2020年7月22日是公鑰密碼技術(shù)發(fā)展史上的又一個重要的里程碑，美國國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)公布了進(jìn)入第三輪評審的七種后量子時代公鑰密碼算法，引起了國際密碼學(xué)界的高度關(guān)注[1]。

公鑰密碼目前是足夠安全的，但是量子計算機(jī)的進(jìn)步和傳統(tǒng)電子計算機(jī)的飛速發(fā)展對公鑰密碼的未來安全投下了陰影。為了確保互聯(lián)網(wǎng)的長治久安，不斷完善和提高公鑰密碼的安全性，未雨綢繆作好充分的準(zhǔn)備，這已經(jīng)成了通信密碼學(xué)界的共識。

從2012年起，NIST啟動后量子時代密碼(PQC)項(xiàng)目，成立了包括12個密碼專家的項(xiàng)目成員組。表一展示了NIST推動PQC標(biāo)準(zhǔn)化的時間表。

到2017年11月30日截止日期前，NIST共收到各種后量子時代公鑰密碼算法82項(xiàng)，其中59項(xiàng)有關(guān)密鑰分發(fā)/加密解密，23項(xiàng)有關(guān)身份認(rèn)證/電子簽名。這些算法分別來自美國16個州和世界六大洲共25個國家。其中共有69種候選算法同時滿足最低驗(yàn)收標(biāo)準(zhǔn)和提交要求，被正式列入第一輪審核程序。

第一輪評審持續(xù)到2019年1月，在此期間對候選算法的安全性、效率和其他特性進(jìn)行了深入的評估，然后NIST選擇了26種算法進(jìn)入第二輪評審。接著在公眾反饋和內(nèi)部反復(fù)的測試評估的基礎(chǔ)上，通過大浪淘沙，有15種算法脫颕而出進(jìn)入第三輪評審。這15種獲勝的算法被分成兩組，其中的7種入圍決賽，另8種將作為候補(bǔ)算法。詳見圖一。

決賽入圍的密碼算法很有可能在第三輪評審結(jié)束后立即進(jìn)行標(biāo)準(zhǔn)化。由于CRYSTALS-KYBER，NTRU和SABRE都是基于格理論的密碼算法，因此NIST打算選擇其中的一種作為密鑰分發(fā)的最后標(biāo)準(zhǔn)。對于數(shù)字簽名方案也會在CRYSTALS-DILITHIUM和FALCON中二選其一。由此看來，基于格理論的密碼算法似乎是用于公鑰加密、密鑰分發(fā)(KEM)和數(shù)字簽名方案的最有前途的通用算法[2]。

NIST這次設(shè)立候補(bǔ)小組頗具創(chuàng)意。在下一輪評估后，某種候補(bǔ)算法有可能彎道超車，被選為最后的標(biāo)準(zhǔn)算法。另外，某些運(yùn)營效率較差的候補(bǔ)算法也有可能因?yàn)槠涓甙踩远煌扑]給特定客戶，以満足某些應(yīng)用場景的特殊需求。

接下來的第三輪評審預(yù)計將持續(xù)12至18個月。在這個攻堅階段中，NIST希望密碼界同仁們能對候選方案作出更深入的評估。NIST 特別強(qiáng)調(diào)，評審的重點(diǎn)除了密碼算法的安全性以外，必須把算法抗側(cè)道攻擊的能力，算法與互聯(lián)網(wǎng)協(xié)議的兼容，以及算法在各種硬件設(shè)備上運(yùn)行的效率作為評價的重要依據(jù)。

NIST計劃在2021年春季或夏季主辦第三次PQC標(biāo)準(zhǔn)化會議。希望在2022年初在最后勝出的算法中選定幾個實(shí)施標(biāo)準(zhǔn)化，因此第三輪將作為PQC標(biāo)準(zhǔn)化第一階段的最后一輪評審。

下面談?wù)勎覍QC發(fā)展策略的幾點(diǎn)體會。

1)君子引而不發(fā)，躍如也

近年來，NIST主導(dǎo)下的后量子時代公鑰密碼標(biāo)準(zhǔn)化過程一直在緊鑼密鼓地進(jìn)行中，在新冠疫情引發(fā)的全球性災(zāi)難中，PQC標(biāo)準(zhǔn)化依舊按照原定的時間表有條不紊地向前推進(jìn)。但是NIST也反復(fù)強(qiáng)調(diào)，如果評審過程中有新的技術(shù)突破或其它不確定因素出現(xiàn)，PQC標(biāo)準(zhǔn)化進(jìn)度會隨時作出調(diào)整，不排除增加新一輪(第四輪)評審的可能。

量子計算機(jī)對公鑰密碼安全畢竟沒有現(xiàn)實(shí)的威脅，所以完全沒有必要急于固化技術(shù)匆忙推出產(chǎn)品；但同時又保持高度的警惕，不斷研發(fā)、測試并掌握多種新的抗量子攻擊的密碼算法，一旦面臨威脅立刻可以把研究成果產(chǎn)品化并投入實(shí)用。文武之道、一張一弛，NIST在推進(jìn)PQC標(biāo)準(zhǔn)化的過程中始終保持著良好的節(jié)奏感。

老家蘇州有句俗語：不要船還沒翻就跳進(jìn)河里去。為了互聯(lián)網(wǎng)的長治久安，密碼安全的研發(fā)必須時刻準(zhǔn)備著，但千萬不要操之過急自亂陣腳。君子引而不發(fā)，躍如也。這才是真正謀長遠(yuǎn)、做大局的正確決策。

