后量子密码算法是一类旨在抵御量子计算机攻击的加密技术,其安全性基于量子算法难以解决的数学难题。随着量子计算能力的提升,传统公钥体系面临挑战,PQC 正逐步从理论走向工程化落地。
NIST 标准化算法进展
经过三轮严格评选,NIST 于 2024 年公布了首批后量子密码标准,主要涵盖密钥封装和数字签名两大核心场景。
首先是密钥封装机制(KEM)。CRYSTALS-Kyber 基于环上学习带误差问题(RLWE),是 NIST 首选的通用密钥交换算法。它通过多项式环和格理论实现安全性,支持多种安全级别(如 Kyber-512、Kyber-768、Kyber-1024),并已被集成到 TLS 1.3 等协议中。其密钥生成和加密过程高效,适用于资源受限设备(如物联网终端),但需依赖 SIMD 指令集优化以提升性能。
在数字签名方面,CRYSTALS-Dilithium 基于模块-LWE(MLWE),是 NIST 推荐的主流签名方案。它通过 Fiat-Shamir 转换实现抗伪造性,签名尺寸和验证速度在同类算法中表现均衡,尤其适合需要频繁验证的场景(如区块链交易)。Falcon 基于 NTRU 格,利用高斯采样器和傅里叶变换优化性能,签名尺寸紧凑(如 Falcon-512 签名约 1.4KB),验证速度可达每秒数千次,适合对通信带宽敏感的应用。SPHINCS+ 则是基于哈希函数的无状态签名方案,安全性完全依赖哈希函数的抗碰撞性。其签名尺寸可低至 8KB,但需预先计算哈希树,适合对长期数据完整性要求极高的场景(如软件供应链)。
第四轮候选算法与淘汰情况
在第四轮评估中,NIST 对部分算法进行了进一步研究,仅 HQC(High-Quality Cryptography)被选定为新增标准。HQC 基于超奇异椭圆曲线同源问题,通过优化同源路径选择实现高效密钥交换,其在抗侧信道攻击方面表现突出,适用于对物理安全要求严格的环境(如智能卡)。
其他候选算法如 BIKE(基于编码理论)、Classic McEliece(基于 Goppa 码)、SIKE(超奇异同源)因安全性或性能问题未被标准化。其中,SIKE 因 2022 年发现的量子攻击漏洞被撤回,这提醒我们在选型时需持续关注最新的安全评估报告。
其他重要算法与技术方向
除了 NIST 标准外,业界还有一些值得关注的技术路线。
基于格的算法中,NTRU 是最早的格基算法之一,基于多项式环上的最短向量问题(SVP)。其密钥生成速度快,但抗攻击性略弱于 Kyber,曾作为 NIST 第三轮候选算法。SABER 基于 RLWE 的密钥封装机制,与 Kyber 同属 CRYSTALS 框架,但因性能稍逊未被 NIST 选中,仍在部分开源项目中使用。
基于编码的算法以 Classic McEliece 为代表,基于 Goppa 码的纠错码理论,公钥尺寸较大(约 2MB),但抗量子攻击历史悠久,适用于对安全性要求极高的军事通信。BIKE 基于位翻转密钥封装,通过改进 McEliece 方案降低密钥尺寸,但因解码复杂度较高未进入最终标准。
基于多变量的算法中,Rainbow 曾作为 NIST 第三轮候选算法,但 2020 年被攻破,安全性已不可靠。GeMSS 是多变量签名方案的改进版本,目前仍在研究中,但尚未通过严格的安全性验证。
基于哈希的算法如 XMSS,基于 Merkle 树的一次性签名方案,虽未被 NIST 标准化,但其分层结构为 SPHINCS+ 提供了设计灵感。
基于同源的算法 CSIDH 基于普通椭圆曲线同源,相比 SIKE 更抗量子攻击,是当前同源密码学的研究热点。
技术特点与应用现状
不同算法在安全性、计算开销和通信成本上差异显著。例如,基于格的算法(如 Kyber)在密钥交换效率上较传统 RSA 提升 40%,但签名生成时间是 ECDSA 的 10 倍以上;哈希签名(如 SPHINCS+)无需依赖数学难题,但签名尺寸庞大,需结合缓存优化(如 Merkle 树遍历顺序调整)提升实用性。
为实现平滑过渡,当前主流方案采用传统 + 后量子算法双体系并行。例如,TLS 1.3 的混合模式同时发送 ECDH 和 Kyber 公钥,加密性能损耗控制在 3% 以内。金融领域和区块链(如以太坊 2.0)已开始试点此类架构。
硬件加速也是关键一环。格基算法的核心运算(如数论变换 NTT)可通过定制硬件大幅提速。例如,RISC-V 处理器通过添加专用 ALU 扩展,将 Kyber 和 Dilithium 的 NTT 周期数减少 80% 以上;FPGA 实现的 Kyber NTT 模块吞吐量可达 20Gbps,适用于数据中心等高并发场景。
标准化与生态建设也在加速。OpenSSL、LibreSSL 等开源库已集成主要算法。中国于 2025 年启动后量子密码全球征集,重点关注算法的软硬件实现性能,但目前尚未发布自主标准。欧盟《量子加密法案》要求 2026 年后政府通信强制使用量子安全算法,进一步加速了技术落地。
