本周（4月11-13日）在美國(guó)佛羅里達(dá)州的勞德代爾堡，美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)主持召開了首屆后量子時(shí)代公鑰密碼標(biāo)準(zhǔn)化的國(guó)際會(huì)議(First PQC Standardization Conference)。會(huì)議受到全世界密碼界人士的熱烈關(guān)注，盛況空前，會(huì)議入場(chǎng)卷一票難求。

本次大會(huì)的議程已經(jīng)公布。最令人高興的是，國(guó)內(nèi)有三位專家學(xué)者在大會(huì)上發(fā)言，他們分別來(lái)自復(fù)旦大學(xué)、中國(guó)科學(xué)院和上海交通大學(xué)。我預(yù)祝他們的的活動(dòng)圓滿成功，我也為我的兩所母校在世界前沿學(xué)術(shù)研究中的積極態(tài)度感到到自豪。

公鑰密碼的安全性關(guān)系著互聯(lián)網(wǎng)“建久安之勢(shì)，成長(zhǎng)治之業(yè)。”引起專家學(xué)者們的關(guān)注勢(shì)所必然。我們?cè)诒鞠盗械纳掀═LS1.3將為互聯(lián)網(wǎng)安全筑起新的長(zhǎng)城）中指出：TLS是互聯(lián)網(wǎng)傳輸層安全協(xié)議，它是互聯(lián)網(wǎng)數(shù)據(jù)傳輸安全的基石。而TLS的核心是有關(guān)通信的加密解密、密鑰分發(fā)、身份認(rèn)證和電子簽名。TLS的這些核心功能分別由對(duì)稱密碼和公鑰密碼（非對(duì)稱密碼）協(xié)同完成的。

對(duì)稱密碼使用共享密鑰對(duì)數(shù)據(jù)進(jìn)行加密解密，保證了數(shù)據(jù)在公共信道上傳輸?shù)陌踩?，公鑰密碼讓通信雙方在通信初始狀態(tài)在公共信道上彼此建立信任并獲得共享密鑰?？梢院敛豢鋸埖恼f(shuō)，公鑰密碼為互聯(lián)網(wǎng)而生，沒有公鑰密碼的互聯(lián)網(wǎng)安全是不能設(shè)想的。

互聯(lián)網(wǎng)上通信雙方遠(yuǎn)隔千山萬(wàn)水又從未見過(guò)面，他們?nèi)绾稳〉帽舜说男湃尾f(xié)商出共享的密鑰，而又不被第三者偷竊，這是對(duì)密碼學(xué)的嚴(yán)峻考驗(yàn)。解決這個(gè)難題靠的就是公鑰密碼。公鑰密碼算法產(chǎn)生出一對(duì)密鑰：公鑰和私鑰，通信雙方通過(guò)交換公鑰作身份驗(yàn)證和協(xié)商出共享的對(duì)稱密鑰。公鑰密碼巧妙地解決了網(wǎng)上通信雙方的“第一次”的尷尬，網(wǎng)上安全一日不可無(wú)此君。

舉個(gè)例子，當(dāng)你使用瀏覽器訪問(wèn)互聯(lián)網(wǎng)上的網(wǎng)站，瀏覽器和網(wǎng)站服務(wù)器都會(huì)首先調(diào)用TLS軟件包。TLS制定的算法為通信雙方分別產(chǎn)生一對(duì)公鑰和私鑰；然后通過(guò)握手程序交換公鑰和身份認(rèn)證信息；接著根據(jù)TLS提供的算法驗(yàn)證對(duì)方身份并產(chǎn)生共享的對(duì)稱密鑰；最后通信雙方使用共享的對(duì)稱密鑰對(duì)傳輸?shù)臄?shù)據(jù)作加密和解密，保證這些數(shù)據(jù)在公共網(wǎng)絡(luò)傳輸過(guò)程中不被破解和篡改。以上一連串復(fù)雜的過(guò)程全由TLS互聯(lián)網(wǎng)傳輸層安全協(xié)議軟件為每個(gè)用戶全權(quán)代理執(zhí)行的，它們才是互聯(lián)網(wǎng)上全心全意為用戶安全服務(wù)的忠誠(chéng)衛(wèi)士。

