后量子密码(PQC)的五种主流技术路线:基于格、哈希、编码、多变量及同源算法。详细阐述了各路线的原理、典型算法(如 Kyber、Dilithium、SPHINCS+ 等)、优缺点及标准化进展。指出基于格算法因平衡性成为核心,基于哈希算法安全性强但签名体积大,基于编码算法密文小但公钥大,同源算法尺寸小但效率低且面临安全挑战。未来趋势包括标准体系完善、算法优化融合及应用场景加速渗透,强调 2027 年前支持 PQ-TLS 混合加密,2030 年前全面禁用传统 RSA/ECC 算法。
在信息技术飞速发展的今天,密码技术作为信息安全的核心支撑,保障着数据的机密性、完整性和可用性。传统密码算法,如 RSA、ECC 等,其安全性主要依赖于大数分解和离散对数等数论问题的计算困难性。然而,随着量子计算理论与技术的突破性进展,特别是 Shor 算法的提出,使得这些传统密码算法在未来强大的量子计算机面前面临被高效破解的风险。
为应对这一挑战,后量子密码(Post-Quantum Cryptography, PQC)技术应运而生。后量子密码算法是指能够抵抗量子计算机攻击的密码算法,其安全性基于量子计算机难以高效求解的数学困难问题。根据所基于的底层困难问题不同,后量子密码算法形成了多条技术路线,大致分为 5 类:基于格(Lattice-based)的、基于哈希(Hash-based)的、基于编码(Code-based)的、基于多变量(Multivariate-based)的以及基于同源(Isogeny-based)的后量子密码算法。本文将对主流及其他后量子密码技术路线进行系统分析,包括其原理、典型算法、标准化进展及应用场景,并对未来发展趋势进行展望。
格是 n 维欧几里得空间中由整数线性组合生成的离散点集。基于格的密码算法安全性主要依赖于格中的两类困难问题:一类是近似最短向量问题(Approximate Shortest Vector Problem, SVP)和近似最近向量问题(Approximate Closest Vector Problem, CVP),另一类是基于学习误差(Learning With Errors, LWE)问题及其环上变体(Ring-Learning With Errors, RLWE)。
SVP 问题是指在给定格的基向量后,找到格中长度最短的非零向量;CVP 问题则是对于给定的格和一个目标向量,找到格中与目标向量距离最近的向量。这两类问题在最坏情况下被证明是 NP 难的,即使在量子计算模型下也难以高效求解。LWE 问题通过在随机线性方程组中加入小误差项,使得求解方程组变得困难,而 RLWE 问题则将 LWE 问题从整数环扩展到多项式环,进一步提升了算法的效率。
基于格的密码算法最早出现于 1996 年,经过多年发展,已涌现出众多典型算法,在 NIST 后量子密码标准化竞赛中表现突出。NIST 标准化第三轮结果明确格基算法为核心路线:在密钥封装机制(KEM)领域,CRYSTALS-Kyber 是核心算法,2024 年 8 月 13 日已发布为 FIPS 203 标准(基于 ML-KEM),适用于大规模网络通信中的密钥交换;在数字签名领域,CRYSTALS-Dilithium(基于 ML-DSA)于同期发布为 FIPS 204 标准,Falcon 也是第三轮确定的格基签名核心算法,两者均具有较高的安全性和效率,可应用于身份认证、数据完整性校验等场景。NTRU、Saber 等曾是重要候选算法,在多轮评估中为格基路线优化提供了参考。2025 年 Q1 NIST《PQC 算法安全评估报告》显示,ML-DSA 在物联网设备中的验证耗时较传统 ECDSA 减少 18%。
此外,基于格的密码算法还能用于构造属性加密、陷门函数、伪随机函数、同态加密等多种密码学原语。例如,全同态加密算法可以在不解密的情况下对加密数据进行计算,在云计算、隐私保护数据分析等领域具有重要应用价值。
