学术前沿 | 后量子密码：量子攻击下保障信息安全与交易可靠性的新途径

北京邮电大学

网络空间安全学院  毕经国

量子计算技术的出现开辟了一种针对信息、通信和计算的新范式。在科技层面，量子计算技术的突破极大地提高了计算效率；在经济层面，量子计算技术的应用将催生新的产业链和商业模式。然而，技术的发展具有双刃性，首当其冲的便是传统的加密体制。为解决这一挑战，以美国国家标准与技术研究院（National Institute of Standards and Technology，NIST）为首，欧盟、日韩、中国等追随的PQC算法的征集和标准化活动在全球席卷而来。

1.美国。美国率先在抗量子的道路上打响第一枪，2015年8月，美国国家安全局宣布将使用的“密码算法B套件”升级为过渡到后量子时代的密码算法。2016年4月，NIST率先颁布“后量子密码学”研究报告，向全球各个国家征集PQC方案，自此正式开始了PQC算法的标准化计划。从2017年12月NIST收到的来自全球共82份候选密码方案，经过三轮的筛选，最终到2022年7月5日，NIST宣布将Crystals-Kyber、Crystals-Dilithium、Falcon和SPHINCS+四个算法提前入选其PQC项目标准化算法结果，并将BIKE、Classsic McEliece、HQC和SIKE四个算法作为候选算法送入下一轮算法的筛选中，但是SIKE算法很快受到严重攻击，宣告退出。2023年7月，NIST开展了新一轮的后量子数字签名的征集活动，旨在寻找新的不是基于结构格的数字签名算法，此次征集活动总共收到来自全球各类算法，包括基于编码的、基于同源的、基于格的、基于多变量的、基于对称的等共40份签名算法方案。2023年8月24日，NIST发布第一批PQC算法标准化草案，分别是Crystals-Kyber（FIPS.203）、Crystals-Dilithium（FIPS.204）和SPHINCS+（FIPS.205），第四种Falcon算法的标准化草案将会在2024年发布。

此外，在国家政策方面，为应对量子危机，抢先在抗量子攻击领域占据领先地位，美国相继颁布了诸多草案。2018年，美国国家科学技术委员会（National Science and Technology Council，NSTC）发布了《量子信息科学国家战略概述》，该方案的发布体现出美国旨在领跑量子信息科学领域。2022年，美国总统签署第8号国家安全备忘录NSM-8，首次将PQC纳入国家安全备忘录。同年7月到9月，美国相继联合通过了《量子计算网络安全防范法案》和《芯片与科学法案》，鼓励政府对其信息系统进行PQC迁移，同时基于美国国家安全局（National Security Agency,NSA）发布的CNSA2.0套件，详细列出了六种场景下政府信息系统在2033年之前要进行PQC迁移需完成的工作及其对应的时间表。2023年，美国再次发布了《国家网络安全战略》和《量子准备：向后量子密码学的迁移》两项指南，要求成立专门的项目管理团队，同时进一步指出在进行PQC迁移过程中，政府将优先考虑公共网络和系统的PQC迁移，另外私营机构应效仿政府行为，将机构内部对应的网络和系统逐步迁移到PQC环境中。2024年，后量子密码学领域机构QuSecure公司宣布与美国空军部达成合作，通过部署QuSecure的后量子安全解决方案QuProtect，应对美国空军部所面临的关键网络安全挑战。这是业界首个后量子加密技术软件解决方案，可通过量子安全通道以量子弹性来保护加密数据和通信。

2.欧盟。2018年，欧盟启动了“欧盟量子旗舰研究规划”，旨在更好地研究量子计算、量子密码和后量子密码等相关工作，特别地，在后量子方面的PQCRYPT项目中欧盟各组织三年内总共投入经费390万欧元。虽然欧盟并未直接启动PQC算法的标准化计划，但是欧盟通过“欧盟地平线2020计划”项目向NIST的PQC标准化项目提交PQC方案，在NIST发布的第二轮的26个候选方案中，有接近20个PQC方案的设计团队来自于欧洲各个国家。另外，欧洲电信标准协会（European Telecommunications Standards Institute,ETSI）成立了专门的“量子安全密码工业标准工作组”，其主要职责是负责PQC算法的征集、评估以及工业标准的制定，该组织每年都会公布当下PQC算法研究的最新进展，并发布“量子安全白皮书”供研究者们参考。

