土法炼钢兴趣小组的算法知识备份

【密码学百科】密码学研究前沿:开放问题与未来十年展望

2026-04-15 · cryptography · #research-frontiers #open-problems #one-way-function #fine-grained-crypto #quantum-crypto #lattice-hardness #iO-efficiency #post-quantum #crypto-for-AI

目录

密码学是一门永远不会”完成”的学科。每一次重大理论突破,往往不是终结了某个研究方向,而是同时打开了更多未知的大门。回顾本系列六十五篇文章所覆盖的内容——从古典密码到现代对称加密,从公钥密码学的数论基础到椭圆曲线,从零知识证明到全同态加密,从后量子密码到不可区分混淆——我们不难发现一个贯穿始终的主题:密码学的力量来源于计算复杂性,而我们对计算复杂性的理解仍然极为有限。这种”已知的无知”既是密码学的脆弱之处,也是它持续吸引最优秀的理论计算机科学家和数学家投入其中的根本原因。

本文作为这一系列的完结篇,将梳理密码学当前最重要的开放问题与研究前沿。我们不再聚焦于某一个具体的方案或协议,而是试图勾勒出密码学在未来十年乃至更长时间内可能演进的方向。这些方向有的根植于数十年悬而未决的基础理论问题,有的则是近年来因技术需求激增而崛起的新兴领域。它们共同构成了一幅密码学研究的全景图,也是对每一位读者——无论你是学生、工程师还是研究者——的邀请:这个领域充满了等待被探索的宝藏。

笔者认为,什么构成了密码学中的「好的研究问题」值得在此展开讨论。一个好的密码学研究问题通常具备三个特征:第一,它源自真实的安全需求或理论困境,而非为了发表论文而人工构造;第二,它与密码学的核心关切——计算困难性、安全定义、效率权衡——之间存在深层联系;第三,即使部分解决也能产生有价值的工具或洞见。历史上最有影响力的密码学成果,几乎都满足这三个特征。

一、密码学的”圣杯”问题

密码学大厦的地基是一个至今无人能够证明的假设:单向函数(one-way function)的存在性。

单向函数是指这样一类函数——在正向计算时高效(多项式时间可算),但在反向求逆时计算上不可行(没有多项式时间算法能够以不可忽略的概率恢复原像)。我们在本系列第十五篇讨论 RSA 时涉及的大整数分解问题、在第十六篇讨论 Diffie-Hellman 时涉及的离散对数问题,以及在第十七篇讨论椭圆曲线时涉及的椭圆曲线离散对数问题,都是单向函数的候选实例化。然而,从严格的数学意义上说,我们至今不知道单向函数是否真的存在。

单向函数的存在性与计算复杂性中最著名的开放问题——P 与 NP 问题(P vs NP problem)——有着深刻的联系。如果 P = NP,则单向函数不可能存在,因为任何能在多项式时间内验证的问题都能在多项式时间内求解,这意味着没有任何函数能够满足”正向容易、反向困难”的要求。然而,反过来并不成立:即使 P ≠ NP,也不意味着单向函数一定存在。P ≠ NP 仅说明存在最坏情况下(worst-case)困难的问题,而单向函数要求的是平均情况下(average-case)的困难性——对于随机选取的输入,求逆都是困难的。这一微妙但关键的区别意味着,证明单向函数的存在需要的不仅仅是分离 P 和 NP,还需要建立最坏情况困难性与平均情况困难性之间的桥梁。

Russell Impagliazzo 在 1995 年的经典论文《A Personal View of Average-Case Complexity》中描绘了五个可能的”世界”(五个世界),分别代表了 P 与 NP 关系以及单向函数存在性的不同组合。密码学家们希望我们生活在”Cryptomania”或至少”Minicrypt”这样的世界中——前者意味着公钥密码学可行,后者至少意味着对称密码和哈希函数有坚实的理论基础。但我们甚至无法排除我们生活在”Heuristica”世界的可能性——在这个世界中,虽然 P ≠ NP,但几乎所有 NP 问题的实例在平均情况下都是容易的,单向函数不存在,密码学的理论基础将崩塌。

近年来,这一方向上出现了一些令人振奋的进展。Liu 和 Pass 在 2020 年前后的一系列工作建立了单向函数存在与某些时间有界 Kolmogorov 复杂度(time-bounded Kolmogorov complexity)问题平均情况困难性之间的等价关系。具体来说,他们证明了:单向函数存在当且仅当存在某个常数 \(t\),使得判定一个字符串的 \(t\)-有界 Kolmogorov 复杂度是否超过给定阈值这一问题在平均情况下是困难的。这一结果将密码学的基础假设与算法信息论中的核心概念联系起来,为理解单向函数的本质提供了一个全新的视角。

然而,证明(或否证)单向函数的存在,目前仍被普遍认为是超越当前数学工具能力的问题。与 P vs NP 类似,这里涉及到电路复杂性下界(circuit complexity lower bounds)的证明,而 Razborov 和 Rudich 在 1997 年提出的”自然证明障碍”(natural proofs barrier)表明,目前已知的大多数下界证明技术都不足以分离 P 和 NP。密码学家因此采取了一种务实的立场:我们无法证明基础假设为真,但我们可以仔细选择经受了长时间密码分析考验的候选假设,并在此基础上构建严谨的归约证明体系。

