抗量子算法與數(shù)字證書結(jié)合方案研究

掌曉愚 陳驍 錢程

摘要：隨著量子技術(shù)的蓬勃發(fā)展，傳統(tǒng)的公鑰基礎(chǔ)設(shè)施面臨著被破解的風(fēng)險(xiǎn)，抗量子密碼成為未來發(fā)展趨勢(shì)之一。首先，介紹了量子危機(jī)及其應(yīng)對(duì)方式，闡述了抗量子算法的背景、標(biāo)準(zhǔn)化情況與研究現(xiàn)狀，然后提出了一種抗量子算法與數(shù)字證書結(jié)合的密鑰應(yīng)用方案，描述了該方案的基本架構(gòu)和實(shí)現(xiàn)步驟，最后對(duì)該方案的優(yōu)勢(shì)進(jìn)行了分析。該方案旨在在已投入使用的公鑰基礎(chǔ)設(shè)施系統(tǒng)上，使傳統(tǒng)數(shù)字證書具備了抵抗量子技術(shù)攻擊的能力，有效地提高了數(shù)字證書的安全性，保障抗量子公鑰的可信性。

關(guān)鍵詞：量子技術(shù); 抗量子算法；公鑰基礎(chǔ)設(shè)施；數(shù)字證書；數(shù)字簽名

中圖分類號(hào)：TN918.91? ?文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2024）09-0083-03

開放科學(xué)（資源服務(wù)）標(biāo)識(shí)碼（OSID）

0 引言

近年來，量子技術(shù)作為新一輪科技革命和產(chǎn)業(yè)變革的前沿領(lǐng)域獲得快速發(fā)展。各國(guó)在該領(lǐng)域展開角逐，加緊布局以搶占先機(jī)。目前，量子科技已經(jīng)上升到國(guó)家安全層面的激烈競(jìng)爭(zhēng)，各國(guó)紛紛提出量子專項(xiàng)計(jì)劃，量子領(lǐng)域日趨白熱化的競(jìng)爭(zhēng)，宣告了全球進(jìn)入全面推進(jìn)量子科技發(fā)展的時(shí)代。

作為信息安全的關(guān)鍵技術(shù)，密碼學(xué)可以提供信息的機(jī)密性、完整性以及抗抵賴性。隨著量子計(jì)算機(jī)的發(fā)展，傳統(tǒng)密碼學(xué)面臨嚴(yán)重的安全威脅。量子計(jì)算機(jī)基于量子力學(xué)的原理進(jìn)行計(jì)算，其應(yīng)用特性包括量子態(tài)疊加、糾纏和量子隱形傳態(tài)等，具有量子并行計(jì)算能力，數(shù)據(jù)處理能力強(qiáng)大，遠(yuǎn)超經(jīng)典計(jì)算機(jī)。量子計(jì)算機(jī)可以為有些關(guān)鍵的經(jīng)典密碼算法提供指數(shù)級(jí)加速，這使得傳統(tǒng)密碼學(xué)所依賴的大整數(shù)分解難題等數(shù)學(xué)難題被快速攻破，從而傳統(tǒng)密碼學(xué)能夠被快速破解，嚴(yán)重威脅了信息安全。

密碼技術(shù)和產(chǎn)品及產(chǎn)業(yè)面臨整體的更新?lián)Q代，需要研究新的密碼算法保證數(shù)據(jù)的安全性。目前業(yè)界主要有兩種解決方案，其一是基于量子密鑰分發(fā)（Quantum key distribution，QKD）技術(shù)，其二是抗量子密碼算法（Post-Quantum Cryptography，PQC）。QKD存在較多局限性，QKD密鑰生成速率和傳輸距離有限，需要專用基礎(chǔ)設(shè)施，增加了基礎(chǔ)架構(gòu)成本和內(nèi)部威脅風(fēng)險(xiǎn)，難以實(shí)現(xiàn)端到端的安全性。而抗量子密碼算法可抵御量子計(jì)算機(jī)的攻擊，又不依賴量子力學(xué)，易于實(shí)現(xiàn)推廣，已經(jīng)成為信息安全領(lǐng)域的研究熱點(diǎn)之一。與傳統(tǒng)的公鑰加密算法不同，抗量子密依賴于其他類型的計(jì)算難題，例如多變量密碼學(xué)中的非線性方程組、格密碼學(xué)中的最短向量問題等。這些計(jì)算難題被認(rèn)為在量子計(jì)算機(jī)上難以解決，因此可以提供更好的安全性。英國(guó)國(guó)家數(shù)字安全中心（The National Cyber Security Centre，NCSC）建議，應(yīng)對(duì)量子計(jì)算威脅最好的方案是PQC。

