土法炼钢兴趣小组的算法知识备份

后量子密码学与抗量子算法 (PQC)

2025-11-15 00:00:00 +0800 · cryptography · security · #pqc #quantum-computing #cryptography

目录

PQC

摘要: 量子计算的发展正从理论走向工程现实,基于大数分解和离散对数难题的传统公钥密码(如 RSA、ECC)在 Shor 算法下将失去安全性。本文首先从量子威胁与“先获取,后解密”(Harvest Now, Decrypt Later)风险出发,简要介绍后量子密码学(PQC)的基本概念与威胁模型;随后结合 NIST 标准化进程,系统梳理格基、编码基、哈希基、多变量和同源基等主要算法家族及代表算法;在此基础上,从性能、侧信道与故障注入攻击、硬件加速与实现安全等角度,分析工程落地中的关键挑战;最后对全球迁移时间线、密码敏捷性(cryptographic agility)及供应链依赖进行讨论,并给出未来几年中组织在架构与工程层面的迁移建议。

第一部分:量子威胁与 PQC 基础

1.1 量子计算对现有密码体系的威胁

目前广泛部署的公钥加密体系(如 RSA、椭圆曲线密码学 ECC)主要依赖以下难题的“经典计算困难性”来保证安全:

量子计算机在这类问题上具有根本性的优势。特别是 Shor 算法 证明:在一台具有足够容错能力的量子计算机上,可以在多项式时间内高效分解大整数和计算离散对数,从而从数学上瓦解 RSA/ECC 这一代公钥密码体系的安全基础。

更现实的威胁来自“先获取,后解密”(Harvest Now, Decrypt Later)模型:攻击者可以在今天大规模地窃取并存储使用现有密码保护的长期敏感数据(如医疗记录、金融交易、政府情报和知识产权),在未来量子计算机成熟之后再集中解密。这意味着,对于那些对保密期限要求超过 5–10 年的数据而言,即便量子计算机暂时不可用,今天仍然已经处在风险敞口之中 12

同时,量子算法对称加密的影响也不可忽视。Grover 算法可以在理论上以 \(O(\sqrt{N})\) 的复杂度加速穷举搜索,因此通常建议将对称密钥长度加倍(例如从 AES-128 升级到 AES-256),以在量子攻击模型下维持原有的安全强度 3

1.2 什么是后量子密码学 (PQC)?

后量子密码学(Post-Quantum Cryptography, PQC),又称抗量子密码学(quantum-resistant cryptography),指的是一类即使在拥有强大算力的量子计算机面前仍然保持安全的密码算法。与依赖大数分解或离散对数难题的传统公钥方案不同,PQC 基于若干目前被认为对经典和量子计算机都困难的数学问题,例如:

PQC 的目标不是“利用量子力学”进行加密(那是量子密钥分发 QKD 的范畴),而是设计 在量子攻击者模型下仍然安全、同时可以在经典计算环境中部署 的算法。NIST 的标准化工作便是围绕这一路线展开的 45

1.3 Shor 算法核心思想

Shor 算法的核心思想可以概括为三步:

  1. 把大数分解问题转化为一个关于指数函数 \(f(x) = a^x \pmod{N}\)周期查找问题
  2. 利用量子并行和量子傅里叶变换(QFT)高效寻找该周期 \(r\)
  3. 在找到 \(r\) 后,通过数论恒等式从 \(a^{r/2} \pm 1\)\(N\) 的最大公约数中恢复因子。

在经典世界中,直接寻找 \(f(x)\) 的周期需要指数时间,而在量子世界中,可以通过构造叠加态、对指数函数进行相位编码,再利用 QFT 把周期信息从相位“读出来”,从而在多项式时间内完成。形式化的过程如下:

  1. 随机选择 \(a\)\(1 < a < N\),若 \(\gcd(a, N) \neq 1\) 则已直接得到因子;
  2. 构造 \(f(x) = a^x \pmod{N}\) 并在量子寄存器中对所有 \(x\) 形成叠加态 \(\sum_x \lvert x \rangle\)
  3. 计算 \(f(x)\) 并进行 QFT;
  4. 通过测量获得与周期 \(r\) 相关的结果,并用经典算法求得 \(r\)
  5. \(r\) 为偶数且 \(a^{r/2} \not\equiv -1 \pmod{N}\),则因子可由 \[ p = \gcd\bigl(a^{r/2} - 1, N\bigr), \quad q = \gcd\bigl(a^{r/2} + 1, N\bigr) \] 恢复。

