后量子密码（抗量子密码）

后量子密码：一场数字时代的转折
背景与挑战
传统加密算法面临威胁：随着量子计算机的发展（如 Google 的 72 qubit 量子计算机），经典公钥加密算法（如 RSA、Diffie-Hellman）将无法抵抗攻击。
后量子密码的需求：寻找能够抵抗量子攻击的新加密技术以替代现有算法。
后量子密码的核心
四种主要构造方法：

• 哈希函数：依赖抗碰撞性。
• 编码与格问题：利用困难数学问题。
• 多变量多项式方程组：求解非线性方程组。
• 格（Lattice-based）：利用高维空间中的困难问题（如 LWE 和 NTRU）。
  安全性与性能对比：每种方法都有优缺点，尚未有统一标准选择。
  国际标准化进程
  美国国家标准技术研究所（NIST）：启动标准化工作并已征集69个候选方案。
  其他组织进展：
• IEEE P1363.3 标准化基于格的NTRU。
• IETF 标准化XMSS签名方案。
• 欧洲Evens计划探索新标准。
  挑战与未来方向
  兼容性与性能优化：确保新算法在现有系统中使用。
  跨领域合作：学术界、产业界共同推动研究与发展。
  总结
  后量子密码不仅是技术上的突破，更是数字时代的重要变革。尽管面临诸多挑战，但其发展将重塑信息安全格局。通过全球协作与创新研究，我们有望在未来实现安全可靠的后量子通信体系构建。

---

这篇总结让我清晰地认识到后量子密码的重要性及其面临的挑战，并了解到国际上多个组织正在推进相关标准的工作。作为初学者，在理解这些内容的同时也意识到这一领域的复杂性和广泛的研究需求。未来我将深入学习每种具体的技术构造方法，并关注其在实际应用中的表现和发展趋势。

一、后量子密码是什么？

1.1，前言

随着全球密码技术的发展趋势，后量子密码作为一种新兴技术，在未来5至10年内有望逐步取代现有的RSA、Diffie-Hellman以及椭圆曲线等公钥密码算法。如今已逐渐成为当前网络安全领域的重要议题之一。与此同时，在美国国家标准技术研究所(NIST)的努力下，后量子密码标准也已经进入制定阶段。

1.1.1，后量子密码是什么？

后量子密码是一种能够有效抵御量子计算机对现有加密技术威胁的新一代安全方案。

在当前技术背景下，在考虑未来可能出现的技术突破时，“后”代加密技术是指那些能够抵御当前已知 strongest attack methods 的安全系统。 RSA、Diffie-Hellman、椭圆曲线等）这些都是基于传统计算架构的安全方案，在面对足够强大的通用型量子计算机时将面临重大挑战；因此，在这一前提下发展出的新一代加密方法将能够在未来的共产主义社会中保持安全并存；这些能够抵御这类攻击的密码系统将在未来共产主义社会中保持安全；为此，在学术界将其命名为 “后” 代加密技术（Post-quantum Cryptography, PQC）。也可称为抗受控核聚变武器威胁的技术。英文中的表述是："Post-quantum Cryptography (PQC)" 或 "Quantum-resistant cryptography"。

1.1.2，为什么需要？

量子计算系统展现出惊人的性能，在实际应用中发挥着关键作用。然而，在其潜力得以实现之前必须具备前提条件：能够快速解决特定类型数学问题的量子算法的存在。如果不满足这一前提条件，则即使拥有强大的计算能力也无法真正发挥其价值；这将使量子计算的优势难以显现。值得注意的是，在当前技术水平下构建拥有5个或更多有效量子比特的系统需要投入数千万美元的研发成本。

量子计算机现有的先进算法/应用场景涵盖了密码学安全性能、复杂度计算能力以及人工智能技术等。

3）对于密码算法安全性，主要是针对公钥密码算法：

公钥密码系统的安全性依仗于基础的数理难题可被高效量子算子破解。当基础数理难题得以破解时，基于此的安全系统也随之失去了防护效能。其中涉及的关键数理难题主要包括离散对数及其椭圆曲线上变体和大整数分解等问题。此类基础突破直接影响广泛采用的 RSA 算法、 Diffie-Hellman 密钥交换方案以及基于椭圆曲线上实现的安全协议。著名的量子算法是 1994 年的 Shor's algorithm。

