NIST 敲定三项后量子加密标准，以更好地保护互联网、加密货币和通信

NIST 发布首批 3 项最终确定的后量子加密标准

2024 年 8 月 13 日

美国国家标准与技术研究院（NIST）发布了一套旨在抵御量子计算机攻击的最终加密工具。

这些后量子加密标准可确保从机密电子邮件信息到推动现代经济发展的电子商务交易等各种电子信息的安全。

NIST 鼓励计算机系统管理员尽快开始向新标准过渡。

服务器、笔记本电脑和手机的拼贴插图分为左侧的 "旧加密标准 "和右侧的 "新加密标准"。

图片来源：J. Wang/NIST 和 Shutterstock

美国马里兰州盖茨伯格--美国商务部国家标准与技术研究院（NIST）最终确定了一套主要的加密算法，旨在抵御来自量子计算机的网络攻击。

全世界的研究人员都在争分夺秒地制造量子计算机，因为量子计算机的运行方式与普通计算机截然不同，可以破解目前为我们在网上所做的几乎所有事情提供安全和隐私保护的加密算法。今天公布的算法是美国国家标准与技术研究院（NIST）后量子密码学（PQC）标准化项目首批完成的标准中规定的，可以立即使用。

这三项新标准面向未来。量子计算技术发展迅速，一些专家预测，具有破解当前加密方法能力的设备可能会在十年内出现，从而威胁到个人、组织和整个国家的安全和隐私。

"美国商务部副部长唐-格雷夫斯（Don Graves）说："量子计算技术的进步在重申美国作为全球技术强国的地位和推动未来经济安全方面发挥着至关重要的作用。"商务部各局正在为确保美国在量子领域的竞争力尽自己的一份力量，其中包括国家标准与技术研究院，它是这项政府整体努力的前沿。国家标准与技术研究院正在提供宝贵的专业知识，为我们的量子挑战开发创新的解决方案，包括像后量子密码学这样的安全措施，各组织可以开始实施这些措施，以确保我们的后量子未来。随着这项长达十年之久的工作继续进行，我们期待着继续商务部在这一重要领域的领导传统。

这些标准包含加密算法的计算机代码、如何实施这些算法的说明以及这些算法的预期用途，是美国国家标准与技术研究院（NIST）历时八年努力的成果。该机构召集了全球密码学专家来构思、提交和评估能够抵御量子计算机攻击的密码算法。这项新生技术可能给从天气预报、基础物理学到药物设计等领域带来革命性的变化，但同时也带来了威胁。

"美国商务部负责标准与技术的副部长兼 NIST 主任劳里-E-洛卡西欧（Laurie E. Locascio）说："量子计算技术可能成为解决社会上许多最棘手问题的力量，新标准代表了 NIST 为确保它不会同时破坏我们的安全而做出的承诺。"这些最终确定的标准是 NIST 为保护我们的机密电子信息所做努力的顶点。

抗量子算法之旅：NIST 的倡议 "抗量子算法之旅"：NIST的倡议

2015 年，NIST 启动了抗量子算法的选择和标准化工作，以应对来自量子计算机的潜在威胁。在对来自 25 个国家的 82 种算法进行评估后，在全球密码学家的协助下，确定了前 15 种算法。这些算法被分为入围算法和备选算法，标准草案将于 2023 年发布。现在鼓励网络安全专家将这些新算法纳入他们的系统。

加密技术在现代数字化社会中肩负重任。它保护着无数电子机密，如电子邮件内容、医疗记录和照片库，以及对国家安全至关重要的信息。加密数据可以通过公共计算机网络发送，因为除了发送者和预定收件人之外，其他人无法读取。

加密工具依赖于复杂的数学问题，传统计算机很难或根本无法解决这些问题。不过，能力足够强大的量子计算机能够快速筛选出解决这些问题的大量潜在方案，从而破解当前的加密技术。NIST 标准化的算法基于不同的数学问题，这些问题会同时困扰传统计算机和量子计算机。

"NIST 数学家达斯汀-穆迪（Dustin Moody）是 PQC 标准化项目的负责人，他说："这些最终确定的标准包括将它们纳入产品和加密系统的说明。"我们鼓励系统管理员立即开始将它们集成到系统中，因为完全集成需要时间。"

穆迪说，这些标准是通用加密和保护数字签名的主要工具。

想进一步了解后量子加密技术？请查看我们的讲解。

NIST 还在继续评估另外两套算法，它们有朝一日可能成为备份标准。

其中一组算法包括三种为通用加密而设计的算法，但与最终确定的标准中的通用算法基于不同类型的数学问题。NIST 计划在 2024 年底之前宣布选择其中的一种或两种算法。

第二套算法包括一大批为数字签名设计的算法。为了满足密码学家自 2016 年首次征集以来可能提出的任何想法，NIST 在 2022 年向公众征集了更多算法，并已开始对这些算法进行评估。在不久的将来，NIST 预计将宣布这组算法中的约 15 种算法将进入下一轮测试、评估和分析。

Moody 表示，虽然对这两组额外算法的分析将继续进行，但任何后续的 PQC 标准都将作为 NIST 今天宣布的三个标准的备份。

"他说："没有必要等待未来的标准。"继续使用这三种标准吧。我们需要做好准备，以防攻击击败这三个标准中的算法，我们将继续制定备份计划，以保证我们的数据安全。但对于大多数应用来说，这些新标准才是重中之重。

新标准的更多细节

加密利用数学来保护敏感的电子信息，包括安全的网站和电子邮件。广泛使用的公钥加密系统依赖于计算机认为难以解决的数学问题，确保不受欢迎的第三方无法访问这些网站和信息。在做出选择之前，NIST 不仅考虑了算法底层数学的安全性，还考虑了这些算法的最佳应用。

新标准是针对加密技术通常用于的两项基本任务而设计的：用于保护公共网络信息交换的通用加密技术和用于身份验证的数字签名技术。NIST 宣布选择了四种算法--CRYSTALS-Kyber、CRYSTALS-Dilithium、Sphincs+ 和 FALCON--定于 2022 年实现标准化，并于 2023 年发布了其中三种标准的草案版本。基于 FALCON 的第四个标准草案计划于 2024 年底发布。

虽然自草案版本发布以来，这些标准没有发生实质性变化，但 NIST 已更改了算法名称，以指明出现在三个最终标准中的版本，它们是

联邦信息处理标准 (FIPS) 203：作为通用加密的主要标准。其优点是加密密钥相对较小，双方可以方便地交换，而且运行速度快。该标准基于 CRYSTALS-Kyber 算法，该算法已更名为 ML-KEM，即基于模块-晶格的密钥封装机制的简称。

FIPS 204，旨在作为保护数字签名的主要标准。该标准使用 CRYSTALS-Dilithium 算法，该算法已更名为 ML-DSA，是基于模块-晶格的数字签名算法的简称。

FIPS 205，也是为数字签名设计的。该标准采用 Sphincs+ 算法，已更名为 SLH-DSA，是无状态散列数字签名算法的简称。该标准基于与 ML-DSA 不同的数学方法，旨在作为 ML-DSA 出现漏洞时的备用方法。

同样，以 FALCON 为基础的 FIPS 206 标准草案发布后，该算法将被命名为 FN-DSA，是 FFT（快速傅里叶变换） over NTRU-Lattice-Based 数字签名算法的简称。