1、 ! # $ % & ( )! # $ % & ( )* *+,-,-,-,-. 中國信息協會量子信息分會中國信息協會量子信息分會 （2020年年12月）月） 中國信息協會量子信息分會 量子安全技術白皮書（2020） III 前言前言 隨著信息通信技術的快速發展，社會的信息化程度日新月異，國家、機構、個人的信息安全需求與日俱增。密碼技術作為信息安全技術的基石在保障信息的機密性、真實性、完整性和不可抵賴性方面發揮著核心作用。得益于數學的支撐，現代密碼學構建了較完善的體系，而與其相生相克的密碼破解技術卻也一直在挑戰和刺激著密碼學的不斷演進。特別是以量子計算為代表的計算能力飛躍發展，已經對基于大數分

2、解、離散對數等數學難題的公鑰密碼體系帶來了前所未有的挑戰。于此同時，基于量子物理的量子密碼技術（以基于量子通信的量子密鑰分發為代表）和基于新型數學難題的抗量子計算公鑰密碼算法擔負起了抵御量子計算挑戰的重任，并在國際上催生了新的安全概念量子安全。雖然距離第一臺能破解典型公鑰密碼的量子計算機出現可能還需十年甚至二十年時間，但國家、機構甚至個人的核心數據保密年限需求也會達到數十年之久，其將面臨諸如：現在被截獲和存儲，將來被破譯等安全風險。因此，實踐量子安全保障已具現實意義。 當前，量子密鑰分發技術日臻成熟、商業產品已經投入實踐；抗量子計算密碼算法也正在廣泛征集、快速發展。量子安全已成為國際熱點與創新

3、前沿。我國在量子通信及抗量子計算密碼方面積累深厚、自主可控，并走在世界前列。本白皮書將圍繞什么是量子安中國信息協會量子信息分會 量子安全技術白皮書（2020） IV 全技術、如何實現量子安全技術，如何在信息系統中使用量子安全技術等方面凝聚學術界和產業界共識，并立足當下、面向未來探討量子信息技術和新型密碼技術如何在新一代信息技術基礎設施中發揮作用，形成戰略性新興產業，服務社會民生。 本白皮書由中國信息協會量子信息分會牽頭，中國通信標準化協會量子通信與信息技術特設任務組、中國電子學會量子信息分會聯合組織編寫。編寫組人員分別來自科大國盾量子技術股份有限公司、國科量子通信網絡有限公司、中國電子科技網絡

4、信息安全有限公司、北京科技大學、上海交通大學、武漢大學國家網絡安全學院、中山大學、云南大學、濟南量子技術研究院等 9 家單位。 本白皮書在編寫過程中還得到了清華大學王向斌教授、中國科學技術大學張軍教授、中國科學技術大學聶友奇博士等專家的幫助和指導，在此向他們表示誠摯的謝意。中國信息協會量子信息分會 量子安全技術白皮書（2020） V 目錄目錄 一、概述 . 1 （一）信息安全和密碼技術 . 1 （二）量子計算及其對于密碼技術的威脅. 3 （三）量子安全的內涵 . 9 二、 量子安全技術 . 15 （一）基于數學問題的密碼技術 . 15 （二）基于量子物理的密碼技術 . 26 三、 量子安全技術

5、應用 . 33 （一）量子安全應用方案 . 33 （二）量子安全典型技術領域應用 . 50 （三）量子安全典型垂直行業應用 . 56 四、 量子安全技術發展現狀 . 63 （一）后量子密碼技術的發展現狀 . 63 （二）量子密碼技術的發展現狀 . 70 五、 量子安全技術面臨的挑戰 . 90 附錄 1 量子密鑰分發技術標準化情況 . 95 附錄 2 針對 QKD 實際安全性的攻擊方案和防御措施 . 102 附錄 3 縮略語 . 105 參考文獻 . 110 中國信息協會量子信息分會 量子安全技術白皮書（2020） 1 一、概述一、概述 （一）信息安全和密碼技術（一）信息安全和密碼技術 1. 1

6、. 從傳統信息安全到網絡空間安全從傳統信息安全到網絡空間安全 傳統概念上的信息安全指信息生成、存儲、傳輸等處理過程的安全。 信息安全概念產生于防御以竊取敏感信息為主要方式的早期信息攻擊。其一般特點我們可以總結為強調技術，強調防護。 現代社會中由于信息的使用無處不在， 信息系統應用深入、 廣泛，對社會發展起到了加速器的重要作用， 隨之而來的信息安全問題也愈發凸顯。 社會生產生活涉及到的信息安全幾乎包含了現代社會的各行各業和方方面面，如國家安全、基礎設施安全、公共醫療與衛生、個人隱私保護、虛假信息甄別、突發事件應急響應等。與此同時，信息安全也正從傳統理念向網絡空間安全理念發展。 網絡空間安全理念更