對(duì)稱密碼的安全性是有絕對(duì)保證的，那么公鑰密碼的安全性又如何呢？到目前為止，公鑰密碼還是安全的，至少與網(wǎng)絡(luò)上許多其它隱患相比，它的相對(duì)安全性是不容質(zhì)疑的（詳見“量子密碼工程建設(shè)還有太多不確定因素”一文）。但是面對(duì)傳統(tǒng)電子計(jì)算機(jī)性能的提升和將來(lái)有可能出現(xiàn)的量子計(jì)算機(jī)的潛在威脅，有必要開發(fā)公鑰密碼的新算法，提高安全性增加靈活性，未雨綢繆為互聯(lián)網(wǎng)的未來(lái)安全作好充分準(zhǔn)備。為了互聯(lián)網(wǎng)的長(zhǎng)治久安，加緊研發(fā)新一代的公鑰密碼系統(tǒng)成為了密碼學(xué)專家學(xué)者的共識(shí)，并為此取名為“后量子時(shí)代密碼學(xué)”。這就是本星期召開的國(guó)際密碼學(xué)會(huì)議的中心議題。

受量子計(jì)算機(jī)攻擊，經(jīng)對(duì)稱密鑰加密后的數(shù)據(jù)傳輸仍是安全的，問(wèn)題主要出在使用公鑰密碼作對(duì)稱密鑰分發(fā)過(guò)程中。

【后量子時(shí)代密碼系統(tǒng)的歷史回顧】

2012年～ ：美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)啟動(dòng)后量子時(shí)代密碼(PQC)項(xiàng)目，成立了包括12個(gè)密碼專家的項(xiàng)目成員組；2015年4月：舉行第一次PQC專題研討會(huì)；2015年8月：美國(guó)國(guó)家安全局(NSA)就PQC發(fā)布聲明；2016年2月：NIST發(fā)布PQC工作報(bào)告(NISTIR 8105)；2016年2月：NIST就PQC的標(biāo)準(zhǔn)化提出初步設(shè)想；2016年8月：制定出對(duì)PQC新算法的要求和評(píng)估標(biāo)準(zhǔn)的初稿，并公開征求意見；2016年9月：初稿征求意見期結(jié)束；2016年12月：對(duì)新算法的要求和評(píng)估標(biāo)準(zhǔn)被正式確定，面向全世界征求PQC新算法；2017年11月30日：提交PQC新算法的截止日期。

【后量子時(shí)代密碼系統(tǒng)的現(xiàn)狀】

到2017年11月30日截止日期前，NIST共收到各種后量子時(shí)代公鑰密碼方案82項(xiàng)，其中59項(xiàng)有關(guān)秘鑰分發(fā)/加密解密，23項(xiàng)有關(guān)身份認(rèn)證/電子簽名。這些方案分別來(lái)自美國(guó)16個(gè)州和世界六大洲共25個(gè)國(guó)家。表面上看方案來(lái)自五湖四海，但實(shí)際上仍為歐美囯家所把持。中國(guó)也提交了一個(gè)方案，但與量子密碼通信技術(shù)完全無(wú)關(guān)。

在提交的八十多項(xiàng)方案中，有些方案明顯受到較多的關(guān)注，這里就讓幾位明日之星先亮亮相，它們都是達(dá)到抗量子攻擊所必需的安全級(jí)別為128位的公鑰密碼。

NTRUEncrypt：這是后量子密碼算法中最受關(guān)注的一位，NTRU（發(fā)音“en-true”）基于阻格數(shù)學(xué)原理。它的好處主要是內(nèi)存占用低和運(yùn)行速度快。缺點(diǎn)是涉及專利。很可惜，歷史上開源項(xiàng)目一般都不會(huì)傾情于有專利授權(quán)的算法。

McEliece與Goppa：McEliece加密系統(tǒng)是目前密碼界的一顆新星，它是第一個(gè)在加密過(guò)程中使用隨機(jī)化的算法。它的好處是比RSA更快捷，主要缺點(diǎn)是密鑰位數(shù)過(guò)長(zhǎng)。典型的RSA密鑰的鍵長(zhǎng)是2048位，而McEliece鍵長(zhǎng)達(dá)512千位！比RSA長(zhǎng)256倍！

Ring Learning with Errors：另一個(gè)很有希望的后量子密鑰分發(fā)方法是“帶錯(cuò)的環(huán)學(xué)習(xí)”（RLWE）。它與場(chǎng)/集合理論中的問(wèn)題有關(guān)，可以用于同態(tài)加密，這是密碼界的另一個(gè)熱點(diǎn)。

