日前，慕尼黑工業大學 (TUM) 一團隊創造了一種計算機芯片，可以有效地實施后量子加密技術。
?
后量子加密技術是指可以抵抗量子計算機攻擊的密碼技術。其中，后量子加密中的“后”字并非是指該技術需要到量子計算發展后期才能夠推出和使用，實際上它還有一個名稱：抗量子密碼技術。
?

TUM創造的后量子加密芯片

TUM的后量子加密芯片由TUM 信息技術安全教授 Georg Sigl 領導的團隊完成。Sigl 和他的團隊實現了軟硬件協同設計，在這個過程中，專用組件和控制軟件相輔相成。“我們的芯片是第一個基于后量子密碼學的軟硬件協同設計的芯片，”Sigl 教授表示，“因此，它可以使用‘Kyber’來實現加密——后量子密碼學最有前途的候選者之一——速度大約是依賴純軟件解決方案的芯片的二十倍，消耗的能量大約少八倍，同時幾乎是像它們一樣靈活。”
?
該芯片是專用集成電路 (ASIC)，基于開源 RISC-V 標準修改了開源芯片設計，能夠使用基于格的后量子加密算法，例如 Kyber，而且還可以與 SIKE 算法一起使用。
?
據該團隊稱，TUM 開發的芯片可以比依賴軟件進行加密的芯片快約21倍的速度執行算法。在專家看來，如果基于網格的方法在某些時候被證明不再安全，則 SIKE 被視為一種有前途的替代方案。無論何時長期使用芯片，這種保護措施都是有意義的。
?
值得注意的是，研究人員還在芯片中內置了硬件木馬。他們想調查該如何揭穿這種“來自芯片工廠的惡意軟件”。 “到目前為止，我們對真正的攻擊者如何使用硬件木馬知之甚少，”Georg Sigl 解釋說。“為了制定保護措施，我們必須將自己置于攻擊者的角度，自己開發和隱藏木馬。這就是為什么我們在我們開發的后量子芯片中內置了四個木馬，它們的工作方式大不相同。”
?