就目前而言，在讨论对称密码算法与哈希函数时（包括AES、SHA1、SHA2等），尽管存在如 Grover's algorithm 这样的量子攻击手段；然而其影响相对较小，并受到诸多技术限制。需要注意的是，在此背景下提到的Grover's algorithm指的是1996年的这一方法。

4）对于公钥密码算法，量子计算机对安全性的影响：

4.1）完全攻破目前广泛使用的公钥密码算法

4.2）增加密钥长度的效果并不显著 。有人提出：将 RSA 密钥的标准长度从 1024 增加至 2048 或以上比特，并认为这会提升安全性。表面上看似乎提升了安全性，在现有计算架构下确实如此；然而，在量子计算时代这一策略将失去效力（除非密钥达到 gigabit 级别甚至更大尺寸）。然而，在这种情况下即使技术可行性得到保障，在其他相关算法中也面临着不可忽视的问题与挑战。

4.3）需要全新的公钥密码算法

5）对于对称密码算法，量子计算机对安全性的影响：

5.1）降低现有算法的安全性：安全性从 k-bit 降低为 k/2-bit

5.2）增大参数的长度有用

5.3）将密钥长度或哈希值长度提升至当前两倍即可（如采用 AES-128 升级为 AES-256、SHA-256 升级为 SHA-512 等）。然而这并非必要之举，在后续章节中将详细阐述原因。

预计在2030年通过使用量子计算机实现RSA-2048的安全性破解所需的时间及总成本为10亿美元（PQCrypto 2014会议中Matteo Mariantoni的估算）。

    关于量子计算机，再介绍几个结论：
    
    （1）量子比特数量重要，但更重要的是质量。目前建造的量子计算机（例如 Google 的 72 qubit 芯片）中，qubit，也就是量子物理比特的质量很差。由于量子相干等物理机制，必须引入纠错机制，但需要成百上千个量子物理比特进行纠错，来实现一个量子逻辑比特的功能
    （2）攻破现有的公钥密码算法需要几千甚至几万个逻辑比特。结合上面一点可以看到，建造量子计算机仍处在很初级的阶段
    （3）D-Wave 建造的 D-Wave 2000Q “量子计算机” 实际上是量子退火算法的，并不是真正意义上的普遍适用的量子计算机
    （4）对于量子算法（例如 Grover），需要指数级别的内存，因此 Grover 算法的威胁不如 Shor 的算法那么紧迫

由 NIST 后量子密码团队负责人 Dustin Moody 主讲，在亚洲密码学年会上的演讲内容为：简述其主要内容。其中链接信息为：https://link.zhihu.com/?target=https%3A//csrc.nist.gov/CSRC/media/Projects/Post-Quantum-Cryptography/documents/asiacrypt-2017-moody-pqc.pdf

可以看到：

（1）公钥密码算法：红色叉，需要后量子密码算法代替

（2）对称密码算法：在蓝色框中显示的情况下，在当前阶段无需立即更换现有加密方案；相反地，则可考虑替代性使用现有配置以节省资源和成本。通过优化配置参数来实现该功能

1.1.3，我们需要什么样的？

显然, 它们属于一种称为" 后量子密码技术标准" 的方法。在密码实践中, 一个重要的启示是我们必须谨慎设计新方案（除非你确有 expertise）。如今, RSA, Diffie-Hellman, 椭圆曲线等公钥加密系统之所以能够进入实际应用领域, 是因为在经过标准化评审之后才逐步完善发展的。

后量子密码算法应该：

（1）安全：不仅要在现在的计算条件下安全，也要在量子计算机下安全

实验证明了，在同等的安全强度要求下，后量子密码的计算速度能够超过现有公钥密码的计算速度。

（3）通信开销合理：在实际应用中很少采用那些公钥或密文尺寸超过一般情况的方案。目前使用的 RSA-2048 公钥长度约为 256 字节（bytes），而椭圆曲线加密方法大约为 64 字节。最优的后量子密码方案通常具有约1千字节（KB）左右的公钥长度。

（4）可用作现有算法和协议的直接替代，如以下所示：PKE, KS, DS等。

更广应用场景：包括同态加密(HomomorphicEncryption)、属性加密(Attribute-basedEncryption)以及功能性的加密方案（如Function-FirstEncryptedSearch）。此外还涉及了不可区分混淆技术（IndistinguishabilityObfuscation）等前沿技术。

