本周（4月11-13日）在美國佛羅里達(dá)州的勞德代爾堡，美國國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)主持召開了首屆后量子時代公鑰密碼標(biāo)準(zhǔn)化的國際會議(First PQC Standardization Conference)。會議受到全世界密碼界人士的熱烈關(guān)注，盛況空前，會議入場卷一票難求。

本次大會的議程已經(jīng)公布。最令人高興的是，國內(nèi)有三位專家學(xué)者在大會上發(fā)言，他們分別來自復(fù)旦大學(xué)、中國科學(xué)院和上海交通大學(xué)。我預(yù)祝他們的的活動圓滿成功，我也為我的兩所母校在世界前沿學(xué)術(shù)研究中的積極態(tài)度感到到自豪。

公鑰密碼的安全性關(guān)系著互聯(lián)網(wǎng)“建久安之勢，成長治之業(yè)。”引起專家學(xué)者們的關(guān)注勢所必然。我們在本系列的上篇（TLS1.3將為互聯(lián)網(wǎng)安全筑起新的長城）中指出：TLS是互聯(lián)網(wǎng)傳輸層安全協(xié)議，它是互聯(lián)網(wǎng)數(shù)據(jù)傳輸安全的基石。而TLS的核心是有關(guān)通信的加密解密、密鑰分發(fā)、身份認(rèn)證和電子簽名。TLS的這些核心功能分別由對稱密碼和公鑰密碼（非對稱密碼）協(xié)同完成的。

對稱密碼使用共享密鑰對數(shù)據(jù)進(jìn)行加密解密，保證了數(shù)據(jù)在公共信道上傳輸?shù)陌踩?，公鑰密碼讓通信雙方在通信初始狀態(tài)在公共信道上彼此建立信任并獲得共享密鑰?？梢院敛豢鋸埖恼f，公鑰密碼為互聯(lián)網(wǎng)而生，沒有公鑰密碼的互聯(lián)網(wǎng)安全是不能設(shè)想的。

互聯(lián)網(wǎng)上通信雙方遠(yuǎn)隔千山萬水又從未見過面，他們?nèi)绾稳〉帽舜说男湃尾f(xié)商出共享的密鑰，而又不被第三者偷竊，這是對密碼學(xué)的嚴(yán)峻考驗(yàn)。解決這個難題靠的就是公鑰密碼。公鑰密碼算法產(chǎn)生出一對密鑰：公鑰和私鑰，通信雙方通過交換公鑰作身份驗(yàn)證和協(xié)商出共享的對稱密鑰。公鑰密碼巧妙地解決了網(wǎng)上通信雙方的“第一次”的尷尬，網(wǎng)上安全一日不可無此君。

舉個例子，當(dāng)你使用瀏覽器訪問互聯(lián)網(wǎng)上的網(wǎng)站，瀏覽器和網(wǎng)站服務(wù)器都會首先調(diào)用TLS軟件包。TLS制定的算法為通信雙方分別產(chǎn)生一對公鑰和私鑰；然后通過握手程序交換公鑰和身份認(rèn)證信息；接著根據(jù)TLS提供的算法驗(yàn)證對方身份并產(chǎn)生共享的對稱密鑰；最后通信雙方使用共享的對稱密鑰對傳輸?shù)臄?shù)據(jù)作加密和解密，保證這些數(shù)據(jù)在公共網(wǎng)絡(luò)傳輸過程中不被破解和篡改。以上一連串復(fù)雜的過程全由TLS互聯(lián)網(wǎng)傳輸層安全協(xié)議軟件為每個用戶全權(quán)代理執(zhí)行的，它們才是互聯(lián)網(wǎng)上全心全意為用戶安全服務(wù)的忠誠衛(wèi)士。

對稱密碼的安全性是有絕對保證的，那么公鑰密碼的安全性又如何呢？到目前為止，公鑰密碼還是安全的，至少與網(wǎng)絡(luò)上許多其它隱患相比，它的相對安全性是不容質(zhì)疑的（詳見“量子密碼工程建設(shè)還有太多不確定因素”一文）。但是面對傳統(tǒng)電子計算機(jī)性能的提升和將來有可能出現(xiàn)的量子計算機(jī)的潛在威脅，有必要開發(fā)公鑰密碼的新算法，提高安全性增加靈活性，未雨綢繆為互聯(lián)網(wǎng)的未來安全作好充分準(zhǔn)備。為了互聯(lián)網(wǎng)的長治久安，加緊研發(fā)新一代的公鑰密碼系統(tǒng)成為了密碼學(xué)專家學(xué)者的共識，并為此取名為“后量子時代密碼學(xué)”。這就是本星期召開的國際密碼學(xué)會議的中心議題。

