抗量子算法與數(shù)字證書結(jié)合方案研究

掌曉愚 陳驍 錢程

摘要：隨著量子技術(shù)的蓬勃發(fā)展，傳統(tǒng)的公鑰基礎(chǔ)設(shè)施面臨著被破解的風(fēng)險，抗量子密碼成為未來發(fā)展趨勢之一。首先，介紹了量子危機(jī)及其應(yīng)對方式，闡述了抗量子算法的背景、標(biāo)準(zhǔn)化情況與研究現(xiàn)狀，然后提出了一種抗量子算法與數(shù)字證書結(jié)合的密鑰應(yīng)用方案，描述了該方案的基本架構(gòu)和實現(xiàn)步驟，最后對該方案的優(yōu)勢進(jìn)行了分析。該方案旨在在已投入使用的公鑰基礎(chǔ)設(shè)施系統(tǒng)上，使傳統(tǒng)數(shù)字證書具備了抵抗量子技術(shù)攻擊的能力，有效地提高了數(shù)字證書的安全性，保障抗量子公鑰的可信性。

關(guān)鍵詞：量子技術(shù); 抗量子算法；公鑰基礎(chǔ)設(shè)施；數(shù)字證書；數(shù)字簽名

中圖分類號：TN918.91? ?文獻(xiàn)標(biāo)識碼：A

文章編號：1009-3044（2024）09-0083-03

開放科學(xué)（資源服務(wù)）標(biāo)識碼（OSID）

0 引言

近年來，量子技術(shù)作為新一輪科技革命和產(chǎn)業(yè)變革的前沿領(lǐng)域獲得快速發(fā)展。各國在該領(lǐng)域展開角逐，加緊布局以搶占先機(jī)。目前，量子科技已經(jīng)上升到國家安全層面的激烈競爭，各國紛紛提出量子專項計劃，量子領(lǐng)域日趨白熱化的競爭，宣告了全球進(jìn)入全面推進(jìn)量子科技發(fā)展的時代。

作為信息安全的關(guān)鍵技術(shù)，密碼學(xué)可以提供信息的機(jī)密性、完整性以及抗抵賴性。隨著量子計算機(jī)的發(fā)展，傳統(tǒng)密碼學(xué)面臨嚴(yán)重的安全威脅。量子計算機(jī)基于量子力學(xué)的原理進(jìn)行計算，其應(yīng)用特性包括量子態(tài)疊加、糾纏和量子隱形傳態(tài)等，具有量子并行計算能力，數(shù)據(jù)處理能力強大，遠(yuǎn)超經(jīng)典計算機(jī)。量子計算機(jī)可以為有些關(guān)鍵的經(jīng)典密碼算法提供指數(shù)級加速，這使得傳統(tǒng)密碼學(xué)所依賴的大整數(shù)分解難題等數(shù)學(xué)難題被快速攻破，從而傳統(tǒng)密碼學(xué)能夠被快速破解，嚴(yán)重威脅了信息安全。

密碼技術(shù)和產(chǎn)品及產(chǎn)業(yè)面臨整體的更新?lián)Q代，需要研究新的密碼算法保證數(shù)據(jù)的安全性。目前業(yè)界主要有兩種解決方案，其一是基于量子密鑰分發(fā)（Quantum key distribution，QKD）技術(shù)，其二是抗量子密碼算法（Post-Quantum Cryptography，PQC）。QKD存在較多局限性，QKD密鑰生成速率和傳輸距離有限，需要專用基礎(chǔ)設(shè)施，增加了基礎(chǔ)架構(gòu)成本和內(nèi)部威脅風(fēng)險，難以實現(xiàn)端到端的安全性。而抗量子密碼算法可抵御量子計算機(jī)的攻擊，又不依賴量子力學(xué)，易于實現(xiàn)推廣，已經(jīng)成為信息安全領(lǐng)域的研究熱點之一。與傳統(tǒng)的公鑰加密算法不同，抗量子密依賴于其他類型的計算難題，例如多變量密碼學(xué)中的非線性方程組、格密碼學(xué)中的最短向量問題等。這些計算難題被認(rèn)為在量子計算機(jī)上難以解決，因此可以提供更好的安全性。英國國家數(shù)字安全中心（The National Cyber Security Centre，NCSC）建議，應(yīng)對量子計算威脅最好的方案是PQC。

