为什么后量子时代的加密不需要“量子通信”

2020年7月22日是公钥密码学发展史上的又一个重要里程碑。 美国国家标准技术研究院（NIST）公布了七种进入第三轮评审的后量子时代公钥密码算法。 受到了国际密码学界的极大关注[1]。

公钥密码目前已经足够安全，但是量子计算机的进步和传统电子计算机的快速发展给公钥密码未来的安全性蒙上了一层阴影。 为确保互联网的长期稳定，不断完善和增强公钥密码的安全性，未雨绸缪已成为通信密码学领域的共识。

从2012年开始，NIST启动了后量子时代密码学（PQC）项目，并成立了包括12位密码学专家在内的项目成员组。 表1为NIST推动PQC标准化的时间表。

截至2017年11月30日截止，NIST共收到82个后量子时代的公钥密码算法，其中59个与密钥分发/加解密相关，23个与身份认证/电子签名相关。 这些算法来自美国16个州和世界六大洲的25个国家。 共有69个候选算法同时满足最低验收标准和提交要求，正式纳入第一轮评审程序。

第一轮审查一直持续到 2019 年 1 月量子计算机与比特币，期间对候选算法的安全性、效率和其他属性进行了全面评估，然后 NIST 选择了 26 种算法进行第二轮审查。 随后，在公众反馈和内部反复测试评估的基础上，15个算法从大浪中脱颖而出，进入第三轮评估。 15个获奖算法分为两组，其中7个入围决赛，另外8个将作为备选算法。 详情请参见图 1。

入围的密码算法很有可能在第三轮评审后立即被标准化。 由于CRYSTALS-KYBER、NTRU和SABER都是基于格理论的密码算法，NIST打算选择其中之一作为密钥分发的最终标准。 数字签名方案也会选择CRYSTALS-DILITHIUM和FALCON中的一种。 从这个角度来看，基于格理论的密码算法似乎是公钥加密、密钥分发 (KEM) 和数字签名方案最有前途的通用算法 [2]。

NIST这次在设置alternate group方面很有创意。 经过下一轮的评估，一个候选算法可能会在弯道上超车，被选为最终的标准算法。 此外，一些运行效率较差的替代算法也可能因为其安全性较高而被推荐给特定客户，以满足某些应用场景的特殊需求。

接下来的第三轮审查预计将持续12至18个月。 在这个关键阶段，NIST 希望密码学界的同仁能够对候选方案进行更深入的评估。 NIST特别强调，除了密码算法的安全性外，评估还必须关注算法抵抗侧信道攻击的能力、算法与互联网协议的兼容性以及算法在各种平台上运行的效率。硬件设备作为评价的重要依据。

NIST计划在2021年春夏季举办第三次PQC标准化会议，希望能在2022年初选出几个获胜的算法进行标准化，所以第三轮将是PQC第一阶段的最后一轮评审标准化。

先说说我对PQC发展战略的体会。

1）君子引而不发，跳如人

近年来，以NIST为首的后量子时代公钥密码标准化进程如火如荼。 在新冠疫情引发的全球性灾难中，PQC标准化工作仍在按照原计划有序推进。 但NIST也一再强调，如果在评审过程中出现新的技术突破或其他不确定因素，PQC标准化进度将随时调整，不能增加新一轮（第四轮）评审的可能性排除。

毕竟，量子计算机对公钥密码学的安全性没有真正的威胁，所以没有必要急于固化技术和匆忙推出产品； 面对威胁，研究成果可以立即商业化投入实际使用。 文武之道，一松一松，NIST在推动PQC标准化的过程中一直保持着良好的节奏感。

我的家乡苏州有句谚语：船未翻，莫跳江。 为了互联网的长治久安，密码安全的研发必须时刻做好准备，但切忌操之过急。 君子领而不发，跃如人。 这是真正谋求长远、大局的正确决策。

