后量子时代密码学和中国的应对布局.docVIP

后量子时代密码学和中国的应对布局??后量子时代密码学和中国的应对布局 4月11-13日在美国佛罗里达州的劳德代尔堡，美国国家标准与技术研究院(NIST)主持召开了首届后量子时代公钥密码标准化的国际会议(First PQC Standardization Conference)。会议受到全世界密码界人士的热烈关注，盛况空前，会议入场卷一票难求。 本次大会的议程已经公布，详见本文的附件。最令人高兴的是国内有三位专家学者参加大会发言，他们分别来自复旦大学、中国科学院和上海交通大学。由复旦大学赵运磊教授团队首创的KCL方案是基于LWE及其变体的后量子时代公钥密码系统，该系统在密钥协商和公钥加密领域具有相当的技术优势。我为我的两所母校在世界密码学研究中的取得的成就感到无比自豪，中国为互联网未来安全布局的积极、进取和合作的态度值得高度肯定。对此我可能会另作专文介绍。 公钥密码的安全性关系着互联网的“建久安之势，成长治之业。”引起专家学者们的关注势所必然。我们在本系列的上篇（TLS1.3将为互联网安全筑起新的长城）中指出：TLS是互联网传输层安全协议，它是互联网数据传输安全的基石。而TLS的核心是有关通信的加密解密、密钥分发、身份认证和电子签名。TLS的这些核心功能分别由对称密码和公钥密码（非对称密码）协同完成的。 对称密码使用共享密钥对数据进行加密解密，保证了数据在公共信道上传输的安全，公钥密码让通信双方在通信初始状态在公共信道上彼此建立信任并获得共享密钥。可以毫不夸张的说，公钥密码为互联网而生，没有公钥密码的互联网安全是不能设想的。 互联网上通信双方远隔千山万水又从未见过面，他们如何取得彼此的信任并协商出共享的密钥，而又不被第三者偷窃，这是对密码学的严峻考验。解决这个难题靠的就是公钥密码。公钥密码算法产生出一对密钥：公钥和私钥，通信双方通过交换公钥作身份验证和协商出共享的对称密钥。公钥密码巧妙地解决了网上通信双方的“第一次”的尴尬，网上安全一日不可无此君。 举个例子，当你使用浏览器访问互联网上的网站，浏览器和网站服务器都会首先调用TLS软件包。TLS制定的算法为通信双方分别产生一对公钥和私钥；然后通过握手程序交换公钥和身份认证信息；接着根据TLS提供的算法验证对方身份并产生共享的对称密钥；最后通信双方使用共享的对称密钥对传输的数据作加密和解密，保证这些数据在公共网络传输过程中不被破解和篡改。以上一连串复杂的过程全由TLS互联网传输层安全协议软件为每个用户自动代理执行的，它们才是互联网上全心全意为用户安全服务的忠诚卫士。 对称密码的安全性是有绝对保证的，那么公钥密码的安全性又如何呢？到目前为止，公钥密码还是安全的，至少与网络上许多其它隐患相比，它的相对安全性是有足够保证的（详见“量子密码工程建设还有太多不确定因素”一文）。但是面对传统电子计算机性能的提升和将来有可能出现的量子计算机的潜在威胁，有必要开发公钥密码的新算法，提高安全性增加灵活性，未雨绸缪为互联网的未来安全作好充分准备。为了互联网的长治久安，加紧研发新一代的公钥密码系统成为了密码学专家学者的共识，并为此取名为“后量子时代密码学”。这就是本星期召开的国际密码学会议的中心议题。 P1)受量子计算机攻击，经对称密钥加密后的数据传输仍是安全的，问题主要出在使用公钥密码作对称密钥分发过程中。 ? ?? 【后量子时代密码系统的现状】 到2017年11月30日截止日期前，NIST共收到各种后量子时代公钥密码方案82项，其中59项有关秘钥分发/加密解密，23项有关身份认证/电子签名。这些方案分别来自美国16个州和世界六大洲共25个国家。表面上看方案来自五湖四海，但实际上仍为欧美囯家所把持。中国也提交了一个方案，但与量子密码通信技术完全无关。 在提交的八十多项方案中，有些方案明显受到较多的关注，这里就让几位明日之星先亮亮相，它们都是达到抗量子攻击所必需的安全级别为128位的公钥密码。 NTRUEncrypt：这是后量子密码算法中最受关注的一位，NTRU（发音“en-true”）基于阻格数学原理。它的好处主要是内存占用低和运行速度快。缺点是涉及专利。很可惜，历史上开源项目一般都不会倾情于有专利授权的算法。 McEliece与Goppa：McEliece加密系统是目前密码界的一颗新星，它是第一个在加密过程中使用随机化的算法。它的好处是比RSA更快捷，主要缺点是密钥位数过长。典型的RSA密钥的键长是2048位，而McEliece键长达512千位！比RSA长256倍！ Ring Learning with Errors：另一个很有希望的后量子密钥分发方法是“带错的环学习”（RLWE）。它与场/集合理论中的问题有关，可以用于同态加密，这是密码界的另一个热点。 RLWE使用7,000位的密钥，比McElie