1 抗量子算法國內(nèi)外現(xiàn)狀

1.1 政策背景

當(dāng)前，美國、中國、法國以及歐洲各國均將抗量子密碼技術(shù)的發(fā)展和遷移作為重要任務(wù)。具體表現(xiàn)為：2020年12月，歐盟委員會發(fā)布《歐盟網(wǎng)絡(luò)安全戰(zhàn)略》（EU Cybersecurity Strategy），明確將量子計算和加密列為實現(xiàn)“韌性、技術(shù)主權(quán)和領(lǐng)導(dǎo)力”“強化預(yù)防、威懾與響應(yīng)能力”“促進(jìn)全球化、開放化網(wǎng)絡(luò)空間”三大關(guān)鍵技術(shù)。2022年1月，美國總統(tǒng)簽署了國家安全備忘錄——《關(guān)于提高國家安全、國防部和情報系統(tǒng)網(wǎng)絡(luò)安全》，該文件首次提及抗量子密碼（PQC）。這對美國乃至世界的量子技術(shù)和量子安全產(chǎn)生了巨大影響。這份文件是美國國家安全機(jī)構(gòu)在當(dāng)前的聯(lián)邦網(wǎng)絡(luò)安全計劃中，首個特別提到抗量子密碼（PQC）的文件。由此可見，抗量子密碼技術(shù)已上升至國家安全的高度。

1.2 標(biāo)準(zhǔn)化工作

另一方面，抗量子密碼標(biāo)準(zhǔn)化工作開展得如火如荼。近年來，各國密碼管理部門也開始重視和推進(jìn)PQC相關(guān)研究。在進(jìn)入實際系統(tǒng)研發(fā)和基礎(chǔ)設(shè)施推廣建設(shè)階段之前，首先要實現(xiàn)算法標(biāo)準(zhǔn)化。因此，國際產(chǎn)業(yè)界和標(biāo)準(zhǔn)化組織以及各國密碼管理部門都在積極推進(jìn)抗量子密碼的標(biāo)準(zhǔn)化工作。在歐洲，歐洲電信標(biāo)準(zhǔn)化協(xié)會在網(wǎng)絡(luò)安全技術(shù)機(jī)構(gòu)下成立小組專門負(fù)責(zé)PQC方面的標(biāo)準(zhǔn)制定和研究工作。在美國，國家安全局（NSA）于2015年公開宣布計劃將聯(lián)邦政府各部門目前使用的ECC/RSA算法體系向抗量子算法進(jìn)行遷移。次年美國國家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）正式啟動抗量子密碼標(biāo)準(zhǔn)競選，2023年8月提交的《Module-Lattice-BasedKey-Encapsulation Mechanism Standard》《Module-Lattice-Based Digital Signature Standard》和《Stateless Hash-Based Digital Signature Standard》3個草案涵蓋了量子密碼封裝和數(shù)字簽名。在中國，國務(wù)院2021年發(fā)布的《計量發(fā)展規(guī)劃（2021—2035年）》中描述“建設(shè)以量子計算為核心、科技水平一流、符合時代發(fā)展需求和國際化發(fā)展潮流的國家現(xiàn)代先進(jìn)測量體系。”2022年《“十四五”數(shù)字經(jīng)濟(jì)發(fā)展規(guī)劃》中“提出瞄準(zhǔn)傳感器、量子信息、網(wǎng)絡(luò)通信、集成電路、關(guān)鍵軟件、大數(shù)據(jù)、人工智能、區(qū)塊鏈、新材料等戰(zhàn)略性前瞻性領(lǐng)域，提高數(shù)字技術(shù)基礎(chǔ)研發(fā)能力。”國家密碼管理局2021年發(fā)布的《GM/T 0108-2021誘騙態(tài)BB84量子密鑰分配產(chǎn)品技術(shù)規(guī)范》和《GM/T 0114-2021誘騙態(tài)BB84量子密鑰分配產(chǎn)品檢測規(guī)范》技術(shù)規(guī)范中關(guān)于量子密鑰分配產(chǎn)品技術(shù)和檢測規(guī)范，中國人民銀行《關(guān)于開展深化金融科技應(yīng)用、推進(jìn)金融數(shù)字化轉(zhuǎn)型提升工程的通知》中也明確提出“提升金融領(lǐng)域密碼算法抵抗?jié)撛诹孔佑嬎愎舻哪芰Α钡囊蟆Ｖ袊艽a學(xué)會于2019年面向中國開展了抗量子密碼算法競賽的征集工作，其中復(fù)旦大學(xué)團(tuán)隊有4套算法獲獎，是獲獎算法最多的團(tuán)隊。此外，國際互聯(lián)網(wǎng)技術(shù)標(biāo)準(zhǔn)化組織IETF將基于哈希函數(shù)的簽名體制XMSS納入標(biāo)準(zhǔn)。

