后量子密码发展进展与测试评估研究

孟章1,*, 王静1, 赖俊森1, 明福东2, 朱振中2,马瑞恩3与杨军3 1中国信息通信研究院（CAICT），北京100191，中国；wangjing15@caict.ac.cn（J.W.）；laijunsen@caict.ac.cn（J.L.）2koal软件有限公司，中国上海200072；dmf@koal.com（M.D.）；zhuzz@koal.com（Z.Z.）3维维亚解决方案有限公司，中国北京100102；ryan.ma@viavisolutions.com (R.M.)；jun.yang@viavisolutions.com (J.Y.)*通讯：zhangmeng@caict.ac.cn; 电话：+86-10-62300188 摘要：随着量子计算技术的快速发展，传统加密系统正面临前所未有的挑战。抗量子密码学（PQC）作为一种能够抵抗量子计算机攻击的新兴加密技术，近年来受到了广泛关注。本文首先分析了量子计算对现有加密系统的威胁，然后详细介绍了PQC的主要技术路线及其标准化进程。接着，提出了PQC的测试与评估系统，并开展了相关测试。最后，提出了未来发展建议。 关键词：量子后密码学；发展趋势；测试与评估；标准化 1. 简介 量子计算已被理论上证明具有破解公钥密码的能力，远远超过现有经典计算。近年来，量子计算技术发展迅速，特别是随着量子算法如肖尔算法[1] 和 格罗弗算法 [2],这使得量子计算机能够在多项式时间内破解整数分解问题（IFP）和椭圆曲线离散对数问题（ECDLP）。这直接威胁到广泛使用的公钥加密算法，如RSA和ECC。 学术编辑：堀田典文 收到：2025年1月13日 修改：2025年2月9日 接受：2025年2月11日出版：2025年2月18日 随着量子计算技术的进步，公钥密码破译的信息安全威胁正变得日益紧迫。量子计算机的潜在能力不仅会损害现有的数字信任体系，还可能对需要长期保密的敏感信息带来一种回顾性的“现在收割，以后解密”威胁。因此，应对量子计算带来的信息安全威胁已成为全球信息安全管理机构和相关行业的焦点话题。 引用：张，M.; 王，J.; 赖，J.; 董M.;朱，Z.; 马，R.; 杨，J. 后量子发展进程与测试评估研究熵密码学。2025 27, , 212. https://doi.org/10.3390/ e27020212 为了应对这一挑战，研究人员和密码学家开始开发新一代加密算法：后量子密码学（PQC）。PQC通过升级底层数学难题，提供了一种新型公钥加密算法。2024年8月，美国国家标准与技术研究院（NIST）正式发布了世界上首个三个PQC标准。PQC标准的发布不仅为全球密码监管部门和行业用户采用抗量子加密提供了清晰的演进路径 版权：© 2025 由作者授权。MDPI，瑞士巴塞尔。本文是根据知识共享署名（CC BY）许可证（https://creativecommons.org/licenses/by/4.0/）条款和条件发布的开放获取文章。 算法，同时也促进了密码技术的进一步发展。PQC研究涵盖多种技术路线，如基于格的密码学、基于编码的密码学和基于多变量的密码学。这些算法被认为在理论上能够抵抗来自量子计算机的攻击，但它们的实际应用仍需进一步的安全评估和标准化。同时，从传统加密系统到PQC系统的过渡是一项艰巨而复杂的工程，需要提前规划、制定升级迁移时间表，并稳步实施。 在本论文中，第2讨论量子计算发展带来的信息安全风险挑战。第3阐述PQC的关键技术路径和标准化进展。在节4，构建了PQC评估系统和评估方法。在此基础上，对相关产品原型进行测试和评估。最后，第5提出未来发展的建议。 2. 量子计算引发的信息安全风险挑战 密码算法主要包含对称算法、非对称算法和哈希算法。对称密码算法，也称私钥密码算法，其核心特征是通信双方使用相同的密钥进行数据加密和解密。该算法因其高效率而广受欢迎，尤其在数据加密传输和数据库加密存储等场景中。