當前主流的后量子加密方式

實際上，后量子加密技術也并非是新理論，量子計算概念興起之后，人們就已經開始了相關的技術探索。正如2018年中科院大學網安學院五班在整理《格密碼學習筆記》時提到的，在量子計算模型下，經典數論假設的密碼體系（如大整數分解，計算有限域/橢圓曲線上的離散對數問題等），存在多項式時間（PPT）的量子算法，換而言之，經典數論密碼體系受到了極大的沖擊，將有可能成為舊時代的眼淚。也就是說，使用Shor算法來快速分解大整數可能在不久的將來會成為一件非常簡單的事情，手機SIM卡、銀行U盾、比特幣、網絡證書，TLS/SSL等協議都有可能被量子計算機一擊而潰。
?
格密碼是一類備受關注的抗量子計算攻擊的公鑰密碼體制，格密碼的發展大體分為兩條主線：一是從具有悠久歷史的格經典數學問題的研究發展到近30多年來高維格困難問題的求解算法及其計算復雜性理論研究；二是從使用格困難問題的求解算法分析非格公鑰密碼體制的安全性發展到基于格困難問題的密碼體制的設計。
?
目前來看，在后量子加密的所有方法中，對格子的研究是最活躍和最靈活的。2020年7月22日，美國國家標準局NIST公布了其舉辦的后量子密碼標準競賽的第三輪入選算法，在7個正式入選第三輪的算法中，有5個都屬于格密碼的范疇。格是n維線性空間中離散點的集合，格中的每個元素都是一個向量。盡管格子密碼系統的優化和安全性證明都需要極其復雜的數學，但基本思想只需要基本的線性代數。
?
Mr.Yi在分享《基于格密碼的算法研究》博客時提到，格密碼的主要數學基礎是格中的兩個困難問題：
(1)格的最短矢量問題(SVP)：對于給定的一組基，找出其所生成的格中歐氏距離（兩點之間的距離）最小的非零向量。即在格上找到一個非零向量v，滿足對格上的任意非零向量u，均有||v||≤||u||。
(2)格的最近矢量問題(CVP)：對于給定的格及任一向量，找出格中與該向量距離最近的向量。
即在格上找到一個向量v，滿足對格上的任意非零向量u，均有||v-y||≤||u-y||。
?
同時，他也強調說，格上的困難問題在代數上是很好解決的，但在幾何上是困難的。
?
基于格的公鑰加密算法目前較為普遍，此外基于格的數字簽名算法和其他基于格的加密算法目前在后量子加密算法中也處于領先位置。
?
除了基于格問題的密碼體制，后量子密碼研究的相關技術還有基于糾錯編碼解碼問題的密碼體制，基于多變量方程組求解問題的密碼體制，基于橢圓曲線同源問題的密碼體制和基于哈希函數的密碼體制等。
?
糾錯編碼又稱之為信道編碼，它已成功地應用于各種通信系統中。1978年，Berlekamp等人證明了一般線性碼譯碼是NPC難題。基于這一事實以及Goppa碼的特點，McEliece首次利用糾錯碼構造出一類公鑰密碼體制，即M公鑰體制，從而開創了糾錯碼在現代密碼學中的新的研究領域。因此，基于糾錯編碼解碼問題的密碼體制大部分都是"公鑰密碼"。目前在數據傳輸中，主要有三種誤碼控制的方法，即自動請求重發(ARQ)、前向糾錯(FEC)和混合糾錯(HEC)方式。
?
基于多變量方程組求解問題也有簽名加密和公鑰加密等方案。列舉一種簽名方案的實現方式：基于結合多層Matsumoto-Imai (MMI)方案中心映射的多層構造，CyclicRainbow簽名方案，以及隱藏域方程(HFE)的中心映射構造便能夠設計出一種加密方案。
?
基于橢圓曲線同源問題的密碼體制此前在后量子加密算法研究中非常不受重視，不管是公鑰加密還是秘鑰交換，不僅效率低下，且普遍性地被認為不安全。2011年，Jao提出了超奇異橢圓曲線同源問題，同源密碼學又再次引起了大家的興趣。2017年，基于同源的加密方案和秘鑰封裝協議SIKE被提交到美國NIST，參與后量子密碼方案的候選。《后量子密碼之橢圓曲線同源密碼學》一文提到，基于超奇異橢圓曲線同源密碼體制有以下特點：
·相對于其他后量子密碼具有秘鑰尺寸短的優勢；
·其實現的效率相比于基于糾錯碼和基于格的均不占優勢；
·同源密碼學建立在已經比較復雜的橢圓曲線密碼之上，導致其構造非常復雜；
·同源密碼學系統的結構非常特殊，設計加密方案時需要借助圖論的知識構建超奇異同源圖，而無法在此之上定義群，導致許多現有密碼協議拓展到該系統之上。
?
因此，基于橢圓曲線同源問題的密碼體制目前還處于初期研究階段。
?
基于哈希的簽名算法最早出現于1979年，被認為是傳統數字簽名 （RSA、DSA、ECDSA等）的可行代替算法之一。哈希函數有多重構造方式，包括直接定址法、數字分析法、平方取中法和折疊法等。在密碼的實現方式上，可以采用基于公鑰秘法的構造方法，基于分組密碼的構造方法和直接構造的方式。不過，華為在《后量子密碼》中提到此類算法只能用于簽名。其中一個限制是每個私鑰僅可用于生成有限數量的簽名，需要繼續研究如何優化和使用。基于哈希的算法的優點是，其安全性比較容易理解和分析。
?

我國在后量子加密方面的研究進展

當前，國內也在積極致力于后量子加密技術的研究，已在積極推進現有商用密碼算法標準SM2、SM3、SM4、SM9、ZUC等成為國際標準。
?
去年10月，相關報道指出我國在后量子加密芯片方面取得了令人矚目的進展，來自清華大學的科研團隊在《采用低復雜度快速數論變換和逆變換技術在 FPGA 上高效實現 NewHope-NIST 算法的硬件架構》提出一種低計算復雜度的快速數論轉換與逆變換方法，設計了一款具有普適的通用性的后量子密碼硬件架構，顯著降低了算法的運算量，在進展方面，要比同類研究平均速度快 2.5 倍左右。
?
除了清華大學的研究，國內目前還有一項研究值得關注。相較于TUM團隊打造的后量子加密ASIC芯片方式，中科大潘建偉、張強團隊與云南大學、上海交通大學及科大國盾量子公司等單位合作，完成了量子密鑰分發（QKD）和后量子算法（PQC）的融合應用。
?
在《量子密鑰分發與后量子算法實現融合應用》報道中提到，抵御量子計算威脅、實現信息安全機制主要有兩種：一是量子密碼，如具有信息論安全的量子密鑰分發（QKD）；二是后量子密碼（PQC），如格密碼。中科大等聯合團隊首次將兩種看似完全不同的技術進行融合，技術優勢互補，利用PQC解決QKD預置密鑰的關鍵問題，而QKD則彌補了PQC待驗證的長期安全性問題，兩者聯合最終保證了網絡系統安全性。
?
當然，無論是什么方式的后量子加密，當前的研究都處于早期階段，且基本用于當前計算系統對量子計算機的防御。目前已知的量子計算均還無法破解，因此也就沒有漏洞可供研究。當然隨著人類對量子計算的理解加深，伴隨著算力提升，量子計算想必也會需要保護，不過那時候的加密算法想必會復雜很多。