本方向代表性文献

  • Impagliazzo, R. (1995). A Personal View of Average-Case Complexity. 提出了著名的「五个世界」框架,是理解密码学基础假设地位的必读文献。
  • Liu, Y. & Pass, R. (2020). On One-way Functions and Kolmogorov Complexity. 建立了单向函数存在与 Kolmogorov 复杂度之间的等价关系,开辟了全新的研究视角。
  • Razborov, A. & Rudich, S. (1997). Natural Proofs. 证明了大多数已知的电路复杂性下界技术不足以分离 P 和 NP,是理解证明障碍的经典工作。

二、细粒度密码学

经典密码学中的安全性证明通常采用渐近(asymptotic)框架:我们声称某个方案是”安全的”,含义是对于足够大的安全参数,任何多项式时间的敌手成功攻破方案的概率都是可忽略的。这一框架优雅而强大,但它有一个固有的局限——它不区分 \(n^2\)\(n^{100}\) 的复杂度差异,也不关心攻击者是需要 \(2^{128}\) 还是 \(2^{256}\) 次操作。在实际部署中,这些”常数因子”和”指数中的具体数值”恰恰决定了方案的可用性和安全性。

细粒度密码学(fine-grained cryptography)是近年来兴起的一个研究方向,旨在基于更为精确的复杂度假设来构建密码学原语。与传统假设(如”不存在多项式时间算法求解某问题”)不同,细粒度假设通常具有这样的形式:“不存在时间复杂度为 \(O(n^{c})\) 的算法求解某个已知具有 \(O(n^{d})\) 时间算法的问题(其中 \(c < d\))”。这些假设来源于算法与复杂性理论中的精确复杂度猜想,如强指数时间假设(Strong Exponential Time Hypothesis, SETH)——即 \(k\)-SAT 问题不存在时间复杂度为 \(O(2^{(1-\varepsilon)n})\) 的算法——以及正交向量猜想(Orthogonal Vectors Conjecture, OVC)。

Ball、Rosen 和 Sabin 在 2017 年的开创性工作中,展示了如何基于 SETH 和 OVC 等假设构建单向函数和密钥交换协议。这些协议的安全性不是基于超多项式(super-polynomial)的困难性间隙,而是基于多项式级别的间隙——例如,诚实方需要 \(O(n)\) 时间,而攻击者至少需要 \(O(n^2)\) 时间。虽然这种安全性保证远弱于传统密码学方案,但细粒度密码学开辟了一条在更弱假设下实现密码学功能的道路,并且与算法复杂性理论中的众多猜想建立了直接联系。

从最坏情况困难性到平均情况困难性的归约(worst-case to average-case reduction)一直是密码学的核心技术之一。本系列第五十七篇介绍的格基密码正是这一技术的典范——Regev 在 2005 年证明了 LWE 问题的平均情况困难性可以归约到格上最短向量问题的最坏情况困难性。然而,对于许多其他困难问题(如大整数分解、离散对数),我们并不知道类似的最坏情况到平均情况归约是否存在。细粒度密码学的一个重要目标是探索更广泛的问题族是否允许这种归约,特别是基于图论、字符串匹配和几何计算中的自然困难问题。

本方向代表性文献

  • Ball, M., Rosen, A. & Sabin, M. (2017). Average-Case Fine-Grained Hardness. 首次展示了如何基于 SETH 和 OVC 等细粒度假设构建密码学原语。
  • Degwekar, A., Vaikuntanathan, V. & Vasudevan, P. (2019). Fine-Grained Cryptography Revisited. 进一步发展了细粒度密码学的理论框架,探索了更丰富的原语构造。
  • LaVigne, R., Lincoln, A. & Vassilevska Williams, V. (2019). Public-key Cryptography in the Fine-Grained Setting. 在细粒度框架下实现了公钥密码学功能。

另一个相关的前沿方向是基于次指数(sub-exponential)假设的密码学。许多密码学构造——特别是不可区分混淆(参见第六十一篇)和功能加密(functional encryption)的高级实例化——需要底层假设不仅是指数级困难的,而且在某种精确的次指数意义下也是困难的。理解哪些假设确实满足次指数困难性,以及次指数困难性假设之间的相互关系,是当前理论密码学的活跃研究领域。

三、格问题的精确困难度

格基密码(lattice-based cryptography)已经成为后量子密码的主力军——NIST 首批发布的三项后量子标准中有两项(ML-KEM 和 ML-DSA)基于格假设。然而,我们对格问题困难度的理解仍然存在重大缺口,而这些缺口直接影响着方案的参数选择和长期安全性。

首先是格归约算法(lattice reduction algorithms)的精确复杂度问题。BKZ(Block Korkin-Zolotarev)算法及其变体(如 BKZ 2.0、Progressive BKZ、Pump-and-Jump BKZ)是目前攻击格基密码方案的最主要工具。BKZ 以块大小(block size)\(\beta\) 为参数,在维度 \(n\) 的格上运行时间近似为 \(2^{O(\beta)}\),而达到的近似因子与 \(\beta\) 呈已知的数学关系。密码方案的安全参数正是基于对 BKZ 运行时间的估计而选取的。