1 抗量子算法國(guó)內(nèi)外現(xiàn)狀

1.1 政策背景

當(dāng)前，美國(guó)、中國(guó)、法國(guó)以及歐洲各國(guó)均將抗量子密碼技術(shù)的發(fā)展和遷移作為重要任務(wù)。具體表現(xiàn)為：2020年12月，歐盟委員會(huì)發(fā)布《歐盟網(wǎng)絡(luò)安全戰(zhàn)略》（EU Cybersecurity Strategy），明確將量子計(jì)算和加密列為實(shí)現(xiàn)“韌性、技術(shù)主權(quán)和領(lǐng)導(dǎo)力”“強(qiáng)化預(yù)防、威懾與響應(yīng)能力”“促進(jìn)全球化、開放化網(wǎng)絡(luò)空間”三大關(guān)鍵技術(shù)。2022年1月，美國(guó)總統(tǒng)簽署了國(guó)家安全備忘錄——《關(guān)于提高國(guó)家安全、國(guó)防部和情報(bào)系統(tǒng)網(wǎng)絡(luò)安全》，該文件首次提及抗量子密碼（PQC）。這對(duì)美國(guó)乃至世界的量子技術(shù)和量子安全產(chǎn)生了巨大影響。這份文件是美國(guó)國(guó)家安全機(jī)構(gòu)在當(dāng)前的聯(lián)邦網(wǎng)絡(luò)安全計(jì)劃中，首個(gè)特別提到抗量子密碼（PQC）的文件。由此可見，抗量子密碼技術(shù)已上升至國(guó)家安全的高度。

1.2 標(biāo)準(zhǔn)化工作

另一方面，抗量子密碼標(biāo)準(zhǔn)化工作開展得如火如荼。近年來，各國(guó)密碼管理部門也開始重視和推進(jìn)PQC相關(guān)研究。在進(jìn)入實(shí)際系統(tǒng)研發(fā)和基礎(chǔ)設(shè)施推廣建設(shè)階段之前，首先要實(shí)現(xiàn)算法標(biāo)準(zhǔn)化。因此，國(guó)際產(chǎn)業(yè)界和標(biāo)準(zhǔn)化組織以及各國(guó)密碼管理部門都在積極推進(jìn)抗量子密碼的標(biāo)準(zhǔn)化工作。在歐洲，歐洲電信標(biāo)準(zhǔn)化協(xié)會(huì)在網(wǎng)絡(luò)安全技術(shù)機(jī)構(gòu)下成立小組專門負(fù)責(zé)PQC方面的標(biāo)準(zhǔn)制定和研究工作。在美國(guó)，國(guó)家安全局（NSA）于2015年公開宣布計(jì)劃將聯(lián)邦政府各部門目前使用的ECC/RSA算法體系向抗量子算法進(jìn)行遷移。次年美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）正式啟動(dòng)抗量子密碼標(biāo)準(zhǔn)競(jìng)選，2023年8月提交的《Module-Lattice-BasedKey-Encapsulation Mechanism Standard》《Module-Lattice-Based Digital Signature Standard》和《Stateless Hash-Based Digital Signature Standard》3個(gè)草案涵蓋了量子密碼封裝和數(shù)字簽名。在中國(guó)，國(guó)務(wù)院2021年發(fā)布的《計(jì)量發(fā)展規(guī)劃（2021—2035年）》中描述“建設(shè)以量子計(jì)算為核心、科技水平一流、符合時(shí)代發(fā)展需求和國(guó)際化發(fā)展潮流的國(guó)家現(xiàn)代先進(jìn)測(cè)量體系?！?022年《“十四五”數(shù)字經(jīng)濟(jì)發(fā)展規(guī)劃》中“提出瞄準(zhǔn)傳感器、量子信息、網(wǎng)絡(luò)通信、集成電路、關(guān)鍵軟件、大數(shù)據(jù)、人工智能、區(qū)塊鏈、新材料等戰(zhàn)略性前瞻性領(lǐng)域，提高數(shù)字技術(shù)基礎(chǔ)研發(fā)能力。”國(guó)家密碼管理局2021年發(fā)布的《GM/T 0108-2021誘騙態(tài)BB84量子密鑰分配產(chǎn)品技術(shù)規(guī)范》和《GM/T 0114-2021誘騙態(tài)BB84量子密鑰分配產(chǎn)品檢測(cè)規(guī)范》技術(shù)規(guī)范中關(guān)于量子密鑰分配產(chǎn)品技術(shù)和檢測(cè)規(guī)范，中國(guó)人民銀行《關(guān)于開展深化金融科技應(yīng)用、推進(jìn)金融數(shù)字化轉(zhuǎn)型提升工程的通知》中也明確提出“提升金融領(lǐng)域密碼算法抵抗?jié)撛诹孔佑?jì)算攻擊的能力”的要求。中國(guó)密碼學(xué)會(huì)于2019年面向中國(guó)開展了抗量子密碼算法競(jìng)賽的征集工作，其中復(fù)旦大學(xué)團(tuán)隊(duì)有4套算法獲獎(jiǎng)，是獲獎(jiǎng)算法最多的團(tuán)隊(duì)。此外，國(guó)際互聯(lián)網(wǎng)技術(shù)標(biāo)準(zhǔn)化組織IETF將基于哈希函數(shù)的簽名體制XMSS納入標(biāo)準(zhǔn)。

