哈希游戏- 哈希游戏平台- 哈希游戏官方网站

　　密码技术是信息技术领域的重要分支，随着科学技术的发展，密码技术不断进步，从机械密码到电子密码，再到现代的数字密码，每一步都推动了人类文明的快速前行。到了互联网时代，万物互联使得世界发生了颠覆性变化，虚拟空间的互认互信成为核心要素。而现代互联网的互联互信极大地依赖于公钥密码体系，不仅可以保证消息的机密性，还可以验证消息的来源，提供了数据加密、身份验证和消息完整性检查等功能，确保了互联网通信的安全和可靠。随着量子计算技术及量子计算机的迅猛发展 ，当代被广泛使用的密码系统受到量子计算的严重威胁。公钥密码学也开始技术革新，迎接量子计算时代的挑战，并且在密码标准化方面已取得阶段性进展。因此，有必要全面掌握当前已知抵抗量子计算的公钥密码，总结后量子密码技术路线及其特点 。本文进一步新增最新的针对密码算法的量子计算攻击进展，分析各种类别后量子密码的优劣势，提出后量子密码研究及后量子迁移的建议，为后量子密码的深入发展提供支撑。

　　量子计算技术及量子计算机极大地威胁着经典密码的安全。一方面，量子计算破译经典密码具有显著优势。为保证信息的加密传输，基于数学上困难问题设计的 RSA、DSA、ECC等公钥密码算法已经维护了近 50 年的网络信息与通信安全。但是，随着第二次量子革命 中的量子计算机的快速发展，以及以 Shor 算法和 Grover 算法为代表的量子计算算法的高速迭代研究，给现有互联网基础设施带来巨大的信任危机。Shor 算法 能在多项式时间内求解给定大整数的大质因数，与经典整数分解算法相比，其能够指数级提升效率；Grover 算法是搜索非结构化数据库或无序列表的量子算法，应用于密码破解使得等效于同等攻击下密钥长度减半。Google 在2022 年发布的资料表明，其计划在 2030 年完成100 万量子比特的量子专用计算机的研制；2022 年 12 月，清华大学龙桂鲁教授团队提出基于经典的 Schnorr 算法及同时依靠量子近似优 化 算 法（Quantum Approximate OptimizationAlgorithm，QAOA）来优化 Schnorr 算法中最耗时的部分，实现了仅用 10 个超导量子比特就完成了 48 位因式分解，同时提出最低仅需要372 个物理量子比特的量子计算机即可能完成RSA-2048 的破解 。

　　另一方面，量子攻击策略具有时间优势，不一定只在量子计算机成熟后才发挥作用。攻击者先将能够获取的所有加密状态信息存储起来，等到实用的量子计算机建造后再实施密码破译，而量子计算的快速发展极大地缩短了时间周期。按照国家保密管理要求，重要的信息管理期限甚至在 10 年以上 。这意味着，如果2033 年前研发出了可用于破译现有密码体制的量子计算机，那么在互联网或者其他公共信息网络传输的信息都存在极大的泄密风险。量子计算技术发展直接倒逼密码技术的发展，换言之，目前快速发展的量子计算技术迫使密码技术必须尽快采取应对措施。

　　传统公钥密码使用经典计算机在多项式时间内无法求解的公认数学困难问题作为安全基础。类似的，当代密码学探寻当前量子计算机无法有效求解的困难问题作为安全基础设计密码体制，这些体制被称为抗量子计算密码（QuantumResistant Cryptography，QRC）或者后量子密码（Post-Quantum Cryptography，PQC）。美国将后量子密码作为应对量子计算最具优势的技术手段，提出了《量子计算网络安全准备法案》，制定了政府信息技术向后量子加密过渡的路线图 ，并由美国国家标准与技术研究院（National Institute of Standards and Technology，NIST）自 2016 年开始启动全球征集遴选 PQC 标准算法的工作。2022 年 9 月，美国国家安全局（National Security Agency，NSA）发布了 CNSA 2.0时间表，计划于 2033 年完成后量子密码迁移 。

　　被称为这个格的一组基。一个 n 维格具有很多格基，它的任意两组格基之间相差一个 n 阶幺模矩阵。计算格中的最短非零向量是重要的困难问题，是当代格密码的安全基石。Ajtai提出的短整数解（Short Integer Solution，SIS）问题和 Regev 提出的带错误学习（Learning with Errors，LWE）问题开启了实用的可证明安全格密码研究。当前实用且安全的加解密格体制 、数字签名 格密码体制基本基于上述两个问题设计。一方面，格密码具有上述困难问题作为理论规约的安全基础；另一方面，格密码的空间时间资源消耗适中。进一步的，基于格密码能够设计属性加密、同态加密 等高等密码学应用算法。因此，业界广泛认可格密码是最有前景的后量子密码技术分支。