这条“经典降维 + 量子加速 + 经典后处理”的链路,是理解 RSA/ECC 在量子时代为何会失效的关键。

第二部分:PQC 算法家族概览

本部分从算法家族的视角,对 NIST 标准化进程中最核心的几类后量子算法进行梳理。

2.1 格基密码学 (Lattice-based Cryptography)

格基密码学是目前 PQC 中最重要、最成熟的方向,其安全性基于高维格上的困难问题,如短向量问题 (SVP) 和带误差学习问题 (LWE)。

典型代表包括:

格基算法的一般特点:

2.1.1 Kyber 与 LWE 问题

Kyber 建立在 带误差学习 (Learning With Errors, LWE) 问题之上。可以直观理解为:> 给出很多“被加噪”的线性方程 \(A\mathbf{x} + \mathbf{e} = \mathbf{b}\),其中噪声向量 \(\mathbf{e}\) 的模很小。已知 \(A\)\(\mathbf{b}\),在不知道噪声分布细节的前提下,想要精确恢复秘密向量 \(\mathbf{x}\) 被认为是困难的。

Kyber 在实际协议中的工作流程(省略具体维度与模数)大致为:

  1. 密钥生成
    • 选随机公共矩阵 \(A\)
    • 选小向量 \(\mathbf{s}, \mathbf{e}\) 作为秘密;
    • 计算 \(\mathbf{t} = A\mathbf{s} + \mathbf{e}\),公钥为 \((A, \mathbf{t})\),私钥为 \(\mathbf{s}\)
  2. 封装
    • 对方选随机小向量 \(\mathbf{r}, \mathbf{e}_1, e_2\)
    • 计算 \[ \mathbf{u} = A^T \mathbf{r} + \mathbf{e}_1, \quad v = \mathbf{t}^T \mathbf{r} + e_2; \]
    • \((\mathbf{r}, \mathbf{e}_1, e_2)\) 派生共享密钥 \(k\),同时发送密文 \((\mathbf{u}, v)\)
  3. 解封装
    • 拥有秘密 \(\mathbf{s}\) 的一方计算 \[ v - \mathbf{s}^T \mathbf{u} \approx k \]
    • 利用误差有界性的性质,通过纠错恢复出精确的 \(k\)

整个过程本质上把“解带误差线性方程组”的困难性变成了“从带噪观测中恢复秘密向量”的问题,在经典与量子环境下都缺乏有效的多项式时间算法。

2.1.2 Dilithium 与 Fiat-Shamir 签名结构

Dilithium 使用基于 Module-LWE/SIS 的格结构,并采用 Fiat-Shamir with Aborts 技术来防止签名过程泄漏秘密向量的大小信息。其签名过程可以高度概括为:

  1. 生成随机“掩码”向量 \(\mathbf{y}\),计算承诺 \(\mathbf{w} = A\mathbf{y}\)
  2. 计算挑战 \(c = H(m, \mathbf{w})\)
  3. 计算响应 \(\mathbf{z} = \mathbf{y} + c\mathbf{s}_1\),同时检查 \(\mathbf{z}\) 的系数是否过大;
  4. 若不满足阈值则“abort”重来,以保证最终公开的 \(\mathbf{z}\) 不会泄漏秘密 \(\mathbf{s}_1\) 的分布信息;
  5. 验证方通过 \(\mathbf{w}' = A\mathbf{z} - c\mathbf{t}\)\(c \stackrel{?}{=} H(m, \mathbf{w}')\) 来完成验证。

2.2 编码基密码学 (Code-based Cryptography)

编码基密码学的安全性源于对一般线性码的解码难题——在不知道结构的前提下,从带少量随机错误的码字中恢复原始消息,被认为是 NP-hard 的。

代表算法

编码基方案的典型特征:

2.3 哈希基密码学 (Hash-based Cryptography)

哈希基签名方案仅依赖于抗碰撞哈希函数的安全假设,是构建“安全备胎”算法的天然候选。在 NIST 标准中,SPHINCS+ (SLH-DSA) 便承担了这一角色 1112

其核心思路是:

这种设计的代价是:签名尺寸大、签名生成较慢。因此在 TLS 这类需要高频握手的场景中,它通常仅作为备选方案 13

2.4 多变量与同源基密码学 (简述)