7、強調應對防御上的綜合性與主動性，安全體系建設上的全程性。在網絡空間安全時代，面對安全威脅的復雜性乃至一定程度的未知性，討論信息安全問題時我們應該有體系意識和邊界意識， 沒有一種安全技術、安全體制對信息安全威脅是“銀彈”，是包打天下的。 2. 2. 信息安全保障的關鍵要素信息安全保障的關鍵要素 對信息安全保障的關鍵要素一般理解如下： 中國信息協會量子信息分會 量子安全技術白皮書（2020） 2 （1）可用性（Availability），是指即使在突發事件下，依然能夠保障數據和服務的正常使用，如網絡攻擊、計算機病毒感染、系統崩潰、戰爭破壞、自然災害等。 （2） 機密性 （Confidentiali

8、ty） ，是指能夠確保敏感或機密數據的傳輸和存儲不遭受未授權的瀏覽， 甚至可以做到不暴露保密通信的事實。 （3）完整性（Integrity），是指能夠保障被傳輸、接收或存儲的數據是完整的和未被篡改的， 在被篡改的情況下能夠發現篡改的事實或者篡改的位置。 （4）可認證性（Authentication），也稱真實性，是指能夠確保實體（如人、進程或系統）身份或信息、信息來源的真實性。 （5） 不可否認性 （Non-repudiation） ，是指能夠保證信息系統的操作者或信息的處理者不能否認其行為或者處理結果， 這可以防止參與某次操作或通信的一方事后否認該事件曾發生過。 3 3密碼技術在保障信息安全

9、中的作用密碼技術在保障信息安全中的作用 密碼是信息安全的基礎、核心和支撐，是信息安全體系結構中最“硬核”的底線，又與信息有最直接、最“親密”的保護關系。 具體來說，可以總結為密碼技術為信息安全提供四種安全服務： l 保密性服務保密性服務 保護數據以防竊聽為主的被動攻擊。保護方式可依據通信關系（一對一還是一對多）、保護范圍等因素而不同。 中國信息協會量子信息分會 量子安全技術白皮書（2020） 3 l 完整性服務完整性服務 和保密性服務一樣，完整性服務也能應用于整個消息流、單個消息或一個消息的某一選定域。 用于保證所接收的消息未經插入、 篡改、重排或重放，因此和所發出的消息是完全一樣的。 l 認

10、證服務認證服務 用于保證通信的真實性。在單向通信的情況下，認證服務的功能是使接收者相信消息確實是由它自己所聲稱的那個信源發出的。 在雙向通信的情況下，在連接開始時，認證服務則使通信雙方都相信對方是真實的（即的確是它所聲稱的實體）。 l 不可否認業務不可否認業務 用于防止通信雙方中的某一方對所傳輸消息的否認， 接收方收到消息后，能夠證明這一消息的確是由通信的另一方發出的。 （二）量子計算及其對于密碼技術的威脅（二）量子計算及其對于密碼技術的威脅 1. 1. 對稱密碼技術和非對稱密碼技術對稱密碼技術和非對稱密碼技術 1.1 1.1 對稱體制對稱體制 對稱密碼指加密密鑰和解密密鑰相同的密碼體制1。其

11、安全性取決于兩點：一，密鑰的安全性，一切秘密寓于密鑰之中，密鑰管理至關重要；二，加解密算法的安全性。對稱密碼包括兩個主要分支：流密碼，對明文消息按字符逐位進行加密；分組密碼，將明文消息分組并逐組進行加密。代表性對稱密碼算法包括：AES、IDEA、SM4、ZUC中國信息協會量子信息分會 量子安全技術白皮書（2020） 4 等。對稱密碼體制安全等級高，加解密效率高，可通過低成本芯片高效實現，主要用于數據加密和消息認證。 1.2 1.2 非對稱體制非對稱體制 非對稱體制下的密碼即公鑰密碼1，其基本思想是：密鑰成對出現，一個為加密密鑰（公開的，故稱公鑰），一個為解密密鑰（秘密的，故稱私鑰），且從公鑰推

12、算出私鑰在有限的計算資源和計算時間內是不可行的。 其安全性取決于公鑰算法所依賴的數學困難問題的計算復雜度。 最具代表性的應用于公鑰密碼設計的數學困難問題包括質因數分解、 離散對數、 橢圓曲線問題等。 代表性公鑰密碼包括： RSA、El Gamal、 ECC 等。 公鑰密碼主要用于加解密、 密鑰分發、 數字簽名、認證等。 1.3 1.3 對稱與非對稱體制的比較與配合對稱與非對稱體制的比較與配合 對稱與非對稱體制的密碼技術可確保信息的機密性、真實性、不可抵賴性、完整性等（如表 1-1 所示）1：機密性基于加解密密碼功能，主要依賴于對稱密碼，部分場景可采用公鑰密碼；真實性基于認證密碼功能，主要依賴于

