全球首批后量子加密标准诞生

所谓的“背包问题”指的是从一组庞大的数字集合中选取若干数字并进行求和。虽然求和过程相对简单，但确定哪些数字组合能够达到特定的总和却极为困难。基于格的密码学借鉴了这一概念，并进一步提升了难度。在这一领域中，背包不再装载数字，而是装满了向量。

向量子安全迁移

除了数学加密算法之外，美国国家标准与技术研究院（NIST）还公布了相关的实施细节。NIST量子加密标准化项目的负责人、数学家达斯汀·穆迪（Dustin Moody）表示，尽管未来还将有更多标准发布，但企业应立即开始采用首批三项后量子加密标准，以防范潜在的量子计算攻击风险。他指出，这三项算法将成为主要的量子安全标准，其他标准则作为备选方案，以应对未来可能出现的安全挑战。

“我们不必等待未来的标准，”穆迪在公告中表示：“请立即开始使用这三项标准。我们需要做好准备，以防现有标准遭到攻破，我们也将继续制定后备计划以确保数据安全。但对于大多数应用场景来说，这些新标准将是主要选择。”

企业需要注意的是，量子安全加密比以往的加密方法更为复杂，因为算法与传统加密方法有很大不同。多种不同的算法适用于不同的使用场景，并且软件供应链的复杂性前所未有。因此，随着算法的不断更新，企业必须保持灵活性，以便迅速适应新的、更有效的量子加密安全标准。

经过多年的严格评审和筛选，美国国家标准与技术研究院（NIST）本周正式确定了三项旨在抵御量子计算威胁的加密算法，这标志着全球首批后量子（post-quantum）安全加密标准的诞生。

自2016年起，随着量子计算技术从理论阶段迈向实际应用，NIST便号召全球密码学专家着手开发新的加密标准，以防范量子计算可能带来的安全风险。传统的加密算法，例如RSA，由于依赖于大数分解等难题，在量子计算机面前显得异常脆弱。

在众多提交的算法中，经过数年的评审，NIST最终选定了三项作为新标准，它们分别是ML-KEM、ML-DSA和SLH-DSA，预期将成为NIST量子安全战略的核心。以下是首批通过的三项后量子加密标准的简要介绍：

- ML-KEM是一种基于模块格的密钥封装机制，它以高速度著称，适用于需要快速加密操作的场景，如安全地访问网站。

- ML-DSA是专为数字签名设计的标准，能够确保文件或软件在传输过程中的完整性和真实性。

- SLH-DSA同样适用于数字签名，但提供了更高的安全性，尽管这需要更大的签名尺寸或更长的签名生成时间作为代价。

值得注意的是，名为Falcon的算法也已通过初步审查，但并未被选为首批标准之一。NIST表示，将继续评估其他算法，并计划在未来几个月内宣布约15个进入下一轮测试和分析的算法。

新标准的基石：格密码学

成为首批标准的三个算法均基于格密码学（Lattice-based cryptography），这是一种与传统密码学截然不同的数学原理。这三种新算法都是为非对称加密设计的，即编码和解码消息所用的密钥是不同的。

格密码学利用了“背包问题”等复杂的数学难题，这些难题对传统计算机和量子计算机来说都极具挑战性。IBM的密码学研究员Gregor Seiler解释说，“背包问题”涉及从一组大数字中选取一些数字并求和。虽然将这些数字相加很容易，但要逆向推导出哪些数字被用于求和则异常困难。基于格的密码学正是利用了这一概念，并进一步增加了问题的复杂度，其中“背包”里装的不是数字，而是向量。

向量子安全迁移

除了数学加密算法之外，NIST还公布了相关的实施细节。NIST量子加密标准化项目的负责人、数学家达斯汀·穆迪（Dustin Moody）指出，尽管未来还将有更多标准发布，但企业应立即开始采用这三项后量子加密标准，以防范潜在的量子计算攻击。他强调，这三项算法将成为主要的量子安全标准，而其他标准则作为备选方案，以应对未来可能出现的安全挑战。

“我们无需等待未来的标准，”穆迪在公告中强调：“请立即开始使用这三项标准。我们必须做好准备，以防现有标准被破解，同时我们也将继续制定后备计划以确保数据安全。对于大多数应用场景而言，这些新标准将是主要选择。”

企业需要意识到，量子安全加密的演变比以往任何时候都要复杂，因为这些算法与传统加密方法有显著差异。多种不同的算法适用于不同的使用场景，且软件供应链的复杂性前所未有。因此，随着算法的不断更新，企业必须保持灵活性，以便迅速适应新的、更有效的量子加密安全标准。