3月3日，北約網(wǎng)絡安全中心（NCSC）完成量子安全通信測試。此次測試使用其專門的虛擬專用網(wǎng)絡（VPN）之一測試了“安全通信流”，并將其技術描述為“混合后量子VPN”，它將傳統(tǒng)加密算法與那些被認為是“量子安全”的算法混合在一起。此次測試的成功，一方面表明以量子計算為代表的計算能力飛躍發(fā)展，量子計算變得越來越便宜、可擴展和實用，另一方面密碼算法體系如何抵抗量子計算攻擊成為重要而緊迫的問題，基于新型數(shù)學難題的后量子密碼技術開始擔負起抵御量子計算挑戰(zhàn)的重任。

　　一

　　后量子密碼技術發(fā)展現(xiàn)狀

　　總體上看，歐、美、日這些傳統(tǒng)發(fā)達國家處于后量子密碼研究和應用領域的領先地位。而且各國之間通過各類國際性組織聯(lián)合等方式開展了很多合作工作，較少體現(xiàn)出對抗。

　　（一）后量子密碼技術上升到國家安全的高度

　　2022年2月，美國總統(tǒng)拜登簽署了第8號國家安全備忘錄——《關于改善國家安全、國防部和情報系統(tǒng)的網(wǎng)絡安全》，其中首次提及后量子密碼（PQC）。這將對美國乃至世界的量子技術和量子安全產(chǎn)生巨大影響。這份文件是美國國家安全機構在當前的聯(lián)邦網(wǎng)絡安全計劃中，首個特別提到后量子密碼（PQC）的文件。這對于4年來一直推動量子安全問題的量子聯(lián)盟倡議機構以及整個量子信息科學來說，都是一場巨大的勝利。

　?。ǘ┤蚝罅孔用艽a標準化開展得如火如荼

　　近年來，各國密碼管理部門對 PQC 研究也開始重視和推進，由于

　　目前尚未實現(xiàn)算法標準化，還未發(fā)展到實際系統(tǒng)研發(fā)和基礎設施推廣

　　建設階段，主要的表現(xiàn)是國際產(chǎn)業(yè)界和標準化組織以及各國密碼管理

　　部門都在積極推進 PQC 密碼的標準化工作。在歐洲，歐洲電信標準化協(xié)會在網(wǎng)絡安全技術機構下成立小組專門負責PQC方面的標準制定和研究工作。在美國，2015 年，美國密碼和信息安全領域最權威的管理和研究機構國家安全局（NSA）公開宣布由于面臨量子計算的威脅，其計劃將聯(lián)邦政府各部門目前使用的 ECC/RSA 算法體系向后量子算法進行遷移。次年美國國家標準與技術研究院（NIST）正式啟動后量子密碼標準競選， 預計2024年確立后量子公鑰密碼標準。此外，國際互聯(lián)網(wǎng)技術標準化組織 IETF 將基于哈希函數(shù)的簽名體制 XMSS 納入標準。

　　（三）后量子密碼技術遷移工作逐步受到政府組織的重視

　　盡管主流的密碼系統(tǒng)目前依然能夠有效運行，但是在量子計算技術的潛在沖擊下，幾乎所有的加密算法都需要進行改進甚至必須進行遷移。以美國為代表，2021 年 8 月，NIST 的國家網(wǎng)絡安全卓越中心正式啟動后量子密碼遷移工程。2021年9月17日，美國國土安全部（DHS）發(fā)布“應對后量子密碼學”的備忘錄。緊接著在10月4日，美國國土安全部（DHS）與國家標準技術研究所（NIST）又合作發(fā)布了應對量子技術風險的路線圖，旨在幫助企業(yè)保護其數(shù)據(jù)和系統(tǒng)，降低量子技術發(fā)展相關的風險。2021年11月13日，美國國家標準技術研究院（NIST）邀請各部門、各企業(yè)撰寫抗量子密碼遷移意向書，描述產(chǎn)品和技術性內(nèi)容，從而為抗量子密碼遷移計劃提供安全平臺支持和演示。本通知旨在跨出美國國家網(wǎng)絡安全卓越中心（NCCoE）與技術公司合作的第一步，雙方將合作應對在“抗量子密碼遷移”計劃中認識到的網(wǎng)絡安全挑戰(zhàn)。

