主流后量子密码算法PQC技术路线解析及展望

原创已于 2025-09-25 15:47:23 修改 · 1.7k 阅读

29 ·

CC 4.0 BY-SA版权

文章标签：

#量子计算 #后量子密码 #HQC #ML-KEM #FIPS #CRYSTALS-Kyber #Dilithium

于 2025-09-25 15:43:34 首次发布

前沿技术动态专栏收录该内容

56 篇文章

订阅专栏

1 引言

在信息技术飞速发展的今天，密码技术作为信息安全的核心支撑，保障着数据的机密性、完整性和可用性。传统密码算法，如RSA、ECC等，其安全性主要依赖于大数分解和离散对数等数论问题的计算困难性。然而，随着量子计算理论与技术的突破性进展，特别是Shor算法的提出，使得这些传统密码算法在未来强大的量子计算机面前面临被高效破解的风险。

为应对这一挑战，后量子密码（Post-Quantum Cryptography, PQC）技术应运而生。后量子密码算法是指能够抵抗量子计算机攻击的密码算法，其安全性基于量子计算机难以高效求解的数学困难问题。根据所基于的底层困难问题不同，后量子密码算法形成了多条技术路线，大致分为5类：基于格（Lattice-based）的、基于哈希（Hash-based）的、基于编码（Code-based）的、基于多变量（Multivariate-based）的以及基于同源（Isogeny-based）的后量子密码算法。本文将对主流及其他后量子密码技术路线进行系统分析，包括其原理、典型算法、标准化进展及应用场景，并对未来发展趋势进行展望。

2 主流后量子密码技术路线

2.1 基于格（Lattice-based）的后量子密码算法

2.1.1 算法原理

格是n维欧几里得空间中由整数线性组合生成的离散点集。基于格的密码算法安全性主要依赖于格中的两类困难问题：一类是近似最短向量问题（Approximate Shortest Vector Problem, SVP）和近似最近向量问题（Approximate Closest Vector Problem, CVP），另一类是基于学习误差（Learning With Errors, LWE）问题及其环上变体（Ring-Learning With Errors, RLWE）。

SVP问题是指在给定格的基向量后，找到格中长度最短的非零向量；CVP问题则是对于给定的格和一个目标向量，找到格中与目标向量距离最近的向量。这两类问题在最坏情况下被证明是NP难的，即使在量子计算模型下也难以高效求解。LWE问题通过在随机线性方程组中加入小误差项，使得求解方程组变得困难，而RLWE问题则将LWE问题从整数环扩展到多项式环，进一步提升了算法的效率。

2.1.2 典型算法及应用

基于格的密码算法最早出现于1996年，经过多年发展，已涌现出众多典型算法，在NIST后量子密码标准化竞赛中表现突出。NIST标准化第三轮结果明确格基算法为核心路线：在密钥封装机制（KEM）领域，CRYSTALS-Kyber是核心算法，2024年8月13日已发布为FIPS 203标准（基于ML-KEM），适用于大规模网络通信中的密钥交换；在数字签名领域，CRYSTALS-Dilithium（基于ML-DSA）于同期发布为FIPS 204标准，Falcon也是第三轮确定的格基签名核心算法，两者均具有较高的安全性和效率，可应用于身份认证、数据完整性校验等场景。NTRU、Saber等曾是重要候选算法，在多轮评估中为格基路线优化提供了参考。2025年Q1 NIST《PQC算法安全评估报告》显示，ML-DSA在物联网设备中的验证耗时较传统ECDSA减少18%。

此外，基于格的密码算法还能用于构造属性加密、陷门函数、伪随机函数、同态加密等多种密码学原语。例如，全同态加密算法可以在不解密的情况下对加密数据进行计算，在云计算、隐私保护数据分析等领域具有重要应用价值。

2.1.3 优缺点分析

优点：基于格的算法在安全性、公私钥尺寸、计算速度上达到了较好的平衡。与基于数论问题的密码算法相比，在相同安全强度下，其公私钥尺寸更小，计算速度更快，且支持多种密码学原语的构造，适用于多种实际应用环境。