2）有现实感的理想主义者

一项技术的优劣是由该技术的多项性能共同决定的。 因此量子计算机与比特币，在技术审查中选择各种性能进行评估并确定其权重时，必须考虑一个整体概念。 毫无疑问，评估密码算法的核心标准是安全性，但NIST将密码算法的运行效率和与互联网的兼容性作为评估的重要标准是非常明智的。 技术评审不是选美，更不是摆架子。 审查的最终目的是选择最实用的技术来满足市场的需求，这意味着从用户的角度来看，技术的可行性和易用性必须放在非常重要的位置。

此外，在规定技术性能标准时，还必须科学、合理、切合实际。 在整个审查过程中，NIST从未提出过“无条件绝对安全”等不合理要求。 因为“无条件绝对安全”的要求不仅难以实现，而且必须为此目标付出难以承受的代价。 工程界的字典里从来没有它。

从更长远的角度来看，任何技术都需要更新和完善，公钥密码学当然也不例外。 但更新的系统必须与互联网的整体架构相协调，升级过程必须稳步有序推进。 密码系统影响着互联网的整个生态环境。 这是一个比操作系统更大、更复杂的生态系统。 对于这种牵一发而动全身的技术更新，切不可心血来潮、操之过急。

一个好的工程师应该是一个有现实感的理想主义者。 如果只追求理想而忽视现实，就会走极端而导致失败； 相反，如果他们只有现实而没有理想，就很难脱颖而出，走向卓越。 一个优秀的工程师就是在不断地寻求妥协，在理想与现实之间保持平衡。

3）多元化应对不确定的未来

在多轮评审中，NIST在剔除部分密码算法时保持了高度克制，在推出本轮候选算法时，专门安排了包括8个密码算法在内的后备梯队。 NIST 竭尽全力保护抗量子密码算法的多样性。

后量子时代公钥密码学的复习是为了迎接未来信息安全的挑战，未来充满不确定性。 信息安全领域是技术对抗博弈的战场，需要面对的问题具有高度复杂性和不确定性。 技术多样性是应对高度复杂和不确定的未来的唯一选择。 多样性使地球上的生命延续了数亿年。 原因是一样的。

后量子密码学PQC是一种基于数学的软件技术。 软件技术允许多种密码算法共存于一个系统中，在使用过程中可以方便地更新和切换。 因此，PQC其实是一个高度不一致的后量子时代。 只有这样才能确定环境。

关于公钥密码的升级，有两种完全不同的技术路线：主流路线是IETF推出TLS1。 量子密码骨干项目，这两条路线形成鲜明对比。 世界主流路线PQC是循序渐进、开放合作的路线，采用基于数学原理的软件技术； 而中国的QKD则采取激进封闭的方式。 该路线采用基于物理原理的硬件技术。 哪条路线能更有效地保护互联网的未来？ 内容我觉得没必要去查，只是从思路上看，见仁见智。

当然，我国密码学界的有识之士也不在少数。 我的母校复旦大学和上海交通大学在PQC学术研究领域均有高水平成果。 但科技资源和媒体的目光都集中在中科大的量子通信项目上，所以很少有人知道PQC的进展。

近期，量子通信的基调也有所调整，多次强调QKD不会取代传统密码学，而是与传统密码学合作，特别提到要与PQC携手共同对抗量子计算机的威胁。 但问题是PQC有完整的解决方案，根本不需要QKD。 所有的国际会议和大量关于PQC的资料都没有提到QKD，这就是一个明证。 量子通信欲与PQC携手，或许只是一厢情愿，单相思。

[1]

[2] 公钥密码学的作用可以概括为三个方面： 1）为通信双方建立一个共享的对称密钥； 2) 为通信双方提供身份认证，保证传输文件的完整性和不可否认性； 3）提供数据加解密功能。

公钥密码功能中的第一项和第二项是互联网数据传输安全的根本保障。 在大多数情况下，第一项和第二项就足够了。 其中，第三项与第一项在功能上有所重叠：一般来说，数据的加解密应该依赖于通信双方获得的对称密钥，而不是公钥密码学。