什麼是後量子密碼
數後量子密碼指的是可以抵禦已知量子計算攻擊的現代公鑰密碼,這類密碼算法的安全性依賴于計算複雜度。後量子加密,是一種新的加密方法,其能夠利用現有經典計算機實作足以抵禦未來量子攻擊的能力。
後量子密碼算法的優點在于可覆寫非對稱算法的所有場景,且更新改造成本較低;缺點是缺少長期安全性證明,仍存在被破解的可能性。
後量子密碼的構造方式
1.基于格的後量子密碼算法。格是一種數學結構,定義為一組線性無關的非零向量(稱作格基)的整系數線性組合。具體來說,給定一組格基圖檔對任意的整數圖檔都是屬于這個格的向量。對于同一個格,其可以擁有不同的格基,并且求解格中的最短向量問題和最近向量問題是目前格理論中主要的非确定性多項式難題。除此之外,格中還有一些其他的困難問題,如LWE問題、有界距離解碼問題、小整數解問題等。基于格的算法與現代公鑰加密算法的功能一樣,均可實作加解密、數字簽名、屬性加密、同态加密、密鑰交換等多種密碼學構造。
在後量子加解密算法方面,通過總結目前主流的基于格的加解密算法,我們發現以LWE困難問題為基礎的格密碼方案不僅應用廣泛,而且安全性更高。
在後量子簽名算法方面,基于格的簽名算法的構造與現有的公鑰密碼體制略有不同。對于RSA、ElGamal、橢圓曲線等現有公鑰密碼體制而言,通過調換加解密算法的公私鑰順序即可将其轉換為簽名算法,但是基于格的密碼方案不具有此種對偶特性,在設計基于格的後量子簽名算法時通常采用零知識證明協定進行構造,即證明者證明自己擁有與對應身份的公鑰相比對的私鑰,但是不洩露任何關于私鑰的資訊。
2.基于編碼的後量子密碼算法。編碼理論是數學與計算機科學的一個分支,用來處理在噪聲信道中傳送資訊時進行錯誤處理。基于編碼的密碼體制也被認為是在量子計算機中相對安全的密碼算法,其核心在于将一定數量的錯誤碼字引入編碼中,糾正錯誤碼字或計算校驗矩陣的伴随式是困難的。
針對基于編碼的數字簽名方案,1990年有學者提出了第一個基于編碼的數字簽名方案。1991年,又有學者構造了一類同時具有簽名、加密和糾錯能力的公鑰體制。随後,學者們在此基礎上進行了一系列改進,并指出基于編碼的公鑰密碼體制或許可以成為基于數論的公鑰密碼體制的一個很好的替代。
3.基于哈希的後量子密碼算法。基于Hash函數設計的後量子密碼算法主要集中在數字簽名算法中,Hash函數具有很好的抗碰撞性,當Hash函數能抗強碰撞時,設計的數字簽名算法便可有效抵抗量子計算的攻擊。考慮到Hash函數獨特的屬性及其實用性,在量子時代,基于Hash函數的簽名算法有望成為最有前途的數字簽名方案之一。
4.基于多變量的後量子密碼算法。作為後量子密碼算法的最早成員之一,基于多變量的後量子密碼算法相比其他三種主流構造方式而言具有更多的研究成果。一個基于多變量的公鑰密碼系統将有限域上一組二次多項式作為它的公鑰映射,其主要安全假設為求解有限域上非線性方程組這個NP難問題。