1.3 研究現(xiàn)狀

在學(xué)術(shù)領(lǐng)域，抗量子密碼研究方興未艾。文獻(xiàn)[1]介紹了傳統(tǒng)加密通信與量子通信，分析了發(fā)展抗量子密碼的必要性，詳解了抗量子密碼體系與目前的研究成果，并對抗量子密碼的發(fā)展做出了展望。文獻(xiàn)[2]在Mostafa Esmaeili方案的基礎(chǔ)上利用Polar碼的極化性質(zhì)改進(jìn)了抗量子密碼方案，將信息比特作為原方案中的明文，將凍結(jié)比特作為原方案中的隨機(jī)比特串。改進(jìn)后的方案沒有改變原方案的結(jié)構(gòu)，可以抵御目前已知的信息集譯碼攻擊，為5G時代提供了一種新型抗量子密碼方案。文獻(xiàn)[3]將LRPC碼與多變量密碼中的Simple Matrix改進(jìn)版相結(jié)合，構(gòu)造出新的方案。相比于Cubic Simple Matrix方案，密文擴(kuò)展率下降了50%，并結(jié)合了編碼密碼的優(yōu)勢，相比于之前提出的基于LRPC碼和多變量的簽密方案在選擇LRPC碼時更加靈活。文獻(xiàn)[4]基于FPGA平臺設(shè)計實現(xiàn)了OSKR和OKAI兩種算法的專用電路結(jié)構(gòu)，利用一種四并行的多項式運算模塊，可以實現(xiàn)多種模值參數(shù)（3329和7681）下的數(shù)論變換、多項式乘法、多項式壓縮等運算過程，從而提升了算法的整體運行效率，并在此基礎(chǔ)上設(shè)計了多功能采樣模塊、存儲模塊和編解碼模塊等。文獻(xiàn)[5]利用帶誤差學(xué)習(xí)（Learning with Errors， LWE）問題的加法同態(tài)屬性，提出了一種格上IND-CCA2安全的非適應(yīng)性平滑投影哈希函數(shù)（Smooth Projective Hash Function， SPHF），該函數(shù)支持一輪基于格的口令認(rèn)證密鑰交換（Password-Authenticated Key Exchange， PAKE）協(xié)議的構(gòu)造，并確定了所基于的安全的公鑰加密（Public Key Encryption， PKE）方案中相關(guān)參數(shù)的大小，從而消除了LWE問題的不完全加法同態(tài)屬性對SPHF正確性的影響。盲簽名是一種特殊的數(shù)字簽名，可廣泛應(yīng)用于各種匿名場合。文獻(xiàn)[6]在多變量公鑰密碼和盲簽名的理論基礎(chǔ)上，設(shè)計了一種新穎的多變量公鑰密碼體制下的盲簽名方案。該密碼方案借助另一非線性可逆變換L：Fr→Fr將簽名的公鑰和私鑰分離，減少了密鑰對之間的線性關(guān)系，提高了盲簽名的安全性。該密碼方案不僅具有盲性、不可追蹤性和不可偽造性，而且還具有計算復(fù)雜度低及抗量子計算攻擊的優(yōu)點。

