量子计算的快速发展带给经典密码的巨大冲击使得人们将目光投向了抗量子密码体制的研究。随着量子时代的迫近,抗量子密码体制的研究步伐也在不断加快。本文回顾了以多变量公钥密码体制、基于Hash函数的数字签名、基于编码的密码体制和基于格的密码四类抗量子密码的发展历程,并结合迄今为止的八届国际抗量子密码年会展示了抗量子密码体制的最新进展。这些对今后抗量子密码的研究具有重要的参考价值。 Since the rapid development of quantum computing brings great impacts to classical cryptography, people set their sights on the research of post quantum cryptography. Along with the approach of the quantum era, the pace of research on post quantum cryptography is accelerating. This paper reviews the development of four types of post quantum cryptography, which are multivariate public key cryptography, Hash-based digital signature, code-based cryptography and lattice-based cryptography. And then the latest progress of post quantum cryptography is presented based on all the eight International Workshops on Post-Quantum Cryptography. These are of great value as reference for future research on quantum cryptography.
李强,程庆丰,李宏欣,张军琪
战略支援部队信息工程大学洛阳校区,河南 洛阳
收稿日期:2017年11月6日;录用日期:2017年11月18日;发布日期:2017年11月23日
量子计算的快速发展带给经典密码的巨大冲击使得人们将目光投向了抗量子密码体制的研究。随着量子时代的迫近,抗量子密码体制的研究步伐也在不断加快。本文回顾了以多变量公钥密码体制、基于Hash函数的数字签名、基于编码的密码体制和基于格的密码四类抗量子密码的发展历程,并结合迄今为止的八届国际抗量子密码年会展示了抗量子密码体制的最新进展。这些对今后抗量子密码的研究具有重要的参考价值。
关键词 :多变量公钥密码,基于Hash函数的数字签名,基于编码的密码,基于格的密码,国际抗量子密码年会
Copyright © 2017 by authors and Hans Publishers Inc.
This work is licensed under the Creative Commons Attribution International License (CC BY).
http://creativecommons.org/licenses/by/4.0/
近三十年,以公钥密码体制为代表的加密方法成为全球化通讯数字基础设备的一个不可或缺的组成部分,在军事、政治、经济、生活等方面都有广泛的应用,在个人、企业和政府的安全通讯中发挥着至关重要的作用。可以说,RSA加密体制、Diffie-Hellman密钥交换、椭圆曲线加密体制、代数同态等等密码体制是近年信息安全领域最受学者青睐的一些加密和签名方案。
这一现状随着量子计算的兴起与快速发展而改变。
1994年贝尔实验室的Peter Shor提出了量子质因数分解算法 [
量子计算对于传统加密体制的威胁绝不仅仅是耸人听闻,庸人自扰。迄今为止,量子算法已经能够破译包括RSA公钥加密体制、Diffie-Hellman密钥交换、椭圆曲线加密体制、Buchmann-Williams密钥交换、代数同态在内的多类密码 [
此外,由于量子计算机对传统加密体制具有重大的威胁,许多国家政府已经认识到量子计算机的战略意义。美国政府在此领域率先行动,投入巨资启动了五个量子计算机研究计划:美国国防高级研究计划局的“量子信息科学与技术发展规划”、美国国家安全局的ARDA5计划、美国科学基金会的QuBIC计划、美国宇航局的QCTG计划和美国国家标准与技术研究院的PLQI计划。此后,日本、欧盟、加拿大等国家和地区也相继启动了量子计算机发展规划。我国也由中国科技大学潘建伟团队投入量子计算机的研发当中,在国际上首次利用光量子计算机实现了Shor量子分解算法,并且在2016年发射了国际上第一颗量子卫星。
量子计算对于传统密码的理论威胁、量子计算机相关技术的高速发展、各国政府量子战略和政策的启动和推进,无不让密码学专家学者感受到一种前所未有的紧迫感。如果真如一些专家预测20年内将出现实用大型量子计算机,抗量子计算密码的研究将刻不容缓。