第三部分:NIST 标准化进程与最新进展

3.1 第一批 FIPS 标准(2024 年 8 月)

NIST 从 2016 年起启动后量子密码标准化项目,历经公开征集、三轮评审与攻防分析,并在 2024 年 8 月 13 日正式发布了首批三个联邦信息处理标准(FIPS) 1617

3.2 第四轮选拔:HQC 与算法多样性策略

为了降低单一数学基础被攻破的系统性风险,NIST 在第三轮评审后继续开展了第四轮 KEM 评估,重点考察非格基的候选方案。2025 年 3 月,NIST 宣布选择编码基算法 HQC 作为额外的 KEM 进行标准化 1819

至此,NIST 的整体 PQC 算法组合策略可以概括为:

3.3 新增签名算法与后续工作

2024 年 10 月,NIST 宣布 14 个“新增数字签名算法”候选进入第二轮评估 2223,涵盖多变量、基于承诺与零知识证明等多种思路。这些工作不会立即取代 ML-DSA/SLH-DSA,而是更多地填补尺寸、性能和特殊应用场景上的空白,为长远的算法冗余提供备选项。

第四部分:性能、实现与工程安全挑战

4.1 性能维度对比

在工程实践中,PQC 算法的性能主要体现在:

综合现有评测结果 2425,可以粗略给出如下对比表:

算法 家族 用途 尺寸特性 性能特征 典型场景
ML-KEM (Kyber) 格基 KEM 密钥/密文中等偏小 非常快,TLS 握手开销可接受 Web/TLS、VPN、KEM 库默认
ML-DSA (Dilithium) 格基 签名 公钥/签名中等偏大 签名/验证都较快 代码签名、证书、更新签名
SLH-DSA (SPHINCS+) 哈希基 签名 签名尺寸较大 签名慢,握手延迟明显 需极度保守安全假设的场景
Falcon (FN-DSA) 格基 签名 签名非常小 性能好,但实现复杂 带宽紧张但可接受高实现复杂度场景
HQC 编码基 KEM 公钥/密文较大 慢于 Kyber,资源占用更高 作为 Kyber 的多样化备选

在 TLS 1.3 集成测试中,Dilithium/Falcon 的握手延迟通常只比 RSA-2048 高出 7–11% 左右,而 SPHINCS+ 可能慢两个数量级 26。在嵌入式设备上,基于 LWE 的 Kyber 在速度与能效方面普遍优于 HQC/BIKE 等编码基方案 27

4.2 侧信道攻击与故障注入攻击

PQC 算法在数学上的安全性,并不等同于其在物理实现中的安全性。恰恰相反,为了追求高性能而采用的高度优化的计算结构(如 NTT),往往会在功耗、时序或电磁辐射上暴露出可被利用的微小差异。

近期研究表明 282930

因此,PQC 部署的重心正在从“选择算法”转向“安全实现”

4.3 硬件加速与可信根

从长远看,后量子安全将深度依赖硬件提供的信任基础:

NIST 的加密算法验证计划(CAVP)已开始将 ML-KEM、ML-DSA 等纳入 FIPS 140-3 模块验证范围 36,这意味着未来通过合规审计的“安全产品”,不仅要“支持 PQC 算法”,还要在硬件层面满足一整套抗侧信道和可靠性要求。

第五部分:全球迁移与密码敏捷性

5.1 迁移时间线与政策驱动

各国政府和大型科技公司已给出了相对明确的时间表 3738394041

5.2 密码敏捷性与混合部署模式

后量子迁移并非一次性的“算法替换”工程,而是要构建一套 能够持续演进的密码学基础设施,其核心是 密码敏捷性 (Cryptographic Agility)。这意味着:

在当前过渡阶段,业界最普遍采纳的策略是 混合部署模式 (Hybrid)

5.3 供应链与第三方依赖

迁移的难点之一在于:

你的系统是否真正“量子安全”,取决于你依赖的所有库、平台和供应商是否也完成了迁移。

实践建议包括 495051

第六部分:未来展望与实践建议

6.1 高级密码原语与未来方向

格基密码学不仅为 KEM 与签名提供了坚实基础,也为以下前沿方向奠定了后量子安全的基石:

同源基、多变量等“非主流”家族,虽然在当前标准化浪潮中处于边缘,但从长期看,它们仍可能在某些细分场景或作为防御格基突破的“第二梯队”中发挥其独特的价值 5758

6.2 对工程团队的实践建议

结合上文分析,面向实际的工程与架构落地,可以概括为以下几点建议:

  1. 立即启动密码资产清查:梳理系统中使用密码的所有位置(协议、库、硬件、安全模块、第三方依赖等),并标记出保护长期敏感数据的关键路径 5960
  2. 优先升级对称加密与密钥管理:尽快将对称算法统一升级到 AES-256 级别,并重新审视密钥的生命周期管理流程 6162
  3. 在核心链路中试点混合 KEM:在 TLS/VPN/内部微服务通信等关键链路上,分阶段引入 ML-KEM 与经典密钥交换的混合方案;
  4. 评估并引入支持 PQC 的硬件安全模块:特别是在金融、政务和云平台等高安全要求的场景中,应将密钥操作迁移到通过 FIPS 140-3 验证、并内建侧信道缓解措施的安全硬件 (HSM/TPM) 中 6364
  5. 构建密码敏捷性平台:从架构层面将算法选择与业务逻辑解耦,避免硬编码;
  6. 建立供应链协同机制:定期评估供应商的 PQC 准备情况,并将 PQC 迁移要求纳入整体的安全与合规路线图 656667

结语

后量子密码学已经从理论研究进入了标准制定与大规模部署的实战阶段。以 Kyber/Dilithium/SPHINCS+ 为代表的第一批标准算法,标志着“量子安全公共基础设施”的初步成型;而 HQC 等方案的加入,则体现了对长期系统性风险的前瞻性防御。

当前,真正的挑战已从“我们有什么算法可用?”转变为“我们如何安全、可验证地实现和运维这些算法?”,以及“如何在复杂的全球供应链和监管环境下完成协同迁移?”。对于任何关注 5-10 年数据保密性的组织而言,窗口期已经非常有限:现在就开始规划与实验,是避免在量子时代陷入被动的唯一现实选择

参考资料

  1. How Quantum Computing Threatens Encryption—and What Your Business Must Do Now↩︎

  2. Why Post-Quantum Trust Begins Inside the Hardware | Encryption Consulting↩︎

  3. The State of Post-Quantum Cryptography (PQC) on the Web | F5 Labs↩︎

  4. Post-Quantum Cryptography | CSRC - NIST Computer Security Resource Center↩︎

  5. What Is Post-Quantum Cryptography? | NIST↩︎

  6. PQC Implementations Still Leak: SCA and FI Risks in Dilithium & Kyber | Keysight Blogs↩︎

  7. Side-Channel Attacks On Post-Quantum Cryptography - Semiconductor Engineering↩︎

  8. IR 8545, Status Report on the Fourth Round of the NIST Post-Quantum Cryptography Standardization Process | CSRC↩︎

  9. HQC Announced as a 4th Round Selection - NIST Computer Security Resource Center↩︎

  10. Evaluating Post-Quantum Cryptographic Algorithms on Resource-Constrained Devices↩︎

  11. NIST Announces First Four Quantum-Resistant Cryptographic Algorithms↩︎

  12. Post-Quantum Cryptography and Quantum-Safe Security: A Comprehensive Survey - arXiv↩︎

  13. Security and Performance Analyses of Post-Quantum Digital Signature Algorithms and Their TLS and PKI Integrations - MDPI↩︎

  14. IR 8545, Status Report on the Fourth Round of the NIST Post-Quantum Cryptography Standardization Process | CSRC↩︎

  15. Isogeny-based Cryptography (Crypto 2025) - YouTube↩︎

  16. Post-Quantum Cryptography | CSRC - NIST Computer Security Resource Center↩︎

  17. NIST Announces First Four Quantum-Resistant Cryptographic Algorithms↩︎

  18. IR 8545, Status Report on the Fourth Round of the NIST Post-Quantum Cryptography Standardization Process | CSRC↩︎

  19. HQC Announced as a 4th Round Selection - NIST Computer Security Resource Center↩︎

  20. IBM-Developed Algorithms Announced as NIST’s First Published Post-Quantum Cryptography Standards↩︎

  21. Post-Quantum Cryptography and Quantum-Safe Security: A Comprehensive Survey - arXiv↩︎

  22. NIST Announces 14 Candidates to Advance to the Second Round of the Additional Digital Signatures for the Post-Quantum Cryptography Standardization Process↩︎