　　二

　　后量子密碼技術安全性分析

　　密碼技術是網(wǎng)絡安全的根基。當前，在一系列能夠抵抗量子計算的算法方案中，從理論基礎或者算法設計的可行性來看，后量子密碼技術主要包括以下基于格 （Lattice-based）、基于編碼 （Code-based）、基于多變量 （Multivariate-based）、基于哈希 （Hash-based） 四種密碼體制類型，具體指標見表1 。到目前為止，后量子密碼技術還沒有經(jīng)受實戰(zhàn)的考驗。在可信度、完整度、適用性方面還存在一定的問題。

　?。ㄒ唬┰诳尚哦确矫?/p>

　　對于 PQC 而言，NIST 的標準征集工作是一次發(fā)展契機。經(jīng)過 NIST 遴選的 PQC 方案將受到一定程度的安全分析和攻防驗證，原則上將具有較好的可信度；而未通過 NIST 遴選的 PQC 方案，其發(fā)展則可能受到挫折。然而，仍然需要指出，即便是從經(jīng)典密碼分析角度而言，對于 PQC 的安全性理解仍然是任重道遠。從另一個方面上來說，相比于從事經(jīng)典密碼分析專家的數(shù)量，具有密碼分析的經(jīng)驗，又能夠深入理解量子計算的專家十分稀缺。因此，對于 PQC 算法的量子攻擊分析也許也并不充分。嚴格地說，PQC 算法的抗量子性是基于格和編碼等底層數(shù)學問題的量子困難性假設，這一假設還有待時間的檢驗。

　?。ǘ┰谕暾确矫?/p>

　　量子安全技術中單獨的某一項技術有時不能構成完整的信息安全解決方案。這一問題對于某些PQC算法也同樣存在，例如，部分基于糾錯碼的 PQC 只能加 密而不能簽名，一些多變量 PQC 只能簽名而不能加密。

　?。ㄈ┰谶m用性方面

　　原則上說，要保障量子安全就必須在整個信息系統(tǒng)上都應用量子 安全技術。因此，量子安全技術如何適配全系統(tǒng)中不同場景和不同設 備形態(tài)并進行應用，也是需要解決的問題。對于 PQC 技術而言，困難主要集中在如何減小算法復雜度和密鑰規(guī)模，以便集成在輕量化設備中。

　　總體來說，基于四種密碼體制類型，基于格和編碼的構造是最多的，且主要被用于構造公鑰加密（密鑰交換）算法；由于基于多變量的陷門構造相對更為可行和高效，因此主要集中于數(shù)字簽名方案，公鑰加密方案較少；而基于哈希的構造方案中樹狀結構的使用，目前只有數(shù)字簽名的構造，缺少公鑰加密算法。

　　三

　　后量子密碼產(chǎn)業(yè)推進和應用情況

　　根據(jù) Inside Quantum Technology 的一份最新報告，到 2029 年，后量子密碼（PQC）軟件和芯片的市場將增至 95 億美元。PQC 功能將嵌入到眾多設備和環(huán)境中，其中 80%以上的收入將來自網(wǎng)絡瀏覽器、 物聯(lián)網(wǎng)、機床和網(wǎng)絡安全行業(yè)本身。

　　（一）大型跨國公司和行業(yè)巨頭搶占先機

　　國際上 ICT 行業(yè)大型跨國公司如 IBM、微軟、谷歌、等都投入了力量在 PQC 的研究上并形成了相應研究成果。IBM 在該領域研究重點是格密碼。微軟參與到了 FrodoKEM、SIKE、Picnic、qTESLA 四個用于簽名和密鑰交互的 PQC 項目的研究中，PQC 庫的開發(fā)和安全協(xié)議集成也是其重點投入的工作。2016 年微軟公司發(fā)布了基于格密碼庫（Lattice Crypto），2018 年微軟發(fā)布了著名開源項目 OpenVPN 的一個名為 PQCrypto-VPN 的分支項目，這個項目在 OpenVPN 中實現(xiàn)了PQC 算法，并可以在 VPN 中測試 PQC 算法的功能和性能。谷歌公司在對當前后量子密碼技術發(fā)展進行調(diào)查后，也提出了基于環(huán)上帶誤差學習問題的密鑰交換協(xié)議，還對運行于瀏覽器的 PQC 算法進行了實驗。

