从欧盟网络安全局发布《后量子密码——整合》报告看后量子密码发展|公钥|后量子密码——整合|密码学|密钥|量子|量子计算机

2022 年 10 月 19 日，欧盟网络安全局（ENISA）发布《后量子密码–整合研究》（POST-QUANTUM CRYPTOGRAPHY —Integration study）报告，作为 2021 年 5 月《后量子密码：现状与量子迁移》的后续研究，本报告阐述了如何将后量子系统集成到现有协议中以及围绕后量子系统来设计新协议，并对后量子系统的双重加密和双重签名进行了分析，最后总结了后量子密码的标准化工作。

一、背景

后量子密码（PQC）是抵抗量子计算机对现有密码算法攻击的新一代密码算法，是量子信息时代维护网络安全的关键技术，也是对抗量子计算机威胁的重要一环，其目标是保护数字基础设施免受传统和量子算法的攻击，近年来各国不断强化后量子密码的技术发展布局。

美国是 PQC 的领跑者，拥有最大的后量子生态系统，PQC 的研究和实施工作得到了政府机构的支持。在新一代公钥密码算法征集方面，美国国家标准与技术研究院(NIST)从 2016 年就开始筛选 PQC 算法并将其标准化；2017 年 12 月，NIST 公布后量子密码学标准协议的第一轮预选协议。2019年 1 月，NIST 再次发布第二轮的标准方案，从第一轮标准方案以及最新研究成果中遴选出 26 个进入第二轮，其中包括 17 个公钥加密和密钥交换方案及 9 个数字签名方案。2021 年 1 月，NIST 公布的第三轮的 7 个决赛方案和 8 个备选方案，包括数字签名和公钥加密。2022 年 7 月 NIST 宣布CRYSTALS-KYBER 等4 个项目提前入选其 PQC 项目标准化算法结果，并宣布4 个候选算法进入第四轮算法筛选，6 年以来，NIST 已将最初的69个提交的算法缩小到4 个。此外，美国政府还高度重视后量子迁移，并纳入国家安全备忘录。2021 年 8 月，NIST 国家网络安全卓越中心正式启动后量子密码迁移项目。2021 年 9 月，美国国土安全部发布“应对后量子密码学”的备忘录。2021 年 10 月，美国国土安全部与 NIST 联合发布应对量子技术风险的路线图，旨在帮助企业保护其数据和系统，降低量子技术发展相关的风险。2022 年 1 月，美国总统拜登签署《关于改善国家安全、国防部和情报系统的网络安全》国家安全备忘录，首次将抗量子密码纳入国家安全备忘录。2022 年 5 月，美国总统拜登签署《推动美国在量子计算领域领导地位同时应对有漏洞的加密系统风险》，应对量子计算机对美国网络安全的威胁。此外，美国科技巨头也正在积极开展 PQC 研究及应用测试，微软把 PQC 库的开发和安全协议集成做其重点投入的工作，与许多科技公司、大学以及研究机构进行合作，开发了后量子密钥封装机制，后量子数字签名方案等。IBM 于 2022 年 4 月发布首个量子安全系统—IBMz16，该系统基于格密码理论来研发并优化了加密算法和数字签名技术。2022 年 9 月，美国国家安全局(NSA)发布了《商业国家安全算法套件 2.0 网络安全咨询》，指南预计国家安全系统的所有者和运营商将在 2035 年之前使用后量子算法。

欧洲、中国在PQC的研究中也迅速崛起，欧洲推出的“地平线2020计划”在2015-2018年期间资助了后量子密码项目PQCRYPTO，项目致力于后量子密码学研究，开发新的加密系统，研究了保护嵌入式设备防止黑客入侵的方法，并把高安全性的后量子加密技术集成到互联网中。北约网络安全中心（NCSC）2022年使用了Post-Quantum提供的虚拟专用网络（VPN）进行了安全通信流的测试。英国的PQShield公司的PQSoC（嵌入式设备的后量子加密硬件）、PQSlib（嵌入式设备的后量子加密固件）、PQSDK、PQE2E（消息平台应用程序的加密解决方案）正在为关键基础设施、物联网等行业提供服务。中国自2019年起开展了后量子密码标准征集工作，中国密码学会连续三次举办了后量子密码算法的征集，这意味着中国已开始后量子密码标准的制定征程。2021年中科大领衔的研究团队完成了国际首次QKD和PQC融合应用验证，为QKD设备大规模认证提供一种新型手段。2022年清华大学推出世界首款抗量子攻击商用密码芯片，帮助行业开展面向抗量子攻击公钥系统的迁移准备，推动对抗量子攻击安全体系的快速商用。