13、對稱密碼、公鑰密碼和雜湊函數；不可抵賴性基于簽名密碼功能，主要依賴于公鑰密碼；完整性基于摘要密碼功能，主要依賴于雜湊函數。 在加解密等應用場景中，公鑰與對稱密碼需結合使用。加解密系統中首先需要在通信雙方間建立一致的、安全的密鑰（即密鑰分發過中國信息協會量子信息分會 量子安全技術白皮書（2020） 5 程），然后再基于該密鑰實現加解密，系統整體安全性依賴于密鑰交換過程的安全性和加解密算法的安全性。其中，密鑰分發過程主要依賴于公鑰密碼，其安全性主要基于質因數分解、離散對數、橢圓曲線等數學困難問題的計算復雜度，加解密過程主要依賴于對稱密碼。 表 1-1 密碼服務對應的密碼體制 信息安全屬性信息安全屬

14、性 所需密碼功能所需密碼功能 對稱密碼對稱密碼 公鑰公鑰密碼密碼 雜湊函數雜湊函數 機密性 加密 普遍使用 使用不普遍 - 真實性 認證 普遍使用 普遍使用 普遍使用 不可抵賴性 簽名 - 普遍使用 - 完整性 摘要 - - 普遍使用 2. 2. 量子計算的原理和應用量子計算的原理和應用 2.1 2.1 量子計算基本原理量子計算基本原理 量子計算是一類遵循量子力學規律進行高速數學和邏輯運算、 存儲及處理量子信息，解決各類問題的技術，量子計算機是實現這一技術的物理裝置。量子計算以量子比特為基本單元，通過量子態的受控演化實現數據的存儲和計算， 具有經典計算無法比擬的信息攜帶和并行處理能力。 其優勢

15、源于以量子相干疊加和干涉來編碼和處理信息而引入的量子并行性。 量子計算對量子相干疊加態的每一個疊加分量實現的變換相當于一種經典計算，所有這些經典計算同時完成，并按一定的概率振幅疊加，給出量子計算輸出結果，此即量子并行計算。量子計算的主要能力如下： 中國信息協會量子信息分會 量子安全技術白皮書（2020） 6 （1）克服摩爾定律失效：克服摩爾定律失效：量子計算能克服晶體管特征尺寸減小引起的熱耗效應和量子效應對現有計算機進一步發展的制約， 解決經典計算機制造中面臨的摩爾定律失效問題， 是下一代計算機的重要發展方向。 （2 2）計算力飛躍：）計算力飛躍：利用量子疊加效應實現量子并行計算，極大地提高計

16、算速度和信息處理效率。 量子計算被證明能指數或多項式量級加速某些有重要應用價值的計算問題的求解。 2.2 2.2 量子計算發展現狀及趨勢量子計算發展現狀及趨勢 （1）發展現狀簡介 近年來，各主要發達國家都大力投入量子計算研究。美國已形成政府、科研機構、產業和投資力量多方協同攻關局面，英國、歐盟、日本、加拿大、澳大利亞、中國等也在量子計算領域緊密跟隨，不斷加大對量子計算的投入。以 IBM、Google、英特爾為代表的科技巨頭間競爭激烈，開展了如火如荼的“量子比特大戰”，積極開發原型產品，推動了量子計算技術的快速發展。近年來，量子計算芯片的量子比特位數得到不斷提升（目前正在向 128 量子比特發展

17、），其增長速度基本符合摩爾定律，故也被稱為“量子摩爾定律”。我國中國科學技術大學、中國科學院、阿里巴巴、騰訊、百度和華為等高校、科研院所和商業公司為代表在量子計算領域進行了大量布局， 部分技術成果處于國際先進水平。 中國信息協會量子信息分會 量子安全技術白皮書（2020） 7 量子計算機可基于多種不同物理體系實現2，如離子阱體系、超導量子電路體系、半導體量子點體系、腔量子電動力學體系、核磁共振體系、線性光學體系、拓撲體系等。量子計算機總體上仍處于技術驗證和原理樣機研制階段，目前處于中型含噪量子計算（NISQ）階段（例如谷歌的 Sycamore），仍面臨量子比特數量少、相干時間短、出錯率高等諸多

18、挑戰。 目前， 超導和離子阱技術路線的研究相對較多、組成的量子線路規模相對較大， 但總體而言尚無任何一種路線能完全滿足實用化要求并趨向技術收斂。 （2）發展趨勢 實現實用的通用量子計算機技術難度很大， 是一個長期任務2：第一個階段是實現量子優越性（或量子霸權），即針對特定問題的計算能力超越經典超級計算機， 這一階段目標已在 2019 年由 Google 公司在其超導量子計算系統上率先實現3， 在 2020 年由中國科學技術大學在其光量子計算系統再次實現4；第二個階段是實現具有實際應用價值的專用量子模擬系統，可在組合優化、量子化學、機器學習等方面發揮效用；第三個階段是實現可編程的通用量子計算機。