优点:基于格的算法在安全性、公私钥尺寸、计算速度上达到了较好的平衡。与基于数论问题的密码算法相比,在相同安全强度下,其公私钥尺寸更小,计算速度更快,且支持多种密码学原语的构造,适用于多种实际应用环境。
缺点:该类算法的主要不足是带宽较大,在一些对通信带宽要求极高的资源受限场景中,可能会受到一定限制。
基于哈希的签名算法不依赖于具体的数学困难问题,其安全性主要依赖于哈希函数的安全性质,如单向性(抗原像攻击)、弱抗碰撞性(抗第二原像攻击)和伪随机性等。该类算法从 Lamport 提出的一次性签名方案演变而来,Lamport 签名通过将消息比特与密钥对逐一对应进行签名,具有信息论安全性,但每次签名需使用新的密钥对,实用性较低。
为解决一次性签名的局限性,Ralph Merkle 提出了基于哈希树的签名方案。哈希树将多个 Lamport 密钥对的公钥通过哈希运算构建成树状结构,根节点作为公钥,签名时只需披露与消息对应的叶节点及路径上的哈希值,从而实现了多次签名,提升了算法的实用性。
基于哈希的密码算法目前仅限用于数字签名,在 NIST 后量子密码标准化竞赛中是核心技术路线之一。典型算法包括 SPHINCS+、XMSS(eXtended Merkle Signature Scheme)等。SPHINCS+ 是 NIST 第三轮确定的哈希基签名核心算法,2024 年 8 月 13 日已发布为 FIPS 205 标准(基于 SLH-DSA),具有无状态特性,无需维护签名状态,适用于证书颁发、软件更新签名等场景;其安全性基于哈希函数抗碰撞性,虽签名尺寸较大但实现简单。XMSS 虽未进入 NIST 最终候选,但作为早期成熟的哈希签名方案,已在部分领域应用,其签名次数受限于哈希树的高度,常用于对签名次数要求不高的嵌入式设备中。此外,在欧洲的 NESSIE 等密码竞赛中,哈希签名方案也有过相关征集与评估。
优点:公钥尺寸小,安全假设少,理论安全性强。由于其安全性不依赖于特定数学问题,当所用哈希函数被攻破时,可直接替换为新的安全哈希函数,具有较强的灵活性和抗替代性。
缺点:一是签名体积较大,增加了通信开销;二是有状态的哈希签名方案签名次数有限,增加签名数量会降低计算效率并进一步增大签名体积。
基于编码的密码算法源于编码理论,其核心思想是利用纠错码的特性构造密码方案。该类算法的安全性依赖于在随机线性码中寻找特定结构(如 Goppa 码)或求解错误校正问题的困难性,例如纠正随机错误码字或计算校验矩阵的伴随式等问题,这些问题在计算复杂度上具有较高的难度,量子计算机难以高效求解。
1978 年,McEliece 提出了首个基于编码的公钥加密方案,开创了基于编码的密码学研究领域。该方案利用 Goppa 码的良好纠错性能,通过对私钥(Goppa 码的生成矩阵)进行随机线性变换得到公钥,加密时将明文编码后加入随机错误,解密则利用私钥的纠错能力恢复明文。
著名的基于编码的加密算法包括 McEliece 方案及其变体、HQC 等,该路线在 NIST 后量子密码标准化中承担备份保障角色。Classic McEliece 曾进入第四轮评估,但 2025 年 3 月 11 日 NIST 第四轮评估结果公布,HQC(基于编码理论)被选定为第二个密钥封装机制,作为 CRYSTALS-Kyber 的备份标准,计划 2026 年发布草案,2027 年完成最终标准化。McEliece 方案使用随机二进制的不可约 Goppa 码作为私钥,公钥是对私钥进行变换后的一般线性码;HQC 则通过优化编码结构降低了公钥尺寸。该类算法通常具有较小的密文尺寸,适用于对密文传输效率要求较高的场景,如卫星通信、无线传感器网络等。在早期的密码竞赛中,基于编码的算法因历史悠久、安全性基础扎实,一直是后量子密码的重要备选方向。
优点:密文尺寸较小,加密和解密过程相对简单,具有一定的计算效率优势。
