NIST发布新的量子加密算法标准

关键要点

• NIST于2024年前推出四种新加密算法，以保护联邦计算机免受量子计算威胁。
• 选择包括CRYSTALS-Kyber、CRYSTALS-Dilithium、Falcon和Sphincs+，涵盖通用加密与数字签名。
• NIST强调安全性和性能的平衡，未来还将评估更多算法。

美国国家标准与技术研究院（NIST）近年来一直在推进一项重要项目，旨在识别并验证一系列新加密算法，以防止利用量子计算技术对联邦计算机和系统的黑客攻击。

在最新发布会上，NIST宣布了四种将成为2024年加密标准的算法。这些算法包括用于普通加密目的的，以及用于数字签名和身份验证的其他三种算法：、和。

NIST数学家和项目负责人达斯廷·穆迪（Dustin Moody）在接受SCMedia采访时表示，所有入围算法均已达到基本标准，最终选择则主要考虑了在速度和易用性等方面的小但可测量的差异。

“安全性是我们的首要标准……但我们对所有入围者在这一方面有足够的信心，因此我们的第二标准是性能：考虑密钥大小、签名大小、实现时涉及的内存量，评估在多种平台上的执行速度。”穆迪说。

在这四种算法中，CRYSTALS-Kyber击败了其他两个类似候选者，主要是因为其文档支持更强。

穆迪表示：“在我们看来，Kyber在安全性和性能以及实施数据方面是三者中最强的。其他两个虽然差距不算太大，但我们还是觉得Kyber有更多优势。”

CRYSTALS-
Dilithium和Falcon也是基于格的算法，但NIST预期大多数组织将使用Dilithium，因为它表现良好、文档充分，并且“相较于Falcon，更易于实现”。尽管Falcon体积更小，适用于某些需要较小数字签名的应用，但其实现起来较为复杂，可能无法在所有设备上运行，因此NIST决定同时保留这两种算法。

第四个选定的算法Sphincs+被认为是最强的非格算法，它符合NIST长期以来的观点，即在面对未来可能发现的任何主后量子密码技术中的弱点时，必须开发备份选项。

穆迪指出：“我们希望确保在有人发现突破并对格算法发起攻击时，还有其他算法可用，这属于另一种加密家族。虽然它的安全分析非常好，但它体积更大且速度更慢，因此我们认为它的应用可能没有那么广泛，但我们要做好准备。”

因此，NIST和其他机构持续提倡“加密灵活性”的概念，即构建能够轻松替换不同算法的加密协议，从而尽量降低对性能和可靠性的影响。许多专家认为，当前进入这一阶段的算法已经证明可以有效防御来自具有密码学相关能力的量子计算机的攻击，但需要强调的是，这种计算机目前并不存在，因此我们构建的一些假设尚存风险。

量子交换公司（Quantum Xchange）首席战略官文森特·伯克（VincentBerk）表示：“目前尚不清楚它们是否可以被破解，但经过仔细审查，我们没有找到简单的破解方法。”他还指出，量子计算机的计算能力远超人类，因此在保全全球数据时不应仅依赖某一种方法，以免形成单点故障。

穆迪补充道，下一组算法预计将在一年半内发布，且均不会是基于格的算法。尽管还会评估四个额外工具，但NIST预计只会选择一到两个其他算法，作为美国标准的补充选项，其中包括一种用于通用加密的新算法。公众需要等待这些选择结果，而NIST官员已经开始为7月5日宣布的四种算法起草标准，预计将于2024年前完成标准化流程。

这将使联邦机构如期满足拜登政府制定的[