由于对抗量子计算密码的迫切需求,2006年,国际上致力于抗量子计算密码研究的学者在比利时召开了第一届国际抗量子密码学会议(PQCrypto 2006),在这次会议上,各国学者提出了多种抗量子计算密码体制,其中以多变量公钥密码体制类居多,也提出了基于格的密码体制、基于纠错码的体制和基于Hash函数的签名方案。此后,在历届国际抗量子密码会议上都会有所改进、拓展和创新,初步形成了以多变量公钥密码体制、基于Hash函数的数字签名方案、基于编码的密码体制和基于格的密码为主的四大类抗量子密码体制。
一个多变量公钥密码系统由有限域上一组二次多项式作为它的公钥映射。它的主要安全假设为求解有限域上非线性方程组是NP困难问题。最早的多变量公钥密码体制是Tsuii和Imai提出的,20世纪80年代起他们就已经开始这个领域的研究。早期的多变量公钥密码体制研究成果主要在日本,1988年,Matsumoto和Imai提出了第一个现代化形式的多变量公钥密码形式 [
基于Hash函数的数字签名主要指Merkle签名方案。1978年Rabin首次提出了一次签名方案,验证签名时需要与签名者进行交互。次年,Lamport提出了一个更有效的一次签名方案,该方案并不需要与签名者进行交互;Diffie对Lamport的方案进行了推广来提高其效率,因此,该方案成称为Lamport-Diffie一次签名方案。Ralph Merkle从一次性签名方案开始,借鉴了Lamport和Diffie的工作,发明了Merkle数字签名方案 [
基于编码的密码体制算法核心是应用了一种纠错码C,主要特征是编码时添加一定数量的错误码字或根据码C的检验矩阵计算伴随式。基于纠错码的第一个密码体制是1978年McEliece提出的公钥加密方案。该方案安全性高且加密运算快,但为了安全它的公钥规模和签名代价太大 [
基于格的密码体制基础是格上面的一些困难问题,如最短向量问题(SVP)、最近向量问题(CVP)、最小基问题(SBP)等。在量子计算飞速发展的时代背景下,学者们对格密码对抗量子计算寄予厚望。自1996年Ajtai首次在格难题基础上提出一个具有里程碑意义的密码体制后,格理论的相关研究不断取得突破,已经逐步成为抵抗量子计算攻击的公钥密码体制理论的核心研究内容。基于格的公钥密码算法以其安全性高和效率高的优势受到研究者的持续关注。1996年Hoffstein、Pipher和Silverman提出了NTRU (Number Theory Research Unit)公钥密码体制,该体制具有抗量子攻击、安全性强、运行速度快、密钥生成快、所需内存小等优势 [
由于对抗量子计算密码的迫切需求,2006年,国际上致力于抗量子计算密码研究的学者在比利时召开了第一届国际抗量子密码学会议(PQCrypto 2006),在这次会议上,各国学者提出了多种抗量子计算密码体制,其中以多变量公钥密码体制类居多,也提出了基于格的密码体制、基于纠错码的体制和基于Hash函数的签名方案。此后,在历届国际抗量子密码会议上都会有所改进、拓展和创新,初步形成了以多变量公钥密码体制、基于Hash函数的数字签名方案、基于编码的密码体制和基于格的密码为主的四大类抗量子密码体制。
2006年至今,国际抗量子密码会议分别在比利时、美国、德国、中国台湾、法国、加拿大、日本和荷兰陆续召开,这也直接导致了近十年来抗量子密码体制的飞跃式发展。从这八届国际抗量子密码年会可以看出,无论抗量子密码种类的增加,还是同一类抗量子密码的不断改进、优化、拓展直至成熟,都充分展示了抗量子密码的时代性和生命力。
从图1可以看出,在诸多的抗量子密码体制中,多变量公钥密码体制是当前抗量子密码领域研究的重点、热点,也是成果最多的密码体制,基于编码的密码体制仅次。图上还显示,在这四类之外的会议论文也占有一席之地,约14%的比重,这些成分是什么?我们后面会对这一部分进行分解和阐述。
作为抗量子密码的最早成员之一,多变量公钥密码体制成为历届国际抗量子密码会议的主力和宠儿,每届会议论文集中多变量公钥密码体制相关的文章都有相当多的数量,如图2所示。
早期的多变量密码体制主要集中于基本理论的拓展、已知方案的安全性评估和常见的针对多变量体制的攻击方法。Jacques Stern通过对现行的多变量方案进行攻击来评估当前方案的安全性水平,结果也展示了这些方案并没有为量子时代的到来做好足够的准备 [
图1. 全八届国际抗量子会议各类抗量子密码体制分布
图2. 历届年会中多变量密码体制文章情况
程,从而彻底破坏多变量密码系统 [
2010年以来,学者们对多变量公钥密码体制的研究持续深入,主要研究层面集中在三个方面:一是对基本理论的深入改进优化,包括加密、签名与分析;Crystal Lee Clough等人对常规的平方加密机制进行加法修正,提出了Square+的构造设计 [
近些年多变量公钥密码体制的最新成果当然远远不止上面展示的这些,但通过这些成果足以看出后量子时代多变量公钥密码体制的地位和意义,它的发展值得我们关注和期待。
当Hash函数能抗强碰撞时,基于这样的Hash函数的数字签名能有效抵抗一直量子计算算法的攻击。因而,基于Hash函数的数字签名方案理所当然地成为学者们抵御量子计算威胁的重要武器。尽管不像多变量公钥密码体制那般火热,基于Hash函数的数字签名方案仍然成为人们不断去钻研、不断取得突破的课题。