然而,BKZ 的精确运行时间仍然存在争议。所谓的”Core-SVP”模型假设 BKZ 的时间瓶颈在于每个块中的 SVP 求解,因此总时间为 \(2^{c\beta + o(\beta)}\),其中常数 \(c\) 取决于 SVP 求解器的效率。对于经典计算,目前最好的 SVP 求解器的指数约为 \(c \approx 0.292\)(来自 BDGL 筛法的渐近分析);对于量子计算,利用 Grover 搜索加速后可能降低至 \(c \approx 0.265\)。但这些都是渐近估计,在实际参数范围内(如维度 500-1000),实际复杂度与渐近预测之间可能存在显著差异。2023 年以来,多个研究团队通过大规模实验和外推,试图更精确地校准 BKZ 在实际参数范围内的性能,但结论尚未完全一致。

其次是格问题在量子计算模型下的困难性。虽然 Shor 算法不直接适用于格问题(因为格缺乏可利用的周期结构),但这并不意味着量子计算机对格问题完全无用。Laarhoven 在 2016 年提出了利用量子游走(quantum walk)加速筛法的方案,将 SVP 的量子复杂度降至 \(2^{0.2653n + o(n)}\)。更近期的研究探索了量子随机游走、量子搜索与筛法的更深度结合。然而,这些量子加速方案通常需要大量的量子内存(QRAM),而 QRAM 的物理实现成本和可行性本身就是一个开放的研究问题。如果我们在安全分析中假设量子攻击者不能访问大规模 QRAM,那么格基密码方案的实际量子安全裕度可能远大于乐观估计。

第三是 LWE 和 Ring-LWE 之间的安全性差异。Ring-LWE(RLWE)和 Module-LWE(MLWE)通过在多项式环中引入代数结构来减小密钥尺寸和提升效率,但这种额外的代数结构是否可能被攻击者利用,一直是理论界关注的焦点。目前的归约结果表明,RLWE 的困难性可以归约到理想格(ideal lattice)上的最短向量问题,而不是一般格上的最短向量问题。理想格是否比一般格”容易”是一个基本的未解问题。Cramer 等人在 2016 年证明了主理想格(principal ideal lattice)上的某些问题确实可以在量子多项式时间内求解,但这一结果是否可以推广到更一般的理想格,以及是否能影响实际的 RLWE 和 MLWE 参数安全性,仍是开放的研究方向。

本方向代表性文献

  • Regev, O. (2005). On Lattices, Learning with Errors, Random Linear Codes, and Cryptography. LWE 问题的奠基性工作,建立了从最坏情况到平均情况的归约。
  • Cramer, R. et al. (2016). Short Stickelberger Class Relations and Application to Ideal-SVP. 证明了主理想格上某些问题的量子多项式时间可解性,是理解理想格安全性差异的关键工作。
  • Ducas, L. & van Woerden, W. (2022). NTRU Fatigue: How Stretched is Overstretched? 对 NTRU 类格问题的精确困难度进行了深入分析,对参数选择有直接指导意义。

四、实用化不可区分混淆

不可区分混淆(indistinguishability obfuscation, iO)被誉为密码学的”万能工具”——正如我们在第六十一篇中详细讨论的,它可以用来构建几乎所有已知的密码学原语。2021 年,Jain、Lin 和 Sahai(JLS)取得了里程碑式的突破,首次给出了基于公认标准假设(LWE、决策性线性假设以及某种随机预言机下的假设)的 iO 构造。这一结果解决了密码学中悬而未决十余年的核心问题,标志着 iO 从一个理论上可能的概念变成了有坚实基础的现实构造。

然而,从理论构造到实际可用之间的鸿沟仍然是天文数字级别的。当前最好的 iO 构造在效率上完全不可实用:即使是混淆一个只有几百个逻辑门的简单电路,所产生的混淆程序的大小也可能达到千兆字节甚至更多。这种效率差距的根源在于构造过程中的多层引导(bootstrapping)——JLS 构造需要使用功能加密(functional encryption, FE)方案进行多层嵌套,每一层都会引入巨大的参数膨胀。

缩小这一效率差距是当前 iO 研究的最核心挑战之一。以下几个方向被认为最有前景:

第一,简化构造路径。当前的 iO 构造涉及多个复杂的密码学子模块的组合。如果能找到更直接的构造路径——例如直接基于格问题构造 iO,而不经过多层 FE 引导——可能会带来质的效率提升。近年来,一些工作尝试基于特定的格结构(如同态求值密钥)直接实现混淆功能,但尚未取得决定性的突破。

第二,优化 FE 基础模块。由于 FE 是 iO 构造的核心组件,任何对 FE 方案效率的改进都会直接传导至 iO。特别是,如果能够构建更高效的有界深度 FE(bounded-depth FE)或更紧凑的属性基加密(attribute-based encryption, ABE)方案,将显著减少 iO 构造中的参数膨胀。