缺点：该类算法的主要不足是带宽较大，在一些对通信带宽要求极高的资源受限场景中，可能会受到一定限制。

2.2 基于哈希（Hash-based）的后量子密码算法

2.2.1 算法原理

基于哈希的签名算法不依赖于具体的数学困难问题，其安全性主要依赖于哈希函数的安全性质，如单向性（抗原像攻击）、弱抗碰撞性（抗第二原像攻击）和伪随机性等。该类算法从Lamport提出的一次性签名方案演变而来，Lamport签名通过将消息比特与密钥对逐一对应进行签名，具有信息论安全性，但每次签名需使用新的密钥对，实用性较低。

为解决一次性签名的局限性，Ralph Merkle提出了基于哈希树的签名方案。哈希树将多个Lamport密钥对的公钥通过哈希运算构建成树状结构，根节点作为公钥，签名时只需披露与消息对应的叶节点及路径上的哈希值，从而实现了多次签名，提升了算法的实用性。

2.2.2 典型算法及应用

基于哈希的密码算法目前仅限用于数字签名，在NIST后量子密码标准化竞赛中是核心技术路线之一。典型算法包括SPHINCS+、XMSS（eXtended Merkle Signature Scheme）等。SPHINCS+是NIST第三轮确定的哈希基签名核心算法，2024年8月13日已发布为FIPS 205标准（基于SLH-DSA），具有无状态特性，无需维护签名状态，适用于证书颁发、软件更新签名等场景；其安全性基于哈希函数抗碰撞性，虽签名尺寸较大但实现简单。XMSS虽未进入NIST最终候选，但作为早期成熟的哈希签名方案，已在部分领域应用，其签名次数受限于哈希树的高度，常用于对签名次数要求不高的嵌入式设备中。此外，在欧洲的NESSIE等密码竞赛中，哈希签名方案也有过相关征集与评估。

2.2.3 优缺点分析

优点：公钥尺寸小，安全假设少，理论安全性强。由于其安全性不依赖于特定数学问题，当所用哈希函数被攻破时，可直接替换为新的安全哈希函数，具有较强的灵活性和抗替代性。

缺点：一是签名体积较大，增加了通信开销；二是有状态的哈希签名方案签名次数有限，增加签名数量会降低计算效率并进一步增大签名体积。

2.3 基于编码（Code-based）的后量子密码算法

2.3.1 算法原理

基于编码的密码算法源于编码理论，其核心思想是利用纠错码的特性构造密码方案。该类算法的安全性依赖于在随机线性码中寻找特定结构（如Goppa码）或求解错误校正问题的困难性，例如纠正随机错误码字或计算校验矩阵的伴随式等问题，这些问题在计算复杂度上具有较高的难度，量子计算机难以高效求解。

1978年，McEliece提出了首个基于编码的公钥加密方案，开创了基于编码的密码学研究领域。该方案利用Goppa码的良好纠错性能，通过对私钥（Goppa码的生成矩阵）进行随机线性变换得到公钥，加密时将明文编码后加入随机错误，解密则利用私钥的纠错能力恢复明文。

2.3.2 典型算法及应用

著名的基于编码的加密算法包括McEliece方案及其变体、HQC等，该路线在NIST后量子密码标准化中承担备份保障角色。Classic McEliece曾进入第四轮评估，但2025年3月11日NIST第四轮评估结果公布，HQC（基于编码理论）被选定为第二个密钥封装机制，作为CRYSTALS-Kyber的备份标准，计划2026年发布草案，2027年完成最终标准化。McEliece方案使用随机二进制的不可约Goppa码作为私钥，公钥是对私钥进行变换后的一般线性码；HQC则通过优化编码结构降低了公钥尺寸。该类算法通常具有较小的密文尺寸，适用于对密文传输效率要求较高的场景，如卫星通信、无线传感器网络等。在早期的密码竞赛中，基于编码的算法因历史悠久、安全性基础扎实，一直是后量子密码的重要备选方向。

