曾被视为抗量子希望的SIKE算法：从NIST候选到被经典计算机攻破

原创已于 2025-09-26 21:34:34 修改 · 892 阅读

13 ·

CC 4.0 BY-SA版权

文章标签：

#后量子密码 #同源密码学 #FFT #CSIDH #NIST #鲁汶大学 #SIKE

于 2025-09-26 21:14:11 首次发布

前沿技术动态专栏收录该内容

56 篇文章

订阅专栏

1. 引言：量子时代的密码学危机

2022年夏天，密码学领域发生了一场震动全球的"地震"。比利时鲁汶大学的研究人员使用一台2013年发布的台式机，在短短62分钟内破解了曾被视为能抵抗量子计算攻击的SIKE算法。这一突破不仅让密码学界措手不及，更揭示了后量子密码学研究中潜在的深层问题。

SIKE（Supersingular Isogeny Key Encapsulation，超奇异同源密钥封装）作为NIST后量子密码标准化第四轮的候选算法，过去12年来一直被视为后量子密码学的希望。它的被破解，不仅意味着一个算法的失败，更标志着密码学界必须重新审视算法安全评估的方法论。

这一事件也引发了对后量子密码学未来发展的深刻思考：在量子计算时代，我们是否已经准备好构建真正安全的密码系统？SIKE的破解是否预示着其他后量子算法也可能面临类似风险？

2. 后量子密码学的背景与SIKE的崛起

2.1 传统密码体系面临的量子威胁

量子计算的发展对传统公钥密码体系构成了前所未有的威胁。Shor算法能够在多项式时间内解决大整数分解和离散对数问题，使得RSA、ECC等基于这些数学问题的密码系统在量子计算机面前完全失效。

具体来说，RSA-2048在传统超级计算机上需要约80年才能破解，而量子计算机使用Shor算法仅需8小时。这种巨大的时间差异意味着，一旦量子计算机达到足够规模，当前的互联网安全基础设施将面临崩溃风险。

传统密码体系面临的威胁不仅是理论上的，更是迫在眉睫的。根据量子计算的发展速度预测，到2030年左右，足够强大的量子计算机可能问世，足以破解当前的公钥密码系统。

2.2 NIST后量子密码标准化进程

2016年，美国国家标准与技术研究院（NIST）启动了后量子密码标准化进程，旨在征集能够抵御量子计算攻击的新算法。这一进程分为多个阶段：

第一阶段（2016-2017）：征集算法
第二阶段（2018-2019）：筛选候选算法
第三阶段（2020-2021）：深入分析候选算法
第四阶段（2021-2022）：最终评估

SIKE作为第四阶段的候选算法之一，因其独特的技术优势和紧凑的密钥尺寸而备受关注。在NIST的评估中，SIKE被列为"高级候选算法"，并被认为有潜力成为未来标准。

2.3 SIKE算法的定位与优势

SIKE是一种基于超奇异椭圆曲线同源问题的密钥封装机制（KEM），其核心创新点在于利用超奇异椭圆曲线同源问题的计算难度，同时保持了较小的密钥尺寸。

SIKE在密钥尺寸方面的优势使其在带宽受限的物联网设备和移动设备中具有显著优势。在安全级别1（对应128位安全强度）下：

SIKEp434：密钥大小434字节
CRYSTALS-Kyber（基于格的算法）：密钥大小1024字节
Classic McEliece（基于编码的算法）：密钥大小2560字节

SIKE的密钥尺寸仅为其他后量子方案的一半左右，这在资源受限的环境中具有显著优势。这也是它在NIST第四轮评估中备受关注的主要原因。

3. SIKE算法的技术原理深度解析

3.1 超奇异椭圆曲线同源问题

SIKE的安全性基于超奇异椭圆曲线同源问题的困难性。超奇异椭圆曲线是指在有限域F_p上定义的椭圆曲线，其端点群的阶与特征域的大小有特殊关系，具体为|E(F_p)| = p + 1 ± 2√p。

在超奇异椭圆曲线同源图中，节点表示椭圆曲线，边表示同源映射。同源映射是两个椭圆曲线之间的映射，保持椭圆曲线的代数结构。计算两个超奇异椭圆曲线之间的同源映射是一个计算困难的问题，这构成了SIKE的安全基础。

3.2 SIKE密钥交换机制详解

SIKE密钥交换过程可以详细描述如下：

初始化：Alice和Bob选择一个公共起点椭圆曲线E0
Alice的私有操作：
- Alice选择一个私有同源映射φ_A
- 计算E_A = φ_A(E0)
- 选择一个私有点P_A
- 计算E_A的辅助扭转点Q_A = [n]P_A（n为安全参数）
- 将E_A和Q_A发送给Bob
Bob的私有操作：
- Bob选择一个私有同源映射φ_B
- 计算E_B = φ_B(E0)
- 选择一个私有点P_B
- 计算E_B的辅助扭转点Q_B = [n]P_B
- 将E_B和Q_B发送给Alice
共享密钥生成：
- Alice计算φ_B(E_A)并提取辅助扭转点Q_A'
- Bob计算φ_A(E_B)并提取辅助扭转点Q_B'
- Alice和Bob使用Q_A'和Q_B'生成相同的共享密钥

