後量子密碼學 (Post-Quantum Cryptography, PQC),也稱為量子安全密碼學 (Quantum-Safe Cryptography)。
什麼是後量子密碼學 (PQC)?
後量子密碼學是指在量子電腦時代仍然安全的加密演算法。當前廣泛使用的公開金鑰加密演算法,例如 RSA、橢圓曲線密碼學 (ECC) 和迪菲-赫爾曼金鑰交換 (DH),在強大的量子電腦面前將變得不堪一擊。這是因為量子電腦能夠運行 Shor 演算法,可以在合理的時間內分解大整數 (RSA 的基礎) 和計算離散對數 (ECC 和 DH 的基礎)。
後量子密碼學的研究目標是開發新的加密演算法,這些演算法的安全性基於不同的數學難題,而這些難題被認為對於已知的量子演算法是難以解決的。
為什麼需要後量子密碼學?
- 量子電腦的發展: 雖然通用、容錯的大型量子電腦尚未實現,但其發展速度正在加快。許多國家和科技公司都在投入大量資源進行研究。
- 「先儲存,後破解」的威脅: 即使現在的量子電腦還不足以破解現有的加密,惡意攻擊者可能會儲存現在加密的數據,等待未來量子電腦成熟時再進行解密。這對長期保密的數據 (例如政府機密、商業機密、個人健康記錄等) 構成嚴重威脅。
- 遷移成本: 從現有的加密體系遷移到新的後量子加密體系需要時間和資源。越早開始研究和標準化後量子加密演算法,就能越好地為量子電腦時代做好準備。
後量子密碼學的主要方向 (NIST 標準化競賽的入選方案):
美國國家標準與技術研究院 (NIST) 自 2016 年起舉辦了一場公開的後量子密碼學標準化競賽,旨在選出未來美國政府和工業界可以使用的安全後量子加密演算法。經過多輪評選,NIST 於 2022 年和 2024 年宣布了首批和後續的標準化方案,主要基於以下數學難題:
-
基於格 (Lattice-based Cryptography):
- 數學難題: 基於格上的困難問題,例如最短向量問題 (Shortest Vector Problem, SVP) 和最近向量問題 (Closest Vector Problem, CVP) 的變體。這些問題在經典電腦上被認為是難解的,並且目前沒有已知的有效量子演算法可以快速解決它們。
- 優點: 理論基礎紮實,安全性分析相對成熟,許多方案在效率和金鑰大小方面表現良好。
- NIST 標準:
- 金鑰封裝機制 (Key Encapsulation Mechanism, KEM): CRYSTALS-Kyber
- 數位簽章演算法 (Digital Signature Algorithm): CRYSTALS-Dilithium
-
基於雜湊函數 (Hash-based Cryptography):
- 數學難題: 基於安全雜湊函數的性質,例如抗碰撞性、原像抵抗性和第二原像抵抗性。
- 優點: 安全性基於相對簡單且經過充分研究的密碼學原語,被認為是保守且安全的。
- 缺點: 通常會產生較大的簽章大小,且可能是帶狀態的 (stateful),需要仔細管理狀態以保證安全性。
- NIST 標準:
- 數位簽章演算法: SPHINCS+
-
基於碼 (Code-based Cryptography):
- 數學難題: 基於糾錯碼理論中的困難問題,例如解碼一般線性碼 (Decoding of General Linear Codes)。
- 優點: 歷史悠久,被認為是抵抗量子攻擊的有力候選者。
- 缺點: 通常會產生非常大的公鑰。
- NIST 標準:
- 金鑰封裝機制: Classic McEliece (在第三輪被選中)
-
基於多變量多項式 (Multivariate Polynomial Cryptography):
- 數學難題: 基於求解多個變數的多項式方程組的困難性。
- 優點: 在簽章方案方面可能具有較小的簽章大小。
- 缺點: 安全性分析較為複雜,容易受到結構性攻擊,且金鑰大小通常較大。
- NIST 第三輪候選方案:
- 數位簽章演算法: FALCON, Rainbow (Rainbow 未被選為最終標準)
- 金鑰封裝機制: GeMSS (在第三輪被淘汰)
-
基於同源加密 (Isogeny-based Cryptography):
- 數學難題: 基於橢圓曲線之間的同源關係的困難性。
- 優點: 可能產生較小的金鑰大小。
- 缺點: 相對較新,安全性分析仍在發展中,且效率可能不如其他方案。
- NIST 第三輪候選方案:
- 金鑰封裝機制: SIKE (Supersingular Isogeny Key Encapsulation) - 在標準化過程中發現嚴重漏洞,已被排除
- 金鑰封裝機制: Bike, FrodoKEM, HQC (仍在考慮中)
後量子密碼學的挑戰:
- 安全性分析: 由於這些演算法相對較新,對其安全性的深入分析仍在進行中。需要仔細研究其抵抗經典和量子攻擊的能力。
- 效率: 與當前使用的橢圓曲線密碼學相比,一些後量子加密演算法在金鑰大小、簽章大小或運算速度方面可能存在劣勢。需要在安全性、效率和實用性之間取得平衡。
- 標準化: NIST 的標準化工作對於推動後量子密碼學的廣泛採用至關重要。
- 遷移: 從現有的加密體系平穩過渡到後量子加密體系是一個複雜的過程,需要仔細規劃和部署。
總結:
後量子密碼學是密碼學領域一個至關重要的研究方向。隨著量子電腦技術的發展,開發和部署安全的後量子加密演算法對於保護未來的數位資訊安全至關重要。NIST 的標準化競賽正在推動這一領域的發展,並有望在不久的將來產生一套可靠的後量子加密標準。了解這些新的加密技術對於技術人員和決策者來說都變得越來越重要。