自2020年欧盟在国家安全战略中着重强调“量子计算与加密技术对确保关键设施安全具有重要意义”后，欧盟网络安全局（The European Union Agency for Cybersecurity,ENISA）分别在2021年和2022年发布了《后量子密码学：现状和量子迁移》和《后量子密码：整合研究》两份报告，从技术的角度指出了安全协议的两种PQC迁移方式：一是将PQC算法集成到现有ICT系统中，二是直接设计新的后量子安全协议。2023年9月，ENISA发布了题为《2030年威胁预判》的报告，报告总结了按照当下技术的发展形势，截止到2030年，人们即将面临的21种网络安全威胁。值得注意的是，量子计算攻击就是这21种网络安全威胁之一，进一步突出了PQC迁移的紧迫性，各组织需要为创建网络安全的未来做好准备。

3.日韩。首先，在NIST标准化项目中，日本和韩国的密码学研究团队积极参与提交PQC算法，并在NIST第一轮候选算法中，由日本研究团队向NIST提交3个PQC算法，韩国研究团队向NIST提交5个PQC算法，虽然均未进入第二轮，但体现了日本和韩国在PQC道路上做出的贡献。

其次，日本和韩国分别推出了各自国家的“抗量子密码数学竞赛”，旨在为下一代加密系统的开发奠定基础，为后量子密码学研究者之间的交流提供平台。2023年12月，韩国国家安全研究院密码学研究中心“韩国后量子密码学”研究小组公布经过一年的评估，该国PQC标准的第一轮竞赛从16个候选算法中选取了8种PQC算法参与下一轮竞赛的评估。

4.中国。我国在PQC领域一直积极持续跟进，除了向NIST标准化项目中提交PQC算法外，国内也积极开展各种PQC征集和交流活动。2016年，首届亚洲后量子密码论坛在中国成都成功召开，促进了PQC算法的飞速发展。2019年，中国密码学会面向全国密码学家，举办全国密码算法设计竞赛，旨在充分调动国内力量，为下一代密码算法的标准化工作做准备。2020年，丁津泰带领团队成员破解了NIST抗量子数字签名候选方案Luov，研究成果发表在了“2020年欧洲密码年会”上。2021年，丁津泰等人再次为PQC的发展做出了贡献，成功破解了NIST抗量子数字签名候选方案GeMMS，并在“2021年美国密码年会”上分享了自己的研究成果。2022年中央经济工作会议首次明确指出要加快建设量子计算等前沿技术的研发和应用推广工作，随后相关工作组发布《中国后量子密码政策法律蓝皮书（2022）》，以便为国家PQC发展专项战略的出台提供研究支撑。2023年，通过总结国内近一年PQC的研发进展，我国继续发布了《中国后量子密码政策法律蓝皮书（2023）》，该蓝皮书是对《中国后量子密码政策法律蓝皮书（2022）》研究内容的进一步延续和深入。蓝皮书共分四部分：第一部分阐述了国际上近一年来向PQC迁移的政策立法及PQC的标准化工作；第二部分给出了我国向PQC迁移过程中需要在法律方面完善的三点建议；第三部分通过深入分析国家战略高度得出国家PQC发展专项战略的指导思想、法律依据和主要任务；最后一部分分析了中国向PQC迁移的部署重点。

根据设计PQC算法基于的底层数学困难问题，目前主流的PQC技术路线大致可分为五种：基于格设计的PQC算法、基于哈希设计的PQC算法、基于编码设计的PQC算法、基于多变量设计的PQC算法和基于同源曲线设计的PQC算法。除此之外，基于量子随机游走、零知识证明等技术，密码学家们也设计了一些其他的PQC算法。

1.基于格的PQC算法。格是一种数学困难问题，最早可追溯到1611年开普勒提出的“堆球猜想”。基于格设计的公钥密码系统是NIST标准化候选算法中占比最高的算法，同时也是NIST发布的第一批PQC算法标准化草案中占比最高的算法。由于格密码在安全性、公私钥尺寸大小、计算速度等方面达到了很好的平衡，被认为是量子时代最有潜力的PQC算法之一。

格密码的发展经历了漫长而曲折的过程。1996年，Ajtai的一篇开创性论文给出了格上一般困难情况到最坏情况的规约，由此开辟了格密码的发展史。随后在1997年，Goldreich、Goldwasser和Halevi等人提出了GGH密码体制，这是一种直接应用格上困难问题设计的公钥加密和签名方案，然而论文中却缺少对该算法在最坏情况下的安全性保证。1998年，Hofstein、Pipher和Silverman等人提出了第一个基于多项式环的NTRU加密体制，该方案具有非常快的加解密速度和更紧凑的密钥尺寸，一直不断改进并沿用至今。