第三,硬件辅助的混淆。一个务实的方向是将 iO 与可信执行环境(Trusted Execution Environment, TEE)结合。TEE 可以提供硬件级别的隔离保护,在一定程度上减轻软件层面混淆的负担。虽然这偏离了纯密码学意义上的 iO 目标,但在工程实践中可能是一条通向”近似 iO 功能”的可行路径。

第四,针对特定函数类的高效混淆。也许我们不需要对任意电路进行 iO——对于许多实际应用,只需混淆特定类别的函数(如有限自动机、浅层电路、比较函数等)即可。针对受限函数类的 iO 方案可能在效率上远优于通用 iO 构造。

乐观地预测,在未来十年内,我们可能看到 iO 在受限函数类上达到实验可行的效率级别,并在特定应用场景中开始出现概念验证部署。但通用、高效的 iO 可能仍需更长时间的理论和工程积累。

本方向代表性文献

  • Jain, A., Lin, H. & Sahai, A. (2021). Indistinguishability Obfuscation from Well-Founded Assumptions. 首次基于标准假设构造 iO 的里程碑式突破。
  • Garg, S. et al. (2013). Candidate Indistinguishability Obfuscation and Functional Encryption for all Circuits. 第一个 iO 候选构造(GGH+13),开创了整个研究方向。
  • Barak, B. et al. (2001). On the (Im)possibility of Obfuscating Programs. 证明了 VBB 混淆的不可能性,奠定了 iO 研究的理论基础。

五、全同态加密的性能突破

全同态加密(Fully Homomorphic Encryption, FHE)允许在密文上直接执行任意计算而无需解密——自 Gentry 在 2009 年提出第一个 FHE 方案以来(参见本系列第六十二篇),这一方向已经经历了多代方案的迭代和数个数量级的性能提升。然而,FHE 距离”实时计算”仍然有不小的差距,缩小这一差距是当前密码学工程研究中最受关注的问题之一。

当前 FHE 方案的性能瓶颈主要来自以下几个方面。第一是自举操作(bootstrapping)的开销。自举是”刷新”密文噪声的核心操作,使得 FHE 能够支持无限深度的计算。在 TFHE(Torus FHE)方案中,单次自举操作在现代 CPU 上需要约十毫秒级别的时间;在 BGV/BFV 方案中,自举的开销更大。第二是密文膨胀(ciphertext expansion)——加密后的数据通常比明文大数十到数百倍,这对内存和带宽提出了严苛要求。第三是同态乘法的噪声增长——每次乘法操作都会使密文中的噪声近似平方增长,限制了连续乘法操作的深度。

硬件协同设计(hardware co-design)被广泛认为是 FHE 性能突破的关键路径。多个团队正在设计专用于 FHE 计算的硬件加速器,包括 DARPA 资助的 DPRIVE 项目和多家公司(如 Intel、Samsung、Dualité Technologies 等)的 ASIC 设计。这些加速器针对 FHE 中的核心运算——数论变换(Number Theoretic Transform, NTT)、大模数多项式运算和自举操作——进行深度优化。DARPA DPRIVE 项目的目标是将 FHE 计算的开销降低到明文计算的 10 倍以内,如果这一目标达成,将使 FHE 在许多实际场景中变得可行。

在软件层面,编译器和优化框架的进步也在持续推动 FHE 的可用性。像 Google 的 FHE 编译器、Microsoft SEAL、OpenFHE、Zama 的 Concrete 等工具正在降低 FHE 编程的门槛,让开发者无需深入理解底层密码学原理即可编写同态计算程序。自动参数选择、噪声预算管理和电路优化等功能正在逐步成熟。

在应用方面,FHE 在受监管行业中具有巨大的潜力。金融机构可以使用 FHE 在加密的客户数据上执行合规检查和风险评估,而无需解密数据——这直接满足了越来越严格的数据保护法规(如 GDPR、CCPA)的要求。医疗领域可以利用 FHE 在加密的基因组数据上执行疾病风险分析和药物靶点筛查,保护患者隐私的同时实现跨机构的数据协作。广告和推荐系统可以在加密的用户画像上进行匹配和排序,避免原始用户数据的泄露。

本方向代表性文献

  • Gentry, C. (2009). Fully Homomorphic Encryption Using Ideal Lattices. FHE 的奠基性工作,首次证明了 FHE 的可行性。
  • Chillotti, I. et al. (2020). TFHE: Fast Fully Homomorphic Encryption over the Torus. 提出了目前最快的自举方案之一,是 FHE 实用化的关键进展。
  • Brakerski, Z., Gentry, C. & Vaikuntanathan, V. (2014). (Leveled) Fully Homomorphic Encryption without Bootstrapping. BGV 方案,通过模数切换技术大幅提升了 FHE 效率。

六、后量子密码的第二波

NIST 在 2024 年发布的首批后量子标准——ML-KEM、ML-DSA 和 SLH-DSA——标志着后量子迁移的正式启动。然而,标准化的工作远未结束。我们正在进入后量子密码的”第二波”(second wave),这一阶段的目标是扩展算法多样性、覆盖更多的应用场景,并解决首批标准中尚未触及的问题。

