簡體中文
English
Français
Español
Português
2025 年 4 月 25 日隨着量子計算技術的快速發展,傳統公鑰加密算法如RSA、橢圓曲線密碼(ECC)面臨潛在失效風險。為保障國家關鍵信息基礎設施安全,美國國家標準與技術研究院(NIST)自2016年啟動了後量子密碼(PQC)標準化流程,目標是遴選出能抵禦量子攻擊的新一代加密標準。
圖1:NIST PQC徵集時間線
該流程已在2022年選定了首批標準算法,包括基於格的密鑰封裝機制Kyber、基於格的數字簽名Dilithium和Falcon,基於無狀態哈希的數字簽名SPHINCS+,其中,Kyber、Falcon 和SPHINCS+分別被納入2024年8月發布的 FIPS 203、204、205 標準,對應ML-KEM、FN-DSA和SLH-DSA。而在2025年3月發布的官方報告NIST IR 8545 《Status Report on the Fourth Round of the NIST Post-Quantum Cryptography Standardization Process》中,NIST又選定了另一種密鑰封裝機制—HQC(Hamming Quasi-Cyclic),作為Kyber的安全補充,進一步完善抗量子密碼標準體系。
該報告總結了從2022年起的第四輪KEM算法評估過程,並正式宣布將基於編碼理論的HQC(Hamming Quasi-Cyclic)算法選為第二個擬標準化的密鑰封裝機制(KEM)。報告明確指出,第四輪的主要目標是:在已經標準化的格基算法Kyber(ML-KEM)之外,進一步選出一個基於不同數學假設的KEM方案,以提升未來抗量子密碼體系的安全多樣性和系統魯棒性,實現密碼敏捷性。進入最終評審的候選算法包括:HQC、BIKE、Classic McEliece和SIKE,其中SIKE已經在2022年被證明不安全。在詳細評估之後,NIST最終決定選擇HQC作為補充標準,並預計將在兩年內發布相關標準草案。
根據NIST IR 8545中的分析,選擇HQC的原因主要包括以下幾方面:
1、安全性成熟且結構清晰
HQC的安全性建立在准循環碼解碼(QCSD)問題之上,這是一個研究超過50年的經典難題。算法無trapdoor結構,有利於形式化驗證與安全分析。為了實現IND-CCA2安全性,必須保證足夠低的解碼失敗率(DFR)。該報告指出,HQC在這方面表現優於BIKE,後者在DFR分析上仍存在公開難題。
2、尺寸和性能相對均衡
HQC的准循環結構使其公鑰和密文的尺寸較小,但仍明顯大於結構化格的密鑰封裝機制。HQC的密文和公鑰大約分別是BIKE密文和公鑰大小的2.9倍和1.5倍。儘管HQC的帶寬高於BIKE,但HQC的密鑰生成和解封裝速度卻明顯快於BIKE,加密速度則僅為BIKE的一半。相比之下,Classic McEliece雖然安全性強,但公私鑰體積極大,在多數實際場景下難以部署。
圖2:四個算法參數大小和性能對比
3、實現特性
HQC提交者指出兩個相關專利,專利持有方承諾無償授予全球非獨佔許可,確保合理條款且無不公平歧視,因此不存在專利壁壘問題。此外,由於Classic McEliece的較小密文和快速加解密,它可能在某些特定應用(公鑰只需要傳輸一次,如 VPN 和文件加密)中有用。但是該算法正在ISO標準化審議中,NIST和ISO同時標準化可能導致不兼容。在McEliece完成ISO標準化後,NIST可能基於ISO標準開發相關標準。
HQC是一種基於編碼理論的密鑰封裝機制(KEM),利用了准循環碼的結構優勢,未在編碼結構中隱藏任何trapdoor,安全性可直接規約到QCSD問題,屬於編碼類密碼學中的主流路線之一。與其他基於編碼的方案一樣,目前對HQC最有效的攻擊方式仍為信息集解碼(ISD)方法。
根據NIST的官方定位,Kyber與HQC的角色是互補而非替代。前者作為高性能、廣泛適配的主力標準,後者則提供不同數學基礎的安全保證。我們在我們的測試環境中對兩者的軟算法(Level 1和Level 3級別)進行了測試,得到如下總結:
圖3:Kyber和HQC算法對比
HQC的入選代表着NIST在構建抗量子密碼體系時,明確提出了安全基礎多樣化的目標。雖然Kyber是主力部署對象,但HQC提供了一條不同路徑的安全備選,特別適用於高安全或私鑰敏感的應用場景。目前,HQC的標準草案正在制定中,預計將在未來兩年內正式發布。NIST也計劃在2025年9月舉行新一輪後量子密碼標準會議,繼續推動簽名算法等標準化工作。
深耕信息安全行業30多年,作為行業專家,我們深知標準規範對行業發展的重要性。握奇將持續洞察NIST標準草案的更新動態,並緊密關注相關應用部署的推進情況,以助力行業穩健發展。