1.3 研究現(xiàn)狀

在學(xué)術(shù)領(lǐng)域，抗量子密碼研究方興未艾。文獻(xiàn)[1]介紹了傳統(tǒng)加密通信與量子通信，分析了發(fā)展抗量子密碼的必要性，詳解了抗量子密碼體系與目前的研究成果，并對(duì)抗量子密碼的發(fā)展做出了展望。文獻(xiàn)[2]在Mostafa Esmaeili方案的基礎(chǔ)上利用Polar碼的極化性質(zhì)改進(jìn)了抗量子密碼方案，將信息比特作為原方案中的明文，將凍結(jié)比特作為原方案中的隨機(jī)比特串。改進(jìn)后的方案沒有改變?cè)桨傅慕Y(jié)構(gòu)，可以抵御目前已知的信息集譯碼攻擊，為5G時(shí)代提供了一種新型抗量子密碼方案。文獻(xiàn)[3]將LRPC碼與多變量密碼中的Simple Matrix改進(jìn)版相結(jié)合，構(gòu)造出新的方案。相比于Cubic Simple Matrix方案，密文擴(kuò)展率下降了50%，并結(jié)合了編碼密碼的優(yōu)勢(shì)，相比于之前提出的基于LRPC碼和多變量的簽密方案在選擇LRPC碼時(shí)更加靈活。文獻(xiàn)[4]基于FPGA平臺(tái)設(shè)計(jì)實(shí)現(xiàn)了OSKR和OKAI兩種算法的專用電路結(jié)構(gòu)，利用一種四并行的多項(xiàng)式運(yùn)算模塊，可以實(shí)現(xiàn)多種模值參數(shù)（3329和7681）下的數(shù)論變換、多項(xiàng)式乘法、多項(xiàng)式壓縮等運(yùn)算過程，從而提升了算法的整體運(yùn)行效率，并在此基礎(chǔ)上設(shè)計(jì)了多功能采樣模塊、存儲(chǔ)模塊和編解碼模塊等。文獻(xiàn)[5]利用帶誤差學(xué)習(xí)（Learning with Errors， LWE）問題的加法同態(tài)屬性，提出了一種格上IND-CCA2安全的非適應(yīng)性平滑投影哈希函數(shù)（Smooth Projective Hash Function， SPHF），該函數(shù)支持一輪基于格的口令認(rèn)證密鑰交換（Password-Authenticated Key Exchange， PAKE）協(xié)議的構(gòu)造，并確定了所基于的安全的公鑰加密（Public Key Encryption， PKE）方案中相關(guān)參數(shù)的大小，從而消除了LWE問題的不完全加法同態(tài)屬性對(duì)SPHF正確性的影響。盲簽名是一種特殊的數(shù)字簽名，可廣泛應(yīng)用于各種匿名場(chǎng)合。文獻(xiàn)[6]在多變量公鑰密碼和盲簽名的理論基礎(chǔ)上，設(shè)計(jì)了一種新穎的多變量公鑰密碼體制下的盲簽名方案。該密碼方案借助另一非線性可逆變換L：Fr→Fr將簽名的公鑰和私鑰分離，減少了密鑰對(duì)之間的線性關(guān)系，提高了盲簽名的安全性。該密碼方案不僅具有盲性、不可追蹤性和不可偽造性，而且還具有計(jì)算復(fù)雜度低及抗量子計(jì)算攻擊的優(yōu)點(diǎn)。