在 KEM 方面,NIST 的第四轮评估聚焦于非格基的备选方案,以确保在格基假设遭受重大攻击时有可用的替代品。BIKE 和 HQC 是目前最受关注的编码基 KEM 候选方案。两者都使用准循环结构来实现紧凑的参数尺寸,但它们的安全性基于与格假设完全不同的数学问题——分别是准循环中密度奇偶校验码(QC-MDPC)的译码问题和随机准循环码的区分问题。NIST 预计将在 2025 年左右从中选择一个方案进行标准化。同时,Classic McEliece 作为最保守的编码基方案也在接受持续评估——尽管其公钥尺寸巨大(数百千字节),但其安全性经受了四十余年的检验,适合作为”保险”方案用于高安全性需求的场景。

在签名方面,NIST 在 2023 年启动了额外的签名方案征集,旨在找到具有短签名和短公钥的后量子签名替代方案。首批标准中的签名方案(ML-DSA 和 SLH-DSA)在签名和公钥尺寸上都显著大于经典的 ECDSA 和 Ed25519,这在证书链、区块链交易和物联网设备等对尺寸敏感的场景中构成挑战。FALCON(即将标准化为 FIPS 206)提供了更紧凑的签名,但实现复杂度较高。新征集的方案涵盖了多种技术路线,包括基于多变量的(如 UOV)、基于格的新变体、基于同源的(虽然 SIDH/SIKE 已被攻破,但同源路线并未完全放弃)以及基于对称原语的。

后量子多方计算(post-quantum MPC)是一个日益重要的方向。经典的 MPC 协议(参见本系列第四十二至四十四篇)大量依赖基于离散对数或 RSA 假设的承诺方案、不经意传输(oblivious transfer, OT)和零知识证明。在后量子世界中,这些子协议需要被替换为抗量子的版本。基于格假设的 OT 和承诺方案已经存在,但其效率远低于经典方案。如何在保持 MPC 协议整体效率的同时实现后量子安全性,是一个活跃的研究问题。类似地,后量子 FHE 也需要关注——虽然当前的 FHE 方案本身基于格假设(因此已经是后量子的),但围绕 FHE 的基础设施(如密钥管理、身份验证)仍然需要进行后量子迁移。

密码敏捷性(cryptographic agility)是后量子迁移中的一个关键概念。我们在系列第三篇介绍的 Kerckhoffs 原则告诉我们,安全性不应依赖于算法的保密性。推而广之,安全系统的设计应当允许在不重构整个系统的情况下替换底层密码算法。在后量子迁移的背景下,这意味着协议和系统应当支持算法协商(algorithm negotiation)、混合模式(hybrid mode,同时使用经典和后量子算法)以及平滑的算法切换。TLS 1.3 协议已经在这一方向上进行了探索,支持在握手过程中协商后量子 KEM。

笔者认为,「后量子迁移」将被历史记住为人类有史以来规模最大的协调性密码学迁移工程。这一判断并非夸张——考虑到需要迁移的系统范围(从 TLS、SSH、IPsec 到代码签名、数字证书、安全芯片、物联网固件),涉及的利益相关方数量(从操作系统厂商到银行、政府、医院),以及必须在保持向后兼容的同时完成切换的技术约束,后量子迁移的复杂度远超历史上任何一次密码算法的替换(包括从 DES 到 AES 的迁移)。更重要的是,这次迁移是在威胁尚未完全实现之前主动进行的——这在密码学的历史上几乎没有先例。以往的算法迁移(如 MD5 → SHA-256)都是在实际攻击已经出现之后才被迫启动的。后量子迁移的成功与否,将成为检验密码学社区是否真正学会了「未雨绸缪」的试金石。

本方向代表性文献

  • Bernstein, D.J. & Lange, T. (2017). Post-quantum Cryptography. 后量子密码学的综合性综述,覆盖所有主要技术路线。
  • Alagic, G. et al. (2022). Status Report on the Third Round of the NIST Post-Quantum Cryptography Standardization Process. NIST 后量子标准化第三轮官方状态报告。
  • Stebila, D. & Mosca, M. (2023). Post-quantum Key Exchange for the Internet and the Open Quantum Safe Project. 讨论了后量子迁移的工程实践,包括混合模式的设计。

七、量子密码学新方向

量子密码学(quantum cryptography)与后量子密码学有着本质的不同——后量子密码在经典计算机上运行并抵抗量子攻击,而量子密码直接利用量子力学原理来实现经典手段无法达到的密码学功能。我们在第六十篇中介绍了量子密钥分发(QKD),它是量子密码学最成熟的应用。但近年来,一系列全新的量子密码学方向正在崛起,它们展示了量子信息理论与密码学交叉融合的巨大潜力。

量子货币(quantum money)是 Wiesner 在 20 世纪 70 年代提出的概念,也是量子信息理论的最早动机之一。其核心思想利用了量子力学的不可克隆定理(no-cloning theorem)——量子态无法被完美复制,因此可以用来制造”不可伪造的货币”。一枚量子货币是一个特定的量子态,银行可以验证其真实性但伪造者无法复制它。公共量子货币(public quantum money)更进一步,要求任何人(不仅是银行)都能验证货币的真实性。Aaronson 和 Christiano 在 2012 年提出了基于子空间隐藏问题的公共量子货币方案,Zhandry 在后续工作中给出了基于格假设的构造。然而,目前所有公共量子货币方案的安全性分析都不够成熟,且物理实现需要长期保持量子态的相干性,这在工程上极具挑战。