它能有效保障数据机密性。非对称密码算法，也称公钥密码算法，使用一对不同的密钥：公钥和私钥。公钥用于加密信息，私钥用于解密。非对称密码算法的加密解密性能略逊于对称算法。由于私钥无需共享，非对称加密算法拥有更丰富的应用场景。公钥密码系统主要基于离散对数问题（DLP）、大整数分解问题（IFP）和椭圆曲线离散对数问题（ECDLP）。其中，基于IFP的RSA算法和基于ECDLP的椭圆曲线密码（ECC）算法在实际应用中最常见。然而，量子计算的快速发展对RSA等传统公钥密码系统构成了严重威胁。 RSA算法的安全基础在于IFP的困难性。彼得·肖尔于1994年提出的肖尔算法，可以在量子计算机上以多项式时间复杂度高效地解决IFP，这直接威胁到RSA算法的安全性。肖尔算法的核心是利用量子傅里叶变换来求解rx a x N P QN函数 $f(x) = \ext{mod} \\, x$ 的周期，然后找到 $x$ 的素数因子 2$ 和 $q$。尽管量子计算机的物理实现目前不能对大型RSA密钥构成实质威胁，但随着量子技术的发展，这种威胁将逐渐成为现实。 除了肖算法，将IFP转化为优化问题并使用绝热量子计算（AQC）[3]破解RSA公钥也是一种技术解决方案[4–11]). 该解决方案可在基于绝热理论的量子退火（QA）机和核磁共振（NMR）量子计算机上实现。目前，整数1,005,973可以使用量子退火机[5]. 基于 NMR 量子计算，百量级的整数可以分解[6]. 有些方案甚至可以分解十万量级的整数[7]或者几十万[8]. 因为这些方案使用了素因子的特殊性质，所以它们不是通用的。 量子计算也对ECC算法构成安全威胁，量子计算也对基于ECC算法提出了安全威胁基于ECDLP。研究表明，肖尔算法可用于攻击在ECDLP上。研究表明，Shor算法可用于攻击ECCECC加密系统[12]。因为ECC算法的数学理论是加密系统 [12]. 因为椭圆曲线密码算法的数学理论更为比RSA和Shor算法本身更复杂的是，它被设计用来解决大数问题。比RSA和Shor算法本身更复杂，Shor算法是为大整数问题设计的整数分解，攻击方案在量子电路分解中面临更大的挑战分解，攻击方案在量子电路设计中面临更大的挑战。签名和算法实现。此外，量子计算预计将实现算法实现。此外，量子计算预计将加速加速对椭圆曲线加密算法（ECC）的侧信道攻击（SCA）[13]。在硬件侧信道攻击（SCA）[13] 针对 ECC 算法。在硬件和和软件平台，其中部署了加密算法，一些物理信息部署加密算法的软件平台，一些物理信息信息在工作过程中不可避免地会泄露到外界。在运行过程中，不可避免地会被泄露到外界。攻击者通过各种方式获取这些信息，他可以绕过加密攻击者通过各种方式获取这些信息，他可以绕过加密攻击算法并直接攻击加密系统。这种使用算法并直接攻击加密系统。这种利用泄露泄密信息被称为侧信道攻击。侧信道攻击方法 信息被称为侧信道攻击。侧信道攻击方法包括可用于针对ECC算法的主要分为两种类型基于针对ECC算法，主要分为两种基于量子的类型量子算法：使用量子退火进行差分功耗分析[14]和攻击算法：使用量子退火进行差分功率分析[14] 和攻击方法基于Grover算法的方法[15]。基于格罗弗算法[15].与对称加密算法相比，非对称加密算法与异步加密算法相比，对称加密算法算法面临更小的“量子威胁”[16]。例如，Grover面对较小的“量子威胁”【16]].例如，Grover算法的应用算法[17–19]在一个穷举攻击中可以实现二次加速并减少算法 [17–19]在穷举攻击中可以实现平方加速并减少将对称密钥的安全性强度减半。据信通过简单地将将对称密钥的强度减半。人们认为，只需将密钥加倍传统对称密码算法的密钥长度，其在量 一种传统对称加密算法的长度，其在量子下的安全性tum计算模型可以在一定程度上得到保证。计算模型可以在一定程度上得到保证。