受量子計算機(jī)攻擊，經(jīng)對稱密鑰加密后的數(shù)據(jù)傳輸仍是安全的，問題主要出在使用公鑰密碼作對稱密鑰分發(fā)過程中。

【后量子時代密碼系統(tǒng)的歷史回顧】

2012年～ ：美國國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)啟動后量子時代密碼(PQC)項目，成立了包括12個密碼專家的項目成員組；2015年4月：舉行第一次PQC專題研討會；2015年8月：美國國家安全局(NSA)就PQC發(fā)布聲明；2016年2月：NIST發(fā)布PQC工作報告(NISTIR 8105)；2016年2月：NIST就PQC的標(biāo)準(zhǔn)化提出初步設(shè)想；2016年8月：制定出對PQC新算法的要求和評估標(biāo)準(zhǔn)的初稿，并公開征求意見；2016年9月：初稿征求意見期結(jié)束；2016年12月：對新算法的要求和評估標(biāo)準(zhǔn)被正式確定，面向全世界征求PQC新算法；2017年11月30日：提交PQC新算法的截止日期。

【后量子時代密碼系統(tǒng)的現(xiàn)狀】

到2017年11月30日截止日期前，NIST共收到各種后量子時代公鑰密碼方案82項，其中59項有關(guān)秘鑰分發(fā)/加密解密，23項有關(guān)身份認(rèn)證/電子簽名。這些方案分別來自美國16個州和世界六大洲共25個國家。表面上看方案來自五湖四海，但實(shí)際上仍為歐美囯家所把持。中國也提交了一個方案，但與量子密碼通信技術(shù)完全無關(guān)。

在提交的八十多項方案中，有些方案明顯受到較多的關(guān)注，這里就讓幾位明日之星先亮亮相，它們都是達(dá)到抗量子攻擊所必需的安全級別為128位的公鑰密碼。

NTRUEncrypt：這是后量子密碼算法中最受關(guān)注的一位，NTRU（發(fā)音“en-true”）基于阻格數(shù)學(xué)原理。它的好處主要是內(nèi)存占用低和運(yùn)行速度快。缺點(diǎn)是涉及專利。很可惜，歷史上開源項目一般都不會傾情于有專利授權(quán)的算法。

McEliece與Goppa：McEliece加密系統(tǒng)是目前密碼界的一顆新星，它是第一個在加密過程中使用隨機(jī)化的算法。它的好處是比RSA更快捷，主要缺點(diǎn)是密鑰位數(shù)過長。典型的RSA密鑰的鍵長是2048位，而McEliece鍵長達(dá)512千位！比RSA長256倍！

Ring Learning with Errors：另一個很有希望的后量子密鑰分發(fā)方法是“帶錯的環(huán)學(xué)習(xí)”（RLWE）。它與場/集合理論中的問題有關(guān)，可以用于同態(tài)加密，這是密碼界的另一個熱點(diǎn)。

RLWE使用7,000位的密鑰，比McEliece密鑰短得多，與現(xiàn)在常用的RSA密鑰長度在同一數(shù)量級。

CECPQ1: 這是密碼界新殺出的一匹黑馬。它是谷歌在RLWE基礎(chǔ)上研發(fā)出了一種創(chuàng)新的密碼算法并且作了實(shí)際測試，這是經(jīng)典的橢圓曲線算法（Curve 25519）和被稱為“New Hope”的RLWE變體的一種組合算法。谷歌使用一小部分Chrome瀏覽器和谷歌自已的服務(wù)器（可以有效地控制TLS通信的雙方，谷歌做起來得心應(yīng)手）測試了CECPQ1密鑰分發(fā)功能。測試除了發(fā)現(xiàn)增加了1毫秒的延遲外，并沒有發(fā)現(xiàn)任何其它的障礙，這可能是與密鑰的大小有關(guān)。谷歌的實(shí)驗(yàn)已經(jīng)結(jié)束，正在等待IETF的最后評判。

為后量子時代挑選合格的公鑰密碼有點(diǎn)像紅樓夢劇組尋找林黛玉，在眾多的美女演員中找來找去，初看個個千嬌百媚，走近一看發(fā)現(xiàn)她們每個人都有這樣哪樣的瑕疵，不知天上什么時候才會掉下一個十全十美的林妹妹。

【后量子時代密碼系統(tǒng)的展望】

2017年12月：NIST公布所有提交的新算法；2018年4月：召開第一屆PQC算法標(biāo)準(zhǔn)化全會，由算法提交方作陳述，并聽取專家意見，這就是本星期大會的主要內(nèi)容；對第一輪候選PQC算法進(jìn)行16～18個月評估和分析；2019年9月：召開第二屆PQC算法標(biāo)準(zhǔn)化全會；對第二輪候選算法作出進(jìn)一步評估和分析；估計在2022年或稍后，PQC算法的標(biāo)準(zhǔn)草案正式公布并開始征求意見。

后量子時代密碼系統(tǒng)未來進(jìn)程。

對后量子時代密碼系統(tǒng)的要求和評估標(biāo)準(zhǔn)

1）安全性。這一點(diǎn)容易理解，保證數(shù)據(jù)傳輸?shù)陌踩[秘當(dāng)然是考核評估的先決條件和首要標(biāo)準(zhǔn)。對公鑰密碼新算法的安全性評估不僅要考慮量子計算機(jī)的攻擊，還必須考慮到傳統(tǒng)電子計算機(jī)的攻擊，在今后相當(dāng)長時間內(nèi)，后者的威脅可能更為實(shí)在。

