2020年7月22日是公鑰密碼技術(shù)發(fā)展史上的又一個(gè)重要的里程碑，美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)公布了進(jìn)入第三輪評(píng)審的七種后量子時(shí)代公鑰密碼算法，引起了國(guó)際密碼學(xué)界的高度關(guān)注[1]。

公鑰密碼目前是足夠安全的，但是量子計(jì)算機(jī)的進(jìn)步和傳統(tǒng)電子計(jì)算機(jī)的飛速發(fā)展對(duì)公鑰密碼的未來(lái)安全投下了陰影。為了確保互聯(lián)網(wǎng)的長(zhǎng)治久安，不斷完善和提高公鑰密碼的安全性，未雨綢繆作好充分的準(zhǔn)備，這已經(jīng)成了通信密碼學(xué)界的共識(shí)。

從2012年起，NIST啟動(dòng)后量子時(shí)代密碼(PQC)項(xiàng)目，成立了包括12個(gè)密碼專(zhuān)家的項(xiàng)目成員組。表一展示了NIST推動(dòng)PQC標(biāo)準(zhǔn)化的時(shí)間表。

到2017年11月30日截止日期前，NIST共收到各種后量子時(shí)代公鑰密碼算法82項(xiàng)，其中59項(xiàng)有關(guān)密鑰分發(fā)/加密解密，23項(xiàng)有關(guān)身份認(rèn)證/電子簽名。這些算法分別來(lái)自美國(guó)16個(gè)州和世界六大洲共25個(gè)國(guó)家。其中共有69種候選算法同時(shí)滿(mǎn)足最低驗(yàn)收標(biāo)準(zhǔn)和提交要求，被正式列入第一輪審核程序。

第一輪評(píng)審持續(xù)到2019年1月，在此期間對(duì)候選算法的安全性、效率和其他特性進(jìn)行了深入的評(píng)估，然后NIST選擇了26種算法進(jìn)入第二輪評(píng)審。接著在公眾反饋和內(nèi)部反復(fù)的測(cè)試評(píng)估的基礎(chǔ)上，通過(guò)大浪淘沙，有15種算法脫颕而出進(jìn)入第三輪評(píng)審。這15種獲勝的算法被分成兩組，其中的7種入圍決賽，另8種將作為候補(bǔ)算法。詳見(jiàn)圖一。

決賽入圍的密碼算法很有可能在第三輪評(píng)審結(jié)束后立即進(jìn)行標(biāo)準(zhǔn)化。由于CRYSTALS-KYBER，NTRU和SABRE都是基于格理論的密碼算法，因此NIST打算選擇其中的一種作為密鑰分發(fā)的最后標(biāo)準(zhǔn)。對(duì)于數(shù)字簽名方案也會(huì)在CRYSTALS-DILITHIUM和FALCON中二選其一。由此看來(lái)，基于格理論的密碼算法似乎是用于公鑰加密、密鑰分發(fā)(KEM)和數(shù)字簽名方案的最有前途的通用算法[2]。

NIST這次設(shè)立候補(bǔ)小組頗具創(chuàng)意。在下一輪評(píng)估后，某種候補(bǔ)算法有可能彎道超車(chē)，被選為最后的標(biāo)準(zhǔn)算法。另外，某些運(yùn)營(yíng)效率較差的候補(bǔ)算法也有可能因?yàn)槠涓甙踩远煌扑]給特定客戶(hù)，以満足某些應(yīng)用場(chǎng)景的特殊需求。

接下來(lái)的第三輪評(píng)審預(yù)計(jì)將持續(xù)12至18個(gè)月。在這個(gè)攻堅(jiān)階段中，NIST希望密碼界同仁們能對(duì)候選方案作出更深入的評(píng)估。NIST 特別強(qiáng)調(diào)，評(píng)審的重點(diǎn)除了密碼算法的安全性以外，必須把算法抗側(cè)道攻擊的能力，算法與互聯(lián)網(wǎng)協(xié)議的兼容，以及算法在各種硬件設(shè)備上運(yùn)行的效率作為評(píng)價(jià)的重要依據(jù)。

NIST計(jì)劃在2021年春季或夏季主辦第三次PQC標(biāo)準(zhǔn)化會(huì)議。希望在2022年初在最后勝出的算法中選定幾個(gè)實(shí)施標(biāo)準(zhǔn)化，因此第三輪將作為PQC標(biāo)準(zhǔn)化第一階段的最后一輪評(píng)審。

