胡磊, 中国科学院信息工程研究所研究员、博士生导师, 《密码学报 (中英文)》副主编. 曾任中国科学院信息工程研究所学术委员会副主任、信息安全国家重点实验室副主任. 在 Crypto、Eurocrypt、Asiacrypt、J. Cryptology 等信息安全及相关领域的主流期刊和学术会议上发表论文200 余篇, 多次参与国家密码标准算法的研制以及承担主管部门的密码算法分析和设计任务, 获国家密码科技进步奖和中国标准创新贡献奖等科技奖励四项.
后量子公钥密码研究的问题与挑战
在密码应用中, 由于对密钥尺寸和签名加密结果大小的限制性需求以及对清晰安全性论证的必备需要, 那些基础困难问题简洁且研究充分的算法如 RSA、ECC, 被选择作为公钥密码应用标准. 但这些标准算法不能抵抗即将到来的量子计算攻击, 于是密码界不得不下大力气研究所谓的后量子密码, 即量子计算应用后仍然安全的公钥密码. 基于格、纠错码、多变量、杂凑树等问题的公钥密码目前被认为是后量子密码, 它们的研究历史并不短, 大部分早在上世纪 70 年代末或 80 年代初就已经和 RSA、ECC 等密码同时开始了研究, 格密码的设计研究要晚一些, 到现在也有三十年的历史了. 但是, 这些后量子密码的基础困难问题复杂、参数多、密钥尺寸大, 目前的研究远不如 RSA 和 ECC 充分, 有很多问题没有搞清楚.
首先, 要弄清上述这些基础困难问题的抗量子计算安全性, 目前除了杂凑树外, 这方面的研究因为量子攻击方式的未知而很稀少, 研究对这些问题可能的量子攻击方式并评估安全性和具体安全强度是具有挑战性的课题.
其次, 研究经典计算下基础困难问题的安全性, 评估其具体安全强度, 给出主要参数控制下的安全强度公式, 这是实际应用中要解决的首要问题. 对于参数多的计算问题, 找出安全的可用强参数类或者排除弱参数类; 利用更细致的分析方法给出更精准的评估公式, 这些都是重要的研究课题. 如果能发现类似于数域筛法求解整数因子分解和有限域离散对数问题那样具有标志性的方法和公式, 那将是该领域密码最重要的安全强度共识.
第三, 关于带结构困难问题的安全性研究. 为了约减公私钥和签名加密结果的尺寸大小, 现有的研究方式是使用带结构困难问题来替代一般性困难问题, 如环上含错学习问题 RLWE 将格密码密钥尺寸从一般性 LWE 矩阵的二次存储量级降为向量的一次存储量级, 基于纠错码的公钥密码 HQC 也利用类似的多项式环工具将公私钥设置为一次存储量级的多项式. 很重要的研究课题是带结构环上基础问题的安全性, 是否带来新的攻击?数学理论对基于分圆多项式的多项式环能否形成有效攻击或降低安全强度?目前, 国内外有学者如 Bernstein, 进行了这方面的初步研究.
第四, 关于后量子密码方案的安全性论证. 众所周知, 可证明安全理论是公钥密码安全性论证的一种重要方法, 它在合理假设下将方案的安全性归约到基础困难问题的难计算性, 例如将 ECC 的安全性归约到 ECDHP 问题, 而后一个问题经过长时间的研究被公认为和椭圆曲线离散对数问题等价. 后量子密码方面, 格密码是可证明安全性做得比较好的领域, 但总的来说, 补齐现有安全性归约缺失的环节、提出更简洁更纯粹的基础困难问题、初步建立或完善可证明安全理论, 这些都是后量子密码安全性论证的重大课题. 当然, 对后量子密码进行代数攻击和侧信道攻击也是重要的研究课题, 可以得到更实际的攻击结论.
第五, 创新后量子密码设计方法, 解决后量子密码不能配套应用的难题. 熟知 ECC 公钥算法在实际应用中用同一个底层模运算模块辅以简单的上层接口就可以提供安全强度等同的数字签名、密钥协商和公钥加密等不同功能. 能否设计一个底层的基于格的运算模块, 提出一个不使用拒绝采样的格密码设计范式, 基于该模块和范式, 类似于 ECC 那样来提供同等强度的签名、密钥协商和加密等功能?另外, 现有的基于格的密钥协商实际上是基于KEM 的单向密钥协商, 如何设计协商双方具有对等权利的双向协商方案, 也是一个值得研究的课题.
最后, 研究和解决公钥密码应用中, 由传统公钥密码向后量子密码迁移所带来的重大问题. 核心的障碍来自于现有应用规范中给密码密钥和密码操作结果只留出了适合传统公钥密码大小的存储单元, 设计能兼容后量子密码更大存储单元的应用协议、进一步设计具有紧凑密钥和紧凑签名加密结果的安全后量子密码算法, 不仅是应用中无法回避的问题, 也是理论上有研究价值的课题.
声明:本文来自密码学报-中英文,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