2.3.3 优缺点分析

优点：密文尺寸较小，加密和解密过程相对简单，具有一定的计算效率优势。

缺点：公钥尺寸过大，密钥生成速度慢，这限制了其在资源受限设备和带宽紧张场景中的应用，在实用化方面有待进一步提升。

2.4 基于多变量（Multivariate-based）的后量子密码算法

2.4.1 算法原理

基于多变量的公钥密码系统（Multivariate Public Key Cryptography, MPKC）将有限域上一组二次多项式作为公钥映射，其安全性基于求解有限域上非线性方程组（Multivariate Quadratic Equations, MQ）的NP难问题。目前尚无量子算法能够高效求解MQ问题，但该问题的安全性也缺乏形式化证明，主要依赖于实际攻击的难度。

MPKC的基本构造思路是：选择一个易于求解的非线性方程组作为私钥，通过可逆的线性或仿射变换对其进行隐藏，得到公开的二次多项式组。加密时，将明文代入公钥多项式组得到密文；解密则利用私钥的变换关系，将密文对应的方程组还原为易于求解的形式，进而恢复明文。

2.4.2 典型算法及应用

基于多变量的密码算法典型代表包括Sflash、Rainbow等，在国际密码竞赛中经历了较多考验。Sflash曾被选为欧洲NESSIE项目的签名标准，但因存在安全漏洞被攻破，退出了实用舞台。Rainbow是一种多变量签名算法，在NIST后量子密码标准化第一轮征集中有提交，但因后续安全性分析和性能优化不足，未进入后续轮次。该类算法具有较高的签名验签速度，适用于计算和存储能力受限的物联网设备、智能卡等场景，这些场景通常注重算法效率但对带宽要求不高，无需频繁传输较大的公钥。目前，学术界仍在持续优化多变量算法的安全性和实用性，以期在未来竞赛中取得突破。

2.4.3 优缺点分析

优点：签名验签速度快，消耗资源少，在资源受限设备上具有较好的适用性。

缺点：公钥尺寸较大，且安全性面临较多挑战，部分算法已被成功攻击，整体安全性相对较低。

2.5 基于同源（Isogeny-based）的后量子密码算法

2.5.1 算法原理

基于同源的密码算法是基于椭圆曲线同源问题的后量子密码系统，其安全性依赖于寻找两条椭圆曲线之间同源的困难性。同源是椭圆曲线之间保持群运算的满同态映射，超奇异椭圆曲线上的同源问题（Supersingular Isogeny Problem）是该类算法的核心困难问题，目前被认为具有抗量子计算攻击的特性。

2011年，基于超奇异同源的SIDH（Supersingular Isogeny Diffie-Hellman）算法被提出，该算法通过交换椭圆曲线上的同源信息来实现密钥交换。2017年，基于SIDH的高效实现SIKE（Supersingular Isogeny Key Encapsulation）算法问世，进一步推动了基于同源的密码算法的发展。

2.5.2 典型算法及应用

基于同源的密码算法主要包括SIDH、SIKE、CSIDH（Commutative Supersingular Isogeny Diffie-Hellman）和SQIsign等，在NIST后量子密码标准化竞赛中经历了起伏。SIKE作为密钥封装方案进入了NIST第四轮评估，但在2023年因被发现存在严重安全漏洞（可在数小时内恢复私钥）而被撤回，未获得标准化资格。SIDH是SIKE的基础密钥交换算法，也受此影响。CSIDH和SQIsign是后续提出的改进算法，CSIDH用于密钥交换，SQIsign用于数字签名，目前尚未被攻破，但未进入NIST当前标准化进程。该类算法公钥和密文尺寸小，适用于通信量受限的环境，如低功耗广域网、射频识别（RFID）系统等，未来需在安全性证明和效率优化上持续突破以参与NIST后续标准化修订。

2.5.3 优缺点分析

优点：继承了椭圆曲线密码的底层运算，公钥和密文尺寸非常小，通信带宽占用低，适合在带宽受限场景中应用。

缺点：运行效率极低，密钥生成、加密和解密速度几乎比基于格的算法大两个数量级，难以在计算性能不足的设备上实现。此外，安全性问题不断被挑战，SIKE算法在NIST后量子密码标准化第四轮中被攻破，虽CSIDH和SQIsign暂未被攻破，但整体缺乏可证明安全性。

