后量子时代密码系统的现状

【后量子时代密码系统的现状】

到2017年11月30日截止日期前,NIST共收到各种后量子时代公钥密码方案82项,其中59项有关秘钥分发/加密解密,23项有关身份认证/电子签名。这些方案分别来自美国16个州和世界六大洲共25个国家。表面上看方案来自五湖四海,但实际上仍为欧美囯家所把持。中国也提交了一个方案,但与量子密码通信技术完全无关。

在提交的八十多项方案中,有些方案明显受到较多的关注,这里就让几位明日之星先亮亮相,它们都是达到抗量子攻击所必需的安全级别为128位的公钥密码。

NTRUEncrypt:这是后量子密码算法中最受关注的一位,NTRU(发音“en-true”)基于阻格数学原理。它的好处主要是内存占用低和运行速度快。缺点是涉及专利。很可惜,历史上开源项目一般都不会倾情于有专利授权的算法。

McEliece与Goppa:McEliece加密系统是目前密码界的一颗新星,它是第一个在加密过程中使用随机化的算法。它的好处是比RSA更快捷,主要缺点是密钥位数过长。典型的RSA密钥的键长是2048位,而McEliece键长达512千位!比RSA长256倍!

Ring Learning with Errors:另一个很有希望的后量子密钥分发方法是“带错的环学习”(RLWE)。它与场/集合理论中的问题有关,可以用于同态加密,这是密码界的另一个热点。

RLWE使用7,000位的密钥,比McEliece密钥短得多,与现在常用的RSA密钥长度在同一数量级。

CECPQ1: 这是密码界新杀出的一匹黑马。它是谷歌在RLWE基础上研发出了一种创新的密码算法并且作了实际测试,这是经典的椭圆曲线算法(Curve 25519)和被称为“New Hope”的RLWE变体的一种组合算法。谷歌使用一小部分Chrome浏览器和谷歌自已的服务器(可以有效地控制TLS通信的双方,谷歌做起来得心应手)测试了CECPQ1密钥分发功能。测试除了发现增加了1毫秒的延迟外,并没有发现任何其它的障碍,这可能是与密钥的大小有关。谷歌的实验已经结束,正在等待IETF的最后评判。

为后量子时代挑选合格的公钥密码有点像红楼梦剧组寻找林黛玉,在众多的美女演员中找来找去,初看个个千娇百媚,走近一看发现她们每个人都有这样哪样的瑕疵,不知天上什么时候才会掉下一个十全十美的林妹妹。

【后量子时代密码系统的展望】

2017年12月:NIST公布所有提交的新算法;2018年4月:召开第一届PQC算法标准化全会,由算法提交方作陈述,并听取专家意见,这就是本星期大会的主要内容;对第一轮候选PQC算法进行16~18个月评估和分析;2019年9月:召开第二届PQC算法标准化全会;对第二轮候选算法作出进一步评估和分析;估计在2022年或稍后,PQC算法的标准草案正式公布并开始征求意见。