我國抗量子遷移工作迫在眉睫，但是抗量子算法與傳統(tǒng)公鑰基礎(chǔ)設(shè)施相結(jié)合的研究較少。針對這種情況，本文提出了一種新型的抗量子密碼遷移應(yīng)用方案，可在已投入使用的公鑰基礎(chǔ)設(shè)施系統(tǒng)上，使傳統(tǒng)數(shù)字證書具備使用抗量子算法加密的能力，并保障抗量子公鑰的可信性。下文將對此方案進(jìn)行詳細(xì)闡述。

2 技術(shù)方案

2.1 設(shè)計思路

在國內(nèi)，抗量子密碼標(biāo)準(zhǔn)尚未完備，且基于RSA、ECC算法的公鑰基礎(chǔ)設(shè)施數(shù)字證書體系已經(jīng)廣泛應(yīng)用。考慮到技術(shù)難度、成本以及獲得的收益，部署新的抗量子算法證書體系完全替代傳統(tǒng)非對稱算法證書體系并不現(xiàn)實。因此，最佳方案是在現(xiàn)有證書體系上進(jìn)行優(yōu)化，使其具備抗量子攻擊的能力。

NIST公布了首批四種抗量子算法。其中，CRYSTALS-Kyber算法主要用于加解密，以保護(hù)通過公共網(wǎng)絡(luò)交換的信息。其優(yōu)點之一是相對較小的加密密鑰，使雙方可以輕松交換，并且具有較快的操作速度。CRYSTALS-Dilithium、FALCON和SPHINCS+算法則主要用于數(shù)字簽名，在需要在數(shù)字交易期間驗證身份或遠(yuǎn)程簽署文檔時廣泛使用。

本文提出了一種將傳統(tǒng)數(shù)字證書與抗量子算法密鑰結(jié)合的方案，使傳統(tǒng)數(shù)字證書具備抵抗量子算法攻擊和防止抗量子公鑰被篡改的能力。該方案包括以下3個主要部分的實現(xiàn)：

首先，生成抗量子加密算法密鑰，并在數(shù)字證書中增加一項擴(kuò)展項，包含抗量子加密算法公鑰。其次，以抗量子加密算法公鑰作為輸入，使用抗量子算法的CA證書使用抗量子簽名算法對其進(jìn)行簽名。最后，在數(shù)字證書中增加一項擴(kuò)展項，包含抗量子加密算法公鑰的簽名值。

其中，抗量子加密算法包括但不限于CRYSTALS- Kyber算法；抗量子簽名算法包括但不限于CRYSTALS-Dilithium、FALCON和SPHINCS+算法；數(shù)字證書格式包括但不限于符合X.509的證書。

2.2 實施方式

為了使本方案實現(xiàn)的技術(shù)手段、創(chuàng)作特征、達(dá)成目的與功效易于明白了解，本節(jié)將進(jìn)一步詳細(xì)闡述本方案實施步驟與細(xì)節(jié)。

1） 抗量子算法與數(shù)字證書結(jié)合具體步驟。參見圖1，抗量子算法與數(shù)字證書結(jié)合步驟如下：

① 生成抗量子加密算法密鑰：首先需要生成一個抗量子加密算法密鑰對，包括公鑰和私鑰。公鑰用于加密數(shù)據(jù)，私鑰用于解密數(shù)據(jù)。

② 擴(kuò)展數(shù)字證書：在數(shù)字證書中增加一項擴(kuò)展項，用于存儲抗量子加密算法公鑰。

③ 使用抗量子簽名算法簽名：使用抗量子簽名算法對數(shù)字證書中的公鑰擴(kuò)展項進(jìn)行簽名，簽名過程需要使用到CA證書和對應(yīng)的私鑰。

