)。
FIPS 204:基于格的数字签名标准,即 ML‑DSA(源自 CRYSTALS‑Dilithium)。
FIPS 205:无状态基于哈希的数字签名标准,即 SLH‑DSA(源自 SPHINCS+)。
此外,基于格的 Falcon 签名方案预计将在后续作为 FIPS 206 发布。
NIST 后续计划
NIST 仍在进行第四轮评估,重点关注基于编码的 KEM 方案(如 BIKE、HQC),并计划在未来发布更多标准。同时,NIST 也在考虑对签名方案进行补充,以适应不同应用场景的需求。
中国的抗量子密码之路
作为密码大国,中国也在紧锣密鼓地推进抗量子密码的自主研发与标准化。
科研布局:国家密码管理局、中国密码学会积极组织密码竞赛和学术交流。早在 2019 年,全国密码算法设计竞赛中就涌现了大量抗量子算法。
标准进展:中国正在完善自有的抗量子密码标准,例如研究基于 NTRU 的密钥封装机制、基于 SM3 的带状态数字签名算法等。国家密码管理局已发布相关行业标准征求意见稿。
产业参与:以中国电信、中国移动、中国电科为代表的央企已深度参与抗量子密码的研究与产品开发。例如,中国电科发布了“衡”系列安全解决方案和“量铠”抗量子密码产品。
其他国家及国际组织的动态
欧洲:ETSI(欧洲电信标准化协会)成立量子安全密码工作组,ECC(欧洲密码协会)通过 PQCRYPTO 项目资助研究,整体策略是紧密跟随并配合 NIST 标准,同时推动其在欧洲的应用落地。
韩国:韩国非常活跃,不仅举办亚洲抗量子密码论坛,电信运营商 LG Uplus 还推动了光传输网络中抗量子密码应用规范的制定。
ISO/IEC:国际标准化组织也在同步推进抗量子密码算法的国际标准,主要参考 NIST 的遴选结果,并融合各国自主算法。
迁移的挑战:不仅是算法的替换
将全球 IT 基础设施从 RSA/ECC 迁移到抗量子密码,被认为是人类历史上最复杂、最艰巨的工程之一。这不仅意味着换一把锁,而是要更换整个门禁系统的核心机制。
性能权衡:速度、尺寸与安全
抗量子算法在带来安全性的同时,也引入了新的性能开销。
密钥尺寸膨胀:RSA‑2048 的公钥是 256 字节,而 ML‑KEM 的公钥约 1.2KB,ML‑DSA 的公钥约 1.3KB,签名大小约 2.4KB。这对于网络传输(尤其是 TCP SYN 包、TLS 握手)和嵌入式设备存储构成了巨大压力。
计算开销:虽然格密码在通用 CPU 上速度尚可,但在资源受限的物联网设备上,复杂的多项式乘法运算可能导致显著的延迟和功耗增加。
表5‑1:主流算法性能对比(128位安全级别,Intel Skylake)
(注:以上为近似值,实际性能取决于具体实现和平台。)
混合模式:平滑过渡的智慧
为了应对迁移过程中的风险,业界普遍采用了混合模式。即在过渡期内,同时运行传统算法和抗量子算法。只有两者都被攻破,攻击才算成功。这既保障了后向兼容性,也防范了其中一方突然被攻破的风险。
例如,谷歌 Chrome 测试中就采用了“CECPQ2”方案,将 X25519(ECC)与基于格的 HRSS 算法相结合。在 TLS 1.3 中,混合密钥交换可以通过扩展的方式实现,客户端在 ClientHello 中同时提供传统和抗量子密钥共享,服务器选择其中一种或组合使用。
混合模式的优点:
安全性叠加:攻击者必须同时破解两种算法。
向后兼容:旧客户端仍可使用传统算法。
逐步过渡:允许网络基础设施慢慢升级。
混合模式的缺点:
性能开销:需要计算两次密钥交换。
协议复杂性:需要协商和组合密钥,增加了实现复杂度。
协议与网络基础设施的适配
抗量子密码不能凭空运行,必须嵌入到现有的安全协议(如 TLS、IPsec、SSH)中。
TLS 协议:IETF(互联网工程任务组)正在制定 TLS 扩展,以协商抗量子密码套件。但更大的证书会导致 TLS 握手可能超过一个 MTU(最大传输单元),引发 IP 分片或性能下降。例如,一个包含 ML‑DSA 签名的证书链可能达到 10 KB 以上,超出以太网 MTU(1500 字节),需要 TCP 分段,增加延迟。