下图是 NIST 总结的后量子密码技术和应用栈：

1.1.4，什么时候需要？

这是不容易取得一致结论的地方，主要原因在于：

（1）对大型且稳定的量子计算机被建造出来的时间预估：未来 10 年左右

（2）新一代密码算法需要多久被确定，以及在真实世界中被应用

直观的结论是：我们需要在现有密码算法面临风险之前实施相应的准备工作。由于无法预判具体时间点会发生安全漏洞攻击这一情况难以准确预测。因此所谓的"做好准备"不仅包括推动后量子算法从理论研究向实际应用与部署阶段迈进还包括将其推广到各个应用场景中去确保技术系统的全面防护能力

值得关注的是，在2015年8月的一份行动中（如链接所示），美国国家安全局 推动了迁移至能够抵御量子计算攻击的算法变革。有趣的是，在全球密码学领域处于领先地位并负责开发加密通讯与密码算法的核心机构——美国国家安全局——首次公开倡导采用后量子密码技术。这一举措令人深思：他们是否已经在现有的密码破解技术上取得了显著进展？

1.2，研究现状

1.2.1，概况

密码学界早在20世纪70年代就已开始致力于开发能够抵御量子计算机威胁的密码系统。这些早期探索主要集中在麦西尔加密（McEliece Cipher）和Merkle哈希签名方案等具体技术上。然而当时对于量子计算对密码体系潜在危害的认识并不深入且缺乏统一理论支撑这一领域的重要性逐渐凸显直至近年来无论是学术界还是工业界都在积极推动'后量子'技术的研发与应用

对后量子密码技术的研究和标准制定有以下重要参与方：

自2012年以来，美国国家标准与技术研究所（NIST）就开始了对后量子密码的研究工作。该机构于2016年2月发布了全球范围内的后量子密码标准征集 notice，并截止至2017年11月30日收到草案提交。与此同时，在同一年4月，在佛罗里达州举办了第一届PQC（后量子加密）标准化会议。预计未来五年内,NIST将确定新一代公钥密码算法标准

（2）欧盟：PQCRYPTO 项目

（3）欧洲电信标准化协会 (ETSI)：ETSI 正致力于发布新一代后量子密码标准。该组织已成功举办了六届年度研讨会。2018年的研讨会将于2018年11月在北京市举办

（4）网络技术研究团队 IETF

（5）美国电气和电子工程师协会 (IEEE)

1.2.2，NIST 后量子密码标准征集

自2016年起,NIST PQC标准征集工作正式开始运行,旨在聚焦于三种关键型式的后量子密码算法,即加密技术、密钥交换机制以及数字签名方案的开发与筛选过程中,至2017年11月30日截止提交日期时,总计收到了82份草稿方案经过初步筛查,NIST最终确定并发布了69份被认为是完整且适合进一步发展的候选方案

在 69 个候选草案中，主要包括以下 4 种数学方法构造的后量子密码算法：

格（Lattice-based）
编码（Code-based）
多变量（Multivariate-based）
哈希（Hash-based）

自 NIST 发布以来（2018年9月），大约过去了半年时间。密码学领域对这类算法展开了深入的分析研究，并已初步识别出一批存在明显安全漏洞的候选方案。其中约 1/3 的算法已被揭示出多种不同缺陷特征；而更令人担忧的是，在随后的时间里已有约 1/5 的候选方案已经被完全破解并投入实际应用

注

1.3，应用现状

该研究于2016年在Chrome Canary分支版本（Chrome 54 beta）中首次实现基于Ring Learning With Errors（RLWE）问题的后量子密钥交换算法NewHope，并随后引入X25519椭圆曲线 Diffie-Hellman（ECDH）密钥交换方案。为提高兼容性并满足不同场景的安全需求，在部分Google服务器上构建了一个基于TLS协议的密码套件CECPQ1用于测试这两种密钥交换方案的效果与性能。经过大约两个月至三个月的时间后结束测试并将其移除出Chrome浏览器