2005年，Regev提出格上的学习误差问题（Learning With Errors,LWE），这一问题的提出使得格密码兼顾可证明安全性，标志着基于格设计的公钥密码系统进入了转折点。此后在2008年，Gentry、Peikert和Vaikuntanathan提出了一种被称作是GPV的格上单向陷门函数，该函数不同于其他单向函数，而是采用原像取样的方式求得原像。

LWE问题和GPV框架的提出对后来格密码的发展起到了至关重要的作用。自2015年NIST发布《后量子密码报告》后，一大批基于格的密钥封装算法和基于格的数字签名算法如雨后春笋般涌现出来。其中比较有代表性的是Bos等人于2017年推出的一种基于模LWE的密钥封装机制Crystals-Kyber，这也是NIST第一批PQC算法标准化草案算法之一。2019年，Lu等人提出了一种基于环LWE的密钥封装机制LAC，LAC由于使用了纠错码而使其在公钥和密文的大小上获得了显著的改进。2020年，由Perst等人设计的Falcon是NTRU格上GPV哈希签名的实例，他的主要优势在于其紧凑性，是NIST所有签名提案中通信尺寸最小的方案。

格密码同现代公钥密码体制一样，可以实现属性加密、密钥交换、伪随机函数、同态加密等功能。尽管格密码在发展过程中曾面临过各种挑战，但格密码仍然是目前业界广泛认可的PQC算法之一。

2.基于哈希的PQC签名算法。哈希函数因其良好的单向性、抗碰撞性等性质而常常被用于设计签名算法，基于哈希的PQC签名算法既不依赖于特定的底层数学困难问题，也不依赖于某个单一的哈希函数，因此它被认为是PQC算法中理论安全性最强的一类。

基于哈希函数的签名算法也是一类古老的量子安全密码学算法之一，它的历史可以追溯到1979年Lamport提出的一次性签名（One Time Signature,OTS）的思想，尽管在当时看来一次性签名并不具有实际意义，但是Lamport发表的论文却极具影响力。RalphMerkle在1989年提出的MSS签名机制，将这个不切实际的想法变成了可以多次使用的签名算法。MSS签名机制整合了Merkle树和OTS的思想，其优点在于算法不依赖于可由量子计算机求解的某些问题而构建，因此具有很好的抗量子攻击的能力。

2015年，Bernstein等人提出了SPHINCS方案，这是一种无状态的签名系统，他不需要在每次签名时记录系统信息，更容易实现。SPHINCS基于多种签名算法，使用的是一种Merkle树和Goldreich树相结合的结构，称为SPHINCS超树。2019年，Bernstein等人通过引入FORS签名方案代替HORST算法改进了SPHINCS算法并将其重新命名为SPHINCS+。由于FORS方案允许使用更少的密钥对来签名相同数量的消息，同时采用更多的哈希函数提高了安全性，因此SPHINCS+算法相比SPHINCS算法而言具有更强的安全性和抗量子性，同时具有较高的效率和灵活性，在NIST的PQC标准化中取得了重要进展。

尽管基于哈希函数的PQC签名算法被认为是理论安全性最强的一类算法，但是这一类算法一方面由于签名体积大，另一方面由于有状态的基于哈希的签名方案支持的签名次数有限，仍然需要日后进一步研究，逐步改进。

3.基于编码的解码困难性。1978年Robert McEliece提出了第一个功能完备的基于编码的密码方案，被称作经典McEliece方案，该方案的提出打开了基于编码的公钥密码体制这一研究领域的大门。McEliece方案的安全性依赖于一般线性译码困难问题，核心是采用基于纠错编码的Goppa码，通过将一定数量的错误码字引入编码，达到在未知解码算法的情况下，很难纠正所有错误码字并找到正确字符串的困难性。由于矩阵乘法是McEliece方案加解密过程中的大部分操作，因此该方案的实现可直接在逻辑单元在数字电路、FPGA等计算资源有限的嵌入式设备上完成。然而，密钥长度过大、密钥生成速度慢等问题使得McEliece方案很难应用于传输效率要求高的信道中。

为了解决公钥大的问题，研究者们希望使用其他编码方案来代替McEliece方案中的Goppa码，用以生成紧凑的密钥。例如，Baldi等人提出将QC-LDPC码应用于McEliece方案；Misoczki等人提出将QC-MDPC码应用于McEliece方案；Shrestha等人提出将Polar码应用于McEliece方案等。尽管如此，大部分方案仍然无法抵抗攻击而产生解密效率慢、解密失败概率大等问题。因此，基于编码的公钥密码体制日后的研究目标之一便是在保证算法安全性的基础上，寻找其他编码方案增强加密方案的实用化。