二、主要内容

2.1　将后量子系统集成到现有协议中

与前量子系统相比，后量子系统规模更大、速度更慢。对于后量子密钥封装机制（KEM）来说，最短的密钥长度由与椭圆曲线相关的系统来实现，而最短密文则由基于纠错码的系统实现，这意味着在后量子密码的应用与发展中，由于消息大小的限制，引入延迟，甚至与现有通信协议不兼容，协议设计者需要在二者之间进行折中考虑，使选择的系统能够与其应用场景相互匹配，因此，需要首先考虑公钥的发送频率，这些公钥与密文或带有签名消息的有关，同时还要考虑计算速度对于带宽的重要性。

2.2　围绕后量子系统设计新协议

报告称，围绕后量子系统来设计新协议是解决接口问题的一种手段，这种方法能够使协议的效率最高，缺点是工作量较大。

2.2.1　使用 KEMS 代替签名

在前量子系统中，Diffie-Hellman 和 KEMs 比签名更高效，在设计中，使用这些原语来实现真实性和保密性更具吸引力。在后量子系统中，与KEMS相比，签名长度过长且计算效率低下，因此需要组合两个KEMS，一个针对前向加密的临时密钥，另一个是针对认证的长期密钥。

2.2.2　采用新设计解决密钥长度问题

报告所提出的 McTiny 协议，可以实现客户端向服务器发送一个临时密钥，而服务器则有一个长期密钥用于认证，从而保护密钥共享和部分加密的完整性和机密性，协议使用基于编码系统的特性来处理加密。因此，服务器不需要分配超过互联网数据包大小的内存并可以完全避免内存洪泛攻击，目前该协议已经完全实施，并进行了延迟性测试。

2.2.3　分层的新型设计方法

除了接口和速度，后量子系统取代前量子系统的一个问题是这个过程非常缓慢，需要标准化组织进行长期探讨。即使NIST选择采纳后量子系统并且也开始启动工作，还是需要由前量子系统来保护数据信息，而且这种情况将维持数年。而分层设计可以加速后量子系统的推广，使之不受标准化组织进程的影响。

因特网具有分层结构，利用这种结构特点可以为节点之间的所有连接添加上后量子保护，PQC连接可以在用户浏览器和网站之间建立安全通道。每个连接都采用两个长期密钥保护，一个使用基于编码的经典McEliense系统，另一个使用椭圆曲线加密，两个临时密钥将椭圆曲线与结构化格相结合，这种组合的方式将较弱的系统封装在较强的系统中，从而迫使攻击者必须破坏更强的系统才能获得对密文和密钥的访问权。

2. 3　双重加密和双重签名

“双重加密”和 “双重签名”就是在椭圆曲线加密或签名的系统中添加后量子加密或签名。后量子加密系统不应破坏椭圆曲线加密的安全性，因此目前采用的方式是直接集成后量子加密，这样既可以确保加密系统符合现有的椭圆曲线加密原则又有助于后量子加密的快速应用。

要成功攻击双加密系统，就需要破坏椭圆曲线系统和后量子系统，因此升级到后量子密码系统并不会破坏现有系统的安全性，即使后量子加密系统和软件中存在漏洞。

欧洲电信标准化协会（ETSI）就采用将前量子加密与后量子加密相结合的机制。NIST 密钥派生标准允许前量子共享秘密和后量子共享秘密连接在一起，并以指级联散列获取密钥。

目前的签名系统有两个通用接口：一个是“独立签名”，它与消息是分离的，验证方式采用了一个消息和一个独立签名，并返回接受或拒绝；另一个则为“签名消息”，验证方式采用了签名消息，返回消息或拒绝。对哈希消息进行签名就可以将签名消息接口转变为独立签名接口。独立签名接口可以将前量子签名系统这两个有固定的长度的签名连接在一起，当接受

2.4　防量子攻击的安全验证

量子计算机威胁 PKC 的安全，更准确地说是威胁着加密、KEM 和签名方案，但对其他方案和协议的攻击威胁目前尚不清楚。在现代密码学中，往往通过安全验证来减少针对协议或系统的攻击面。当对手采用量子计算机进行攻击时，不仅需要改变数学假设，还需要改变目前所使用的模型和安全验证方法，未来的安全模型是Q1模型，这意味着对手可量子访问实现公开函数的问答，经典访问实现秘密加密功能的问答。其中，最主要的Q1模型是量子访问随机问答模型（QROM），QROM中可以找到KEM和签名的证据。目前，新模型和安全证明仍然不多，因此，需要对新模型和证明技术进行更多的研究，使我们能够通过安全证明来确认后量子密码的参数选择是合理的。

