1 引言
在信息技术飞速发展的今天,密码技术作为信息安全的核心支撑,保障着数据的机密性、完整性和可用性。传统密码算法,如 RSA、ECC 等,其安全性主要依赖于大数分解和离散对数等数论问题的计算困难性。然而,随着量子计算理论与技术的突破性进展,特别是 Shor 算法的提出,使得这些传统密码算法在未来强大的量子计算机面前面临被高效破解的风险。
为应对这一挑战,后量子密码(Post-Quantum Cryptography, PQC)技术应运而生。后量子密码算法是指能够抵抗量子计算机攻击的密码算法,其安全性基于量子计算机难以高效求解的数学困难问题。根据所基于的底层困难问题不同,后量子密码算法形成了多条技术路线,大致分为 5 类:基于格(Lattice-based)的、基于哈希(Hash-based)的、基于编码(Code-based)的、基于多变量(Multivariate-based)的以及基于同源(Isogeny-based)的后量子密码算法。本文将对主流及其他后量子密码技术路线进行系统分析,包括其原理、典型算法、标准化进展及应用场景,并对未来发展趋势进行展望。
2 主流后量子密码技术路线
2.1 基于格(Lattice-based)的后量子密码算法
2.1.1 算法原理
格是 n 维欧几里得空间中由整数线性组合生成的离散点集。基于格的密码算法安全性主要依赖于格中的两类困难问题:一类是近似最短向量问题(Approximate Shortest Vector Problem, SVP)和近似最近向量问题(Approximate Closest Vector Problem, CVP),另一类是基于学习误差(Learning With Errors, LWE)问题及其环上变体(Ring-Learning With Errors, RLWE)。
SVP 问题是指在给定格的基向量后,找到格中长度最短的非零向量;CVP 问题则是对于给定的格和一个目标向量,找到格中与目标向量距离最近的向量。这两类问题在最坏情况下被证明是 NP 难的,即使在量子计算模型下也难以高效求解。LWE 问题通过在随机线性方程组中加入小误差项,使得求解方程组变得困难,而 RLWE 问题则将 LWE 问题从整数环扩展到多项式环,进一步提升了算法的效率。
2.1.2 典型算法及应用
基于格的密码算法最早出现于 1996 年,经过多年发展,已涌现出众多典型算法,在 NIST 后量子密码标准化竞赛中表现突出。NIST 标准化第三轮结果明确格基算法为核心路线:在密钥封装机制(KEM)领域,CRYSTALS-Kyber 是核心算法,2024 年 8 月 13 日已发布为 FIPS 203 标准(基于 ML-KEM),适用于大规模网络通信中的密钥交换;在数字签名领域,CRYSTALS-Dilithium(基于 ML-DSA)于同期发布为 FIPS 204 标准,Falcon 也是第三轮确定的格基签名核心算法,两者均具有较高的安全性和效率,可应用于身份认证、数据完整性校验等场景。NTRU、Saber 等曾是重要候选算法,在多轮评估中为格基路线优化提供了参考。2025 年 Q1 NIST《PQC 算法安全评估报告》显示,ML-DSA 在物联网设备中的验证耗时较传统 ECDSA 减少 18%。
此外,基于格的密码算法还能用于构造属性加密、陷门函数、伪随机函数、同态加密等多种密码学原语。例如,全同态加密算法可以在不解密的情况下对加密数据进行计算,在云计算、隐私保护数据分析等领域具有重要应用价值。
2.1.3 优缺点分析
优点:基于格的算法在安全性、公私钥尺寸、计算速度上达到了较好的平衡。与基于数论问题的密码算法相比,在相同安全强度下,其公私钥尺寸更小,计算速度更快,且支持多种密码学原语的构造,适用于多种实际应用环境。
缺点:该类算法的主要不足是带宽较大,在一些对通信带宽要求极高的资源受限场景中,可能会受到一定限制。
2.2 基于哈希(Hash-based)的后量子密码算法
2.2.1 算法原理
基于哈希的签名算法不依赖于具体的数学困难问题,其安全性主要依赖于哈希函数的安全性质,如单向性(抗原像攻击)、弱抗碰撞性(抗第二原像攻击)和伪随机性等。该类算法从 Lamport 提出的一次性签名方案演变而来,Lamport 签名通过将消息比特与密钥对逐一对应进行签名,具有信息论安全性,但每次签名需使用新的密钥对,实用性较低。
为解决一次性签名的局限性,Ralph Merkle 提出了基于哈希树的签名方案。哈希树将多个 Lamport 密钥对的公钥通过哈希运算构建成树状结构,根节点作为公钥,签名时只需披露与消息对应的叶节点及路径上的哈希值,从而实现了多次签名,提升了算法的实用性。
2.2.2 典型算法及应用
基于哈希的密码算法目前仅限用于数字签名,在 NIST 后量子密码标准化竞赛中是核心技术路线之一。典型算法包括 SPHINCS+、XMSS(eXtended Merkle Signature Scheme)等。SPHINCS+ 是 NIST 第三轮确定的哈希基签名核心算法,2024 年 8 月 13 日已发布为 FIPS 205 标准(基于 SLH-DSA),具有无状态特性,无需维护签名状态,适用于证书颁发、软件更新签名等场景;其安全性基于哈希函数抗碰撞性,虽签名尺寸较大但实现简单。XMSS 虽未进入 NIST 最终候选,但作为早期成熟的哈希签名方案,已在部分领域应用,其签名次数受限于哈希树的高度,常用于对签名次数要求不高的嵌入式设备中。此外,在欧洲的 NESSIE 等密码竞赛中,哈希签名方案也有过相关征集与评估。