2）運(yùn)行性能。這一點(diǎn)往往被外行們所忽視，這也是量子通信工程的一大問題。評價密碼系統(tǒng)只談安全而不講效率和速度實(shí)質(zhì)上毫無意義。從工程角度來看，世界上本無絕對的信息傳輸安全，也不需要絕對安全，所有信息的重要性也都有時間性。密碼系統(tǒng)所要做的就是以最低的代價保證信息在其有效期內(nèi)不被敵方破解，或者至少讓敵方為了破解必須付出難以忍受的代價。高效率低成本是選擇后量子時代新公鑰密碼的重要考量。

3）兼容性。新的密碼系統(tǒng)必須與今日互聯(lián)網(wǎng)的物理沒備和各種通信協(xié)議兼容，與上文提及的TLS無縫銜接是必須的。僅僅為了應(yīng)對仍停留在紙上的量子攻擊，而丟棄所有現(xiàn)成的通信安全技術(shù)，建設(shè)所謂的“量子互聯(lián)網(wǎng)”，是非常不成熟的行為。

4）還要解決互聯(lián)網(wǎng)安全的一些老問題和新矛盾，諸如解密出錯、PFS和側(cè)道攻擊等等。這些問題并不常見而且太過專業(yè)，本文就不作進(jìn)一步討論了。

在確定后量子時代密碼新標(biāo)準(zhǔn)時，NIST對密碼系統(tǒng)的成本和效能作了明確的要求：

1）要求密碼新標(biāo)準(zhǔn)必須能運(yùn)行在傳統(tǒng)計算機(jī)平臺上；

2）密碼新標(biāo)準(zhǔn)能在盡量多種多樣的操作系統(tǒng)上運(yùn)行，并滿足不同應(yīng)用程序的需求；

3）新標(biāo)準(zhǔn)可能會選擇多種算法，利用它們的各自優(yōu)勢去滿足不同的需求，在這場標(biāo)準(zhǔn)化競爭中，勝出者很有可能不止一種算法；

4）為提高效能易于平行化運(yùn)行的密碼算法會得到優(yōu)先考慮。

通過以上對TLS通信安全協(xié)議和后量子時代密碼學(xué)的分析，我們可以清楚地看到，對TLS不斷改善升級同時研發(fā)全新的公鑰密碼算法是保衛(wèi)互聯(lián)網(wǎng)安全的唯一可行路線，這是由互聯(lián)網(wǎng)安全的態(tài)勢、技術(shù)的可行性和兼容性所決定的。

我們必須認(rèn)識到今天互聯(lián)網(wǎng)安全的主要威脅不在公鑰密碼系統(tǒng)上，公鑰密碼在可預(yù)見的將來是安全的。企圖倉促啟動量子通信工程來代替公鑰密碼不僅毫無必有，而且也沒有可能，因?yàn)榱孔油ㄐ旁诮M網(wǎng)等關(guān)鍵技術(shù)上遠(yuǎn)未成熟。缺乏對互聯(lián)網(wǎng)安全形勢的全面深入的了解，采取草率過激的反應(yīng)，其結(jié)果只會是自亂陣腳、浪費(fèi)資源。

更為關(guān)鍵的問題是技術(shù)的兼容。我們一定要明白，所謂的量子通信不是一種新的通信技術(shù)，量子通信事實(shí)上也不是一種新的完整的密碼技術(shù)，確切地說它僅能提供公鑰密碼中的一部分功能——即對稱密鑰的分發(fā)功能。通信和密碼是皮和毛的關(guān)系，密碼是毛，它只能依附在通信這張皮上為皮服務(wù)的。皮之不存毛將焉附，甩開傳統(tǒng)互聯(lián)網(wǎng)這張皮，量子通信這根毛何以安身立命？

從更長遠(yuǎn)的角度來看，任何技術(shù)都需要更新和完善，公鑰密碼技術(shù)當(dāng)然也不例外。但是更新后的系統(tǒng)必須與互聯(lián)網(wǎng)的總體框架協(xié)調(diào)，升級換代的過程也要穩(wěn)步有序地推進(jìn)。密碼系統(tǒng)牽動整個互聯(lián)網(wǎng)的生態(tài)環(huán)境，這是一個比操作系統(tǒng)遠(yuǎn)為龐大復(fù)雜的生態(tài)系統(tǒng)，對于這種牽一發(fā)而動全身的技術(shù)更新，我們千萬不能異想天開、草率行事。

在不斷改善升級TLS的同時，研發(fā)全新的公鑰密碼算法，這條由美國主導(dǎo)的提升互聯(lián)網(wǎng)安全的路線把技術(shù)的可行性和兼容性放在評估標(biāo)準(zhǔn)的首位，這是一條穩(wěn)妥、可靠、行之有效的路線。這條路線也是一條開放合作的路線，所有的協(xié)議細(xì)節(jié)和密碼算法全部公開放在桌面上討論分析，所以也取得了世界大多數(shù)國家有關(guān)專家的認(rèn)同和支持。開放和合作才是推動互聯(lián)網(wǎng)穩(wěn)步向前發(fā)展的基礎(chǔ)。