（2）微软研究院将其主推的后量子密码算法 Picnic 使用到 PKI 和 HSM 集群中

（3）微软研究院发布的技术方案被命名为「后量子 VPN」

（4）Open Quantum Safe (OQS) 结合了一些基于后量子的安全协议，并开发并发布了基于后量子的安全通信库及其测试框架

二、主要构造技术、对比和应用

2.1、概述

实现后量子密码算法主要有以下 4 种途径 ：

采用哈希函数为基础的技术（Hash-based），自1979年首次提出以来就已开始被广泛应用于数字签名方案的设计中。具体包括Merkle 哈希树签名、XMSS以及Lamport 签名等方法

（2）基于编码 (Code-based)：始于1978年，并主要应用于构建加密算法。代表算法：McEliece

基于多变量 (Multivariate-based)：于1988年首次提出，并主要用于构建数字签名、加密以及密钥交换等相关技术体系。其中较为典型的代表方法/算法包括HFE (Hidden Field Equations)、Rainbow（基于非平衡油水方程的UOV方法）以及HFEv-等

源于1996年的格(Lattice-based)理论最初被提出并迅速发展起来，在现代密码学领域占据重要地位。它主要应用于构建加密系统、数字签名方案以及密钥交换机制等基础组件，并延伸至属性加密（ABE）、陷门函数（TDF）、伪随机函数（PRF）以及同态加密（HE）等高级应用场景。该理论的核心贡献者包括开发了一系列高效算法系列如[NTRU]及其扩展版本[BGV, FV]等；特别值得一提的是经过严格测试并被Google采用验证过的[NewHope]方案。值得注意的是尽管格密码在实现上存在一定的复杂性但其在计算效率和通信开销方面表现出色因此被视为最具潜力的后量子密码方案

选取合适的参数值时，在现有经典及量子算法中尚无能够有效解决这些问题的方法。

再次强调这些算法的安全性基于是否存在能够快速解决其底层数学问题或实施有效攻击手段的能力。这也正反映了量子计算对公钥密码体系构成重大威胁的本质原因。

除了这 4 种问题之外，在研究后量子密码时还利用了超奇异椭圆曲线 (Supersingular elliptic curve isogeny)、量子随机漫步 (Quantum walk) 等技术手段进行后量子密码构造方法的研究。同时，在密钥长度较大时（如 AES-256）也被认为是具备后量子安全性的一种方案。

为什么上面列的 4 种是最重要的？

如前述讨论，在当前研究框架下, 后量子密码学的核心关注领域是公钥密码体系的发展. 这四类方法在构建出现有公钥加密算法的同时实现了对它们的改进, 并且其中一些方法甚至能够超越现有技术（如基于晶格的全同态加密方案）。

下面对 4 种主要构造后量子密码的技术进行介绍。

2.2， 四种构造后量子密码的途径

Note: 构造每一种方法都需要深厚的数学与密码学基础。基于此原因，在本文中我无法深入探讨这些细节。介绍完每种方法后, 我会提供一些国外专家会议上的slide。这些幻灯片对于初学者来说非常有帮助。如果有兴趣, 可以参考本文给出的链接进行进一步学习。

2.2.1 基于哈希 (Hash-based)

Ralph Merkel首次提出了基于哈希的技术，
其被视为传统数字签名方案（RSA、DSA、ECDSA等）的有效替代方案之一。
该算法起源于一次性签名方案，
并借鉴了Merkle提出的哈希树认证机制。
该系统的根节点即为公钥，
而叶子节点则对应着一次性的认证密钥。
该算法的安全性直接与抗碰撞性相关，
而这一特性使得其能够抵御目前所有已知的有效量子算法攻击。
此外，
由于目前使用的某些特定哈希函数可能存在被攻破的风险，
因此建议采用具有更高抗碰撞能力的新一代哈希函数进行替代即可确保系统安全。

可参考的 slide：

该研究重点探讨了前向错误校正（FEC）在量子计算安全评估中的应用可能性，并提出了一种新型的纠错码设计策略来应对潜在的安全威胁挑战。通过引入动态自适应机制，在不同量子计算阶段灵活调整纠错码参数设置以优化系统性能表现。此外，在编码实现环节实现了对经典信息流的有效保护机制设计，并成功构建了一个适用于大规模量子计算机架构的高效纠错框架体系。

https://sphincs.cr.yp.to/slides-sphincs-20150428.pdf

2.2.2 基于编码 (Code-based)

