“后量子加密芯片”在国外面世，国内研究团队“另有打算”？

后量子加密技术是指可以抵抗量子计算机攻击的密码技术。其中，后量子加密中的“后”字并非是指该技术需要到量子计算发展后期才能够推出和使用，实际上它还有一个名称：抗量子密码技术。

TUM的后量子加密芯片由TUM 信息技术安全教授 Georg Sigl 领导的团队完成。Sigl 和他的团队实现了软硬件协同设计，在这个过程中，专用组件和控制软件相辅相成。“我们的芯片是第一个基于后量子密码学的软硬件协同设计的芯片，”Sigl 教授表示，“因此，它可以使用‘Kyber’来实现加密——后量子密码学最有前途的候选者之一——速度大约是依赖纯软件解决方案的芯片的二十倍，消耗的能量大约少八倍，同时几乎是像它们一样灵活。”

该芯片是专用集成电路 (ASIC)，基于开源 RISC-V 标准修改了开源芯片设计，能够使用基于格的后量子加密算法，例如 Kyber，而且还可以与 SIKE 算法一起使用。

据该团队称，TUM 开发的芯片可以比依赖软件进行加密的芯片快约21倍的速度执行算法。在专家看来，如果基于网格的方法在某些时候被证明不再安全，则 SIKE 被视为一种有前途的替代方案。无论何时长期使用芯片，这种保护措施都是有意义的。

值得注意的是，研究人员还在芯片中内置了硬件木马。他们想调查该如何揭穿这种“来自芯片工厂的恶意软件”。“到目前为止，我们对真正的攻击者如何使用硬件木马知之甚少，”Georg Sigl 解释说。“为了制定保护措施，我们必须将自己置于攻击者的角度，自己开发和隐藏木马。这就是为什么我们在我们开发的后量子芯片中内置了四个木马，它们的工作方式大不相同。”

实际上，后量子加密技术也并非是新理论，量子计算概念兴起之后，人们就已经开始了相关的技术探索。正如2018年中科院大学网安学院五班在整理《格密码学习笔记》时提到的，在量子计算模型下，经典数论假设的密码体系（如大整数分解，计算有限域/椭圆曲线上的离散对数问题等），存在多项式时间（PPT）的量子算法，换而言之，经典数论密码体系受到了极大的冲击，将有可能成为旧时代的眼泪。也就是说，使用Shor算法来快速分解大整数可能在不久的将来会成为一件非常简单的事情，手机SIM卡、银行U盾、比特币、网络证书，TLS/SSL等协议都有可能被量子计算机一击而溃。

格密码是一类备受关注的抗量子计算攻击的公钥密码体制，格密码的发展大体分为两条主线：一是从具有悠久历史的格经典数学问题的研究发展到近30多年来高维格困难问题的求解算法及其计算复杂性理论研究；二是从使用格困难问题的求解算法分析非格公钥密码体制的安全性发展到基于格困难问题的密码体制的设计。

目前来看，在后量子加密的所有方法中，对格子的研究是最活跃和最灵活的。2020年7月22日，美国国家标准局NIST公布了其举办的后量子密码标准竞赛的第三轮入选算法，在7个正式入选第三轮的算法中，有5个都属于格密码的范畴。格是n维线性空间中离散点的集合，格中的每个元素都是一个向量。尽管格子密码系统的优化和安全性证明都需要极其复杂的数学，但基本思想只需要基本的线性代数。

Mr.Yi在分享《基于格密码的算法研究》博客时提到，格密码的主要数学基础是格中的两个困难问题：

(1)格的最短矢量问题(SVP)：对于给定的一组基，找出其所生成的格中欧氏距离（两点之间的距离）最小的非零向量。即在格上找到一个非零向量v，满足对格上的任意非零向量u，均有||v||≤||u||。

(2)格的最近矢量问题(CVP)：对于给定的格及任一向量，找出格中与该向量距离最近的向量。

即在格上找到一个向量v，满足对格上的任意非零向量u，均有||v-y||≤||u-y||。

同时，他也强调说，格上的困难问题在代数上是很好解决的，但在几何上是困难的。

基于格的公钥加密算法目前较为普遍，此外基于格的数字签名算法和其他基于格的加密算法目前在后量子加密算法中也处于领先位置。

除了基于格问题的密码体制，后量子密码研究的相关技术还有基于纠错编码解码问题的密码体制，基于多变量方程组求解问题的密码体制，基于椭圆曲线同源问题的密码体制和基于哈希函数的密码体制等。