④ 構(gòu)造公鑰簽名擴(kuò)展項：在數(shù)字證書中增加一項擴(kuò)展項，用于存儲公鑰擴(kuò)展項的簽名值。

⑤ 將公鑰擴(kuò)展項和公鑰簽名擴(kuò)展項一起放入數(shù)字證書中。

2）抗量子公鑰擴(kuò)展項定義。抗量子公鑰擴(kuò)展項PQKeyExtension的ASN.1結(jié)構(gòu)定義如下：

PQKeyExtension ：：= SEQUENCE {

algorithm? ?OBJECT IDENTIFIER，

pqPublicKey? ? BIT STRING? }

上述結(jié)構(gòu)中，algorithm用于標(biāo)識具體的抗量子加密算法，pqPublicKey用于表示公鑰，將公鑰的字節(jié)數(shù)組按照ASN.1編碼成BIT STRING 類型保存在擴(kuò)展項中。

3） 抗量子公鑰簽名擴(kuò)展項定義。抗量子公鑰簽名擴(kuò)展項PQSignatureExtension的ASN.1結(jié)構(gòu)定義如下：

pqSignatureExtension? ?BIT STRING

pqSignatureExtension域包含了對PQKeyExtension進(jìn)行抗量子簽名的結(jié)果，采用ASN.1編碼的PQKeyExtension作為輸入，簽名的結(jié)果按照ASN.1編碼成BIT STRING類型保存在擴(kuò)展項中。

2.3 優(yōu)勢分析

通過分析可以發(fā)現(xiàn)，本方案相比傳統(tǒng)方案具有以下優(yōu)勢：

① 使傳統(tǒng)數(shù)字證書具備使用抗量子算法加密的能力，使用證書中攜帶的抗量子公鑰加密，可以避免加密內(nèi)容被量子計算機(jī)破解。

② 保障抗量子公鑰的可信性，使用抗量子簽名算法對抗量子公鑰簽名，可以防止數(shù)字證書中抗量子公鑰被破解替換。

③ 可以在已投入使用的存量的公鑰基礎(chǔ)設(shè)施系統(tǒng)的基礎(chǔ)上使用，避免全部替換抗量子算法系統(tǒng)帶來的成本和技術(shù)問題。

3 結(jié)論與展望

本文提出的抗量子算法與數(shù)字證書結(jié)合的密鑰應(yīng)用方案可以有效地提高數(shù)字證書的安全性，降低量子計算機(jī)破解密鑰的風(fēng)險，還可以防止數(shù)字證書被篡改或偽造。該方案的性能主要取決于抗量子加密算法和簽名算法的計算復(fù)雜度，由于這些算法通常具有較高的計算復(fù)雜度，因此在實際應(yīng)用中可能需要采取一些優(yōu)化措施來提高性能，例如使用并行計算、硬件加速等技術(shù)來提高計算效率。在實用效果上，該方案可以在已投入使用的公鑰基礎(chǔ)設(shè)施系統(tǒng)上實現(xiàn)無縫升級，易于推廣和使用。

參考文獻(xiàn)：

[1] 謝磊，陳智雨，葛冰玉，等.量子通信與抗量子密碼研究[C]//數(shù)字中國 能源互聯(lián)：2018電力行業(yè)信息化年會論文集.2018.

[2] 李喆，韓益亮，李魚.基于Polar碼改進(jìn)的抗量子密碼方案[J].科學(xué)技術(shù)與工程，2020，20（13）：5198-5204.

[3] 韓益亮，王眾.基于多變量和LRPC碼的抗量子密碼方案研究[J].信息網(wǎng)絡(luò)安全，2019（8）：36-43.

[4] 胡躍，趙旭陽，劉裕雄，等.格基密鑰封裝算法OSKR/OKAI硬件高效實現(xiàn)[J].計算機(jī)學(xué)報，2023，46（6）：1156-1171.

[5] 尹安琪，汪定，郭淵博，等.可證明安全的抗量子高效口令認(rèn)證密鑰交換協(xié)議[J].計算機(jī)學(xué)報， 2022，45（11）：2321-2336.

[6] 俞惠芳，付帥鳳.抗量子計算的多變量盲簽名方案[J].軟件學(xué)報，2021，32（9）：2935-2944.

【通聯(lián)編輯：梁書】