图3展示了历届国际抗量子密码会议中基于Hash函数的密码文章数目,五届年会论文集中都有基于Hash函数的数字签名出现。基于Hash函数的数字签名方案的文章主要集中在对Merkle签名方案(MSS)的研究探讨。2006年,Michael Szydlo回顾了Merkle树的创建,聚焦于使得Merkle树创建更加有效和实用的最新进展。2008年,Johannes Buchmann提供了一种基于Szydlo’s算法的新算法来计算Merkle数字签名机制中的认证路径,并且实验证明了,与同类最好方法相比,他们的新算法大大减少了最坏情况的运行时间 [
在MSS的钻研之外,2016年,Ehsan Ebrahimi Targhi等人研究了为一个函数寻找碰撞的量子查询复杂度问题,这种函数的输出选择时根据最小熵为k的分布,他们通过计算得出了量子查询复杂度至少为Ω(2k/9)的结论 [
尽管基于Hash函数的数字签名方案成果并不很多,但考虑到近些年研究带来的提升使之越发高效和实用,在量子时代山雨欲来的境况之下,学者们对于基于Hash函数的数字签名的前景充满信心。
基于编码的密码体制也是近年来成果辈出的领域,McEliece公钥密码体制及其改进版本等成为学者们最感兴趣的课题之一,各类基于编码的密码体制的安全性分析也成为近些年聚焦的热点。
图4展示了迄今为止8届国际抗量子密码年会中基于编码的密码体制的文章数。从图4可以看出,
图3. 历届年会中基于Hash函数的密码体制文章情况
图4. 历届年会中基于编码的密码体制文章情况
除了首届年会之外,之后每届抗量子密码年会都有至少4篇基于编码的密码体制的文章,充分展示了这一领域硕果累累。
基于编码的密码体制的文章绝大多数还是围绕着McEliece密码体制展开,其中既有McEliece密码方案的各类变种和修正,也有针对以McEliece密码体制为代表的基于编码的密码体制的多种攻击。密码体制方面,2008年,Daniel J. Bernstein等人提出了新的参数,使得McEliece和Niederreiter系统达到不被所有已知攻击攻破的安全水平,并且在满足同样安全条件下,使用新参数的系统公钥规模远小于使用之前参数的系统 [
除了对McEliece密码的探索,一些学者着眼于开辟新的基于编码的密码体制。2008年,Carlos Aguilar Melchor展示了从Stern的基于编码的认证机制到门限环签名的一般化过程,这种签名协议是第一个有效的基于编码的签名方案和第一个基于编码的门限环签名方案 [
基于编码的密码体制研究已经在不断深入,并将继续吸引着密码学专家们的广泛关注。随着其密钥尺寸的逐渐降低,加之其高安全性和高效率的优势,基于编码的密码体制势必在后量子时代大放异彩。
基于格的密码体制被广泛认为是量子计算最难攻破的密码。随着抗量子计算密码研究的不断深入,基于格的密码近年来也取得了飞速的发展和喜人的成果。
图5展示了八届国际抗量子密码会议中格密码的文章数量,可以看出,历届年会中都有关于格密码的文章,自2013年起格密码的研究成果明显增加。对于格密码的研究也呈现出几个特点:其一,基于格的加密和签名方案一直都是研究的重中之重,而且取得了相当不错的成果。2006年,Jeff Hoffstein等人回顾了NTRU加密和签名的算法,讨论了格密码算法的安全性现状,认为随着格密码算法和认证方面的不断进步,格密码势必会被学术界广泛接受和认可 [
图5. 历届年会中基于格的密码体制文章情况
的基于格上的门限环签名方案进行改进,将CLRS方案进行推广从而得到一个更有效的门限环签名方案,该方案在保持安全性的前提下减小了签名的规模,是当时最有效的基于格的环签名方案和门限签名方案 [
不断增加的基于格的密码体制研究成果已经充分展示了这一领域所受到的关注,尽管格密码仍然处于发展阶段,但其强安全性基础仍然让业界对它充满兴趣和期待。
图1中显示,除了上面提到的四大类抗量子密码体制之外,还有14%的文章不在此列。这里除了一些量子计算算法的文章外,还有一些其他的抗量子密码体制,主要就是量子密码和基于同源的密码体制。海森堡测不准原理及单量子不可复制定理保证了量子密码理论上的绝对安全,Elham Kashefi等人提出的量子单向函数的候选 [
尽管目前主流的抗量子密码体制还是多变量公钥密码、基于Hash的密码、基于编码的密码和基于格的密码,但毫无疑问随着抗量子密码体制的深入研究,如基于同源的密码体制一样,新的抗量子密码体制一定会越来越多地登上后量子时代的舞台。
在量子时代不断向我们趋近的今天,量子计算已经不断侵蚀着曾经无数牢不可破的安全防线,对几乎所有涉及信息安全的领域构成了巨大的威胁。幸运的是,学者们在量子时代到来之前,已经前瞻性地展开了对抗量子密码体制的研究,并且已经取得了十分丰硕的成果。学术界不仅在多变量公钥密码、基于Hash函数的密码、基于编码的密码和基于格的密码方面不断取得突破,也在不断地开发新的抗量子密码体制,更为喜人的是,抗量子密码体制的标准化工作已经在如火如荼地开展。这些都让我们有足够的信心和理由相信,我们能够从容地面对量子时代的到来。
李 强,程庆丰,李宏欣,张军琪. 抗量子密码体制发展研究Development Analysis of Post Quantum Cryptography[J]. 计算机科学与应用, 2017, 07(11): 1089-1100. http://dx.doi.org/10.12677/CSA.2017.711123