这一过程的数学基础是超奇异椭圆曲线同源的"交换性"特性，即φ_B(φ_A(E0))和φ_A(φ_B(E0))是同源的，因此可以生成相同的共享密钥。

3.3 SIKE的密钥尺寸优势分析

SIKE的密钥尺寸优势源于其独特的同源计算方式。与基于格的算法需要处理高维向量空间不同，SIKE在椭圆曲线的同源图中进行操作，这使得密钥尺寸可以保持较小。

具体来说，SIKE的密钥尺寸由以下几个部分组成：

椭圆曲线的描述（约200-300字节）
辅助扭转点的描述（约100-200字节）
其他参数（约50-100字节）

相比之下，基于格的算法需要描述一个高维向量空间，密钥尺寸通常较大。例如，CRYSTALS-Kyber的密钥尺寸为1024字节，而SIKEp434的密钥尺寸仅为434字节。

这种密钥尺寸优势在物联网设备、移动设备和低带宽网络环境中尤为重要，因为这些场景对带宽和存储空间有严格限制。

4. SIKE被破解的惊人事实与细节

4.1 破解实验的硬件与时间数据

2022年7月，鲁汶大学研究人员Wouter Castryck和Thomas Decru发表了一篇论文，提出了一种针对SIKE的创新攻击方法。他们使用一台2013年发布的Intel Xeon CPU E5-2630v2处理器（2.60GHz）的单核，在短时间内完成了破解。

具体破解结果如下：

安全级别	算法	破解时间	安全强度
1	SIKEp434	62分钟	128位
2	SIKEp503	2小时19分钟	192位
3	SIKEp610	8小时15分钟	256位
5	SIKEp751	21小时37分钟	384位

对于微软设置的SIKE挑战题IKEp182和IKEp182和IKEp217，分别仅需4分钟和6分钟即可破解。这些结果远低于SIKE预期的安全强度，表明其安全评估存在严重缺陷。

4.2 破解结果的对比分析

SIKE的破解结果与预期安全强度形成鲜明对比：

传统密码体系：RSA-2048在传统计算机上需80年破解
SIKE预期：基于同源问题的难度，预计需要数十年才能破解
实际结果：在单核CPU上62分钟内破解

这一差距表明，SIKE的安全评估未能充分考虑数学理论的新应用。更令人惊讶的是，攻击者并没有使用量子计算机，而是利用了25年前的数学理论，这凸显了密码学安全评估的复杂性和挑战性。

5. 破解背后的数学奥秘

5.1 Kani定理的发现与应用

破解的关键在于利用了数学家恩斯特·卡尼（Ernst Kani）在1997年提出的数学定理。Castryck和Decru发现，这个定理可以被用来解决SIKE中的同源问题。

Kani定理描述了椭圆曲线的"粘合和分裂"特性，这在SIKE协议中被意外地利用。具体来说，Kani定理表明，两个椭圆曲线的乘积可以表示为一个阿贝尔曲面，而这个阿贝尔曲面可以通过数学方法与椭圆曲线联系起来。

5.2 辅助扭转点的致命漏洞

SIKE协议中，Alice和Bob在交换信息时会提供一个"辅助扭转点"，这个点在协议设计中是为了保证安全性。但攻击者发现，这个点可以被用来加速攻击。

具体来说，辅助扭转点Q_A = [n]P_A在SIKE协议中是必须提供的，但攻击者利用这个点，可以将椭圆曲线问题转换为更容易解决的阿贝尔曲面问题。

5.3 从椭圆曲线到阿贝尔曲面的转换

攻击的核心思路是：

计算椭圆曲线的乘积：计算Alice的起点椭圆曲线E0与公开发给Bob的椭圆曲线E1的乘积，得到一个阿贝尔曲面A
利用Kani定理：将阿贝尔曲面A与椭圆曲线E0和E1联系起来
结合辅助扭转点：利用辅助扭转点信息，计算出Alice的秘密同源

数学上，攻击方法可以描述为：

设E0为起点椭圆曲线，E1为Alice发送给Bob的椭圆曲线
计算E0和E1的乘积，得到阿贝尔曲面A
利用Kani的"粘合和分裂"定理，将A与E0和E1联系起来
结合辅助扭转点信息，计算出Alice的秘密同源