缺点:公钥尺寸过大,密钥生成速度慢,这限制了其在资源受限设备和带宽紧张场景中的应用,在实用化方面有待进一步提升。
基于多变量的公钥密码系统(Multivariate Public Key Cryptography, MPKC)将有限域上一组二次多项式作为公钥映射,其安全性基于求解有限域上非线性方程组(Multivariate Quadratic Equations, MQ)的 NP 难问题。目前尚无量子算法能够高效求解 MQ 问题,但该问题的安全性也缺乏形式化证明,主要依赖于实际攻击的难度。
MPKC 的基本构造思路是:选择一个易于求解的非线性方程组作为私钥,通过可逆的线性或仿射变换对其进行隐藏,得到公开的二次多项式组。加密时,将明文代入公钥多项式组得到密文;解密则利用私钥的变换关系,将密文对应的方程组还原为易于求解的形式,进而恢复明文。
基于多变量的密码算法典型代表包括 Sflash、Rainbow 等,在国际密码竞赛中经历了较多考验。Sflash 曾被选为欧洲 NESSIE 项目的签名标准,但因存在安全漏洞被攻破,退出了实用舞台。Rainbow 是一种多变量签名算法,在 NIST 后量子密码标准化第一轮征集中有提交,但因后续安全性分析和性能优化不足,未进入后续轮次。该类算法具有较高的签名验签速度,适用于计算和存储能力受限的物联网设备、智能卡等场景,这些场景通常注重算法效率但对带宽要求不高,无需频繁传输较大的公钥。目前,学术界仍在持续优化多变量算法的安全性和实用性,以期在未来竞赛中取得突破。
优点:签名验签速度快,消耗资源少,在资源受限设备上具有较好的适用性。
缺点:公钥尺寸较大,且安全性面临较多挑战,部分算法已被成功攻击,整体安全性相对较低。
基于同源的密码算法是基于椭圆曲线同源问题的后量子密码系统,其安全性依赖于寻找两条椭圆曲线之间同源的困难性。同源是椭圆曲线之间保持群运算的满同态映射,超奇异椭圆曲线上的同源问题(Supersingular Isogeny Problem)是该类算法的核心困难问题,目前被认为具有抗量子计算攻击的特性。
2011 年,基于超奇异同源的 SIDH(Supersingular Isogeny Diffie-Hellman)算法被提出,该算法通过交换椭圆曲线上的同源信息来实现密钥交换。2017 年,基于 SIDH 的高效实现 SIKE(Supersingular Isogeny Key Encapsulation)算法问世,进一步推动了基于同源的密码算法的发展。
基于同源的密码算法主要包括 SIDH、SIKE、CSIDH(Commutative Supersingular Isogeny Diffie-Hellman)和 SQIsign 等,在 NIST 后量子密码标准化竞赛中经历了起伏。SIKE 作为密钥封装方案进入了 NIST 第四轮评估,但在 2023 年因被发现存在严重安全漏洞(可在数小时内恢复私钥)而被撤回,未获得标准化资格。SIDH 是 SIKE 的基础密钥交换算法,也受此影响。CSIDH 和 SQIsign 是后续提出的改进算法,CSIDH 用于密钥交换,SQIsign 用于数字签名,目前尚未被攻破,但未进入 NIST 当前标准化进程。该类算法公钥和密文尺寸小,适用于通信量受限的环境,如低功耗广域网、射频识别(RFID)系统等,未来需在安全性证明和效率优化上持续突破以参与 NIST 后续标准化修订。
优点:继承了椭圆曲线密码的底层运算,公钥和密文尺寸非常小,通信带宽占用低,适合在带宽受限场景中应用。
缺点:运行效率极低,密钥生成、加密和解密速度几乎比基于格的算法大两个数量级,难以在计算性能不足的设备上实现。此外,安全性问题不断被挑战,SIKE 算法在 NIST 后量子密码标准化第四轮中被攻破,虽 CSIDH 和 SQIsign 暂未被攻破,但整体缺乏可证明安全性。
