2022年PQC行业研究报告.docx

2022年PQC行业研究报告 1.PQC恰逢其时 （一）经典密码体系面临危机 随着量子计算技术不断取得突破，算力大幅提升，特别是以 Shor 算法为典 型代表的量子算法的提出，相关运算操作在理论上可以实现从指数级别向多项式 级别的转变。目前看来，量子计算机有潜力将破解速度从经典计算机的 1 万年， 变为“一个响指”的时间。这意味着，在量子计算机面前，传统加密方式的信息被 偷听窃密的可能性急剧增加。量子计算对公钥密码的潜在威胁是不容忽视的，有 潜力完全攻破目前广泛使用的公钥密码算法，即便是增加参数长度也是无效的， 因此，需要 PQC 作为新的解决方案。 （二）PQC应运而生 为了应对量子计算对公钥密码算法的威胁，PQC 应运而生。PQC 是能够抵 抗量子计算对现有密码算法攻击的新一代密码算法，旨在研究密码算法在量子环境下的安全性，并设计在经典和量子环境下均具有安全性的密码系统。 对于对称密码算法，尽管量子计算机可能降低现有算法的安全性，从 k-bit 降低为 k/2-bit，但增大参数的长度对维护安全性是有效的。因此，PQC 的研究 重点是非对称密码算法。PQC 与近些年发展迅速的量子密钥分发（主要包括 QKD） 有所差异，量子密码学涉及利用量子物理特性的密码算法，PQC 关注的是可在 经典计算机上运行的算法，这类算法即使用量子计算机也无法被破坏。 2.PQC算法方案与标准 （一）主要方案与对比 PQC 算法目前有四种主流方案：基于哈希（Hash-based）的公钥密码学、基 于编码（Code-based）的公钥密码学、基于多变量（Multivariate-based）的公钥 密码学、基于格（Lattice-based）的公钥密码学。 1.基于哈希的方案 基于哈希的签名算法由 Ralph Merkel 提出，被认为是传统数字签名（RSA、 DSA、ECDSA 等）的可行代替算法之一2。基于哈希的签名算法由一次性签名方 案演变而来，并使用 Merkle 的哈希树认证机制。哈希树的根是公钥，一次性的 认证密钥是树中的叶子节点。基于哈希的签名算法的安全性依赖哈希函数的抗碰 撞性。由于没有有效的量子算法能快速找到哈希函数的碰撞，因此（输出长度足 够长的）基于哈希的构造可以抵抗量子计算机攻击。此外，基于哈希的数字签名 算法的安全性不依赖某一个特定的哈希函数。即使目前使用的某些哈希函数被攻 破，还可用更安全的哈希函数直接代替被攻破的哈希函数。 2.基于编码的方案 基于编码的算法使用错误纠正码对加入的随机性错误进行纠正和计算。一个 著名的基于编码的加密算法是 McEliece 3。McEliece 使用随机二进制的不可约 Goppa 码作为私钥，公钥是对私钥进行变换后的一般线性码。Courtois、Finiasz 和 Sendrier 使用 Niederreiter 公钥加密算法构造了基于编码的签名方案4。基于编 码的算法（例如 McEliece）的主要问题是公钥尺寸过大。基于编码的算法包括加 密、密钥交换等。基于多变量（Multivariate-based）的方案，被认为是能够抵御 基于量子计算机攻击的新型公钥密码体制之一。 3.基于多变量的方案 基于多变量的算法使用有限域上具有多个变量的二次多项式组构造加密、签 名、密钥交换等算法5。多变量密码的安全性依赖于求解非线性方程组的困难程 度，即多变量二次多项式问题。该问题被证明为非确定性多项式时间困难。目前 没有已知的经典和量子算法可以快速求解有限域上的多变量方程组。与经典的基 于数论问题的密码算法相比，基于多变量的算法的计算速度快，但公钥尺寸较大， 因此适用于无需频繁进行公钥传输的应用场景，例如物联网设备等。 4.基于格的方案 格（Lattice）是一种数学结构，定义为一组线性无关的非 0 向量（称作格基） 的整系数线性组合。格密码的主要数学基础是格中的两个困难问题：格的最短矢 量问题（SVP）和格的最近矢量问题（CVP）。SVP 是对于给定的一组基,找出其 所生成的格中欧氏距离（两点之间的距离）最小的非零向量。即在格上找到一个 非零向量 v，满足对格上的任意非零向量 u,均有||v||≤||u||。CVP 是对于给定的格及 任一向量,找出格中与该向量距离最近的向量。即在格上找到一个向量 v,满足对 格上的任意非零向量 u,均有||v-y||≤||u-y||。格是一个困难的问题，并且难度还能控 制，满足了成为密码学算法核心的必要条件。 PQC 算法中，对格的研究是最活跃、最灵活的。基于格的算法在安全性、 公私钥大小6、计算速度上可达到较好的平衡。第一，基于格的算法可以实现加 密、数字签名、密钥交换、属性加密、函数加密、全同态加密等各类功能的密码 学构造。第二，基于格的算法的安全性依赖于求解格