下面談?wù)勎覍?duì)PQC發(fā)展策略的幾點(diǎn)體會(huì)。

1)君子引而不發(fā)，躍如也

近年來(lái)，NIST主導(dǎo)下的后量子時(shí)代公鑰密碼標(biāo)準(zhǔn)化過(guò)程一直在緊鑼密鼓地進(jìn)行中，在新冠疫情引發(fā)的全球性災(zāi)難中，PQC標(biāo)準(zhǔn)化依舊按照原定的時(shí)間表有條不紊地向前推進(jìn)。但是NIST也反復(fù)強(qiáng)調(diào)，如果評(píng)審過(guò)程中有新的技術(shù)突破或其它不確定因素出現(xiàn)，PQC標(biāo)準(zhǔn)化進(jìn)度會(huì)隨時(shí)作出調(diào)整，不排除增加新一輪(第四輪)評(píng)審的可能。

量子計(jì)算機(jī)對(duì)公鑰密碼安全畢竟沒(méi)有現(xiàn)實(shí)的威脅，所以完全沒(méi)有必要急于固化技術(shù)匆忙推出產(chǎn)品；但同時(shí)又保持高度的警惕，不斷研發(fā)、測(cè)試并掌握多種新的抗量子攻擊的密碼算法，一旦面臨威脅立刻可以把研究成果產(chǎn)品化并投入實(shí)用。文武之道、一張一弛，NIST在推進(jìn)PQC標(biāo)準(zhǔn)化的過(guò)程中始終保持著良好的節(jié)奏感。

老家蘇州有句俗語(yǔ)：不要船還沒(méi)翻就跳進(jìn)河里去。為了互聯(lián)網(wǎng)的長(zhǎng)治久安，密碼安全的研發(fā)必須時(shí)刻準(zhǔn)備著，但千萬(wàn)不要操之過(guò)急自亂陣腳。君子引而不發(fā)，躍如也。這才是真正謀長(zhǎng)遠(yuǎn)、做大局的正確決策。

2）具有現(xiàn)實(shí)感的理想主義者

一種技術(shù)的優(yōu)劣是由該技術(shù)的多項(xiàng)性能共同決定的，因此技術(shù)評(píng)審時(shí)，在選取考核的各項(xiàng)性能和確定它們的權(quán)重時(shí)必須統(tǒng)籌兼顧有全局觀念。評(píng)估密碼算法的核心標(biāo)準(zhǔn)是安全性，這毫無(wú)疑問(wèn)，但是NIST又把密碼算法的運(yùn)行效率、與互聯(lián)網(wǎng)的兼容性等作為評(píng)估的重要標(biāo)準(zhǔn)，這是十分明智的做法。技術(shù)評(píng)審不是選美，不是挑花架子出來(lái)做秀。評(píng)審的最終目的是挑選最實(shí)用的技術(shù)以滿(mǎn)足市場(chǎng)的需求，這就注定了必須從使用者的角度出發(fā)，把技術(shù)的可行性、易用性放在十分重要的位置。

另外，在指定技術(shù)性能的標(biāo)準(zhǔn)時(shí)，也必須科學(xué)合理、實(shí)事求是。NIST在整個(gè)評(píng)審過(guò)程中從來(lái)也沒(méi)有提出過(guò)“無(wú)條件絕對(duì)安全”這類(lèi)不合理的要求。因?yàn)椤盁o(wú)條件絕對(duì)安全”的要求不僅很難實(shí)現(xiàn)，而且為了這個(gè)目標(biāo)一定會(huì)付出難以承受的代價(jià)，在工程界的詞典中它從來(lái)就不存在。

從更長(zhǎng)遠(yuǎn)的角度來(lái)看，任何技術(shù)都需要更新和完善，公鑰密碼技術(shù)當(dāng)然也不例外。但是更新后的系統(tǒng)必須與互聯(lián)網(wǎng)的總體框架協(xié)調(diào)，升級(jí)換代的過(guò)程也要穩(wěn)步有序地推進(jìn)。密碼系統(tǒng)牽動(dòng)整個(gè)互聯(lián)網(wǎng)的生態(tài)環(huán)境，這是一個(gè)比操作系統(tǒng)更為龐大復(fù)雜的生態(tài)系統(tǒng)，對(duì)于這種牽一發(fā)而動(dòng)全身的技術(shù)更新，千萬(wàn)不能異想天開(kāi)、草率行事。

