抗量子密码研究现状及展望

0引言量子计算给传统公钥密码体系带来了极大冲击，抗量子密码 (Post-QuantumCryptography,PQC)系统迁移工作势在必行。国际上，美国国家标准与技术研究院(NationalInsandTechnology,NIST)已经进行了多轮PQC标准化工作。我国也正1.1量子计算对密码系统的威胁势。以肖尔(Shor)算法(多项式时间破解大整数分解与离散对数问题)为代表的量子算法，已对现行公钥密码体系的安全性根基构成系统性威胁。而格罗弗(Grover)算法(二次加速无结构化搜索问题)则对对称加密密钥搜索等场景产生影响。2025年5月，美国谷歌通过算法优化和纠错技术改进，提出在特定硬件假设下，采用不足100万个含噪量子比特的量子计算机，可在不到一周时间破解2048位LeonardAdleman名字首字母缩写而成)加密密钥1。尽管此结果依NIST在2016年正式启动了PQC标准化项目。2022年7月，NIST正式宣布首批标准化的4种抗量子密码算法，包括公钥加密/密钥交换算法Crystals-Kyber和数字签名算法布了3份抗量子密码算法标准：FIPS203,基于模格的密钥封装机制标准，对应Crystals-Kyber方案³;FIPS204,基于模格的数字签名标准，对应Crystals-Dilithium方案4;FIPS205,基于哈希的无状态数字签名标准，对应Sphincs+方案⑤。表1展示了4种算法在行代表对应算法的密钥生成时间，Enc/Sign行代表对应算法的密钥封装时间或签名时间，Dec/Verify行代表对应算法的密钥解封装时间或验签时间，所有算法运行时间单位均为时钟周期cycle;sk行代表对应算法的私钥大小，pk行代表对应算法的公钥大小，ct/sig代表对应算法的密文大小或签名大小，所有参数大小的单位均为字节byte)。比名称格密码体系自20世纪90年代提出后，已经过学术界多年的分析和完善。在NIST标准化征集的主要技术路线(即基于格、编码、哈希、多变量、同源的密码方案)中，格密码在计算性能、参数大小、成熟度以及功能性等方面综合表现最优。因此，在NIST确定的第一1.3NIST新的签名标准征集2022年7月，NIST在入围第3轮的公钥加密/密钥交换算法中选取了3种基于编码的密码方案位翻转密钥封装(Bit-flippingKeyQuasi-Cyclic,HQC)和1种基于同源的密码方案超奇异同源密钥封一步开展第4轮标准化评估。2022年9月，NIST发起了额外的签名方案征集流程，并于2023年7月从提交的50种候选算法方案中选取了40种作为进入第一轮标准化评估的方案，包括基于编码、格、模[7]。2024年10月，NIST针对进入额外签名方案征集的40种候选方案宣布了评估结果，14种方案进入了第二轮的评估，其中2种基于编码、1种基于格、5种基于模拟多方计算、4种基于多变量、1种基于对称密码、1种基于同源7。2025年3月，针对第4轮标准化评估的化8。在第4轮标准化评估的过程中，基于同源的密码方案SIKE被再被考虑作为标准化候选方案；3种基于编码的密码方案McEliece、的密文大小显著小于HQC和BIKE,但M密文大小大约是HQC的30%~70%,但BIKE的解封装和密钥生成的效率大约比HQC慢5~6倍8。表2展示了3种算法在128bit安全性下的性能参数对比情况。其中，KeyGen行代表对应算法的密钥生成时钥解封装时间，所有算法运行时间单位均为时钟周期Cycl表2NIST第4轮入选的抗量子密码算法运行效率和参数大小对比NIST未选取McEliece标准化的原因主要在于其密钥生成速度太标准化，这可能导致标准不兼容的问题。对于HQC和BIKE的选择，NIST认为HQC方案中解密失败概率评估技术比BIKE更成熟，这对于方案的安全性分析至关重要，因此最终选择HQC作为标准化的方案。加速PQC的使用，NIST于2024年11月发布了PQC迁移报告9。密码自2016年NIST启动抗量子密钥封装机制(KeyEncapsulation2.1PQC研究进展随着NIST正式发布PQC算法标准，且后续持续发布抗量子迁移重视PQC技术能力的发展布局。2025年2月，我国商用密码标准研试点阶段，尚未形成大规模商用落地项目，这也导致抗量子产品相对于商用密码硬件产品单价普遍更高。2.2PQC迁移重点行业抗量子项目刚需行业具备关键基础设施、提供公共服务、大量内外部数据交互三大特征。目前，抗量子迁移已经在金融、能源和交通行业开展小规模试点，未来的高潜需求行业为通信、电力、医疗、党政军等。在金融行业，中国人民银行要求逐步完成非核心的生产系统到核心的生产系统替换，并需要指定检测机构出具系统抗量子迁移评估报告，目前华夏银行等已经开始迁移试点；在能源交通行业，现有落地项目主要为能源、交通等大型央国企“出海”项目，在数据跨境流通场景，数据更容易受到“先收集、后攻击”的囤积攻击，需要提前布局抗量子保护数据出境安全；在通信行业，正在探索PQC算法与城域网、骨干网等通信网的融合研究；在电力行业，目前国家电网有限公司等均在进行抗量子迁移的研究，探索对调度、输变电、高压监测等业务系统进行抗量子迁移；在医疗行业，正在探索对电子病例等系统进行抗量子迁移；在党政军行业，由于对内部政务信息保密性、安全性要求高，更偏重使用国产密码算法。目前，国产密码标准处于征集阶段，因此相关抗量子应用正处于研究和课题阶段。2.3PQC迁移重点企业法标准还在制订中，因此保持观望和期待。从产业界来看，2024年之前只有极少数企业自发投入PQC技术的研究，2024年间也只有少量企业完成了基于NIST标准的PQC产品的集成发布，大部分企业预计会在2025年陆续跟进。从调研结果来看，目前进行PQC产品试点的主要厂商包括格尔软件股份有限公司(简称“格尔软件”)、三未信安科技股份有限公司(简称“三未信安”)、华为技术有限公司(简称“华为”)等。格尔软件自2018年开始布局PQC相关的技术研究和储备，沿着份有限公司、九州量子信息技术股份有限公司等厂商进行了IPSec技术，形成了支持平滑过渡、敏捷迁移的PQC产品体系。2024年6技术作为研究重点，从技术研究迈向产品实现。发布了《2024抗量子密码技术与应用白皮书》,基于主流抗量子算法构建了涵盖PQC芯座。2025年4月，华为联合北京数字认证股份有限公司发布“鲲密”软件定义密码方案。该方案通过密码敏捷性(CryptoAgility)实现2.4我国运营商对PQC的研究和探索发了QKD、PQC和传统光通信的融合传输设备，并发布抗