5.其他後量子密碼算法。除上述四種主流算法外,基于量子密碼和基于同源的密碼體制也在密碼學家的研究範圍内。2006年,“困難的同質空間”概念被提出,為基于橢圓曲線同源的密碼系統奠定了基礎。同年,又有學者提出了一個新的适用于公鑰密碼系統的通用數學問題——對于有限域上的橢圓曲線,計算給定橢圓曲線之間的同源。同時,ElGamal公鑰加密和Diffie-Hellman密鑰協定被提出用于同源密碼系統。2012年,有學者提出了量子單向函數的候選方案,還有學者研究了經典認證密鑰交換架構下量子密鑰的配置設定問題。2014年,學術界公布了一個在橢圓曲線同源基礎上不可否認的數字簽名方案。2017年,學者們對超奇異同源密碼系統的循環終止故障攻擊和第一類故障攻擊分别進行了讨論。2022年,針對超奇異同源密鑰交換協定,提出了不同的密鑰恢複攻擊方案。但是,這些後量子密碼算法并未像主流算法一樣形成體系。
後量子密碼算法的發展現狀
1.國際後量子密碼算法發展情況。美國國家标準與技術研究院(NIST)作為國際密碼算法事實上的标準制訂方,從2012年開始啟動後量子密碼算法研究,2016年啟動算法征集,并曆經3輪篩選後終于公布第一批拟标準化的算法,曆時長達10年。NIST公布,公鑰加密場景的Kyber以及數字簽名場景的Dilithium、Falcon、SPHINCS+将作為第一批标準化的後量子密碼算法,預計2024年正式釋出标準。Kyber、Dilithium、Falcon是基于格的數學問題設計,SPHINCS+算法基于哈希安全問題設計。由于基于格的算法在安全與性能方面具有一定優勢,NIST推薦優先使用Kyber、Dilithium算法,推薦Falcon用于對數字簽名長度有限制的場景,SPHINCS+隻是作為備用。
2.國内後量子密碼算法标準釋出時間尚未公布。大陸密碼科學技術國家重點實驗室、中國密碼協會等有開展後量子密碼算法的研讨,并以課題形式資助算法研究。中國密碼學會2018年舉辦非對稱算法設計競賽,鼓勵送出能抵禦量子攻擊的後量子密碼算法。2020年公布的評選結果顯示,大部分算法也是基于格設計。
名詞解釋
格基(RLWE):給定均勻随機選取的a∈Rq,服從某分布{\chi}_{s}的s\in\mathcal{R}_q,以及服從某分布{\chi}_{e}的e∈Rq,記bi=ais+ei。
LWE:是指容錯學習問題,可以了解為,需要找到一組系數,使得一組基向量的線性組合無限逼近目标向量,使用噪音誤差的大小來定義我們距離目标向量有多近。
RSA:RSA公開密鑰密碼體制是一種使用不同的加密密鑰與解密密鑰,由已知加密密鑰推導出解密密鑰在計算上是不可行的密碼體制。RSA是被研究得最廣泛的公鑰算法,從提出到現在已近30年,經曆了各種攻擊的考驗,逐漸為人們接受,普遍認為是目前最優秀的公鑰方案之一。
零知識證明:是證明者能夠在不向驗證者提供任何有用的資訊的情況下,使驗證者相信某個論斷是正确的。
Hash函數:一種将任意長度的消息壓縮到某一固定長度的消息摘要的函數。
NP:多項式複雜程度的非确定性問題。
公鑰密碼體制:即公共密鑰密碼體制,其原理是加密密鑰和解密密鑰分離。使用者可以将自己設計的加密密鑰和算法公諸于衆,而隻保密解密密鑰。任何人利用這個加密密鑰和算法向該使用者發送的加密資訊,該使用者均可以将之還原。公共密鑰密碼的優點是不需要經安全管道傳遞密鑰,大大簡化了密鑰管理。
ElGamal公鑰加密:ElGamal加密算法是基于離散對數問題的一種公鑰加密算法。其基本思想是将資訊用随機數生成的密鑰進行加密,然後通過公鑰來解密密文。
超奇異同源密碼:是一種新興的抵抗量子計算機的後量子密碼。
Diffie-Hellman密鑰協定:是一種安全協定。它可以讓雙方在完全沒有對方任何預先資訊的條件下通過不安全信道建立起一個密鑰。