我國(guó)抗量子遷移工作迫在眉睫，但是抗量子算法與傳統(tǒng)公鑰基礎(chǔ)設(shè)施相結(jié)合的研究較少。針對(duì)這種情況，本文提出了一種新型的抗量子密碼遷移應(yīng)用方案，可在已投入使用的公鑰基礎(chǔ)設(shè)施系統(tǒng)上，使傳統(tǒng)數(shù)字證書具備使用抗量子算法加密的能力，并保障抗量子公鑰的可信性。下文將對(duì)此方案進(jìn)行詳細(xì)闡述。

2 技術(shù)方案

2.1 設(shè)計(jì)思路

在國(guó)內(nèi)，抗量子密碼標(biāo)準(zhǔn)尚未完備，且基于RSA、ECC算法的公鑰基礎(chǔ)設(shè)施數(shù)字證書體系已經(jīng)廣泛應(yīng)用。考慮到技術(shù)難度、成本以及獲得的收益，部署新的抗量子算法證書體系完全替代傳統(tǒng)非對(duì)稱算法證書體系并不現(xiàn)實(shí)。因此，最佳方案是在現(xiàn)有證書體系上進(jìn)行優(yōu)化，使其具備抗量子攻擊的能力。

NIST公布了首批四種抗量子算法。其中，CRYSTALS-Kyber算法主要用于加解密，以保護(hù)通過公共網(wǎng)絡(luò)交換的信息。其優(yōu)點(diǎn)之一是相對(duì)較小的加密密鑰，使雙方可以輕松交換，并且具有較快的操作速度。CRYSTALS-Dilithium、FALCON和SPHINCS+算法則主要用于數(shù)字簽名，在需要在數(shù)字交易期間驗(yàn)證身份或遠(yuǎn)程簽署文檔時(shí)廣泛使用。

本文提出了一種將傳統(tǒng)數(shù)字證書與抗量子算法密鑰結(jié)合的方案，使傳統(tǒng)數(shù)字證書具備抵抗量子算法攻擊和防止抗量子公鑰被篡改的能力。該方案包括以下3個(gè)主要部分的實(shí)現(xiàn)：

首先，生成抗量子加密算法密鑰，并在數(shù)字證書中增加一項(xiàng)擴(kuò)展項(xiàng)，包含抗量子加密算法公鑰。其次，以抗量子加密算法公鑰作為輸入，使用抗量子算法的CA證書使用抗量子簽名算法對(duì)其進(jìn)行簽名。最后，在數(shù)字證書中增加一項(xiàng)擴(kuò)展項(xiàng)，包含抗量子加密算法公鑰的簽名值。

其中，抗量子加密算法包括但不限于CRYSTALS- Kyber算法；抗量子簽名算法包括但不限于CRYSTALS-Dilithium、FALCON和SPHINCS+算法；數(shù)字證書格式包括但不限于符合X.509的證書。

2.2 實(shí)施方式

為了使本方案實(shí)現(xiàn)的技術(shù)手段、創(chuàng)作特征、達(dá)成目的與功效易于明白了解，本節(jié)將進(jìn)一步詳細(xì)闡述本方案實(shí)施步驟與細(xì)節(jié)。

1） 抗量子算法與數(shù)字證書結(jié)合具體步驟。參見圖1，抗量子算法與數(shù)字證書結(jié)合步驟如下：

① 生成抗量子加密算法密鑰：首先需要生成一個(gè)抗量子加密算法密鑰對(duì)，包括公鑰和私鑰。公鑰用于加密數(shù)據(jù)，私鑰用于解密數(shù)據(jù)。

② 擴(kuò)展數(shù)字證書：在數(shù)字證書中增加一項(xiàng)擴(kuò)展項(xiàng)，用于存儲(chǔ)抗量子加密算法公鑰。

③ 使用抗量子簽名算法簽名：使用抗量子簽名算法對(duì)數(shù)字證書中的公鑰擴(kuò)展項(xiàng)進(jìn)行簽名，簽名過程需要使用到CA證書和對(duì)應(yīng)的私鑰。

④ 構(gòu)造公鑰簽名擴(kuò)展項(xiàng)：在數(shù)字證書中增加一項(xiàng)擴(kuò)展項(xiàng)，用于存儲(chǔ)公鑰擴(kuò)展項(xiàng)的簽名值。