19、上述目標的實現還需要全世界學術界、工業界的長期艱苦努力。 然而，量子計算不是萬能的，不能完全取代經典計算。目前量子計算已在大數分解、無序數據搜索、求解線性方程、組合優化等重要問題上被證明有優勢，需探索更多有用的量子算法。量子計算究竟能多大程度解決多少有重要實際應用價值的計算問題仍需進一步探索。 中國信息協會量子信息分會 量子安全技術白皮書（2020） 8 2.3 2.3 量子計算的應用領域量子計算的應用領域 量子計算技術所帶來的算力飛躍， 有可能成為未來科技加速演進的“催化劑”，一旦取得突破，可在生物醫學、材料學、化學、密碼破譯、氣象預報、空氣動力學計算、武器研制、人工智能、能源與大數據等多個

20、方面得到應用， 為先進材料制造和新能源開發等奠定科學基礎，對提升國家綜合競爭力有戰略意義。 3. 3. 量子計算對經典密碼安全性的威脅量子計算對經典密碼安全性的威脅 密碼是信息安全的核心， 現有的信息安全是建立在經典密碼技術之上的，包括對稱體制和非對稱體制。然而，量子計算技術和量子算法的不斷進步，為密碼破譯提供了更有力、更致命的攻擊方法。著名的 Shor 量子算法和 Grover 量子算法對經典密碼體制安全性構成威脅。 Shor 量子算法可以在多項式時間內分解大整數和求解離散對數等復雜數學問題，因此可以對廣泛使用的 RSA、 ECC、 DSA、 ElGamal 等公鑰密碼體制進行快速破解。例如

21、：分解一個 400 位的大數，經典計算機約需要 51022次操作，而量子計算機約需要 6107次操作，量子計算機所需操作數僅為經典計算機的 80 萬億分之一！ Grover量子算法能夠將無序數據庫的搜索時間降為平方根時間。例如，當需要從 N 個未分類的客體中搜索出某個特定客體時，經典計算機需要一個個查詢，直到找到所要的客體，平均要查 N/2 次，找到的幾率為 1/2，而采用 Grover 算法的量子計算機采用并行處理，只中國信息協會量子信息分會 量子安全技術白皮書（2020） 9 需 N1/2次，找到的幾率接近 100。例如，Grover 算法可以有效地攻破以 DES 等為代表的對稱密碼，其本

22、質就是從 256個可能的密鑰中尋找正確密鑰。若以每秒 106次的運算速率，經典計算機要花 1000 年，而采用 Grover 算法的量子計算機所需時間低于 4 分鐘。 綜上，如表 1-2 所示，Grover 量子算法同時適用于對稱密碼和公鑰密碼破譯，其能力等價于將等效密鑰長度減半。應對措施是將對稱密碼算法使用的密鑰長度加倍；對于無密鑰參與的哈希函數,應將哈希函數輸出長度加倍。Shor 量子算法對基于大整數分解和離散對數問題的公鑰密碼產生了嚴重威脅， 需要考慮采用新的密碼算法加以應對。 表 1-2 量子計算機對經典密碼的影響 （來源于 NIST IR 81055） 密碼算法密碼算法 類型類型 功

23、能用途功能用途 量子計算影響量子計算影響 AES 對稱密碼 加解密 需增加密鑰長度 SHA-2, SHA-3 雜湊 哈希散列函數 需增加輸出長度 RSA 公鑰密碼 數字簽名，密鑰分發 不再安全 ECDSA, ECDH 公鑰密碼 數字簽名，密鑰分發 不再安全 DSA 公鑰密碼 數字簽名，密鑰分發 不再安全 （三）（三）量子安全的內涵量子安全的內涵 1.1. 量子安全的概念量子安全的概念 對應于量子計算的攻擊，量子安全（quantum safe）的概念也被相應的提出6。顧名思義，量子安全是指即使面對量子計算的挑戰也能得到保證的信息安全。 而與之相關的量子安全密碼學是指尋找和中國信息協會量子信息分會

24、 量子安全技術白皮書（2020） 10 確認可抵御經典計算機和量子計算機攻擊的算法和協議， 即使在大型量子計算機出現之后也能確保信息資產的安全。 如前所述， 目前并非所有的經典安全協議和密碼算法都容易受到量子計算的攻擊，部分算法被認為是量子安全的，另一部分則被認為是不能免疫量子攻擊的。如果某種算法或協議在經過充分研究后，表明其可以抵御所有已知的量子算法攻擊， 同時在沒有證據表明其易受量子攻擊前， 就可以認為其是量子安全的。 當然， 在經過深入研究后，目前被認為是量子安全的算法在未來未必安全的可能依然存在。 諸如 AES 之類的對稱密碼算法可以被認為是量子安全的。 因為對于對稱密碼而言， 雖然使

25、用運行 Grover 算法7的量子計算機可以比傳統計算機更快地破解對稱算法，但是，通過將對稱密碼的密鑰長度加倍，可以使量子計算機進行破解的難度與傳統計算機相當。例如，目前的研究顯示，對于經典計算機而言，AES-128 是難以破解的，而對于量子計算機和已知量子算法而言， AES-256 卻很難破解。 因此 AES被認為是量子安全的。 但 RSA 和 ECC 這樣的公鑰密碼算法不是量子安全的，因為它們無法通過增加密鑰長度來超越量子計算的發展速度。例如，研究表明，攻擊 RSA 算法所需的量子比特數與 RSA 密鑰的長度大致成線性比例關系， 所需的量子門操作次數和 RAS 密鑰的長度成多項式關系；也就