以下是对原文内容的专业改写

可参考的 slide：

https://2017.pqcrypto.org/exec/slides/cbctuto-ecrypt.pdf

https://pqcrypto2016.jp/data/Lange-20160223.pdf

2.2.3 基于多变量 (Multivariate-based)

基于有限域上具有多个变量的二次多项式组的设计方法[5]被用于构建多种密码技术包括加密签名和密钥交换机制。这种多变量密码系统的安全性直接关联到求解非线性方程组过程中的计算难度即所谓的多变量二次多项式难题这一问题是NP难类别已经被证明无法通过经典或量子计算方法迅速解决目前尚无既高效又安全的经典及量子算法能够有效处理有限域上的多元方程组系统相比基于数论问题的传统密码方案该方案具有显著的计算效率优势然而其公钥规模相对较大因此特别适合那些不需要频繁交换公钥的应用环境例如物联网设备等

可参考的 slide：

https://2017.pqcrypto.org/school/slides/1-Basics.pdf

https://pqcrypto2016.jp/data/Ding-Fukuoka2016.pdf

https://web.stevens.edu/algebraic/Files/SCPQ/SCPQ-2011-02-02-talk-Ding.pdf

2.2.4 基于格 (Lattice-based)

基于格理论的方法因其在安全强度与密钥规模之间实现了理想的平衡而备受关注，并被视为后量子时代最具潜力的关键技术之一 [6] 。相较于基于数论问题的传统密码方案 [7] ，格理论方法显著提升了运算效率的同时也增强了安全性能，并仅适度增加了通信开销 [8] 。相较其他几种后量子密码实现方案 [9] ，格方法以其更短的密钥长度和更为优异的安全性指标脱颖而出 [10] 。它不仅支持构建加密方案、数字签名机制等多种核心密码学功能 [11] ，还能够实现属性加密、函数加密等高级功能 [12] ，并具备全同态加密能力 [13] 。其安全性能建立在解决格结构复杂性问题的基础上 [14] ，相较于前三种方法，在同样或更高的安全强度下显著缩短了密钥长度并提升了运算效率，并且能够被系统性地应用于构建多种底层密码组件 [15] 。因此，在实际应用场景中展现出极强的应用价值与推广前景。近年来围绕LWE（学习错误问题）[16] 和环LWE（环学习错误问题）[17] 的格理论研究取得了快速进展，并逐渐成为有望被标准化接纳的技术路线之一

这里有一篇很好的入门和近 10 年格密码发展的 Survey：

https://web.eecs.umich.edu/~cpeikert/pubs/lattice-survey.pdf

可参考的 slide：

https://www.math.uci.edu/~asilverb/Lattices/Slides/Daniele1uci13-handout.pdf

https://web.eecs.umich.edu/~cpeikert/pubs/slides-qcrypt.pdf

https://web.eecs.umich.edu/~cpeikert/pubs/slides-tcc09.pdf

http://www.ic.unicamp.br/ascrypto2013/slides/ascrypto2013_eduardomorais.pdf

https://www.cc.gatech.edu/fac/cpeikert/pubs/slides-suite.pdf

2.3，对比

下表中给出这 4 种后量子密码算法的粗略对比：

对比分析显示，在表中列出的各项参数对比中可以看出该类后量子密码算法的整体趋势显示两者基本一致。值得注意的是，在这一过程中有一些特殊的技术表现得尤为突出，在某些情况下甚至能够接近于当前最快速的后量子密码技术之一。然而由于编码技术和多变量密码在功能上存在较少重叠部分，在直接比较两者的性能时存在一定难度。因此根据现有的数据分析结果以及实际应用效果推测后续的研究仍需进一步验证

因此，在实际应用中，具体采用哪一个类别/哪个算法，则需根据具体情况作出详细分析。例如，在某些高频需要交换公钥的应用场景（如HTTPS），则可选用Lattice-based类别的算法等。

2.4，应用场景

从 NIST 的后量子密码标准征集中可见,作为美国国家标准技术研究所,NIST最为关注的是公钥加密、数字签名与密钥交换等最基础且广泛应用的密码学算法。经过筛选,目前已有几十项候选方案,采用四种不同的后量子密码实现方法,成功实现了这三者的核心功能,即安全、高效与可扩展性等关键特性.这些优秀的后量子密码方案能够直接取代现有的 RSA 加密/签名、Diffie-Hellman 密钥交换以及椭圆曲线加密/签名等公钥密码技术,从而保障现代信息安全体系的安全性与稳定性.