量子复制保护(quantum copy-protection)是量子密码学中最雄心勃勃的概念之一。其目标是将一个经典程序”编码”为一个量子态,使得该量子态可以被执行(运行程序)但不能被复制为两份都可执行的副本。如果量子复制保护可以实现,它将从根本上改变软件分发和数字版权管理的范式——购买一份软件的用户可以运行它,但无法将其复制给他人。Aaronson 于 2009 年首次正式提出了这一概念,并给出了在预言机模型下的可行性结果。此后,Coladangelo、Liu 和 Zhandry 等人在标准模型下取得了部分进展,证明了对于某些特定函数类(如点函数、计算不可预测函数),量子复制保护是可实现的。但对于一般计算的量子复制保护仍然是一个重大的开放问题。

量子通信复杂度(quantum communication complexity)中的密码学应用是另一个前沿方向。在某些分布式计算任务中,量子通信可以提供指数级的通信量节省——这一结论由 Raz 在 1999 年的经典结果所确立。将这种量子通信优势与密码学原语结合,可以构建比经典方案更高效的安全协议。例如,量子安全两方计算(quantum secure two-party computation)在某些特定函数上可以实现比经典协议更低的通信复杂度。此外,量子纠缠(entanglement)的非局域性(non-locality)特性可以被用来构建新型的密钥交换和认证协议,其安全性直接基于量子力学的基本定律而非计算困难性假设。

设备无关密码学(device-independent cryptography)是量子密码学的一个更为极端的方向。在传统的量子密钥分发中,协议的安全性依赖于对量子设备行为的精确建模——例如,假设光源确实产生单光子态。设备无关密码学的目标是消除对设备的任何信任假设:安全性证明仅依赖于观测到的统计相关性(通过 Bell 不等式的违反来验证),而不依赖于设备的内部工作原理。这一方向的理论基础已经相当坚实(基于 Ekert 的 E91 协议及其后续发展),但实验实现面临极高的技术门槛——特别是对探测效率和空间样本率的要求。近年来,多个实验团队在无漏洞 Bell 实验上取得了突破(如 2015 年 Delft 团队的实验),为设备无关密码学的实用化奠定了基础。

本方向代表性文献

  • Aaronson, S. & Christiano, P. (2012). Quantum Money from Hidden Subspaces. 公共量子货币的开创性方案,基于子空间隐藏问题。
  • Coladangelo, A., Liu, J. & Zhandry, M. (2021). Hidden Cosets and Applications to Unclonable Cryptography. 在标准模型下实现了对特定函数类的量子复制保护。
  • Vazirani, U. & Vidick, T. (2014). Fully Device-Independent Quantum Key Distribution. 设备无关 QKD 的理论基础,证明了安全性仅依赖于 Bell 不等式的违反。

八、密码学与其他领域的融合

密码学从来不是一个封闭的学科——它的生命力在很大程度上来源于与其他技术领域和应用场景的持续互动。在未来十年,以下几个交叉领域可能产生最深远的影响。

密码学与人工智能/机器学习。人工智能的快速发展对密码学提出了全新的需求和挑战。一方面,机器学习模型的训练和推理过程中涉及大量敏感数据——用户行为数据、医疗记录、金融交易——如何在不暴露原始数据的前提下训练高质量的模型,是联邦学习(federated learning)和隐私保护机器学习的核心问题。全同态加密、安全多方计算和差分隐私(differential privacy)等密码学与隐私保护技术在这一场景中发挥着关键作用。我们在本系列第六十三篇(隐私计算)和第六十四篇(密码学与 AI)中对此进行了详细讨论。另一方面,AI 也在反哺密码学——利用深度学习进行密码分析(如神经网络辅助的差分密码分析)、利用大语言模型辅助形式化验证和安全协议设计,都是正在探索中的方向。

笔者认为,密码学与人工智能的融合是未来十年最值得关注的趋势,其重要性可能超过后量子迁移。原因有三:第一,AI 模型的训练数据和模型参数本身成为了高价值资产,催生了对「模型保护」「推理隐私」「可验证 AI」等全新密码学需求;第二,AI 系统的决策过程需要可审计性和可解释性,零知识证明和可验证计算为此提供了天然的工具;第三,也是最深层的——AI 的崛起正在改变「计算」本身的含义,当我们讨论「计算困难性」时,需要开始考虑拥有 AI 辅助的攻击者与传统攻击者之间的能力差异。这一交叉领域才刚刚起步,未来的发展空间巨大。

本方向代表性文献

  • Mohassel, P. & Zhang, Y. (2017). SecureML: A System for Scalable Privacy-Preserving Machine Learning. 隐私保护机器学习的开创性系统工作。
  • Gohr, A. (2019). Improving Attacks on Round-Reduced Speck Using Deep Learning. 首次展示了深度学习在密码分析中的有效性。
  • Kang, D. et al. (2023). Scaling up Trustless DNN Inference with Zero-Knowledge Proofs. 利用零知识证明实现可验证的 AI 推理。