26、是說，RSA 算法無法通過增加密鑰長度來抵御量子計算的指數加速攻擊8。 目前受量子計算攻擊影響最大的是建立在整數分解和離散對數等計算復雜性上的公鑰密碼體系， 包括 RSA， DSA，DH，ECDH，ECDSA 以及基于這些密碼的其他變體。從這些公鑰密碼中中國信息協會量子信息分會 量子安全技術白皮書（2020） 11 獲取安全性的安全協議和系統都將受到量子計算的威脅。然而，目前的安全產品和協議中幾乎所有公鑰密碼都需要使用這些類型的密碼算法。因此，需要用量子安全密碼代替這些密碼算法才能抵御量子攻擊。此外，對稱密碼通常使用公鑰密碼技術來進行對稱密鑰交換，即使對稱密碼本身是量子安全的，但由于對稱密鑰不

27、安全，整體的量子安全性也無法得到保證。 實現量子安全的方式主要分為兩類： 一類是可以抵御已知量子計算攻擊的經典密碼算法， 該類密碼算法的安全性同樣依賴于計算復雜度，這類算法或協議通常稱為抗量子計算密碼（Quantum Resist Cryptography，QRC）或后量子密碼（Post Quantum Cryptography，PQC）。其中主要包括基于哈希的密碼、格密碼、基于編碼理論的密碼、多變量密碼、超奇異橢圓曲線以及大部分對稱密鑰密碼。如前所述，這些后量子密碼能抵御已知的量子攻擊，對于新出現的攻擊可能并不免疫。同時即使是已知攻擊，其安全性同樣是基于計算困難性。 另一類量子安全的密碼則是

28、以量子物理原理為依托的量子密碼（Quantum Cryptography），其最具代表性的協議是量子密鑰分發（Quantum Key Distribution，QKD）9。QKD 具備信息論安全性，意味著 QKD 即使在攻擊者擁有無限強的計算資源下也仍然安全， 這其中自然也包含了面對經典和量子計算的安全性。 “信息論安全”在密碼學領域也被稱為“無條件安全”，這里的“條件”特指計算能力的限制，即安全性沒有基于攻擊者計算能力的假設。QKD 的功能是實現對稱密鑰的協商， 需要與應用對稱密碼的算法結合以實現加解密功中國信息協會量子信息分會 量子安全技術白皮書（2020） 12 能。QKD 結合“一次一

29、密”可實現信息加密的信息論安全性，而結合量子安全的對稱密碼算法實現的是量子安全。當然，量子密碼能夠實現的密碼功能不限于密鑰協商，還可以實現數字簽名、秘密共享等密碼功能，而其中 QKD 的實用化進展目前是最快的。 2.2. 量子安全的重要性及緊迫性量子安全的重要性及緊迫性 當前以互聯網為代表的公共網絡基礎設施，其用戶認證、數據加密都主要依賴于 Diffie-Hellman、RSA、ECC 等公鑰密碼，例如我們瀏覽網站以及各類互聯網應用程序常用的 HTTPS 協議、VPN 軟件和設備、基于 X.509 標準10的數字證書應用等。對于信息安全保密性有高級別要求，或者對保密時效有較長時間要求的領域，其

30、中可能包括軍隊中的軍事通訊、政府傳輸機密文件、工業和商用領域傳輸的核心技術和數據、金融領域傳輸的金融數據、醫療行業傳輸的醫療記錄個人信息等，也在大量使用公鑰密碼。正如上文所述，這些現有公鑰密碼系統具有易被量子計算攻擊的弱點， 在未來會被攻破已經成為密碼行業、信息安全行業和量子計算專家公認的事實，普遍認為它將影響大部分現行公鑰密碼及其基礎設施可能會導致它們全部失效， 同時也會削弱其它類如對稱密碼、雜湊等現有密碼系統的安全性。這意味著所有信息系統使用者都將需要將密碼全面升級至量子安全級別。 更重要的問題可能是我們何時需要量子安全。關于這一問題，僅考慮建造大規模量子計算機的時間是不夠的。 還需要同時

31、考慮信息需要保持多長時間， 以及將現有通信基礎設施更新至量子安全將花費的中國信息協會量子信息分會 量子安全技術白皮書（2020） 13 時間。關于這些時間的關系，加拿大滑鐵盧大學量子計算研究所的Mosca 教授給出了業界較為認可的 XYZ 理論（如圖 1-1 所示）11。具體而言，X 代表“數據需要保密的時間”，Y 代表“更新我們的通信基礎設施至量子安全所需要的時間”， Z 代表“建造大規模量子計算機所需要的時間”。如果 X+YZ，那么傳遞的信息就可能存在較大安全風險， 因為這意味著在重新部署具有量子安全的基礎設施和信息安全需要持續的時間之和大于建造大型量子計算機的時間 Z，那么在X+Y-Z

