后量子时代密码系统的现状

【后量子时代密码系统的现状】

到2017年11月30日截止日期前，NIST共收到各种后量子时代公钥密码方案82项，其中59项有关秘钥分发/加密解密，23项有关身份认证/电子签名。这些方案分别来自美国16个州和世界六大洲共25个国家。表面上看方案来自五湖四海，但实际上仍为欧美囯家所把持。中国也提交了一个方案，但与量子密码通信技术完全无关。

在提交的八十多项方案中，有些方案明显受到较多的关注，这里就让几位明日之星先亮亮相，它们都是达到抗量子攻击所必需的安全级别为128位的公钥密码。

NTRUEncrypt：这是后量子密码算法中最受关注的一位，NTRU（发音“en-true”）基于阻格数学原理。它的好处主要是内存占用低和运行速度快。缺点是涉及专利。很可惜，历史上开源项目一般都不会倾情于有专利授权的算法。

McEliece与Goppa：McEliece加密系统是目前密码界的一颗新星，它是第一个在加密过程中使用随机化的算法。它的好处是比RSA更快捷，主要缺点是密钥位数过长。典型的RSA密钥的键长是2048位，而McEliece键长达512千位！比RSA长256倍！

Ring Learning with Errors：另一个很有希望的后量子密钥分发方法是“带错的环学习”（RLWE）。它与场/集合理论中的问题有关，可以用于同态加密，这是密码界的另一个热点。

RLWE使用7,000位的密钥，比McEliece密钥短得多，与现在常用的RSA密钥长度在同一数量级。

CECPQ1: 这是密码界新杀出的一匹黑马。它是谷歌在RLWE基础上研发出了一种创新的密码算法并且作了实际测试，这是经典的椭圆曲线算法（Curve 25519）和被称为“New Hope”的RLWE变体的一种组合算法。谷歌使用一小部分Chrome浏览器和谷歌自已的服务器（可以有效地控制TLS通信的双方，谷歌做起来得心应手）测试了CECPQ1密钥分发功能。测试除了发现增加了1毫秒的延迟外，并没有发现任何其它的障碍，这可能是与密钥的大小有关。谷歌的实验已经结束，正在等待IETF的最后评判。

为后量子时代挑选合格的公钥密码有点像红楼梦剧组寻找林黛玉，在众多的美女演员中找来找去，初看个个千娇百媚，走近一看发现她们每个人都有这样哪样的瑕疵，不知天上什么时候才会掉下一个十全十美的林妹妹。

【后量子时代密码系统的展望】

2017年12月：NIST公布所有提交的新算法；2018年4月：召开第一届PQC算法标准化全会，由算法提交方作陈述，并听取专家意见，这就是本星期大会的主要内容；对第一轮候选PQC算法进行16～18个月评估和分析；2019年9月：召开第二届PQC算法标准化全会；对第二轮候选算法作出进一步评估和分析；估计在2022年或稍后，PQC算法的标准草案正式公布并开始征求意见。