　　经过编码的信息在信道上传输，由于噪声产生错误，在接收端通过译码算法恢复。基于编码的密码，其理论依据来源于随机线性码的译码是困难问题 。1978 年，McEliece 使 用 Goppa码设计公钥加密方案 ，以 [n,k,t]-Goppa 码的生成矩阵 G 作为内核，在左侧和右侧分别施加可逆矩阵 S 和随机置换矩阵 P 来掩盖 G，方案的私钥包含矩阵 S，G，P，公钥包含矩阵 G=SGP以及 Goppa 码的纠错能力 t。加密时将明文编码成向量 m，计算密文 c=mG+e，其中 e 是重量不超过 t 的随机向量。解密时计算并施加译码操作。近年来，基于编码的密码考虑使用秩距离码、极化码等。

　　基于多变量的密码的安全基础来源于求解高次多变量方程组是 NP 难题。构造有限域上高维空间映射 F，使得它的逆运算也是容易的；在左右两端引入两个线性（或仿射）映射 S，T 来掩盖 F。私钥包括映射 S，F，T，公钥是它们的复合映射 P=S○F○T，其表现如同随机映射。基于多变量的代表性密码算法包括 HFEv- 类型的 GeMSS 签 名 体 制 [32] 和 UOV 类 型 的 Rainbow签名算法 ，二者均已进入 NIST 后量子标准化遴选第三轮。但是，2020 年 Tao 等人 提出的极小秩距离攻击，极大地降低了 GeMSS 签名算法的安全性，紧接着 2022 年 Beullens 提出 Rainbow 签名算法的攻击算法，极大地提高了密钥恢复攻击效率。因此，GeMSS 与 Rainbow算 法 均 未 能 进 入 NIST 后 量 子 标 准 化 遴 选第四轮。基于多变量的密码具有资源优势，但需要进一步研究其安全性。一方面，基于多变量的密码具有较高的运算速度和较小的签名尺寸；另一方面，类似于编码密码，基于多变量的密码算法的公钥尺寸也很大，算法实用性受到限制。另外，NIST 后量子标准化的情况表明 ，基于多变量设计安全高效的加密体制是挑战性高的研究工作。关于多变量密码的一个很好的综述见文献 [37]。

　　上的有理点）。2011 年，Jao 等人首 次 提 出 了 超 奇 异 同 源 Diffie-Hellman 问题（Supersingular Isogeny Diffie-Hellman，SIDH），并设计了基于超奇异同源的公钥密码系统 SIKE，该算法也被提交到 NIST 成为唯一的同源类候选算法。与其他 4 类候选算法最大的区别在于，基于 SIDH 的算法参数尺寸非常小，计算速度较慢。但是，2022 年至今，SIDH 及其加密算法 SIKE 遭到 Castryck 等人提出的密钥恢复攻击，最终被完全破译。需要指出的是，SIKE 的失败并不意味着基于同源的密码完全崩塌，同源问题本身并未被破解，以基于同源的签名 SQISign为代表的算法仍然引领这一方向的研究。

　　的融合应用探索基于物理学的量子密钥分发技术（Quantum Key Distribution，QKD）是目前量子通信技术研究和投入较多的一个方向 。以物理学、光学为理论基础的量子密码技术能够在使用一次一密的情况下实现信息论证明的绝对安全，能够抵抗量子计算的超高并行算力。而该技术方向中无论是具有远传输距离优势的离散变量量子密钥分发技术（Discrete Variable-QKD，DV-QKD）还是具有高速率优势的连续变量量子密钥分发技术（Continuous Variable-QKD，CV-QKD），均有中国团队占据国际领先技术优势。但是，目前 QKD 技术存在一些实用化技术难题亟须解决：一是小型化、低成本、高速率、远距离的系列技术需突破；二是由于与经典密码学的实现基础完全不同，导致无法直接与现有通信网融合 。因此，探索 QKD 技术与 PQC 技术互补，建立具备保护特定关键基础设施的对抗量子攻击的密码网络，有利于未来做好网络安全保护。

　　NIST 的 CRYSTALS-KYBER、FALCON、CRYSTALS-Dilithium 和 Sphincs+ 4 个 PQC 标 准化算法中，除了 Sphincs+ 为基于哈希函数的签名算法，其他均为基于格的密码算法。国内也投入了大量研究力量集中攻关基于格的密码算法 。后量子密码算法除了基于格、哈希函数、多变量、编码的技术路线，还有基于同源曲线的技术路线。因此，有必要拓展更多的后量子密码算法体制研究方向来积极应对未知的量子计算世界。回归本源，密码学是数学的延伸，探索密码学和数学的跨学科融合，利用现代数学的理论赋能密码学的拓展研究，探索新的数学困难问题，有利于研制具有自主技术特色的后量子密码体制。