32、這段時間內加密的信息將不再安全，攻擊者可以利用量子計算輕易破解加密信息。反之如果 X+Y30 年。對于公眾領域，X 的值可以適當放寬，但也需要考慮具體的場景和要求，例如個人的信用卡信息可能只需要 X10年。再例如，隨著技術的發展，諸如指紋、面部、基因等個人生物信中國信息協會量子信息分會 量子安全技術白皮書（2020） 14 息的長期保密需求也變得緊迫， 這時 X 可能就需要取決于每個人的生命年限。定義 X 的值并不容易，需要綜合應用、技術發展、需求等進行深入研究，并進行風險分析和建模。 如前所述， 學術界和工業界對于量子計算可能帶來的威脅已經有比較清晰的認識。雖然目前大規模量子計算機還未到來，

33、但是對于對信息安全需要有保障的行業以及政策決策者而言， 需要進行前瞻性分析和思考，綜合考慮量子計算機建造時間，信息需要保護的時間，升級基礎設施需要的時間等因素，來決定何時需要量子安全。而最為保險的做法當然是盡快就開始考慮升級到量子安全的信息通信系統和基礎設施。 量子安全不是指某一類技術或現有技術到新技術的演進， 而是未來各類密碼需要考慮滿足的要求， 從密碼技術發展的攻防對抗特性上，從國家安全戰略的前瞻性上，需要認識到這一重要性。而由于現代密碼學內涵豐富、涉及軟硬件模塊與系統眾多；量子密碼隨著量子信息科技的快速發展其本身也處于蓬勃發展當中； 后量子密碼算法本身又包含多種不同原理、 不同類型的算法

34、， 所有這些技術上高度的專業性、復雜性導致 ICT 行業從業者、 信息系統用戶乃至密碼和信息安全行業內部都有可能對此認識存在滯后和不足之處。而且，也正是由于這些技術、產業及政策上的復雜因素存在，應當將密碼實現量子安全這一整體必達目標分解細化為一系列具體小目標和可行的實現路徑和路線圖。例如,目前階段要實現量子安全就需要替換易受量子計算攻擊的現用公鑰密碼算法。 中國信息協會量子信息分會 量子安全技術白皮書（2020） 15 二、二、量子安全技術量子安全技術 （一一）基于數學問題的密碼技術基于數學問題的密碼技術 基于已知量子算法無法多項式時間求解的數學困難問題設計的后量子密碼體制（PQC）12，具有

35、抗量子計算攻擊的潛力，可實現量子安全。后量子密碼技術相信，量子計算有優勢，必然也有劣勢，有其擅長計算的問題，也有其不擅長計算的問題?；诹孔佑嬎悴簧瞄L計算的數學問題構造密碼，便可以抵御量子計算的攻擊。雖然量子計算在大數分解等問題上能實現指數加速，但目前并無證據表明，量子計算擅長計算諸如非線性方程組求解問題、 糾錯碼的一般譯碼問題。于是，研究者基于這些困難問題設計密碼（主要指公鑰密碼體制），并稱這些密碼算法是抗量子計算的。 1. 1. 格密碼格密碼 格代數結構最早是作為一種密碼分析工具被引入密碼領域的， 如1982 年，Shamir 采用格理論攻擊背包公鑰密碼算法?；诟駟栴}設計密碼算法始于 A

36、jtai 的早期工作，1996 年他首次提出了基于格的單向陷門函數的思想13，并開創性地給出了格中某些困難問題的worst-case（最壞情形）到 average-case（平均情形）的規約證明，從而為格密碼體制的可證明安全奠定了基礎。1997 年 Ajtai 和中國信息協會量子信息分會 量子安全技術白皮書（2020） 16 Dwork14構造了第一個格密碼體制。隨后涌現出一批基于格的密碼算法。其中比較著名如 1998 年 Hoffstein、Pipher 和 Silverman 提出 NTRU (Number Theory Research Unit)公鑰密碼體制15。NTRU密碼除了具有抗

37、量子計算的性質外，與 RSA、ECC、ElGamal 密碼相比還具有很大優點， 相同安全性條件下， NTRU 算法的運行速度要快許多倍，密鑰生成也更快且需要更小的存儲空間。然而，NTRU 密碼也存在不足， 最主要的問題是其作為基于格的密碼卻沒有嚴格的基于格問題的安全證明。 NTRU作為最快速的公鑰密碼之一， 引起了人們極大的研究興趣。然而， 基于 NTRU 的數字簽名方案卻并不十分成功。 2000 年 Hoffstein等利用 NTRU 格提出了 NSS 簽名體制16，這個體制在簽名時泄露了私鑰信息，導致了一類統計攻擊，后來被證明是不安全的。2001 年設計者改進了 NSS 體制，提出了 R-

