1.3 后量子密码

为了尽早部署能抵御量子计算攻击的密码算法，提前设计基于新型的、高效的、能抵抗量子计算机攻击的困难问题的密码算法，即后量子密码（Post-Quantum Cryptography，PQC）算法，是当今公钥密码学研究的重点内容。2012年，美国国家标准与技术研究院（National Institute of Standards and Technology，NIST）宣布，现有的公钥加密技术需要逐渐过渡到具有量子安全或者说后量子替代的方案（Post-Quantum Alternatives）上，并且正式启动了后量子密码的研究工作。2016年，NIST的PQC项目宣布正式开展后量子密码标准征集工作 ^[22-23] ，主要聚焦公钥加密算法（包括密钥封装机制）和数字签名两类后量子密码算法的征集。在候选密码算法的安全性分析方面，NIST建立了5个安全等级。其中，第Ⅰ级为至少与破解AES-128的困难程度相当，第Ⅴ级则是以对AES-256密钥的穷尽搜索为参照。NIST要求每个研究团队提交可以抵御量子计算攻击的密码算法的详细文档、工程实现和相关测试数据。此次后量子密码标准征集竞赛面向全球范围展开，共有来自6大洲，25个国家和地区的密码学家参与了竞赛 ^[24] 。后量子密码标准的第一轮方案提交截至2017年11月30日，NIST共收到82个后量子密码算法方案。在进行初步审查后，NIST最终公布了64个“完整且适合”的方案正式进入第一轮筛选，具体见表1-1。其中，来自我国复旦大学、上海交通大学和密码科学技术国家重点实验室的相关研究团队也贡献并提交了几个后量子密码方案。

在这64个候选方案中，主要包括由以下4类数学问题构造的后量子密码算法：基于格的（Lattice-based）共计26个，基于编码的（Code-based）共计19个，基于多变量的（Multivariate-based）共计9个，基于哈希的（Hash-based）共计3个。经过为期一年多的评估，已有近1/3的方案被发现存在各类安全缺陷，近1/5的方案已被彻底攻破。NIST于2019年1月31日宣布 ^[25] ，只有26个后量子密码方案成功进入了第二轮半决赛筛选。其中，基于格的有12个，基于编码的有7个，基于多变量的有4个，具体见表1-2。

再次经历一年半的严格评选后，2020年7月22日，NISI宣布只有7个后量子密码方案入围了第三轮决赛筛选 ^[26] 。其中，公钥加密算法和密钥封装机制方案包括Classic McEliece、CRYSTALS-KYBER（简称Kyber）、NTRU（Number Theory Research Unit）和SABER（也称Saber），数字签名方案包括Rainbow（彩虹签名）、FALCON和CRYSTALS-DILITHIUM。除Classic McEliece和Rainbow外，其他5个均为基于格的后量子密码方案。按照NIST PQC项目的规划 ^[27] ，最终的审查工作同样将持续一年到一年半，预计在2024年，后量子密码的标准化工作正式完成。这些方案中将有一个或几个会成为最终的后量子密码方案标准。

除NIST PQC项目在推进后量子密码算法的标准化进程外，其他国际组织同样也在积极部署：IEEE P1363.3工作组已经标准化了一些基于格的密码算法 ^[28] ；欧盟专家组PQCRYPTO和SAFEcrypto针对后量子密码方案提出了建议并发布了相关报告 ^[29-30] ；ISO/IEC JTC1/SC27机构已经对后量子密码学进行了为期两年的研究，并且正在开发相关标准。后量子密码很可能是一项在根本上改变人类社会信息安全的新技术，将作为RSA、ECC等传统公钥加密算法的替代逐步融入信息化的工作和生活，为抵御量子计算机的攻击做好充足的准备。信息安全相关的行业将会产生巨大的变化，也将出现更多后量子密码应用方面的市场需求。 TIjjK9k5b1TaVS/OLAwPgIXoCj2r7vmsoD7P+FFI86rZUazOx8gw0ppEUFZZgIAA