2）具有現(xiàn)實(shí)感的理想主義者

一種技術(shù)的優(yōu)劣是由該技術(shù)的多項(xiàng)性能共同決定的，因此技術(shù)評審時，在選取考核的各項(xiàng)性能和確定它們的權(quán)重時必須統(tǒng)籌兼顧有全局觀念。評估密碼算法的核心標(biāo)準(zhǔn)是安全性，這毫無疑問，但是NIST又把密碼算法的運(yùn)行效率、與互聯(lián)網(wǎng)的兼容性等作為評估的重要標(biāo)準(zhǔn)，這是十分明智的做法。技術(shù)評審不是選美，不是挑花架子出來做秀。評審的最終目的是挑選最實(shí)用的技術(shù)以滿足市場的需求，這就注定了必須從使用者的角度出發(fā)，把技術(shù)的可行性、易用性放在十分重要的位置。

另外，在指定技術(shù)性能的標(biāo)準(zhǔn)時，也必須科學(xué)合理、實(shí)事求是。NIST在整個評審過程中從來也沒有提出過“無條件絕對安全”這類不合理的要求。因?yàn)椤盁o條件絕對安全”的要求不僅很難實(shí)現(xiàn)，而且為了這個目標(biāo)一定會付出難以承受的代價，在工程界的詞典中它從來就不存在。

從更長遠(yuǎn)的角度來看，任何技術(shù)都需要更新和完善，公鑰密碼技術(shù)當(dāng)然也不例外。但是更新后的系統(tǒng)必須與互聯(lián)網(wǎng)的總體框架協(xié)調(diào)，升級換代的過程也要穩(wěn)步有序地推進(jìn)。密碼系統(tǒng)牽動整個互聯(lián)網(wǎng)的生態(tài)環(huán)境，這是一個比操作系統(tǒng)更為龐大復(fù)雜的生態(tài)系統(tǒng)，對于這種牽一發(fā)而動全身的技術(shù)更新，千萬不能異想天開、草率行事。

一個優(yōu)秀的工程師應(yīng)該是具有現(xiàn)實(shí)感的理想主義者。只有理想不顧現(xiàn)實(shí)，就會走向極端導(dǎo)致失??；反之，只有現(xiàn)實(shí)而沒有理想，則難以脫穎而出邁向優(yōu)秀。一個優(yōu)秀的工程師就是不斷地在理想和現(xiàn)實(shí)之間尋求妥協(xié)、保持平衡。

3）以多元化應(yīng)付不確定的未來

NIST在多輪評審中，在淘汰一些密碼算法時保持了高度的克制，在推出本輪候選算法時特地安排了一個包括8種密碼算法的后備梯隊(duì)。NIST為了保留抗量子密碼算法的多樣性上可謂是煞費(fèi)可心。

評審后量子時代公鑰密碼是為了應(yīng)對未來信息安全的挑戰(zhàn)，而未來是高度不確定的，信息安全領(lǐng)域更是技術(shù)對抗博弈的戰(zhàn)場，需要面對的問題高度復(fù)雜和不確定。技術(shù)多樣性是應(yīng)付高度復(fù)雜且不確定的未來的唯一選擇，地球上生物能夠綿延數(shù)億年靠的就是多樣性，這里面的道理是相通的。

后量子密碼技術(shù)PQC是以數(shù)學(xué)為基礎(chǔ)的軟件技術(shù)，軟件技術(shù)可以讓多種密碼算法共存于一個系統(tǒng)之中，這使用過程中可以方便地更新和切換，所以PQC其實(shí)是對抗后量子時代高度不確定環(huán)境的唯一途徑。

關(guān)于公鑰密碼的升級換代，存在兩條絕然不同的技術(shù)路線：主流路線是IETF推出TLS1.3，NIST規(guī)劃用十年的時間制定后量子時代密碼的新標(biāo)準(zhǔn)；另一條路線是中國開建量子密碼干線工程，這兩種路線形成鮮明的對比，世界主流路線PQC是漸進(jìn)、開放和合作的路線，釆用的是以數(shù)學(xué)原理為基礎(chǔ)的軟件技術(shù)；而中國的QKD相反采取了激進(jìn)、封閉的路線，釆用的是以物理原理為基礎(chǔ)的硬件技術(shù)。究竟哪條路線能更有效地確?；ヂ?lián)網(wǎng)未來的安全呢？我覺得都不用查看內(nèi)容，單從思維層面上來看，高下立見。

當(dāng)然，中國密碼界不乏有識之士，我的母校復(fù)旦大學(xué)和上海交大在PQC的學(xué)術(shù)研究領(lǐng)域都有高水準(zhǔn)的成果。但是科硏的資源和媒體的燈光全都聚焦在中科大的量子通信項(xiàng)目上，所以對PQC的進(jìn)展就鮮有人知。

近期量子通信的宣傳基調(diào)也作了調(diào)整，反復(fù)強(qiáng)調(diào)QKD不會取代傳統(tǒng)密碼，而是要與傳統(tǒng)密碼合作，特別提到要攜手PQC共同對抗量子計算機(jī)威脅。但問題是PQC有完整的解決方案，它完全不需要QKD，有關(guān)PQC的所有國際會議和海量資料中對QKD沒有只字片語，這就是明證。量子通信想要牽手PQC恐怕只能是一廂情愿的單相思罷了。