38、NSS 簽名體制，不幸的是它的簽名仍然泄露部分私鑰信息，Gentry 和 Szydlo 結合最大公因子方法和統計方法，對 R-NSS 作了有效的攻擊。2003 年設計者提出較有影響的NTRUSign 數字簽名體制17，該算法較前面兩個方案做了很大的改進，在簽名過程中增加了對消息的擾動，大大減少簽名中對私鑰信息的泄露，但卻極大地降低了簽名的效率，且密鑰生成過于復雜。針對未加擾動的 NTRUSign 方案的缺陷，2008 年胡予濮提出了一種新的NTRU 簽名方案。但這些簽名方案都不是零知識的，也就是說，簽名值會泄露私鑰的相關信息。 中國信息協會量子信息分會 量子安全技術白皮書（2020） 17 另

39、外， 2009 年， Gentry 首次提出了基于格的全同態加密方案18，再一次掀起了格密碼的研究熱潮，在此之后，在格的數學基礎、格上數學問題以及格密碼設計方面涌現出一批研究成果， 包括基于格的零知識證明、格公鑰加密/簽名方案、以及密鑰交換協議等，這些研究進展可以參見格密碼綜述文章19-21。 2015 年美國國家標準技術研究所（NIST），發布了 PQC 密碼報告，并開始在全球范圍內公開征集 PQC 密碼算法標準，這項工作極大推動了 PQC 密碼的研究工作，其中格密碼被認為是最有力的競爭者。目前，NIST 的 PQC 密碼標準候選算法中格密碼占主導地位，因此，格密碼值得我們進一步深入研究。

40、2. 2. 基于編碼理論的密碼基于編碼理論的密碼 糾錯編碼公鑰密碼體制可理解為：把糾錯的方法作為私鑰，加密時對明文進行糾錯編碼并主動加入一定數量的錯誤， 解密時運用私鑰糾正錯誤，恢復出明文。1978 年 McEliece 利用 Goppa 碼有快速譯碼算法的特點，提出了第一個基于糾錯編碼的 McEliece 公鑰密碼體制22。1978 年，Berlekamp 等人證明了任意線性碼的譯碼問題是 NP完全問題23。McEliece 密碼方案的原始版本經受了 40 多年來的廣泛密碼分析，被認為是目前安全性最高的公鑰密碼體制之一。Gibson證明了加密變換中存在多個等價陷門，任何一個陷門都可用于解密，

41、但要找到其中一個在計算上是不可行的24。雖然 McEliece 公鑰密碼的安全性高且加解密運算比較快，但該方案也有它的弱點，其一是中國信息協會量子信息分會 量子安全技術白皮書（2020） 18 它的公鑰尺寸太大，其二是信息擴展了多倍。由于這些原因，該方案一直以來并沒有引起人們太多的關注。 1986 年 Niederreiter 提出了另一個基于糾錯碼的公鑰密碼體制25。與 McEliece 公鑰不同的是它隱藏的是 Goppa 碼的校驗矩陣。我國學者李元興、王新梅等在 1994 年證明了 Niederreiter 公鑰與McEliece 公鑰密碼體制在安全性上是等價的26。 當然， 也可采用其它

42、具有快速譯碼算法的線性分組碼如 BCH 碼、RS 碼等來構造公鑰密碼體制，但其安全性要比采用 Goppa 碼低，主要原因是同一參數的其它碼的數量要比 Goppa 碼少。2009 年 Misoczki 等針對 McEliece 體制密鑰量大的弱點，提出了一種改進方案27，但該方案被 Faugere等在 2010 年歐密會上利用代數攻擊攻破28。 與其它公鑰密碼體制(如 RSA 等)不同，McEliece 公鑰以及Niederreiter 公鑰密碼只能用于加密， 但卻不具備數字簽名功能， 其原由是，用 hash 算法所提取的待簽消息摘要一般來說都不在給定的碼空間中， 從而導致解碼失敗。 1990

43、年王新梅提出了第一個基于糾錯編碼的數字簽名方案Xinmei 方案29。1992 年 Harn 等對 Xinmei方案進行了攻擊和改進。Alabhadi 和 Wieker 于 1992 年提出了另一種攻擊方法，其選擇明文攻擊的復雜度較低，這種攻擊方法對 Harn的改進方案同樣有效，為了抵抗這種攻擊，他們于 1993 年又提出了AW 方案。 2000 年王新梅對原始 Xinmei 方案進行了修正， 得到了比 AW方案更為簡單的修正 Xinmei 方案。我國學者張振峰、馮登國和戴宗鐸于 2003 年對 AW 方案進行有效的分析， 僅利用公鑰便能構造出等價中國信息協會量子信息分會 量子安全技術白皮書（

44、2020） 19 的私鑰， 并指出利用大矩陣分解的困難性很難構造出安全性較高的數字簽名體制30。 除此之外， 1991 年李元興等構造了一類同時具有簽名、加密和糾錯能力的公鑰體制。目前，國際上公認安全的糾錯碼簽名方案是 2001 年 Courtois 等人提出的 CFS 簽名方案31， 除了密鑰量大的缺點外，該方案的簽名效率較低。因此，如何用糾錯碼構造一個安全高效具有糾錯能力的簽名體制、 以及既能加密又具有簽名功能的密碼體制，是一個相當困難但卻非常有價值的開放課題。 3. 3. 基于哈希函數的密碼基于哈希函數的密碼 基于 hash 的數字簽名(主要指 Merkle 簽名方案)源于一次簽名方案(