PKI 体系:数字证书(X.509)需要能够容纳更大的抗量子公钥和签名,证书链的管理和验证效率需要重新设计。CA(证书颁发机构)中心需要升级其根证书和签发系统,可能还需要引入新的证书扩展来标识抗量子算法。
DNSSEC:域名系统安全扩展也依赖数字签名,迁移到抗量子签名将导致 DNS 响应包变大,可能引起分片和 EDNS0 兼容性问题。
硬件升级与嵌入式系统
对于已部署的数以亿计的物联网设备、智能卡、硬件安全模块(HSM),它们的设计之初并未考虑抗量子算法的资源消耗。这些设备可能无法运行复杂的格密码算法,面临物理淘汰的风险。新的抗量子密码芯片和模组正在研发中,如中国电科发布的“量铠”系列产品,旨在提供芯片级的抗量子能力。
物联网设备的挑战:
存储限制:许多物联网设备只有几十 KB 的闪存和几 KB 的 RAM,无法容纳大型公钥或签名。
计算能力:低功耗 MCU 可能无法在合理时间内完成多项式乘法。
功耗限制:电池供电设备需要极低的功耗,复杂的计算会缩短电池寿命。
解决方案:
轻量级抗量子算法:如基于哈希的签名(SPHINCS+ 虽然签名大,但验证快且内存占用小)可能适合某些物联网场景。
硬件加速:在芯片中集成专用的抗量子密码协处理器。
混合架构:在网关处进行抗量子密码转换,物联网设备仍使用传统算法,但通过网关与云端建立抗量子安全通道。
安全性评估的挑战
抗量子密码所依赖的数学问题(如格)虽然目前被认为是困难的,但其研究历史远不如大整数分解久远。密码分析学也在不断发展。例如,中国电信与上海交大团队近期成功破解了马来西亚 MySEAL 2.0 计划中的 KAZ 算法,揭示了 primorial 模数设计的根本性缺陷。这说明,新算法的安全性需要长时间的考验,标准也可能需要迭代更新。
格密码的潜在威胁:
格基约化算法的改进:如 BKZ 2.0 算法不断优化,可能降低实际安全强度。
量子算法:是否存在类似 Shor 算法的量子算法来加速 SVP 或 LWE?目前尚未发现,但研究仍在继续。
侧信道攻击:抗量子算法的实现可能泄露密钥信息,需要设计抵抗侧信道攻击的实现。
应用场景与产业化
抗量子密码的最终价值在于应用。随着数字化进程的深入,几乎所有依赖公钥密码的领域都将受到影响。
金融行业
金融交易对数据的机密性和交易的不可否认性要求极高。目前网银、支付系统广泛使用 RSA 签名和 SSL/TLS 信道。抗量子密码必须确保“现在窃取,以后解密”的威胁不影响长期存储的交易记录和客户隐私。央行数字货币(CBDC)的研发也在考虑引入抗量子签名技术,以应对未来的量子威胁。
金融行业迁移路线图:
短期(2025‑2027):试点混合模式,在核心交易系统中增加抗量子算法支持,同时保留传统算法。
中期(2028‑2030):逐步淘汰 RSA/ECC,强制新系统使用抗量子算法,升级 HSM 硬件。
长期(2030 以后):全面实现抗量子化,更新所有遗留系统。
车联网与智能网联汽车
智能汽车是一个移动的传感器和控制中心。V2X(车与万物)通信中的身份认证至关重要,一旦被伪造,将引发重大安全事故。目前 C‑V2X 标准基于证书体系,未来必须迁移到抗量子证书,以保障车辆身份的唯一性和不可伪造性。
V2X 通信的挑战:
低延迟:车辆之间通信需要毫秒级响应,签名验证速度必须足够快。
高可靠性:证书吊销和更新机制需要适应大规模动态网络。
安全存储:私钥必须安全存储在车端,防止物理攻击。
候选算法: 基于格的签名(如 Dilithium)因其验证速度快,适合 V2X 场景。基于哈希的签名(如 SPHINCS+)验证也较快,但签名尺寸较大,可能不适合广播信道。
关键基础设施与政务