概述而言，后量子密码算法支持的密码学原语/应用数量不低于传统公钥密码系统的应用范畴。

在功能上与当前使用的公钥密码算法相似，在通信安全领域中后量子密码技术广泛应用于诸如HTTPS (TLS)、数字证书 (PKI)等协议以及SSH、VPN、IPsec等技术领域，并且涵盖了从区块链技术到电子商务等多个新兴应用层面。就现有广泛应用而言，在大多数情况下都可以通过后量子密码技术实现对现有传统加密方案的有效替代方案

此外还可以支持更为复杂的密码学应用领域，并非仅限于传统的对称加密方案。其中尤其值得一提的是基于格的同态加密技术（Homomorphic Encryption），这种方案能够在数据处理过程中保持数据的安全性

为了深入掌握当前最优的加密技术、数字签名和密钥交换算法等前沿领域的发展动态与应用方法, 建议关注并挑选若干来自NIST后的量子抗.xml标准征集项目的代表性方案进行系统性分析与实践.

该机构发布的项目中包含了关于后量子密码学的第二轮提交

三、美国国家标准技术研究所（NIST）新一代公钥密码算法标准征集

原先名为国家标准局的美国国家标准技术研究所（National Institute of Standards and Technology, NIST）隶属于美国商务部。该机构向包括产业界、学术界、政府机构以及社会各界在内的多个领域提供了多达1300种的标准参考资料。其核心职能在于制定并推广一系列国家层面的标准与基准。此外，该机构还组织了一系列权威的技术评估活动和技术竞赛，并提供人脸识别算法测试作为参考平台。

3.1 NIST 指定的密码学算法标准/规范

在密码学领域中，NIST 制定了多项标准算法和规范。当前被广泛应用的诸多算法与标准中，其中大部分是由 NIST 指定的，并包括但不限于以下几个方面：

• 对称加密算法：AES、DES、3DES：https://csrc.nist.gov/projects/block-cipher-techniques
• 数字签名算法：RSA、DSA、ECDSA：https://csrc.nist.gov/projects/digital-signatures
• 密钥交换算法：Diffie-Hellman、ECDH、MQV：https://csrc.nist.gov/Projects/Key-Management/Key-Establishment
• 哈希函数：SHA-1、SHA-2 系列（SHA-224, SHA-256, SHA-384, SHA-512）、SHA-3 系列（SHA3-224, SHA3-256, SHA3-384, SHA3-512, SHAKE128, SHAKE256）：https://csrc.nist.gov/projects/hash-functions
• 消息认证码：HMAC、KMAC、CMAC：https://csrc.nist.gov/projects/message-authentication-codes
• 随机数生成：Hash_DRBG, HMAC_DRBG, CTR_DRBG 以及臭名昭著的后门算法 Dual_EC_DRBG：https://csrc.nist.gov/projects/random-bit-generation
• 密钥管理方法：https://csrc.nist.gov/projects/key-management
• 后量子密码算法（进行中）：https://csrc.nist.gov/projects/

3.2 NIST 后量子密码算法征集

NIST 的后量子密码官方网站：https://csrc.nist.gov/Projects/

3.3 主要内容

NIST 的后量子密码算法标准征集竞赛共征集两类公钥密码算法：

• 公钥加密（密钥交换）
• 数字签名

NIST规定各个团队提供能够抵御量子计算机攻击的技术方案文件及其工程实施方案，并附上相应的测试样本数据集。本次全球范围内的后量子密码标准选择赛已全面启动；共有包括来自6个大陆地区在内的25个国家和地区参与其中；最终NIST确定并公布前69项技术提案作为初步候选方案。

NIST 对于算法的选择标准大致是：

• 安全性：该算法在面对经典计算机和量子计算机时的攻击难度
• 性能：与现有的公钥密码算法相比，在速度上具有显著优势，并且具备良好的兼容性和安全性
• 特性：该算法在现有互联网协议/应用中的兼容性表现优异，并且具备前向安全特性以及抗侧信道干扰能力等优点。