　?。ǘ┏鮿?chuàng)公司和安全行業(yè)公司不斷涌現(xiàn)

　　當前，國際上也出現(xiàn)了一些面向 PQC 方向的初創(chuàng)公司和安全行業(yè)公司，傳統(tǒng)安全公司 Onboard Security，研究方向面向格密碼算法 NTRU，初創(chuàng)公司 Duality Technologies 提供基于量子安全的同態(tài)密碼隱私保護解決方案。美國安全創(chuàng)新公司（Security Innovation）注冊并 擁有 NTRU 算法的專利，其提供兩種授權選項：開源 GNUGPL v2 授權 以及商業(yè)授權。從 2011 年起，該公司發(fā)布了多種實現(xiàn) NTRU 算法的軟件庫，其中包括安全套接字協(xié)議層（SSL）和 ARM7/9 處理器庫等。

　?。ㄈ╅_源社區(qū)開源項目創(chuàng)新層出不窮

　　開源界也形成了 PQC 方向相關的開源社區(qū)，并開發(fā)了一些 PQC 方面開源項目。如“開放量子安全（Open Quantum Safe）”項目，目的是打造名為 liboqs 的抗量子破解加密算法的 C 語言庫，該項目已經(jīng)被應用到著名的開源安全軟件 OpenSSL 上。類似的項目還有NTRUOpenSourceProject 等。

　　四

　　幾點認識

　?。ㄒ唬?公鑰密碼系統(tǒng)向后量子密碼系統(tǒng)過渡困難重重

　　傳統(tǒng)計算技術和量子計算技術的進步，推動了對更強大密碼技術的需求。當前，為了抵御對傳統(tǒng)計算的攻擊，NIST已經(jīng)建議從提供80位安全性的密鑰大小和算法過渡到提供112位或128位安全性的密鑰大小和算法。而為了提供抵御量子攻擊的安全性，未來還需要進行一個過渡，即把公鑰密碼系統(tǒng)過渡到新的后量子密碼系統(tǒng)。為了應對未來基于量子計算機攻擊手法的出現(xiàn)，新的后量子加密算法有望成為未來全球加密與數(shù)字簽名新標準。為了要能夠與量子計算機攻擊相抗衡，后量子加密算法也要融合多領域密碼知識，包括編碼密碼、網(wǎng)格密碼、多變量密碼、散列密碼，以及超通用橢圓曲線同源密碼等。

　　（二）加速推進后量子密碼相關標準的落地

　　當今已有一些國家正在制定新標準，用來對抗未來量子計算機攻擊。像是曾制定出AES和DES加密標準的美國標準與科技研究院，早從幾年前就在著手進行后量子密碼的國家標準制定。在我國，后量子密碼算法設計競賽和標準化工作已經(jīng)展開，除了大學和研究機構加大投入，一批致力于后量子密碼應用的創(chuàng)新創(chuàng)業(yè)團隊也在積極作為。尤其在量子密鑰分發(fā)與后量子密碼相結合的方向上，中國的科研和產(chǎn)業(yè)化團隊已經(jīng)邁出了他們的步伐。未來這些標準一旦成為全球通用國際標準，他們就會在相關領域搶占先機，擁有話語權。

　?。ㄈ┌l(fā)揮企業(yè)在后量子密碼發(fā)展應用過程中的重要影響力

　　通過新型密碼產(chǎn)品的商業(yè)化推廣使用活動，企業(yè)界能夠不斷積累和分析用戶數(shù)據(jù)，從而促進后量子密碼系統(tǒng)安全性能和運行效應的提升。2021年7月，ADVA 公司推出業(yè)界首個由后量子密碼保護的光傳輸解決方案--FSP 3000 ConnectGuard光學加密解決方案。該解決方案現(xiàn)在可以保護數(shù)據(jù)免受可能破壞當今加密算法的量子計算機的網(wǎng)絡攻擊。2020年，十多個日本公司包括東芝、NEC和三菱電機等日本IT巨頭和組織正在合作開發(fā)被稱為“量子密碼學”的下一代加密技術。這個為期五年的項目將探討延長安全數(shù)據(jù)通信距離的可能性。它還將致力于研發(fā)可用于超高速、大容量5G網(wǎng)絡的安全加密技術。