1. 引言
近年来,关于 后量子密码学(PQC, Post-Quantum Cryptography) 的讨论愈发热烈。这是因为安全专家担心,一旦有人成功研发出量子计算机,会发生什么可怕的事情。由于 Shor 算法的存在,量子计算机将能够破解大多数现有加密系统 —— 特别是 RSA 和 ECC(椭圆曲线加密),而它们正是现代经济体系的加密基础。
为防止这一灾难性场景的出现,美国国家标准与技术研究院(National Institute for Standards and Technology,NIST)几年前启动了一项计划,旨在寻找 可以替代 RSA 和 ECC 的“后量子”加密算法,也就是能够抵御量子计算攻击的算法。
在 2022 年 7 月,NIST 公布了这一长期项目的(部分)结果,决定将以下算法纳入正式标准化流程:
- 一种加密算法:Kyber
- 三种签名算法:Dilithium、Falcon 和 SPHINCS+
在接下来的几年中,预计 Kyber、Dilithium、Falcon 和 SPHINCS+ 将逐步从学术研究论文走向正式的标准文档,最终被集成进实际产品中。
这一决定代表 NIST 对一类密码方案的强力背书:
- 基于格(Lattice)数学难题的密码方案。
在这四种被选中的算法中,有三种(Kyber、Dilithium 和 Falcon)都是基于格难题的。
2. 格难题(Lattice Hard Problems)
所有公钥加密与签名算法都依赖某种数学难题作为安全基础。如:
- RSA 基于一个难题:将大整数分解为质因数;
- ECC 则基于另一个难题:在椭圆曲线上求解离散对数问题。
然而,这两类问题正是 Shor 算法擅长解决的。因此,如果要设计后量子安全的加密算法,就必须依赖对量子计算机依然“难解”的数学问题,而这正是格难题的用武之地。
格难题(Lattice Problems) 正是目前看来能够抵抗量子计算攻击的数学难题。
NIST 对基于格的密码技术的支持,也进一步印证了密码学界广泛的专家共识:
- 基于格的加密方案可能是解决量子计算威胁的关键。
在二维空间中,格(lattice) 可以简单理解为平面上无限延伸的一组点。这些点是通过两个“基向量”(因为在二维空间中)进行整数线性组合生成的。在上图中,黑色的两个向量就是这样的基向量。
这个结构中的核心数学难题是:
- 在已知一组基向量(黑色)生成的格的前提下,找到另一组更短的基向量(如图中的红色),它们也能生成相同的格。
在二维空间里,这个问题看起来可能非常简单,甚至“可笑地容易”。但当把维度提升到更高时,这个问题就变得极其困难。困难到即使是量子计算机也不太可能高效解决它。
选择用于密码系统的具体维度,以及如何选取最初的(黑色)基向量,都是非常复杂而微妙的问题。学术界已经开发出多种工具来帮助指导这些参数的选择。其中最著名的是由 Martin Albrecht 开发的工具:Lattice Estimator(格估计器)。
3. 格密码学与同态加密
现在,已经拥有了一种可以用于构建标准密码系统(即公钥加密与公钥签名)且能够抵抗量子计算攻击的数学难题。而且坚信,这就是构建未来互联网安全基础的“难题”,以至于美国国家标准与技术研究院(NIST)已正式支持基于格的密码学作为发展方向之一。
这对同态加密来说是一个重大利好消息。事实上,所有实用的全同态加密(Fully Homomorphic Encryption, FHE)方案也都是建立在上述格难题之上的。如,Zama 所使用的 TFHE 方案 就是构建在基于格的密码学之上。这意味着 TFHE 可以直接受益于密码学社区对格密码不断深入的分析和设计工作。
实际上,Zama 使用的格安全性评估工具正是 NIST 候选算法所采用的工具。Zama 还是该软件的赞助方之一,其多位员工也参与了工具的设计与维护工作。
因此,Zama 不仅在推动全同态加密的发展,也在以间接方式助力世界迈向后量子安全的未来。
参考资料
[1] Zama团队2022年10月5日博客 Fully Homomorphic Encryption and Post-Quantum Cryptography