RLWE使用7,000位的密鑰，比McEliece密鑰短得多，與現(xiàn)在常用的RSA密鑰長(zhǎng)度在同一數(shù)量級(jí)。

CECPQ1: 這是密碼界新殺出的一匹黑馬。它是谷歌在RLWE基礎(chǔ)上研發(fā)出了一種創(chuàng)新的密碼算法并且作了實(shí)際測(cè)試，這是經(jīng)典的橢圓曲線算法（Curve 25519）和被稱為“New Hope”的RLWE變體的一種組合算法。谷歌使用一小部分Chrome瀏覽器和谷歌自已的服務(wù)器（可以有效地控制TLS通信的雙方，谷歌做起來(lái)得心應(yīng)手）測(cè)試了CECPQ1密鑰分發(fā)功能。測(cè)試除了發(fā)現(xiàn)增加了1毫秒的延遲外，并沒有發(fā)現(xiàn)任何其它的障礙，這可能是與密鑰的大小有關(guān)。谷歌的實(shí)驗(yàn)已經(jīng)結(jié)束，正在等待IETF的最后評(píng)判。

為后量子時(shí)代挑選合格的公鑰密碼有點(diǎn)像紅樓夢(mèng)劇組尋找林黛玉，在眾多的美女演員中找來(lái)找去，初看個(gè)個(gè)千嬌百媚，走近一看發(fā)現(xiàn)她們每個(gè)人都有這樣哪樣的瑕疵，不知天上什么時(shí)候才會(huì)掉下一個(gè)十全十美的林妹妹。

【后量子時(shí)代密碼系統(tǒng)的展望】

2017年12月：NIST公布所有提交的新算法；2018年4月：召開第一屆PQC算法標(biāo)準(zhǔn)化全會(huì)，由算法提交方作陳述，并聽取專家意見，這就是本星期大會(huì)的主要內(nèi)容；對(duì)第一輪候選PQC算法進(jìn)行16～18個(gè)月評(píng)估和分析；2019年9月：召開第二屆PQC算法標(biāo)準(zhǔn)化全會(huì)；對(duì)第二輪候選算法作出進(jìn)一步評(píng)估和分析；估計(jì)在2022年或稍后，PQC算法的標(biāo)準(zhǔn)草案正式公布并開始征求意見。

后量子時(shí)代密碼系統(tǒng)未來(lái)進(jìn)程。

對(duì)后量子時(shí)代密碼系統(tǒng)的要求和評(píng)估標(biāo)準(zhǔn)

1）安全性。這一點(diǎn)容易理解，保證數(shù)據(jù)傳輸?shù)陌踩[秘當(dāng)然是考核評(píng)估的先決條件和首要標(biāo)準(zhǔn)。對(duì)公鑰密碼新算法的安全性評(píng)估不僅要考慮量子計(jì)算機(jī)的攻擊，還必須考慮到傳統(tǒng)電子計(jì)算機(jī)的攻擊，在今后相當(dāng)長(zhǎng)時(shí)間內(nèi)，后者的威脅可能更為實(shí)在。

2）運(yùn)行性能。這一點(diǎn)往往被外行們所忽視，這也是量子通信工程的一大問(wèn)題。評(píng)價(jià)密碼系統(tǒng)只談安全而不講效率和速度實(shí)質(zhì)上毫無(wú)意義。從工程角度來(lái)看，世界上本無(wú)絕對(duì)的信息傳輸安全，也不需要絕對(duì)安全，所有信息的重要性也都有時(shí)間性。密碼系統(tǒng)所要做的就是以最低的代價(jià)保證信息在其有效期內(nèi)不被敵方破解，或者至少讓敵方為了破解必須付出難以忍受的代價(jià)。高效率低成本是選擇后量子時(shí)代新公鑰密碼的重要考量。

3）兼容性。新的密碼系統(tǒng)必須與今日互聯(lián)網(wǎng)的物理沒備和各種通信協(xié)議兼容，與上文提及的TLS無(wú)縫銜接是必須的。僅僅為了應(yīng)對(duì)仍停留在紙上的量子攻擊，而丟棄所有現(xiàn)成的通信安全技術(shù)，建設(shè)所謂的“量子互聯(lián)網(wǎng)”，是非常不成熟的行為。

4）還要解決互聯(lián)網(wǎng)安全的一些老問(wèn)題和新矛盾，諸如解密出錯(cuò)、PFS和側(cè)道攻擊等等。這些問(wèn)題并不常見而且太過(guò)專業(yè)，本文就不作進(jìn)一步討論了。