密码学与基因组学。基因组数据具有高度的敏感性——它是终身不变的个人标识符,且包含个人和家族的健康风险信息。如何在保护基因组隐私的同时允许有价值的科学研究和临床应用,是生物信息学与密码学交叉领域的核心挑战。安全基因组比较(利用隐私集合求交 PSI 或同态加密进行基因型匹配)、加密基因组关联分析(在加密数据上进行全基因组关联研究 GWAS)以及基因组数据的可控共享(利用属性基加密或功能加密实现细粒度的访问控制)都是活跃的研究方向。

密码学与供应链安全。在全球化的供应链中,如何验证产品的来源、完整性和合规性而不暴露商业机密,是一个日益紧迫的问题。零知识证明可以让供应商证明其产品满足特定标准(如不含特定有害物质、产自特定地理区域)而不透露制造细节。区块链技术(参见第六十二篇中关于区块链密码学的讨论)提供了不可篡改的审计追踪。将零知识证明、承诺方案和区块链结合,可以构建端到端可验证的供应链透明度系统。

去中心化身份与可验证凭证。传统的身份管理依赖于集中的身份提供者(如政府机构、社交平台),这带来了单点故障和隐私风险。去中心化身份(Decentralized Identity, DID)利用密码学技术——特别是数字签名、零知识证明和可验证凭证(Verifiable Credentials, VC)——让用户完全控制自己的身份数据。用户可以选择性地向验证方披露特定属性(如”我已年满 18 岁”)而不透露其他信息(如具体年龄或身份证号),这正是零知识证明的经典应用场景。W3C 的 DID 和 VC 标准正在推动这一领域从概念走向部署。

九、未来十年路线图:2025-2035 关键里程碑

在展望未来之前,让我们尝试绘制一张密码学研究与部署的十年路线图。以下时间线基于当前技术趋势和学术进展的合理外推,当然也可能被意想不到的突破或攻击所改写:

时间窗口 预期里程碑 关键驱动因素
2025-2026 NIST 完成 FALCON(FIPS 206)标准化;从 BIKE/HQC 中选定编码基 KEM 备选标准;主流浏览器和操作系统开始默认启用混合后量子 TLS 握手 PQC 标准化收尾、Chrome/Firefox 的 ML-KEM 混合模式部署
2026-2027 FHE 硬件加速器原型达到明文计算 100 倍以内的开销;NIST 额外签名方案征集完成首轮筛选;首批 AI 模型推理的零知识证明系统进入生产环境 DARPA DPRIVE 项目成果、ZK 证明系统工程成熟
2027-2028 格归约算法的精确复杂度在实际参数范围内达成社区共识;首个实验性 iO 实现(受限函数类)被公开演示;量子计算机逻辑量子比特数突破 100 BKZ 实验校准、iO 效率优化、量子纠错进展
2028-2030 美国联邦系统完成后量子密码迁移的第一阶段(高优先级系统);FHE 在金融合规和医疗数据分析场景中实现商业化部署;后量子 MPC 协议效率接近经典方案 美国白宫 PQC 迁移备忘录截止日期、FHE 编译器和硬件成熟
2030-2032 量子计算机物理量子比特数可能突破百万级,容错量子计算进入早期可用阶段;密码学与 AI 的交叉领域产生新的密码学原语或安全定义;细粒度密码学方案开始在特定场景中被部署 量子硬件路线图、AI 安全需求激增
2032-2035 全球主要经济体的关键信息基础设施基本完成后量子迁移;CRQC(密码学相关量子计算机)的威胁时间线变得更加清晰;iO 的效率可能改善到「对特定应用在理论上可行」的水平 后量子迁移完成度、量子计算实际进展

笔者认为,在上述里程碑中,最可能出人意料的变量有两个:一是量子计算的进展速度(可能远快于或远慢于预期),二是 AI 辅助密码分析对现有方案安全裕度的实际影响。

十、总结与展望

回顾本系列六十五篇文章所走过的路程,我们从密码学的历史起源出发(第一篇),理解了威胁模型与安全定义的重要性(第二篇),领会了 Kerckhoffs 原则的深远意义(第三篇),探讨了随机性这一密码学不可或缺的资源(第四篇),并学习了信息论为保密性所划定的终极边界(第五篇)。

在对称密码学的世界里,我们深入剖析了分组密码与 AES 的精巧设计(第六至七篇),掌握了分组密码工作模式的多种变体与各自的安全特性(第八篇),了解了流密码的设计哲学(第九篇),学习了哈希函数(第十篇)、消息认证码(第十一篇)、认证加密(第十二篇)和密钥派生函数(第十三篇)的原理与实践。

公钥密码学的篇章从数论基础开始(第十四篇),经过 RSA(第十五篇)、Diffie-Hellman(第十六篇)、椭圆曲线(第十七篇)和数字签名(第十八篇)的系统讲解,延伸到密钥交换(第十九篇)和混合加密(第二十篇),最终触及填充方案(第二十一篇)这一容易被忽视但至关重要的工程细节。

协议与系统层面,我们分析了 TLS 协议的设计逻辑(第二十二篇),讨论了 PKI 和证书体系(第二十三至二十四篇),进入了零知识证明的奇妙世界(第二十五至二十八篇),反思了密码学实现中的常见陷阱(第二十九篇),并深入研究了侧信道攻击(第三十至三十一篇)这一理论与实践之间的关键鸿沟。