4.基于多变量高次方程求解的困难性。在有限域上求解高次多变量方程组被证明是NP完全问题，基于该问题的困难性，1988年Matsumoto和Imai提出了第一个多变量公钥加密体制（MI体制）。为了提高MI体制的安全性，通过删减MI体制公钥多项式中的部分多项式，Patarin等人提出了SFLASH数字签名体制，并在2003年成功入选了NESSIE，但是差分攻击可以恢复出SFLASH签名方案中被删掉的多项式，从而降低其安全性。PMI体制通过在MI中心映射中加入一些二次方程改进了MI体制，使其可以抵抗线性攻击，然而该算法仍然无法抵抗差分攻击。为此，Ding等人提出了PMI+方案，被认为是目前一种安全的多变量加密算法。另外，Ding等人基于多层油醋体制构造的著名的彩虹签名方案，因其高效的签名生成和验签过程以及较短的签名大小，在NIST的PQC标准化中发挥了重要作用。

基于多变量的密码算法相比其他PQC算法而言，虽然仍然具有较大的公钥尺寸，但是能够以较高的运算速度实现签名和验签，同时消耗较少的计算资源，在应用场景上适合无需频繁传输公钥且计算资源受限的设备。

5.基于椭圆曲线同源问题的困难性。椭圆曲线的同源问题是一个新的困难问题，旨在寻找任意两条椭圆曲线之间保持群结构同态的映射。基于同源的密码算法以椭圆曲线密码的底层运算为基础，具有公钥和密文尺寸都较小的优点，可以在通信量受限的场景下应用。但是，此类算法在密钥生成、加密运算和解密运算上具有极低的运行效率，使其无法应用于计算性能不足的设备上。在基于同源的密码算法中，比较有代表性的是SIDH算法、SIKE算法、CSIDH算法、SQIsign算法等。虽然SIKE算法在2022年被完全攻破，但是基于同源的密码算法仍有一定的研究意义。

6.其他。除了上述主流的PQC算法外，其他PQC算法的发展路线主要包括基于量子密码的PQC算法、基于MPC-in-the-head的PQC算法和基于对称的PQC算法。其中CROSS、RYDE、SDitH等基于MPC-in-the-head的PQC算法和Ascon-Sign、FASET、AIMer等基于对称的PQC算法已经提交到NIST在2023开启的新一轮PQC签名方案征集活动中。

PQC算法的出现在一定程度上保护了量子时代下的信息安全，对政务、金融、通信、物联网等多个领域的隐私保护具有重要意义。特别地，在金融领域，PQC算法的应用可以用于保护金融交易数据，防止数据被非法获取和篡改；PQC算法的应用可以用于保护客户隐私数据，防止数据泄露，增强数据的机密性；PQC算法的应用可以用于保护金融通信的加密，防止数据在传输过程中被破译。

目前，PQC在金融领域的研究主要集中在两个方面。

1.金融机构的PQC标准化工作探索。PQC的迁移是一项全球性的研究课题，为全面激发国内外研究力量积极参与金融机构下一代密码算法标准的研发与设计，众多知名企业及相关组织发布指南推动PQC迁移工作的进行。

建信金融科技有限责任公司作为建设银行的金融科技子公司，自2020年起抓住机遇，开始关注后量子安全，通过成立量子金融应用实验室，与国际上顶级后量子安全研究团队合作，跟踪、关注PQC安全领域的最新研究进展，并从应用的角度对其中某些领域展开工程实践。在行业标准建设方面，建信金融科技有限责任公司于2020年牵头并联合上海扈民区块链科技有限公司、银联商务股份有限公司等机构共同起草了《金融系统应用后量子密码技术指南》，在兼容国家密码安全标准且符合监管要求的前提下，给出金融系统在数字签名、密钥协商、数字证书等方面进行后量子安全技术增强的建设性意见。

2020年12月，中国电子信息协会发布了《量子安全技术白皮书》，进一步从政策和规划以及产生生态等方面对PQC的发展现状进行了分析。

2021年，随着谷歌“悬铃木”和中国“九章”的问世，逐步刷新人们对量子优越性的认知，由阿里巴巴中国有限公司、中国信息通信研究院、科大国盾量子技术股份有限公司等机构联合制定了《量子密钥分发、量子随机数及后量子密码在信息安全中的融合技术研究》标准研究报告，为保障网络系统安全性提供了新的思路。