量子计算对传统加密系统的安全威胁量子计算对传统加密系统的安全威胁如图1所示。通常，量子计算对传统如图所示1. 一般来说，量子计算对传统对称加密系统，而一个传统的非对称加密系统是 ex对称加密系统，而一个传统的非对称加密系统是 ex预期在理论上会完全损坏，并且不再能够提供任何安全性。理论上是完全损坏，不再能够提供任何安全。尽管量子计算技术尚未成熟，一旦取得突破尽管量子计算技术尚未成熟，一旦取得突破，一旦遭到破坏，它将严重威胁许多领域的信息安全。考虑到它将严重威胁许多领域的信息安全。考虑到长期- 3. PQC发展现状3. 后量子计算（PQC）发展现 状在密码学领域，PQC也称为抗量子密码学在密码学领域，PQC也称为抗量子密码学(QRC)。广义而言，量子密码学使用量子特性(QRC)。从广义上讲，使用量子特征的量子密码学 在量子密码学中因为它具有抵抗量子攻击的能力。在狭义上，量子密码学特指可以在传统计算机上运行并能抵抗未来量子计算机攻击的数学加密技术。本文中的PQC指的是狭义定义。 3.1. 后量子密码技术研究 根据底层数学问题的分类，目前PQC算法研究主要有五种技术路线，即基于格的密码学、基于编码的密码学、基于多变量的密码学、基于哈希函数的密码学和基于曲线同态的密码学。不同路线具有各自的特点，适用于不同的应用场景。 3.1.1. 基于格子的密码学 基于格的密码学是其中最突出和可靠的PQC技术之一。格被定义为一些线性无关的非零向量（称为格基）的整数系数的线性组合的数学结构。同一个格可以有不同的格基。基于格的密码学基于格问题，如最短向量问题（SVP）和最近向量问题（CVP）的难度。基于格的密码学的特点主要包括： •高安全性：格问题在高维空间中具有极高的复杂性，量子计算难以仅通过并行计算来解决；•小密钥长度：与传统的公钥密码相比，基于格的密码学具有更小的公钥和私钥长度，以及更快的计算速度；•广泛应用：格密码学可用于构造各种密码学原语，例如加密、数字签名和身份认证；•代表性算法：如 NIST 选取为 PQC 标准的 CRYSTALS-Kyber 和 CRYSTALS-Dilithium。 3.1.2. 基于码的密码学 基于码的密码学利用纠错码理论中的难题来构建加密算法。纠错码理论被广泛用于在噪声信道中进行错误校正。基于码的密码学将一定数量的错误码字引入码中，纠正错误码字或计算检验矩阵的伴随式可以被视为一个难题。其主要特点包括： •安全基础：解码难度基于随机生成的线性码，为密码算法提供安全性。•大密钥规模：与基于格的密码学相比，基于码的密码学的公钥规模更大，这在实际应用中可能会造成某些困难。•快速加密速度：尽管公钥尺寸较大，但加密速度很快。•代表算法：麦尔维瑟密码学。 3.1.3. 基于多变量的密码学 多变量密码算法基于求解高阶多变量方程的问题。基于多变量算法的公钥密码使用有限域上的一组二次多项式作为公钥映射。其主要安全假设是，在有限域上求解一组非线性方程是一个NP难问题。其主要特点包括： •快速签名速度：此类算法在签名和验证签名方面速度快，且资源消耗少。•大公钥尺寸：虽然签名速度很快，但公钥尺寸很大。•适用场景：适用于不需要频繁传输公钥的应用场景。•代表算法：如 HFEv 型 GeMSS 签名系统与 UOV 型 Rainbow 签名算法。 3.1.4. 基于哈希函数的密码学 基于哈希函数的密码学利用哈希函数的抗碰撞特性来构建加密算法。当哈希函数能够抵抗强碰撞时，基于哈希函数的数字签名算法能够有效地抵抗来自量子计算的攻击。其主要特点包括： •高理论安全性：哈希函数的难度直接假设等同于理想通用攻击的复杂度。•大签名量：这种算法的签名量通常较大。•代表算法：XMSS 和 SPHINCS+，其中 SPHINCS+ 是 NIST 选定的唯一基于哈希的加密算法之一，作为其 PQC 标准之一。 3.1.5. 基于曲线同调的密码学 曲线同调密码学利用椭圆曲线之间的同调关系来构建加密算法；也就是说，对于有限域上的椭圆