高级协议与前沿应用部分,我们探索了秘密共享(第三十二篇)、承诺方案(第三十三篇)、不经意传输(第三十四篇)、安全多方计算(第三十五至三十九篇)、同态加密(第四十至四十一篇)、功能加密(第四十二篇)、可搜索加密(第四十三篇)和属性基加密(第四十四篇)等密码学的高级工具箱。随后,我们进入了更为前沿的领域:可验证计算(第四十五篇)、zkSNARKs 与 zkSTARKs(第四十六至四十八篇)、安全聚合(第四十九篇)、差分隐私(第五十篇)、形式化验证(第五十一篇)、密码学标准化流程(第五十二篇)、随机预言机模型(第五十三篇)、基于身份的加密(第五十四篇)、基于配对的密码学(第五十五篇)、多线性映射(第五十六篇)。

在后量子与前沿方向上,我们系统介绍了后量子密码总览(第五十七篇)、格基密码(第五十八篇)、哈希基签名(第五十九篇)、量子密钥分发(第六十篇)、不可区分混淆(第六十一篇)、全同态加密前沿与区块链密码学(第六十二篇)、隐私计算(第六十三篇)和密码学与 AI 的交叉(第六十四篇),最终在本篇汇聚为对研究前沿和未来展望的全面梳理。

纵观这六十五篇文章,有几个贯穿始终的主题值得在此特别强调。

计算困难性是密码学的根基,也是它最大的”赌注”。 我们无法证明单向函数存在,无法证明 P ≠ NP,甚至无法证明 AES 或 SHA-256 在理论上是安全的。密码学的安全性最终建立在”长时间没有人找到有效攻击”这一经验性证据之上。这种状况既令人不安,也令人着迷——它意味着密码学永远是一个动态的领域,需要持续的警惕和创新。

理论与实践的张力推动着进步。 从全同态加密的理论构造到实际可用的方案,从不可区分混淆的可能性到效率优化,从后量子算法的安全性证明到工程部署——理论密码学家和系统工程师之间的对话与合作,是推动整个领域前进的关键动力。最好的密码学研究往往产生于对实际问题的深入思考。

多样性是安全的保障。 我们不应将所有安全赌注押在单一的困难假设上。正如 NIST 在后量子标准化中同时选择了格基、哈希基和编码基方案一样,密码学的稳健性来自于假设的多样性和算法的互补性。这一原则适用于从具体的算法选择到整个安全架构的设计。

开放和透明的研究文化是密码学的命脉。 Kerckhoffs 原则不仅适用于算法设计,也适用于密码学研究本身。公开的标准化竞赛(如 AES 竞赛、NIST PQC 竞赛)、公开的密码分析挑战和论文的自由交流,确保了密码学方案在部署之前经受了尽可能多的审视。封闭的密码学几乎必然走向失败。

展望未来十年,我对密码学的发展持谨慎乐观的态度。后量子密码的工业部署将在未来五年内大规模展开,全同态加密将在特定应用场景中达到实用水平,零知识证明将继续渗透到区块链、身份管理和合规领域,而密码学与人工智能的交叉将产生我们今天尚无法完全预见的新方向。更为基础性的方面,格问题的精确困难度分析将为后量子密码参数选择提供更坚实的基础,细粒度密码学将拓宽密码学假设的来源,而对 iO 效率的持续改进将逐步释放这一”万能工具”的实际威力。

笔者个人对未来十年最可能取得突破的开放问题做如下判断(当然,预测密码学研究的走向从来都是高风险的事情):FHE 的实用化排在首位——硬件加速和编译器优化的双轮驱动使我相信,到 2030 年 FHE 将在至少两三个垂直领域达到商业可用水平。格问题精确困难度排在第二——大规模实验和理论分析的结合将在未来五年内显著缩小 BKZ 运行时间估计的不确定性区间。iO 的效率改善排在第三——虽然通用 iO 仍将遥不可及,但对受限函数类的高效混淆可能在十年内取得实质性进展。至于P vs NP 和单向函数的存在性证明——我不认为在可预见的未来会有答案,但 Liu-Pass 方向的研究将持续深化我们对这些问题的理解。

当然,密码学的发展从来不是线性的。历史反复证明,一个意想不到的攻击或突破可以在一夜之间改变整个领域的格局——就像 Shor 算法之于公钥密码学、Beullens 的攻击之于 Rainbow 方案。这种不可预测性要求我们保持智识上的谦逊和技术上的敏捷。

最后,作为系列的结束语,我想对每一位从第一篇读到第六十五篇的读者说:密码学不仅仅是一个技术领域——它是关于信任、隐私和自由的学问。在数字化日益深入的世界中,密码学是保护个人权利和维系社会信任的基石。无论你是将密码学作为职业方向、学术兴趣还是通识素养来学习,我都希望这六十五篇文章能够为你提供一个坚实的起点。密码学的故事远未结束,而你完全可以成为书写下一章的人。

密码学百科系列 · 第 65 篇(完结篇)

← 上一篇:密码学与 AI | 系列目录

By .