2022年，中国人民银行发文《深化金融科技应用、推进金融数字化转型提升工程》进一步指出在相关工作部署中，要把探索量子技术金融应用作为重要的工作任务，推动我国金融机构在增强抵抗潜在量子攻击能力方面的研究。同年，中国人民银行再次印发《金融科技发展规划（2022—2025年）》，规划指出要坚持“数字驱动、智慧为民、绿色低碳、公平普惠”的发展原则，在加强金融数据要素应用的基础上，高质量推动金融机构的数字化转型，重点健全金融科技治理体系、打造新型数字基础设施、深化关键核心技术应用、激活数字化经营新动能等，力争到2025年全面提升我国在金融行业的核心竞争力。

2024年2月，鉴于量子计算机的出现会对现有针对金融交易及敏感数据的加密技术造成威胁，新加坡金融管理局（MAS）发布了一份关于PQC迁移的重要指导建议，强调金融机构在应对量子计算时代的网络安全威胁方面应展现出必要的敏捷性，确保在遭受潜在量子攻击时，金融机构的核心系统功能不会受到严重影响，这一举措旨在加强该国金融行业加密技术的安全防线。

2.实现金融领域中密码体制的PQC迁移。银行、支付系统和证券交易等金融系统是维护金融数据安全的重要场所，因此，将PQC算法应用到实际的金融系统中具有重要意义。

在国内，工商银行率先行动，紧跟PQC技术的发展路线。分别在2021年和2022年对NIST最新发布的PQC算法进行了技术验证，并对不同PQC算法在相关业务场景中的应用进行了分析和评估。另外，工商银行还完成了建设核心加密服务平台应用的方案设计，通过与网络设备供应商的合作，成功开展了安全网关升级替代方案的联合创新。基于上述这些举措，工商银行最终部署了一种针对应用透明的抵抗量子计算攻击的安全传输通道，进一步强化了其业务数据的安全防护水平，彰显了工商银行在信息安全领域的前瞻性，为我国金融机构在PQC发展道路上的前进迈出了重要的一步。

在国外，新加坡证券交易所（SGX）作为亚洲最大的股票交易场所之一，深知保护交易数据安全的重要性，也是PQC技术应用的先行者之一。SGX选择使用量子加密技术来保护其交易数据，通过与美国量子通信公司合作，成功地将量子密钥分发技术应用于SGX交易数据的传输过程中，有效地降低了潜在数据的泄露风险。

密码芯片作为一种专为保障金融交易、个人信息及工业生产信息安全而设计的硬件装置，其应用广泛，可涵盖网银交易、智能终端、设备安防以及工业4.0等众多对安全要求极高的场景，为其提供坚实的保护屏障。实现密码芯片中密码算法向PQC的迁移，对于保障新时代数字经济的发展具有极高的促进作用。针对数据的高精度需求与采样速度不匹配的问题，提出了具有侧信道防御机制的高斯采样器；针对PQC密码计算量大、数据复杂的难点，提出了一种高性能NTT加速硬件单元；针对PQC算法的多样化计算需求，提出了一种多模域计算兼容型可重构核心算子。将上述技术应用于密码芯片，最终创新性地在SMIC 40nm工艺下实现了两款PQC芯片，并且能够兼容CRYSTAL-Kyber算法。

除此之外，推进多方安全计算与可信执行环境等隐私计算技术的交叉融合，可为区块链技术在数据流通、数字资产交易等关键领域的应用提供更坚实的支撑。为此，上海市指出日后需重点关注隐私计算技术，设计新型抗量子安全协议，突破隐私计算通讯效率低下、计算开销庞大的瓶颈，实现抗量子的可证明安全。

总之，PQC的研究在金融领域占据着十分重要的地位，对于确保金融数据的安全具有不可或缺的意义。尽管当前PQC在金融领域的应用尚处于探索时期，但是随着量子威胁的日益严重性和PQC迁移的紧迫性，金融行业需要持续深化对PQC的研究和应用，以确保金融数据的机密性和完整性。

鉴于量子计算技术的飞速发展，一旦通用量子计算机成为现实，攻击者的攻击能力将得到大幅度提高，从而威胁现有加密体系的安全性。PQC算法作为一种能够抵抗量子攻击的新型密码体系，它的提出已然成为未来信息安全领域的重要支柱之一。在未来的PQC发展道路上，应继续健全壮大密码人才队伍、推动标准体系建设、突破PQC算法技术发展瓶颈、加快PQC迁移进程，为量子攻击下保障金融信息安全与交易可靠性提供坚实基础。

（此文刊发于《金融电子化》2024年9月上半月刊）