NIST规定提交的算法必须满足最低安全参数要求为AES-128的安全性；按照最佳实践标准，则需达到更高的AES-192和AES-256的安全强度。

对于后量子密码算法标准化，NIST 主要面临以下复杂问题：

涵盖公钥加密体系、密钥交换机制及数字签名方案的制定工作

在经典与量子计算环境下的安全性评估主要包括以下几大维度：一是CPA（经典概率可区分 adversary）和CCA（强不可区分 adversary）下的安全性证明；二是不同计算模型下的抗力评估；三是系统内在的安全保障能力证明；四是其他相关密码分析结果

理论安全模型与现实漏洞之间的差距

多维度指标如安全性、性能等在不同参数设置下的权衡关系

现有与新兴安全应用中的适用性挑战举例说明

该图列出了Ryo Fujita统计的NIST后量子密码标准第一轮数据。从图表可以看出：这些数据涉及的主要技术类别及其代表性方案数量显示了当前研究重点的不同分布特征。

• 基于格与编码的设计最为广泛 ，并主要应用于公钥加密（密钥交换）算法 。
• 基于多变量陷门 的设计因其可行性和高效性而得到了广泛关注；相比之下 ，这类设计主要用于数字签名方案 ，而公钥加密方案则相对较少 。
• 当前仅能实现 数字签名方案 的设计基于哈希函数 ；缺少有效的 公钥加密算法 构建方案 。

未被纳入经典的4种后量子密码算法构造中的方案尚有若干。这些创新性方法采用了与格、编码、多变量和哈希等不同的困难问题作为基础，并在此基础上构建了各自的体系框架。值得注意的是，在图中所示的具体实现案例中还包含3个已被彻底攻破并主动撤回的研究项目。就当前统计而言，在各构造类型中基于格的问题占据主导地位；而在实际应用层面，则呈现出密钥交换机制在公钥加密领域的优势明显；数字签名技术在整体部署规模上略显不足。

相较于2015年底完成的SHA-3 哈希函数标准化项目，NIST组织的后量子密码标准化过程主要区别在于：

相比新一代哈希函数 SHA-3 的标准化而言, 后量子密码的规范与研究显得更为复杂。主要原因在于不同实现的后量子密码技术与算法各有特色, 导致难以单一化地选择一种最优方案；此外, 对于后量子密码及量子计算领域的深入研究仍有待加强, 这直接影响了安全评估工作的广度与深度。
NIST预计会选取多个优秀候选方案而不指定单一获胜者
衡量标准可能因新兴研究成果的应用而发生转变

鉴于NIST后量子密码标准征集行动的重要性，在密码学界引发了广泛关注。下文图表展示了Tanja Lange对已知存在问题与被彻底攻破算法的分析结果：以红色标注的部分为已被彻底攻破的算法，在此之外，则需进行较大修改方能确保安全性。

值得探讨的是，在NIST公布所有候选算法后的短短几小时之内便出现了一个算法遭受全面攻破不得不撤回的情况。紧接着在接下来几天里同一领域的专家又陆续提出了多种针对不同候选方案的具体攻击手段使得多个 initially 被认为安全的方案过早地被淘汰

3.4 国内参与情况

国内参加到 NIST 的后量子密码标准征集工作中的团队主要有：

密码学与技术国家重点实验室的研究人员江 Zhang、上海交通大学的研究员余余、复旦大学的赵云雷教授、中国科学院信息工程研究所卢现辉团队、台中大院杨柏因和陈名世研究员

共覆盖 5 个提案左右。此外，还有一些就职于国外院校/机构的中国/华裔学者。

3.5 时间线

以下是对原文本的改写版本

3.6 其他标准化组织的行动

IEEE P1363.3 标准化了基于格的密码算法已在国际电工电子委员会制定。
IETF 在 RFC 8391 中已推出一种基于哈希的有状态签名算法 XMSS。
当前 ETSI 正致力于制定新一代后量子密码标准，并已成功举办了六届工作坊，
其中包括将于2018年11月在北京举行的下届工作坊。
欧洲的相关组织 PQCrypto 和 SafeCrypto 已推出了多个针对后量子密码的标准化建议和研究报告。
ISO/IEC JTC 1 SC27 正致力于对后量子密码展开研究工作。

源自知乎 Xinwei Gao 的文章《基于深度学习的图像识别技术研究》中

转载于:https://www.cnblogs.com/xdyixia/p/11611642.html