技术视点 | 大国较量，后量子密码学的战火已点燃？

今年的5月17日是个特殊的日子，华为海思致员工的一封信宣布，“多年备胎芯片一夜转‘正’，今后必将科技自立”，引得万千网友热血沸腾，我知道了什么叫科技兴则民族兴。今年的10月1日也是个特殊的日子，当东风41亮相国庆70周年阅兵庆典，气势磅礴地驶过天安门广场，我知道了什么叫大国重器， 科技强则国强。

大国之争，不仅是底层技术之争，更是游戏规则制定权之争。在上一篇技术视点中，我们指出，一旦量子计算机实现，我们将步入后量子时代。由于量子计算机能以其特有的并行性高效地解决传统意义下的计算困难问题，现行的一些主流密码系统将受到巨大冲击，包括区块链、金融系统和通信系统在内的诸多信息系统的安全性都将受到影响。居安思危，我们该何去何从？我们能否在 后量子密码学 等应对技术的发展中抢占制高点？这是每一个区块链科技工作者不得不思考的问题。

大国较量，谁是王者？

能够在后量子时代保护通信安全的密码技术被称为 抗量子密码学 ，或者为 后量子密码学 。在很早之前，美国就已经悄然启动了 抗量子公钥密码 的论证工作。2015年8月， 美国国家安全局（NSA） 正式发布公告，将使用 抗量子密码系统 来替换现有的 Suit B 密码系统 （即 NSA Suit B Cryptography，是美国 NSA 公开的密码标准，包括 AES、ECDSA、SHA-256 等，我国对等的有 商密算法 ）。同年11月， 美国 NIST 公布了一张时间表，表示将逐步分类停用现行的密码体制。

在 第七届后量子密码国际会议（PQCrypto 2016） 上， 美国 NIST 相关人员代表美国政府发布了抗量子密码制标工作路线图和时间表，拟利用8年左右的时间完成 抗量子密码的标准制定 工作。此外，NIST 在正式启动抗量子密码制标工作之前，就已经召开过国际研讨会，邀请量子计算机领域和抗量子密码领域内的著名专家与会研讨。美国 NIST 关于抗量子密码制标工作时间表的安排大致如下：

• 在2016年秋之前发表征集标准
• 2016年秋，正式开始在全球征集抗量子密码方案
• 2017年11月，方案提交截止
• 接下来的3-5年，进行安全性分析并报告
• 再经过2年，标准草案制定

NIST 进行抗量子密码制标的范围主要集中在 签名 、 加密 和 密钥协商 等基本算法，并不会制定诸如基于身份的密码体制等复杂算法。在标准制定中，NIST 将会和其它组织（例如 IETF 、 ETSI 、 PQCrypto ， ISO/IEC JTC 1/SC 27 等）进行合作。

当标准完成后，在提供从现行密码体制到抗量子密码体制的迁移指导的同时，也会在 IKE 、 TLS 等协议上进行算法替代，以让这些协议也能抵抗量子攻击。2019年1月30日，NIST 公布了入围标准征集第二轮的26种算法名单。

世界著名 IT 企业，包括 Intel 、 Microsoft 、 Amazon 、 Cisco 和 Google 等，对此次抗量子密码的制标工作也相当重视。 Intel 很早就开始布局抗量子密码计划，拟在将来生产的 通用 芯片上使用抗量子密码技术 。而 Amazon 作为美国政府和银行等大型企业的云服务提供商，其重要客户均要求该公司做好准备， 向抗量子密码系统迁移 。

2016年6月，我国研究者为了能与其它各国（特别是亚洲相关国家和地区）一起参与到抗量子密码算法的研发中，特在成都举行了 第一届抗量子密码学亚洲论坛 ，与日韩以及欧美等专家进行技术交流。今年5月 第四届抗量子密码学亚洲论坛 在重庆举办，各国专家再次对相关技术进行探讨。同时， 中国密码学会 在2018年开启的全国密码算法设计竞赛上，也鼓励设计抗量子计算攻击的算法。

此外，我国大力发展的量子通信也可以用来保障在后量子时代的通信安全。（量子通信主要指量子密钥分发，并不等同于抗量子密码，也不能来代替量子密码体制。一般来说，采用量子密钥分发技术用来分发密钥，然后进行对称密码运算。）而中国科学院控股有限公司董事长、量子网络公司董事长吴乐斌曾表示，我国在量子通信领域正处于世界领先地位，未来量子通信将有望成为保障国家战略安全和支撑国民经济可持续发展的重大技术创新，影响深远。这场较量，谁胜谁负，并无定数。

什么是后量子密码学呢？

后量子密码，是指可以抵抗量子计算机攻击的密码算法 。当然，这里所述的后量子密码系统也不包括一次一密这种信息论意义上安全的密码系统，仅指计算安全的密码系统，即量子计算机也不能在多项式时间内攻破的密码系统。 典型的后量子密码算法主要包括 ： 基于格的公钥密码体制 、 基于编码（线性纠错码）的公钥密码体制 、 基于多变量多项式方程组的公钥密码体制 及 基于哈希函数的数字签名 等。在研究人员的认识里，这些密码体制不仅能抗经典计算机的攻击，也能抗量子计算机的攻击。此外，诸如 量子公钥密码 、 DNA 密码 等也被认为是后量子密码。

表2：后量子密码系统的代表算法

这里重点介绍一下 基于格的公钥密码体制 以及 基于哈希函数的数字签名 。

基于格的公钥密码体制 格 的起源很早，对它的研究可以追溯到高斯时代。在密码学中，格最初被用来做密码分析，即人们利用格来分析 RSA 等密码系统的安全性。直到1996年，研究人员首次提出了基于格的单向函数。有了这样一个密码学上的基本工具，格先后被应用到密码学的各个领域，形成了基于格的密码学。基于格的密码算法构造十分简单，运算高效，并具有高度的可并行性，但它的密钥比较大。

值得一提的是， IBM 的研究员于2009年利用格构造出了 全同态密码方案 。全同态密码方案是指这样一个加密方案：即，在密文上进行某个函数操作并解密，其结果等同于在明文上的相同函数操作。全同态加密的概念在上世纪60年代就已经提出，直到2009年才有了解决方案并得以发展。

基于哈希函数的数字签名 基于哈希的数字签名方案 具有良好的特性，它仅采用密码哈希函数等密码学组件。此外，基于哈希的签名方案的安全性很好理解，其定量安全等级比较清楚。同时，一些研究工作表明，许多基于哈希的签名方案的安全证明在量子敌手面前仍然是有效的，而对于许多其它后量子签名方案（比如基于格的签名算法），其安全证明在量子敌手面前是否有效还未可知。值得一提的是，今年四月， IETF 通过了 RFC 8554标准 ，将 LMS 签名算法 进行了标准化。

后记

在量子计算日益发展的今天，我国大量科研工作者未雨绸缪，寻找诸如后量子密码算法等应对方法。作为一个成熟的区块链团队，本体也一直在相关前沿技术上孜孜以求，进行全面探索，纵使未来变幻莫测，我们也会拥抱变化，顺势而为。我们不愿看到祖国在任何科技之战中陷入四面楚歌的境地，而我们也将会以实际行动证明，那一天永远不会到来！