当前位置：首页 > article >正文

FHE与后量子密码学

article 2025/10/4 1:54:44

1. 引言

近年来，关于 后量子密码学（PQC, Post-Quantum Cryptography） 的讨论愈发热烈。这是因为安全专家担心，一旦有人成功研发出量子计算机，会发生什么可怕的事情。由于 Shor 算法的存在，量子计算机将能够破解大多数现有加密系统 —— 特别是 RSA 和 ECC（椭圆曲线加密），而它们正是现代经济体系的加密基础。

为防止这一灾难性场景的出现，美国国家标准与技术研究院（National Institute for Standards and Technology，NIST）几年前启动了一项计划，旨在寻找 可以替代 RSA 和 ECC 的“后量子”加密算法，也就是能够抵御量子计算攻击的算法。

在 2022 年 7 月，NIST 公布了这一长期项目的（部分）结果，决定将以下算法纳入正式标准化流程：

一种加密算法：Kyber
三种签名算法：Dilithium、Falcon 和 SPHINCS+

在接下来的几年中，预计 Kyber、Dilithium、Falcon 和 SPHINCS+ 将逐步从学术研究论文走向正式的标准文档，最终被集成进实际产品中。

这一决定代表 NIST 对一类密码方案的强力背书：

基于格（Lattice）数学难题的密码方案。

在这四种被选中的算法中，有三种（Kyber、Dilithium 和 Falcon）都是基于格难题的。

2. 格难题（Lattice Hard Problems）

所有公钥加密与签名算法都依赖某种数学难题作为安全基础。如：

RSA 基于一个难题：将大整数分解为质因数；
ECC 则基于另一个难题：在椭圆曲线上求解离散对数问题。

然而，这两类问题正是 Shor 算法擅长解决的。因此，如果要设计后量子安全的加密算法，就必须依赖对量子计算机依然“难解”的数学问题，而这正是格难题的用武之地。

格难题（Lattice Problems） 正是目前看来能够抵抗量子计算攻击的数学难题。

NIST 对基于格的密码技术的支持，也进一步印证了密码学界广泛的专家共识：

基于格的加密方案可能是解决量子计算威胁的关键。

在这里插入图片描述

在二维空间中，格（lattice） 可以简单理解为平面上无限延伸的一组点。这些点是通过两个“基向量”（因为在二维空间中）进行整数线性组合生成的。在上图中，黑色的两个向量就是这样的基向量。

这个结构中的核心数学难题是：

在已知一组基向量（黑色）生成的格的前提下，找到另一组更短的基向量（如图中的红色），它们也能生成相同的格。

在二维空间里，这个问题看起来可能非常简单，甚至“可笑地容易”。但当把维度提升到更高时，这个问题就变得极其困难。困难到即使是量子计算机也不太可能高效解决它。

选择用于密码系统的具体维度，以及如何选取最初的（黑色）基向量，都是非常复杂而微妙的问题。学术界已经开发出多种工具来帮助指导这些参数的选择。其中最著名的是由 Martin Albrecht 开发的工具：Lattice Estimator（格估计器）。

https://github.com/malb/lattice-estimator

3. 格密码学与同态加密

现在，已经拥有了一种可以用于构建标准密码系统（即公钥加密与公钥签名）且能够抵抗量子计算攻击的数学难题。而且坚信，这就是构建未来互联网安全基础的“难题”，以至于美国国家标准与技术研究院（NIST）已正式支持基于格的密码学作为发展方向之一。

这对同态加密来说是一个重大利好消息。事实上，所有实用的全同态加密（Fully Homomorphic Encryption, FHE）方案也都是建立在上述格难题之上的。如，Zama 所使用的 TFHE 方案 就是构建在基于格的密码学之上。这意味着 TFHE 可以直接受益于密码学社区对格密码不断深入的分析和设计工作。

实际上，Zama 使用的格安全性评估工具正是 NIST 候选算法所采用的工具。Zama 还是该软件的赞助方之一，其多位员工也参与了工具的设计与维护工作。

因此，Zama 不仅在推动全同态加密的发展，也在以间接方式助力世界迈向后量子安全的未来。

参考资料

[1] Zama团队2022年10月5日博客 Fully Homomorphic Encryption and Post-Quantum Cryptography

FHE与后量子密码学

1. 引言

2. 格难题（Lattice Hard Problems）

3. 格密码学与同态加密

参考资料

相关文章：

FHE与后量子密码学

Flask 调试的时候进入main函数两次

cv_area_center()

CSS: 选择器与三大特性

2505d,d的借用检查器

力扣-2.两数相加

M0基础篇之ADC

Nginx安全防护与HTTPS部署

C语言_程序的段

OSPF综合实验实验报告

vue3+ant design vue + Sortable实现多级表格列拖动

基于开源链动2+1模式AI智能名片S2B2C商城小程序的分销价格管控机制研究

阿里云 SLS 多云日志接入最佳实践：链路、成本与高可用性优化

体育培训的实验室管理痛点质检LIMS如何重构体育检测价值链

第二节：Vben Admin 最新 v5.0 对接后端登录接口(上)

设计模式【cpp实现版本】

阿维塔汽车CAN总线数据适配技术解析与免破线数据采集实践

用纯HTML和CSS仿写知乎登录页面

数据库故障排查全攻略：从实战案例到体系化解决方案

MySQL如何优雅的执行DDL

Django异步任务处理方式总结

类加载机制详解：双亲委派模型与打破它的方式

【Redis】C++如何使用redis

2025年现代职业教育质量提升计划(植保无人机实训室)解决方案

考研系列-408真题计算机组成原理篇（2010-2014）

【BUG】‘DetDataSample‘ object has no attribute ‘_gt_sem_seg‘

47.电压跌落与瞬时中断干扰的防护改善措施

极狐Gitlab 里程碑功能介绍

一次Android Fragment内存泄露的bug解决记录｜Fragment not attach to an Activity

基于深度学习的交通标志识别系统