这种转换使得原本需要指数级计算量的问题，转化为多项式时间可解的问题，从而在单核CPU上实现快速破解。

6. 密码学界的反应与行业影响

6.1 学术界的评价与启示

SIKE被破解的消息迅速在密码学界引起轰动。奥克兰大学的数学家Steven Galbraith表示："此次破解中使用的核心理论来自数学。这也在一定程度上验证了，对于研究密码学，数学基础理论的积累非常重要。"

SIKE的提出者之一、加拿大滑铁卢大学教授David Jao回应道："虽然一开始我为SIKE被破解感到难过，但这种利用数学的破解方法实在太妙了。"同时，他也为SIKE在被大范围部署前被破解感到庆幸。

这一事件也引发了密码学界对算法安全评估方法的深入讨论。密码学家们开始重新审视算法安全评估的全面性，特别是要关注数学理论的最新进展。

6.2 NIST标准进程的调整

SIKE被破解后，NIST迅速调整了后量子密码标准化进程。2022年8月，NIST宣布了第一套后量子密码标准，其中包括：

CRYSTALS-Kyber（密钥封装机制）
CRYSTALS-Dilithium（数字签名）
FALCON（数字签名）
SPHINCS+（数字签名）

SIKE被从标准化进程中移除，不再作为后量子密码候选算法。NIST在官方声明中指出："SIKE的安全性已被证明低于预期，因此不再适合纳入标准。"

6.3 科技巨头的战略调整

微软、亚马逊等科技巨头迅速调整了其对SIKE的立场。微软在2022年9月宣布，将停止在Azure服务中使用SIKE算法。亚马逊也宣布，将重新评估其后量子密码学战略。

这一事件促使科技公司更加谨慎地评估后量子密码算法，避免在部署前未经过充分安全评估的算法。微软安全团队在声明中表示："SIKE的破解提醒我们，后量子密码学的评估必须更加严格和全面。"

7. 同源密码学的未来与优化

7.1 2025年最新研究进展

2025年6月的研究表明，通过快速傅里叶变换（FFT）和超奇异椭圆曲线自同态特性，可以大幅优化同源计算效率。这项研究将同源计算复杂度从O(n²)降至O(n log n)，在SIKE-p503方案中实现了5倍加速。

这项研究的关键在于将同源计算中的多项式乘法从O(n²)降至O(n log n)。通过利用FFT，攻击者可以更高效地计算同源映射，从而加速破解过程。

7.2 FFT优化对同源计算的加速

FFT优化的核心在于将同源计算中的多项式乘法从O(n²)降至O(n log n)。这一优化使得同源计算在实际应用中更加可行，为同源密码学的未来发展扫清了性能障碍。

具体来说，FFT优化在SIKE-p503方案中实现了5倍加速，这意味着在相同硬件条件下，同源计算可以在更短时间内完成。这不仅对攻击者有利，也对防御者有利，因为这意味着同源密码学可以在实际应用中更加高效。

7.3 CSIDH等替代方案的现状

SIKE被破解后，其他基于同源的算法（如CSIDH、SQsign）成为新的研究重点。CSIDH（Commutative Supersingular Isogeny Diffie-Hellman）是一种基于同源的密钥交换协议，其安全性依赖于椭圆曲线同源的交换性，与SIKE不同，CSIDH没有提供"辅助扭转点"，因此不受此次攻击影响。

CSIDH的密钥尺寸与SIKE相似，但在安全性方面更为可靠。目前，CSIDH被认为是同源密码学中最具潜力的替代方案之一。

8. 后量子密码学的多元发展与标准选择

8.1 NIST最终选定的后量子密码标准

NIST最终选定的后量子密码标准包括：

CRYSTALS-Kyber：基于格的密钥封装机制，成为NIST选定的后量子加密标准，其安全性基于LWE（Learning With Errors）问题。
CRYSTALS-Dilithium：基于格的数字签名方案，安全性基于LWE问题。
FALCON：基于格的数字签名方案，具有较小的签名尺寸（约600字节），但计算复杂度较高。
SPHINCS+：基于哈希的数字签名方案，安全性基于哈希函数的抗碰撞特性。

这些算法在安全性、效率和密钥尺寸方面各有优势，为不同应用场景提供了选择。

8.2 各类后量子密码方案的比较

方案类型	代表算法	安全性	密钥尺寸	签名/加密速度	适用场景
基于格	Kyber, Dilithium	高	1KB左右	快	通用加密、数字签名
基于哈希	SPHINCS+	高	2KB左右	较慢	高安全性要求场景
基于编码	Classic McEliece	高	2.5KB以上	较慢	高安全性要求场景
基于同源	CSIDH	高	1KB左右	中等	物联网、移动设备
基于多变量	Rainbow	中等	1KB左右	快	高性能要求场景