⑤ 將公鑰擴(kuò)展項(xiàng)和公鑰簽名擴(kuò)展項(xiàng)一起放入數(shù)字證書中。

2）抗量子公鑰擴(kuò)展項(xiàng)定義?？沽孔庸€擴(kuò)展項(xiàng)PQKeyExtension的ASN.1結(jié)構(gòu)定義如下：

PQKeyExtension ：：= SEQUENCE {

algorithm? ?OBJECT IDENTIFIER，

pqPublicKey? ? BIT STRING? }

上述結(jié)構(gòu)中，algorithm用于標(biāo)識(shí)具體的抗量子加密算法，pqPublicKey用于表示公鑰，將公鑰的字節(jié)數(shù)組按照ASN.1編碼成BIT STRING 類型保存在擴(kuò)展項(xiàng)中。

3） 抗量子公鑰簽名擴(kuò)展項(xiàng)定義?？沽孔庸€簽名擴(kuò)展項(xiàng)PQSignatureExtension的ASN.1結(jié)構(gòu)定義如下：

pqSignatureExtension? ?BIT STRING

pqSignatureExtension域包含了對(duì)PQKeyExtension進(jìn)行抗量子簽名的結(jié)果，采用ASN.1編碼的PQKeyExtension作為輸入，簽名的結(jié)果按照ASN.1編碼成BIT STRING類型保存在擴(kuò)展項(xiàng)中。

2.3 優(yōu)勢(shì)分析

通過分析可以發(fā)現(xiàn)，本方案相比傳統(tǒng)方案具有以下優(yōu)勢(shì)：

① 使傳統(tǒng)數(shù)字證書具備使用抗量子算法加密的能力，使用證書中攜帶的抗量子公鑰加密，可以避免加密內(nèi)容被量子計(jì)算機(jī)破解。

② 保障抗量子公鑰的可信性，使用抗量子簽名算法對(duì)抗量子公鑰簽名，可以防止數(shù)字證書中抗量子公鑰被破解替換。

③ 可以在已投入使用的存量的公鑰基礎(chǔ)設(shè)施系統(tǒng)的基礎(chǔ)上使用，避免全部替換抗量子算法系統(tǒng)帶來的成本和技術(shù)問題。

3 結(jié)論與展望

本文提出的抗量子算法與數(shù)字證書結(jié)合的密鑰應(yīng)用方案可以有效地提高數(shù)字證書的安全性，降低量子計(jì)算機(jī)破解密鑰的風(fēng)險(xiǎn)，還可以防止數(shù)字證書被篡改或偽造。該方案的性能主要取決于抗量子加密算法和簽名算法的計(jì)算復(fù)雜度，由于這些算法通常具有較高的計(jì)算復(fù)雜度，因此在實(shí)際應(yīng)用中可能需要采取一些優(yōu)化措施來提高性能，例如使用并行計(jì)算、硬件加速等技術(shù)來提高計(jì)算效率。在實(shí)用效果上，該方案可以在已投入使用的公鑰基礎(chǔ)設(shè)施系統(tǒng)上實(shí)現(xiàn)無(wú)縫升級(jí)，易于推廣和使用。

參考文獻(xiàn)：

[1] 謝磊，陳智雨，葛冰玉，等.量子通信與抗量子密碼研究[C]//數(shù)字中國(guó) 能源互聯(lián)：2018電力行業(yè)信息化年會(huì)論文集.2018.

[2] 李喆，韓益亮，李魚.基于Polar碼改進(jìn)的抗量子密碼方案[J].科學(xué)技術(shù)與工程，2020，20（13）：5198-5204.

[3] 韓益亮，王眾.基于多變量和LRPC碼的抗量子密碼方案研究[J].信息網(wǎng)絡(luò)安全，2019（8）：36-43.

[4] 胡躍，趙旭陽(yáng)，劉裕雄，等.格基密鑰封裝算法OSKR/OKAI硬件高效實(shí)現(xiàn)[J].計(jì)算機(jī)學(xué)報(bào)，2023，46（6）：1156-1171.

[5] 尹安琪，汪定，郭淵博，等.可證明安全的抗量子高效口令認(rèn)證密鑰交換協(xié)議[J].計(jì)算機(jī)學(xué)報(bào)， 2022，45（11）：2321-2336.

[6] 俞惠芳，付帥鳳.抗量子計(jì)算的多變量盲簽名方案[J].軟件學(xué)報(bào)，2021，32（9）：2935-2944.

【通聯(lián)編輯：梁書】