FHE与后量子密码学

1. 引言

近年来，关于 后量子密码学（PQC, Post-Quantum Cryptography） 的讨论愈发热烈。这是因为安全专家担心，一旦有人成功研发出量子计算机，会发生什么可怕的事情。由于 Shor 算法的存在，量子计算机将能够破解大多数现有加密系统 —— 特别是 RSA 和 ECC（椭圆曲线加密），而它们正是现代经济体系的加密基础。

为防止这一灾难性场景的出现，美国国家标准与技术研究院（National Institute for Standards and Technology，NIST）几年前启动了一项计划，旨在寻找 可以替代 RSA 和 ECC 的“后量子”加密算法，也就是能够抵御量子计算攻击的算法。

在 2022 年 7 月，NIST 公布了这一长期项目的（部分）结果，决定将以下算法纳入正式标准化流程：

• 一种加密算法：Kyber
• 三种签名算法：Dilithium、Falcon 和 SPHINCS+

在接下来的几年中，预计 Kyber、Dilithium、Falcon 和 SPHINCS+ 将逐步从学术研究论文走向正式的标准文档，最终被集成进实际产品中。

这一决定代表 NIST 对一类密码方案的强力背书：

• 基于格（Lattice）数学难题的密码方案。

在这四种被选中的算法中，有三种（Kyber、Dilithium 和 Falcon）都是基于格难题的。

2. 格难题（Lattice Hard Problems）

所有公钥加密与签名算法都依赖某种数学难题作为安全基础。如：

• RSA 基于一个难题：将大整数分解为质因数；
• ECC 则基于另一个难题：在椭圆曲线上求解离散对数问题。

然而，这两类问题正是 Shor 算法擅长解决的。因此，如果要设计后量子安全的加密算法，就必须依赖对量子计算机依然“难解”的数学问题，而这正是格难题的用武之地。

格难题（Lattice Problems） 正是目前看来能够抵抗量子计算攻击的数学难题。

NIST 对基于格的密码技术的支持，也进一步印证了密码学界广泛的专家共识：

• 基于格的加密方案可能是解决量子计算威胁的关键。

在二维空间中，格（lattice） 可以简单理解为平面上无限延伸的一组点。这些点是通过两个“基向量”（因为在二维空间中）进行整数线性组合生成的。在上图中，黑色的两个向量就是这样的基向量。

这个结构中的核心数学难题是：

• 在已知一组基向量（黑色）生成的格的前提下，找到另一组更短的基向量（如图中的红色），它们也能生成相同的格。

在二维空间里，这个问题看起来可能非常简单，甚至“可笑地容易”。但当把维度提升到更高时，这个问题就变得极其困难。困难到即使是量子计算机也不太可能高效解决它。

选择用于密码系统的具体维度，以及如何选取最初的（黑色）基向量，都是非常复杂而微妙的问题。学术界已经开发出多种工具来帮助指导这些参数的选择。其中最著名的是由 Martin Albrecht 开发的工具：Lattice Estimator（格估计器）。

• https://github.com/malb/lattice-estimator

3. 格密码学与同态加密

现在，已经拥有了一种可以用于构建标准密码系统（即公钥加密与公钥签名）且能够抵抗量子计算攻击的数学难题。而且坚信，这就是构建未来互联网安全基础的“难题”，以至于美国国家标准与技术研究院（NIST）已正式支持基于格的密码学作为发展方向之一。

这对同态加密来说是一个重大利好消息。事实上，所有实用的全同态加密（Fully Homomorphic Encryption, FHE）方案也都是建立在上述格难题之上的。如，Zama 所使用的 TFHE 方案 就是构建在基于格的密码学之上。这意味着 TFHE 可以直接受益于密码学社区对格密码不断深入的分析和设计工作。

实际上，Zama 使用的格安全性评估工具正是 NIST 候选算法所采用的工具。Zama 还是该软件的赞助方之一，其多位员工也参与了工具的设计与维护工作。

因此，Zama 不仅在推动全同态加密的发展，也在以间接方式助力世界迈向后量子安全的未来。

参考资料

[1] Zama团队2022年10月5日博客 Fully Homomorphic Encryption and Post-Quantum Cryptography