能源(电网、石油)、政务、军事通信等领域的数据具有长期保密价值。国家机密需要确保数十年后依然安全。因此,这些领域是抗量子密码迁移的“第一梯队”。中国电科发布的“衡”系列解决方案和“量铠”产品,正是面向政务、能源等行业,构建基于国密和抗量子技术的主动防护体系。
具体应用:
电网调度:调度命令需要防篡改和身份认证,迁移到抗量子签名可防止未来量子攻击。
政务外网:电子政务系统使用抗量子 VPN 保护数据传输。
军事通信:战场通信需要极高安全性,抗量子密码是必然选择。
云服务与数据中心
云服务商(如亚马逊 AWS、阿里云)为了满足企业合规性要求,并保护云端数据的长久安全,正在测试和集成抗量子密码。例如,在密钥管理服务(KMS)中增加抗量子密钥封装能力,确保备份数据的长期安全。
云服务商的优势:
可以逐步升级,不影响用户现有服务。
提供混合模式的 API,用户可选。
利用硬件加速(如 GPU、FPGA)提高抗量子密码性能。
典型用例:
对象存储加密:使用抗量子 KEM 封装数据加密密钥。
TLS termination:负载均衡器支持抗量子 TLS。
代码签名:软件包使用抗量子签名,防止伪造。
区块链与加密货币
区块链依赖数字签名来保证交易的真实性和不可抵赖性。如果签名算法(如 ECDSA)被量子计算机攻破,攻击者可以伪造交易,盗取资产。因此,许多区块链项目(如比特币、以太坊)正在研究抗量子升级方案。
挑战:
硬分叉风险:修改签名算法需要全网共识,可能引发分叉。
性能影响:抗量子签名更大,交易体积增大,影响吞吐量。
隐私保护:某些抗量子签名(如基于格的)可能泄露更多信息。
解决方案:
量子抗性地址:使用基于哈希的签名(如 Lamport 签名)作为备用方案。
混合交易:允许同时使用 ECDSA 和抗量子签名,逐步过渡。
零知识证明:结合抗量子密码与零知识证明,增强隐私。
未来展望
技术发展的双轨并行
未来,抗量子密码将与量子密钥分发形成“双轨”发展格局。量子密钥分发基于物理原理提供理论上无条件安全的密钥协商,但受限于设备和距离;抗量子密码基于数学,易于部署在现有网络中。两者将取长补短,共同构建后量子时代的防御体系。
互补性:
QKD 适合高安全、短距离的点对点链路,如金融数据中心互联。
PQC 适合大规模网络、移动设备、云服务等场景。
密码分析的新进展
抗量子密码并非一劳永逸。随着研究的深入,一些曾被认为安全的算法(如 SIKE、Rainbow)已被攻破。格密码虽然稳健,但也面临着新型格基约化算法和量子算法(如量子退火)的潜在威胁。密码学家必须保持警惕,推动算法的持续演进和可证明安全理论的发展。
未来研究方向:
可证明安全:将安全性归约到更基础的数学难题,减少信任假设。
侧信道防护:设计抗侧信道攻击的实现,防止实际部署中的泄露。
轻量级算法:针对物联网和嵌入式设备优化。
量子算法分析:研究量子计算对格密码的潜在加速。
抢占标准与产业高地
抗量子密码的标准化是一场没有硝烟的战争。掌握核心技术、主导国际标准、构建自主可控的产业链,对于保障国家网络空间主权至关重要。中国在加速国内标准制定的同时,也应积极参与国际交流,推动技术互认。
建议:
政策支持:国家层面出台迁移路线图和时间表,引导产业投入。
人才培养:加强高校密码专业教育,培养抗量子密码人才。
产业联盟:建立抗量子密码产业联盟,促进产学研合作。
国际合作:积极参与 ISO、IETF 等国际标准组织,贡献中国智慧。
结语
量子计算的威胁不再遥远。虽然距离大规模量子计算机落地可能还有 10 到 15 年,但密码系统的迁移周期同样漫长。金融、通信、政务等领域的基础设施复杂度极高,改造升级需要巨额投入和时间。
因此,我们必须现在就行动起来:关注标准进展、进行技术储备、开展试点部署、评估迁移影响。抗量子密码,不仅是技术的升级,更是对未来数字世界信任基石的重新铸造。
正如密码学家 Bruce Schneier 所言:“我们无法预测未来,但我们可以为之准备。”抗量子密码正是我们为量子未来准备的最重要的安全基石。