昨日，美国国家标准技术研究院（NIST）公布了新一轮（第四轮）后量子密码学 (PQC) 数字签名方案的候选者，其中包含了40个签名候选。

01. 公钥加密存在风险

近日，IBM通过一个“基准”实验表明，量子计算机将在2年内产生有用的应用。

这一消息释放了一个重大的信号，也就是说，商用大规模量子计算机即将来临，同时，也将带来相关的风险，比如公钥加密。

公钥加密尤其会受到量子计算机的攻击。当前最著名，应用最广泛的公钥密码系统是ECC和RSA加密。

ECC的安全性基于椭圆曲线离散对数问题的难解性，而RSA密码的安全性是基于大数的质因数分解的难解性。

ECC和RSA都容易受到量子计算机的攻击。

Shor算法是一种非常著名的量子算法，它能在多项式时间内有效的完成大整数质因数分解， ECC和RSA也正是依赖于此才难以破解。

这样的攻击威胁到了许多使用公钥密码的程序，比如TLS,S/MIME,PGP,GPG和数字签章。

如果Shor算法应用在量子计算机上，并且量子比特足够多的时候，它能够破解椭圆曲线数字签名算法（ECDSA）,它是构建比特币，以太网和许多其他区块链的基础共钥签章算法。

02. 后量子密码的重要性

后量子密码是指能够抵抗量子计算机对现有密码算法攻击的新一代密码算法。

它是在推动加密算法中抗量子原语使用方面一个非常活跃的研究领域。其目标是保护数字基础设施免受传统和量子算法的攻击。

后量子加密的一个很重要的考量是与现有技术的可互操作性，从而使数字基础设施在下一个密码学标准的浪潮中得以更新，是对抗量子计算机威胁的重要一环。

03. 后量子密码标准，始于2016

2016年12月，NIST启动后量子密码标准算法的征集提案，其目的是通过新的公钥加密标准，规定一种或多种额外的非机密、公开披露的数字签名、公钥加密和密钥建立算法，这些算法能够在可预见的未来（包括量子计算机出现之后）保护敏感的政府信息。

与此同时，NIST发布了后抗量子公钥加密算法标准列表，NIST将第一轮候选算法归于以下5种类别：

1. 格 (Lattice-based)加密
2. 编码 (Code-based)加密
3. 多变量 (Multivariate-based)加密
4. 哈希 (Hash-based)加密
5. 同源（Isogeny-based）加密

04. 后量子密码标准算法的诞生

2022年7月，经过严格的三轮评选，NIST公布首批后量子密码标准算法，四种算法最终胜出，分别是CRYSTALS -K YBER、CRYSTALS -Dilithium、FALCON和SPHINCS+ 。

其中，NIST 推荐两种主要算法 CRYSTALS -K YBER（密钥建立）和CRYSTALS -Dilithium （数字签名）用于大多数用例，F ALCON 和 SPHINCS+ 用于签名方案。

时隔一年之久，昨日，NIST公布了新一轮（第四轮）后量子密码学数字签名方案的候选者，其中包含了40个签名候选。

根据公告，不基于结构格的其他通用签名方案更易获选，但是，如果基于格的候选方案在相关应用中的性能明显优于之前选出的后量子密码标准算法 CRYSTALS-Dilithium 和 FALCON，并能确保实质性的安全性能，也将可能入选。

新一轮的候选评估和分析可能会持续几年的时间，最终，不知会有几种算法胜出。

但是，NIST征选新一轮的后量子密码标准算法方案，标志着在量子计算机威胁传统密码学安全的背景下，全球正在积极寻找新的、对抗量子计算攻击的安全解决方案，以防止未来的量子计算机破解现有的加密系统。

NIST 计算机安全部门负责人 Matt Scholl对外表示，“如果您是一个组织，不要等待制定标准”。

以下为40个候选算法：

引用：

[1]https://csrc.nist.gov/Projects/pqc-dig-sig/round-1-additional-signatures

[2]https://csrc.nist.gov/news/2016/public-key-post-quantum-cryptographic-algorithms

[3]https://www.nextgov.com/emerging-tech/2023/07/nist-adds-40-potential-quantum-resistant-algorithms-growing-roster/388577/

来源：量子客