  23. PQC Digital Signature Second Round Announcement | CSRC↩︎

  24. Security and Performance Analyses of Post-Quantum Digital Signature Algorithms and Their TLS and PKI Integrations - MDPI↩︎

  25. Evaluating Post-Quantum Cryptographic Algorithms on Resource-Constrained Devices↩︎

  26. Security and Performance Analyses of Post-Quantum Digital Signature Algorithms and Their TLS and PKI Integrations - MDPI↩︎

  27. Evaluating Post-Quantum Cryptographic Algorithms on Resource-Constrained Devices↩︎

  28. PQC Implementations Still Leak: SCA and FI Risks in Dilithium & Kyber | Keysight Blogs↩︎

  29. Side-Channel Attacks On Post-Quantum Cryptography - Semiconductor Engineering↩︎

  30. Side-Channel Attacks on Post-Quantum PKE/KEMs and Digital Signatures | KTH↩︎

  31. Why Post-Quantum Trust Begins Inside the Hardware | Encryption Consulting↩︎

  32. PQC Implementations Still Leak: SCA and FI Risks in Dilithium & Kyber | Keysight Blogs↩︎

  33. FPGA Energy Consumption of Post-Quantum Cryptography - NIST Computer Security Resource Center - National Institute of Standards and Technology↩︎

  34. Evaluating Post-Quantum Cryptographic Algorithms on Resource-Constrained Devices↩︎

  35. Complexity of Post-Quantum Cryptography in Embedded Systems and Its Optimization Strategies - arXiv↩︎

  36. Why Post-Quantum Trust Begins Inside the Hardware | Encryption Consulting↩︎

  37. 后量子密码迁移趋势下应用于区块链的公钥密码安全↩︎

  38. Post-Quantum Cryptography (PQC) Standardization - 2025 Update↩︎

  39. Cyber chiefs unveil new roadmap for post-quantum cryptography migration↩︎

  40. A Coordinated Implementation Roadmap for the Transition to Post-Quantum Cryptography↩︎

  41. Post-quantum resilience: building secure foundations - Microsoft On the Issues↩︎

  42. The State of Post-Quantum Cryptography (PQC) on the Web | F5 Labs↩︎

  43. Post-Quantum Cryptography (PQC) Standardization - 2025 Update↩︎

  44. Post-quantum resilience: building secure foundations - Microsoft On the Issues↩︎

  45. Microsoft Maps Path to a Quantum-Safe Future↩︎

  46. Post-quantum cryptography (PQC) - Google Cloud↩︎

  47. State of the post-quantum Internet in 2025 - The Cloudflare Blog↩︎

  48. 后量子密码迁移趋势下应用于区块链的公钥密码安全↩︎

  49. How to Transition from PQ Preparedness to PQC Adoption | Entrust↩︎

  50. PQC Migration Roadmap | Post-Quantum Cryptography Coalition↩︎

  51. 建信金科的后量子迁移:理念与实践 - 安全内参↩︎

  52. Lattice-based cryptography - Wikipedia↩︎

  53. The Power and Potential of Zero-Knowledge Proofs - Communications of the ACM↩︎

  54. Zero-Knowledge Proofs After Quantum: New Protocols Reviewed↩︎

  55. Post-Quantum Cryptography and Quantum-Safe Security: A Comprehensive Survey - arXiv↩︎

  56. Exploring Post-Quantum Cryptography: Review and Directions for the Transition Process↩︎

  57. Post-Quantum Cryptography and Quantum-Safe Security: A Comprehensive Survey - arXiv↩︎

  58. Isogeny-based Cryptography (Crypto 2025) - YouTube↩︎

  59. PQC Migration Mappings to Risk Framework Documents | CSRC↩︎

  60. How to Transition from PQ Preparedness to PQC Adoption | Entrust↩︎

  61. The State of Post-Quantum Cryptography (PQC) on the Web | F5 Labs↩︎

  62. State of the post-quantum Internet in 2025 - The Cloudflare Blog↩︎

  63. Why Post-Quantum Trust Begins Inside the Hardware | Encryption Consulting↩︎

  64. PQC Implementations Still Leak: SCA and FI Risks in Dilithium & Kyber | Keysight Blogs↩︎

  65. PQC Migration Roadmap | Post-Quantum Cryptography Coalition↩︎

  66. A Coordinated Implementation Roadmap for the Transition to Post-Quantum Cryptography↩︎

  67. 建信金科的后量子迁移:理念与实践 - 安全内参↩︎

By .