3 其他后量子密码技术路线

3.1 基于MPC-in-the-head的后量子密码算法

MPC-in-the-head（Multi-Party Computation in the Head）是一种零知识证明技术，它将零知识证明与单向函数相结合构造数字签名。其基本原理是通过模拟多方计算协议的执行过程，生成具有零知识性质的证明，再结合单向函数对证明进行签名，从而实现数字签名的功能。

该类算法的优点是签名密钥较小，缺点是签名尺寸较大，计算复杂度较高。FALCON作为融合MPC思想的格基算法，是NIST第三轮确定的数字签名核心算法，虽偏格路线，但体现了MPC-in-the-head技术的应用价值。GeMSS等纯MPC-in-the-head方案在NIST早期征集阶段有提交，但未进入后续轮次。此外，NIST每6个月发布《PQC算法安全评估报告》，对各类候选及核心算法的性能与安全性进行持续跟踪，MPC-in-the-head相关技术也在报告中被列为创新方向评估。

3.2 基于对称的后量子密码算法

基于对称的签名算法是指全部使用对称加密算法和哈希函数构造的签名方案。由于对称加密和哈希函数的安全性在量子计算环境下相对稳定（目前量子算法对对称密码的攻击提升有限，可通过增加密钥长度抵御），因此这类算法被认为是最可靠的后量子密码技术路线之一。

目前，基于对称的后量子签名算法中，除了Preon外，其他算法都已有不同程度的攻击。Preon是基于zkSNARK配合单向函数构造的签名算法，但其签名尺寸较大且计算效率较低，实用化仍需进一步优化。在NIST后量子密码标准化中，对称密码虽未作为独立的公钥密码路线，但NIST也发布了《后量子时代对称密码使用指南》，强调通过增加密钥长度（如AES-256、SHA-3-512）抵御量子攻击；在部分区域性密码竞赛中，基于对称技术的轻量级签名方案也被列为征集方向，用于资源极度受限的场景。

3.3 其他新兴技术路线

除上述类型外，后量子密码领域还涌现出一些新兴技术路线，如基于哈希的认证加密、基于格的全同态加密扩展等。这些技术路线仍处于研究探索阶段，尚未形成成熟的标准和广泛应用，但为后量子密码的发展提供了更多可能性。

4 总结与展望

4.1 各类算法特点总结

综合来看，主流后量子密码算法的特点总结如表1所示。

类别	优点	缺点
基于格	安全性高，性能优越，功能全	带宽较大
基于哈希	公钥很小，安全假设少	性能有待提升，功能上只能构造签名
基于编码	密文较小	公钥大，密钥生成慢，在实用化方面有待提升
基于多变量	签名验签速度快，消耗资源少	公钥大，安全性低
基于同源	带宽很小	计算速度慢，缺乏可证明安全性

4.2 未来发展趋势

后量子密码技术的发展正处于关键阶段，结合NIST最新进展，未来将呈现以下趋势：

标准化体系持续完善，2024年首批FIPS 203/204/205标准发布后，2025年确定HQC为备份KEM标准，形成“格基+编码”的双技术路线保障，计划2027年完成HQC最终标准化；NIST要求联邦机构2027年前支持PQ-TLS混合加密，2030年前全面禁用RSA/ECC等传统算法。
算法优化与融合，格基算法将持续提升物联网等场景的效率，编码基算法聚焦备份安全性，跨技术路线融合方案（如MPC与格的结合）成为研究热点。
应用场景加速渗透，金融、通信、云计算等领域将逐步推进PQC与现有体系的平滑过渡，优先部署CRYSTALS-Kyber/Dilithium等已标准化算法。
动态评估机制深化，NIST每6个月发布《PQC算法安全评估报告》，计划2028年启动标准首轮修订，可能调整参数或新增替代方案，确保算法安全性与实用性与时俱进。