45、OTS)。1978 年 Rabin 首次提出了一次簽名方案，該方案驗證簽名需要時需要與簽名者交互。次年，Lamport 提出了一個更為有效的一次簽名方案，它不要求與簽名者交互；Diffie 將其推廣，建議用Hash函數替代基于數學難題的單向函數以提高該機制的效率， 因此，常稱之為 Lamport-Diffie 一次簽名方案(LD-OTS)。隨后，又相繼出現了一些改進方案，如 Bos-Chaum 方案、Winternitz 方案等。大多數一次簽名方案具有簽名生成和驗證高效的優點。 一次簽名方案可應用在某些特殊環境比如芯片卡中，它們具有較低的計算復雜度。 在一次簽名方案中，每個密鑰對僅能簽署一條消

46、息；否則簽名將以很高的概率暴露更多的私鑰信息， 因此很容易偽造針對新消息的簽名。每次簽署消息都需更新公鑰，這相當于“一次一密”，雖然具有中國信息協會量子信息分會 量子安全技術白皮書（2020） 20 較高的安全性，但卻缺乏實用性。當一次簽名與認證技術結合時，多次簽名就成為可能。 1989年Merkle提出了Merkle認證樹簽名方案(MSS)32。 Merkle數字簽名方案中， 沒有太多的理論假設， 它的安全性僅僅依賴于 hash函數的安全性，目前在量子計算機模型下還沒有一般 hash 函數的有效攻擊方法，因此，Merkle 簽名方案具有抗量子計算性質。與基于數學困難性問題的公鑰密碼相比，Me

47、rkle 簽名方案不需要構造單向陷門函數，給定一個單向函數(通常采用 hash 函數)便能構造一個Merkle 簽名方案， 一般來說， 在密碼學上構造一個單向函數要比構造一個單向陷門函數容易的多， 因為設計單向函數不必考慮隱藏求逆的思路，從而可以不受限制地運用置換、迭代、循環、反饋等簡單編碼技巧的巧妙組合， 以簡單的計算機指令或廉價的邏輯電路實現高度復雜的數學效果。 Merkle 數字簽名方案的優點是簽名和驗證簽名效率較高；缺點是簽名和密鑰較長，產生密鑰的代價較大。在最初的 Merkle 簽名方案中，需要簽名的數量與需要構造的二叉樹緊密相關，能夠簽名的數量越大，所需要構造的二叉樹越大，同時消耗

48、的時間和空間代價也就越大。因此該方案的簽名數量是受限制的。近年來，許多學者對此作了廣泛的研究，提出了一些修改方案大大地增加了簽名的數量，如CMSS 方案、GMSS 方案、DMSS 方案等33-35。Buchmann, Dahmen 等提出了 XOR 樹算法36， 只需要采用抗原像攻擊和抗第二原像攻擊的hash 函數，便能構造出安全的簽名方案。而在以往的 Merkle 樹簽名中國信息協會量子信息分會 量子安全技術白皮書（2020） 21 方案中，要求 hash 函數必須是抗強碰撞的。這是對原始 Merkle 簽名方案的有益改進。上述這些成果，在理論上已相當完善，在技術上已基本滿足工程應用要求，一

49、些成果已經應用到了 Microsoft OutLook以及移動代理路由協議中。 目前，基于 hash 的數字簽名的研究仍處于初步階段，仍有許多開放性課題如增加簽名的次數、減小簽名和密鑰的尺寸、優化認證樹的遍歷方案以及實現相比其它公鑰體制所不具備的功能(如基于身份的認證)等。 4. 4. 多變量密碼多變量密碼 多變量二次多項式公鑰密碼體制，簡稱 MQ 公鑰密碼，其安全性基于有限域上的多變量二次方程組的難解性。 如何構造具有良好密碼性質的非線性可逆變換是 MQ 公鑰密碼設計的核心，據此劃分，目前基于多變量的公鑰密碼體制主要有： Matsumoto-Imai 體制、 隱藏域方程(HFE)體制、不平衡

50、油醋(UOV)體制及三角形(TTS)體制。 1988 年 Matsumoto 和 Imai 運用“大域-小域”的原理設計了第一個 MQ 方案，即著名的 MI 算法37，當時該方案受到了日本政府的高度重視，被確定為日本密碼標準的候選方案。1995 年 Patarin 利用線性化方程方法成功攻破了原始的 MI 算法38。然而，這個體制是多變量公鑰密碼發展的一個里程碑， 為該領域帶來了一種全新的設計思想， 并且得到了廣泛地研究和推廣。 改進的 MI 算法實例如 SFLASH簽名體制39，最終在 2003 年被 NESSIE 項目收錄，用于低廉智能卡中國信息協會量子信息分會 量子安全技術白皮書（202