纠错编码又称之为信道编码，它已成功地应用于各种通信系统中。1978年，Berlekamp等人证明了一般线性码译码是NPC难题。基于这一事实以及Goppa码的特点，McEliece首次利用纠错码构造出一类公钥密码体制，即M公钥体制，从而开创了纠错码在现代密码学中的新的研究领域。因此，基于纠错编码解码问题的密码体制大部分都是"公钥密码"。目前在数据传输中，主要有三种误码控制的方法，即自动请求重发(ARQ)、前向纠错(FEC)和混合纠错(HEC)方式。

基于多变量方程组求解问题也有签名加密和公钥加密等方案。列举一种签名方案的实现方式：基于结合多层Matsumoto-Imai (MMI)方案中心映射的多层构造，CyclicRainbow签名方案，以及隐藏域方程(HFE)的中心映射构造便能够设计出一种加密方案。

基于椭圆曲线同源问题的密码体制此前在后量子加密算法研究中非常不受重视，不管是公钥加密还是秘钥交换，不仅效率低下，且普遍性地被认为不安全。2011年，Jao提出了超奇异椭圆曲线同源问题，同源密码学又再次引起了大家的兴趣。2017年，基于同源的加密方案和秘钥封装协议SIKE被提交到美国NIST，参与后量子密码方案的候选。《后量子密码之椭圆曲线同源密码学》一文提到，基于超奇异椭圆曲线同源密码体制有以下特点：

• 相对于其他后量子密码具有秘钥尺寸短的优势；

• 其实现的效率相比于基于纠错码和基于格的均不占优势；

• 同源密码学建立在已经比较复杂的椭圆曲线密码之上，导致其构造非常复杂；

• 同源密码学系统的结构非常特殊，设计加密方案时需要借助图论的知识构建超奇异同源图，而无法在此之上定义群，导致许多现有密码协议拓展到该系统之上。

因此，基于椭圆曲线同源问题的密码体制目前还处于初期研究阶段。

基于哈希的签名算法最早出现于1979年，被认为是传统数字签名 （RSA、DSA、ECDSA等）的可行代替算法之一。哈希函数有多重构造方式，包括直接定址法、数字分析法、平方取中法和折叠法等。在密码的实现方式上，可以采用基于公钥秘法的构造方法，基于分组密码的构造方法和直接构造的方式。不过，华为在《后量子密码》中提到此类算法只能用于签名。其中一个限制是每个私钥仅可用于生成有限数量的签名，需要继续研究如何优化和使用。基于哈希的算法的优点是，其安全性比较容易理解和分析。

当前，国内也在积极致力于后量子加密技术的研究，已在积极推进现有商用密码算法标准SM2、SM3、SM4、SM9、ZUC等成为国际标准。

去年10月，相关报道指出我国在后量子加密芯片方面取得了令人瞩目的进展，来自清华大学的科研团队在《采用低复杂度快速数论变换和逆变换技术在 FPGA 上高效实现 NewHope-NIST 算法的硬件架构》提出一种低计算复杂度的快速数论转换与逆变换方法，设计了一款具有普适的通用性的后量子密码硬件架构，显著降低了算法的运算量，在进展方面，要比同类研究平均速度快 2.5 倍左右。

除了清华大学的研究，国内目前还有一项研究值得关注。相较于TUM团队打造的后量子加密ASIC芯片方式，中科大潘建伟、张强团队与云南大学、上海交通大学及科大国盾量子公司等单位合作，完成了量子密钥分发（QKD）和后量子算法（PQC）的融合应用。

在《量子密钥分发与后量子算法实现融合应用》报道中提到，抵御量子计算威胁、实现信息安全机制主要有两种：一是量子密码，如具有信息论安全的量子密钥分发（QKD）；二是后量子密码（PQC），如格密码。中科大等联合团队首次将两种看似完全不同的技术进行融合，技术优势互补，利用PQC解决QKD预置密钥的关键问题，而QKD则弥补了PQC待验证的长期安全性问题，两者联合最终保证了网络系统安全性。

当然，无论是什么方式的后量子加密，当前的研究都处于早期阶段，且基本用于当前计算系统对量子计算机的防御。目前已知的量子计算均还无法破解，因此也就没有漏洞可供研究。当然随着人类对量子计算的理解加深，伴随着算力提升，量子计算想必也会需要保护，不过那时候的加密算法想必会复杂很多。