一個(gè)優(yōu)秀的工程師應(yīng)該是具有現(xiàn)實(shí)感的理想主義者。只有理想不顧現(xiàn)實(shí)，就會(huì)走向極端導(dǎo)致失?。环粗?，只有現(xiàn)實(shí)而沒(méi)有理想，則難以脫穎而出邁向優(yōu)秀。一個(gè)優(yōu)秀的工程師就是不斷地在理想和現(xiàn)實(shí)之間尋求妥協(xié)、保持平衡。

3）以多元化應(yīng)付不確定的未來(lái)

NIST在多輪評(píng)審中，在淘汰一些密碼算法時(shí)保持了高度的克制，在推出本輪候選算法時(shí)特地安排了一個(gè)包括8種密碼算法的后備梯隊(duì)。NIST為了保留抗量子密碼算法的多樣性上可謂是煞費(fèi)可心。

評(píng)審后量子時(shí)代公鑰密碼是為了應(yīng)對(duì)未來(lái)信息安全的挑戰(zhàn)，而未來(lái)是高度不確定的，信息安全領(lǐng)域更是技術(shù)對(duì)抗博弈的戰(zhàn)場(chǎng)，需要面對(duì)的問(wèn)題高度復(fù)雜和不確定。技術(shù)多樣性是應(yīng)付高度復(fù)雜且不確定的未來(lái)的唯一選擇，地球上生物能夠綿延數(shù)億年靠的就是多樣性，這里面的道理是相通的。

后量子密碼技術(shù)PQC是以數(shù)學(xué)為基礎(chǔ)的軟件技術(shù)，軟件技術(shù)可以讓多種密碼算法共存于一個(gè)系統(tǒng)之中，這使用過(guò)程中可以方便地更新和切換，所以PQC其實(shí)是對(duì)抗后量子時(shí)代高度不確定環(huán)境的唯一途徑。

關(guān)于公鑰密碼的升級(jí)換代，存在兩條絕然不同的技術(shù)路線(xiàn)：主流路線(xiàn)是IETF推出TLS1.3，NIST規(guī)劃用十年的時(shí)間制定后量子時(shí)代密碼的新標(biāo)準(zhǔn)；另一條路線(xiàn)是中國(guó)開(kāi)建量子密碼干線(xiàn)工程，這兩種路線(xiàn)形成鮮明的對(duì)比，世界主流路線(xiàn)PQC是漸進(jìn)、開(kāi)放和合作的路線(xiàn)，釆用的是以數(shù)學(xué)原理為基礎(chǔ)的軟件技術(shù)；而中國(guó)的QKD相反采取了激進(jìn)、封閉的路線(xiàn)，釆用的是以物理原理為基礎(chǔ)的硬件技術(shù)。究竟哪條路線(xiàn)能更有效地確?；ヂ?lián)網(wǎng)未來(lái)的安全呢？我覺(jué)得都不用查看內(nèi)容，單從思維層面上來(lái)看，高下立見(jiàn)。

當(dāng)然，中國(guó)密碼界不乏有識(shí)之士，我的母校復(fù)旦大學(xué)和上海交大在PQC的學(xué)術(shù)研究領(lǐng)域都有高水準(zhǔn)的成果。但是科硏的資源和媒體的燈光全都聚焦在中科大的量子通信項(xiàng)目上，所以對(duì)PQC的進(jìn)展就鮮有人知。

近期量子通信的宣傳基調(diào)也作了調(diào)整，反復(fù)強(qiáng)調(diào)QKD不會(huì)取代傳統(tǒng)密碼，而是要與傳統(tǒng)密碼合作，特別提到要攜手PQC共同對(duì)抗量子計(jì)算機(jī)威脅。但問(wèn)題是PQC有完整的解決方案，它完全不需要QKD，有關(guān)PQC的所有國(guó)際會(huì)議和海量資料中對(duì)QKD沒(méi)有只字片語(yǔ)，這就是明證。量子通信想要牽手PQC恐怕只能是一廂情愿的單相思罷了。