在確定后量子時(shí)代密碼新標(biāo)準(zhǔn)時(shí)，NIST對(duì)密碼系統(tǒng)的成本和效能作了明確的要求：

1）要求密碼新標(biāo)準(zhǔn)必須能運(yùn)行在傳統(tǒng)計(jì)算機(jī)平臺(tái)上；

2）密碼新標(biāo)準(zhǔn)能在盡量多種多樣的操作系統(tǒng)上運(yùn)行，并滿足不同應(yīng)用程序的需求；

3）新標(biāo)準(zhǔn)可能會(huì)選擇多種算法，利用它們的各自優(yōu)勢(shì)去滿足不同的需求，在這場(chǎng)標(biāo)準(zhǔn)化競(jìng)爭(zhēng)中，勝出者很有可能不止一種算法；

4）為提高效能易于平行化運(yùn)行的密碼算法會(huì)得到優(yōu)先考慮。

通過(guò)以上對(duì)TLS通信安全協(xié)議和后量子時(shí)代密碼學(xué)的分析，我們可以清楚地看到，對(duì)TLS不斷改善升級(jí)同時(shí)研發(fā)全新的公鑰密碼算法是保衛(wèi)互聯(lián)網(wǎng)安全的唯一可行路線，這是由互聯(lián)網(wǎng)安全的態(tài)勢(shì)、技術(shù)的可行性和兼容性所決定的。

我們必須認(rèn)識(shí)到今天互聯(lián)網(wǎng)安全的主要威脅不在公鑰密碼系統(tǒng)上，公鑰密碼在可預(yù)見的將來(lái)是安全的。企圖倉(cāng)促啟動(dòng)量子通信工程來(lái)代替公鑰密碼不僅毫無(wú)必有，而且也沒有可能，因?yàn)榱孔油ㄐ旁诮M網(wǎng)等關(guān)鍵技術(shù)上遠(yuǎn)未成熟。缺乏對(duì)互聯(lián)網(wǎng)安全形勢(shì)的全面深入的了解，采取草率過(guò)激的反應(yīng)，其結(jié)果只會(huì)是自亂陣腳、浪費(fèi)資源。

更為關(guān)鍵的問(wèn)題是技術(shù)的兼容。我們一定要明白，所謂的量子通信不是一種新的通信技術(shù)，量子通信事實(shí)上也不是一種新的完整的密碼技術(shù)，確切地說(shuō)它僅能提供公鑰密碼中的一部分功能——即對(duì)稱密鑰的分發(fā)功能。通信和密碼是皮和毛的關(guān)系，密碼是毛，它只能依附在通信這張皮上為皮服務(wù)的。皮之不存毛將焉附，甩開傳統(tǒng)互聯(lián)網(wǎng)這張皮，量子通信這根毛何以安身立命？

從更長(zhǎng)遠(yuǎn)的角度來(lái)看，任何技術(shù)都需要更新和完善，公鑰密碼技術(shù)當(dāng)然也不例外。但是更新后的系統(tǒng)必須與互聯(lián)網(wǎng)的總體框架協(xié)調(diào)，升級(jí)換代的過(guò)程也要穩(wěn)步有序地推進(jìn)。密碼系統(tǒng)牽動(dòng)整個(gè)互聯(lián)網(wǎng)的生態(tài)環(huán)境，這是一個(gè)比操作系統(tǒng)遠(yuǎn)為龐大復(fù)雜的生態(tài)系統(tǒng)，對(duì)于這種牽一發(fā)而動(dòng)全身的技術(shù)更新，我們千萬(wàn)不能異想天開、草率行事。

在不斷改善升級(jí)TLS的同時(shí)，研發(fā)全新的公鑰密碼算法，這條由美國(guó)主導(dǎo)的提升互聯(lián)網(wǎng)安全的路線把技術(shù)的可行性和兼容性放在評(píng)估標(biāo)準(zhǔn)的首位，這是一條穩(wěn)妥、可靠、行之有效的路線。這條路線也是一條開放合作的路線，所有的協(xié)議細(xì)節(jié)和密碼算法全部公開放在桌面上討論分析，所以也取得了世界大多數(shù)國(guó)家有關(guān)專家的認(rèn)同和支持。開放和合作才是推動(dòng)互聯(lián)網(wǎng)穩(wěn)步向前發(fā)展的基礎(chǔ)。