PQC 能否成为抵御量子计算机的利盾，还需要很长时间去验证，目前很难准确衡量一个PQC算法的强度，因此提前研究PQC并做好相应部署，十分必要。

2.5　后量子密码的标准化工作

NIST 是负责后量子加密标准化的领导机构，此外，还有其他一些标准化机构也为后量子加密的标准化做了大量工作。互联网工程任务组（IETF）负责制定传输层安全（TLS）协议，该协议被广泛用于安全的网络浏览。目前IETF正在将后量子原语整合到不同的协议中，在TLS31和互联网密钥交换（IKE）标准，其目的是将基于RSA和ECC的方案与PQC方案结合起来。ETSI 2021年10月发布两份技术报告，包括一份适用于后量子加密的协议及标准文件，报告还对NIST第三轮抗量子密码入选方案进行了分析。

密码论坛研究小组（CFRG）研究了针对不同应用的加密系统，并进行了KEM和签名方案的标准化工作。因特网密钥交换工作组(IKE)制定了如何在IKE中使用预共享密钥来实现后量子安全。ISO工作组进行了为期两年的后量子密码研究，发表了一份介绍各种后量子系统文件。此外，德国联邦信息安全办公室（BSI）在一份报告中表示，密切关注NIST的抗量子密码标准化活动，并建议使用双重加密和签名，强调需要进一步研究后量子加密。法国国家网络安全局2022年3月发布《关于向后量子密码学迁移的科学和技术建议》，除了给出使用双重加密的建议之外，还对后量子算法的不成熟提出了建议。

三、几点认识

量子计算的高速发展和不断突破，使经典密码算法受到巨大冲击，PQC应运而生，但PQC同时面临技术、测试和成本的各种挑战，因此很长一段时间内，将保持经典密码和后量子密码共存的态势，PQC能否成为抵御量子计算机的量子之盾，还需要很长时间去验证，但是目前我们有必要提前布局，做好PQC的研究和部署工作。

3.1　量子计算的突破需要 PQC 作为新的安全解决方案

量子计算的发展可谓日新月异，量子计算技术不断取得突破，算力大幅提升，特别是以 Shor 算法为典型代表的量子算法的提出，使相关运算操作在理论上实现从指数级别向多项式级别的转变。2022 年 5 月 IBM 公布了最新路线图，将于 2025 年将推出 4000-Q 的量子计算机，并投入到实际应用，2026 年将突破万位量子比特。6 月 16 日，量子计算公司 Quantinuum宣布，推出20个全连接的量子比特的离子阱量子计算机。6月23日，硅量子计算公司（SQC）推出首个量子计算机集成电路。量子计算无论是硬件的突破还是软件的推出，都表明距离大规模量子计算机的应用已经不远了。量子计算的快速发展使得公钥加密（PKC）面临巨大的安全威胁，它将彻底颠覆和破解现代信息和通信基础设施所依赖的数字加密系统，使军事情报系统、金融交易系统乃至全球经济的支持系统面临的巨大安全威胁，因此迫切需要后量子密码（PQC）作为新的解决方案。

3.2　PQC 解决方案面临诸多挑战

目前，PQC 在计算能力和延迟时间、测试、成本等方面面临诸多挑战。首先是计算能力和延迟时间的高要求，与现有标准相比，PQC解决方案需要更快的计算能力和更短的延迟时间。虽然PQC解决方案可以满足延迟要求较低的应用程序，但对于运行高价值边缘计算和云计算应用程序来说，目前的PQC解决方案难以应用。其次是测试要求，由于PQC解决方案仍处于新生状态，无法在量子计算机上进行测试，因此尚不能最终证明它们确实可以提供免受量子甚至传统威胁的保护。三是成本较高，PQC解决方案目前仅占全球密码学市场的2%左右，成本高于传统的密码学解决方案，很难形成规模效应。

3.3　短期内仍以混合密码体系为主

传统密码无法抵抗量子计算机的威胁，要想替换已经非常成熟和应用普及的密码体系，新密码体系的应用成本必须大幅度降低，但目前PQC还面临成本的巨大挑战，因此，PQC技术应该与传统安全密码技术结合起来，形成一种“混搭”模式才能满足更多的需求。此外，QKD与PQC可以应用在不同场景，相互补充。QKD偏重于高价值、高安全等级资产（如骨干网）的保护，RSA则可普及应用在现有的信息基础设施各个方面。亚马逊AWS公司首席安全官指出，混合密钥交换方案在实际应用中具有广泛的前景，其中ECDHE+Kyber混合方案的性能最佳。因此，短期内任将保持多密码体系共存的状态。

供稿：三十所信息中心