MPC-in-the-head(Multi-Party Computation in the Head)是一种零知识证明技术,它将零知识证明与单向函数相结合构造数字签名。其基本原理是通过模拟多方计算协议的执行过程,生成具有零知识性质的证明,再结合单向函数对证明进行签名,从而实现数字签名的功能。
该类算法的优点是签名密钥较小,缺点是签名尺寸较大,计算复杂度较高。FALCON 作为融合 MPC 思想的格基算法,是 NIST 第三轮确定的数字签名核心算法,虽偏格路线,但体现了 MPC-in-the-head 技术的应用价值。GeMSS 等纯 MPC-in-the-head 方案在 NIST 早期征集阶段有提交,但未进入后续轮次。此外,NIST 每 6 个月发布《PQC 算法安全评估报告》,对各类候选及核心算法的性能与安全性进行持续跟踪,MPC-in-the-head 相关技术也在报告中被列为创新方向评估。
基于对称的签名算法是指全部使用对称加密算法和哈希函数构造的签名方案。由于对称加密和哈希函数的安全性在量子计算环境下相对稳定(目前量子算法对对称密码的攻击提升有限,可通过增加密钥长度抵御),因此这类算法被认为是最可靠的后量子密码技术路线之一。
目前,基于对称的后量子签名算法中,除了 Preon 外,其他算法都已有不同程度的攻击。Preon 是基于 zkSNARK 配合单向函数构造的签名算法,但其签名尺寸较大且计算效率较低,实用化仍需进一步优化。在 NIST 后量子密码标准化中,对称密码虽未作为独立的公钥密码路线,但 NIST 也发布了《后量子时代对称密码使用指南》,强调通过增加密钥长度(如 AES-256、SHA-3-512)抵御量子攻击;在部分区域性密码竞赛中,基于对称技术的轻量级签名方案也被列为征集方向,用于资源极度受限的场景。
除上述类型外,后量子密码领域还涌现出一些新兴技术路线,如基于哈希的认证加密、基于格的全同态加密扩展等。这些技术路线仍处于研究探索阶段,尚未形成成熟的标准和广泛应用,但为后量子密码的发展提供了更多可能性。
综合来看,主流后量子密码算法的特点总结如表 1 所示。
| 类别 | 优点 | 缺点 |
|---|---|---|
| 基于格 | 安全性高,性能优越,功能全 | 带宽较大 |
| 基于哈希 | 公钥很小,安全假设少 | 性能有待提升,功能上只能构造签名 |
| 基于编码 | 密文较小 | 公钥大,密钥生成慢,在实用化方面有待提升 |
| 基于多变量 | 签名验签速度快,消耗资源少 | 公钥大,安全性低 |
| 基于同源 | 带宽很小 | 计算速度慢,缺乏可证明安全性 |
后量子密码技术的发展正处于关键阶段,结合 NIST 最新进展,未来将呈现以下趋势:
微信公众号「极客日志」,在微信中扫描左侧二维码关注。展示文案:极客日志 zeeklog
使用加密算法(如AES、TripleDES、Rabbit或RC4)加密和解密文本明文。 在线工具,加密/解密文本在线工具,online
将字符串编码和解码为其 Base64 格式表示形式即可。 在线工具,Base64 字符串编码/解码在线工具,online
将字符串、文件或图像转换为其 Base64 表示形式。 在线工具,Base64 文件转换器在线工具,online
将 Markdown(GFM)转为 HTML 片段,浏览器内 marked 解析;与 HTML转Markdown 互为补充。 在线工具,Markdown转HTML在线工具,online
将 HTML 片段转为 GitHub Flavored Markdown,支持标题、列表、链接、代码块与表格等;浏览器内处理,可链接预填。 在线工具,HTML转Markdown在线工具,online
通过删除不必要的空白来缩小和压缩JSON。 在线工具,JSON 压缩在线工具,online
