后量子加密技術(shù)是指可以抵抗量子計算機攻擊的密碼技術(shù)。其中，后量子加密中的“后”字并非是指該技術(shù)需要到量子計算發(fā)展后期才能夠推出和使用，實際上它還有一個名稱：抗量子密碼技術(shù)。

TUM的后量子加密芯片由TUM 信息技術(shù)安全教授 Georg Sigl 領(lǐng)導(dǎo)的團隊完成。Sigl 和他的團隊實現(xiàn)了軟硬件協(xié)同設(shè)計，在這個過程中，專用組件和控制軟件相輔相成。“我們的芯片是第一個基于后量子密碼學的軟硬件協(xié)同設(shè)計的芯片，”Sigl 教授表示，“因此，它可以使用‘Kyber’來實現(xiàn)加密——后量子密碼學最有前途的候選者之一——速度大約是依賴純軟件解決方案的芯片的二十倍，消耗的能量大約少八倍，同時幾乎是像它們一樣靈活。”

該芯片是專用集成電路 (ASIC)，基于開源 RISC-V 標準修改了開源芯片設(shè)計，能夠使用基于格的后量子加密算法，例如 Kyber，而且還可以與 SIKE 算法一起使用。

據(jù)該團隊稱，TUM 開發(fā)的芯片可以比依賴軟件進行加密的芯片快約21倍的速度執(zhí)行算法。在專家看來，如果基于網(wǎng)格的方法在某些時候被證明不再安全，則 SIKE 被視為一種有前途的替代方案。無論何時長期使用芯片，這種保護措施都是有意義的。

值得注意的是，研究人員還在芯片中內(nèi)置了硬件木馬。他們想調(diào)查該如何揭穿這種“來自芯片工廠的惡意軟件”。“到目前為止，我們對真正的攻擊者如何使用硬件木馬知之甚少，”Georg Sigl 解釋說。“為了制定保護措施，我們必須將自己置于攻擊者的角度，自己開發(fā)和隱藏木馬。這就是為什么我們在我們開發(fā)的后量子芯片中內(nèi)置了四個木馬，它們的工作方式大不相同。”

實際上，后量子加密技術(shù)也并非是新理論，量子計算概念興起之后，人們就已經(jīng)開始了相關(guān)的技術(shù)探索。正如2018年中科院大學網(wǎng)安學院五班在整理《格密碼學習筆記》時提到的，在量子計算模型下，經(jīng)典數(shù)論假設(shè)的密碼體系（如大整數(shù)分解，計算有限域/橢圓曲線上的離散對數(shù)問題等），存在多項式時間（PPT）的量子算法，換而言之，經(jīng)典數(shù)論密碼體系受到了極大的沖擊，將有可能成為舊時代的眼淚。也就是說，使用Shor算法來快速分解大整數(shù)可能在不久的將來會成為一件非常簡單的事情，手機SIM卡、銀行U盾、比特幣、網(wǎng)絡(luò)證書，TLS/SSL等協(xié)議都有可能被量子計算機一擊而潰。

格密碼是一類備受關(guān)注的抗量子計算攻擊的公鑰密碼體制，格密碼的發(fā)展大體分為兩條主線：一是從具有悠久歷史的格經(jīng)典數(shù)學問題的研究發(fā)展到近30多年來高維格困難問題的求解算法及其計算復(fù)雜性理論研究；二是從使用格困難問題的求解算法分析非格公鑰密碼體制的安全性發(fā)展到基于格困難問題的密碼體制的設(shè)計。

目前來看，在后量子加密的所有方法中，對格子的研究是最活躍和最靈活的。2020年7月22日，美國國家標準局NIST公布了其舉辦的后量子密碼標準競賽的第三輪入選算法，在7個正式入選第三輪的算法中，有5個都屬于格密碼的范疇。格是n維線性空間中離散點的集合，格中的每個元素都是一個向量。盡管格子密碼系統(tǒng)的優(yōu)化和安全性證明都需要極其復(fù)雜的數(shù)學，但基本思想只需要基本的線性代數(shù)。

Mr.Yi在分享《基于格密碼的算法研究》博客時提到，格密碼的主要數(shù)學基礎(chǔ)是格中的兩個困難問題：

(1)格的最短矢量問題(SVP)：對于給定的一組基，找出其所生成的格中歐氏距離（兩點之間的距離）最小的非零向量。即在格上找到一個非零向量v，滿足對格上的任意非零向量u，均有||v||≤||u||。

(2)格的最近矢量問題(CVP)：對于給定的格及任一向量，找出格中與該向量距離最近的向量。

即在格上找到一個向量v，滿足對格上的任意非零向量u，均有||v-y||≤||u-y||。

同時，他也強調(diào)說，格上的困難問題在代數(shù)上是很好解決的，但在幾何上是困難的。

基于格的公鑰加密算法目前較為普遍，此外基于格的數(shù)字簽名算法和其他基于格的加密算法目前在后量子加密算法中也處于領(lǐng)先位置。

除了基于格問題的密碼體制，后量子密碼研究的相關(guān)技術(shù)還有基于糾錯編碼解碼問題的密碼體制，基于多變量方程組求解問題的密碼體制，基于橢圓曲線同源問題的密碼體制和基于哈希函數(shù)的密碼體制等。

糾錯編碼又稱之為信道編碼，它已成功地應(yīng)用于各種通信系統(tǒng)中。1978年，Berlekamp等人證明了一般線性碼譯碼是NPC難題�；�于這一事實以及Goppa碼的特點，McEliece首次利用糾錯碼構(gòu)造出一類公鑰密碼體制，即M公鑰體制，從而開創(chuàng)了糾錯碼在現(xiàn)代密碼學中的新的研究領(lǐng)域。因此，基于糾錯編碼解碼問題的密碼體制大部分都是"公鑰密碼"。目前在數(shù)據(jù)傳輸中，主要有三種誤碼控制的方法，即自動請求重發(fā)(ARQ)、前向糾錯(FEC)和混合糾錯(HEC)方式。

基于多變量方程組求解問題也有簽名加密和公鑰加密等方案。列舉一種簽名方案的實現(xiàn)方式：基于結(jié)合多層Matsumoto-Imai (MMI)方案中心映射的多層構(gòu)造，CyclicRainbow簽名方案，以及隱藏域方程(HFE)的中心映射構(gòu)造便能夠設(shè)計出一種加密方案。

基于橢圓曲線同源問題的密碼體制此前在后量子加密算法研究中非常不受重視，不管是公鑰加密還是秘鑰交換，不僅效率低下，且普遍性地被認為不安全。2011年，Jao提出了超奇異橢圓曲線同源問題，同源密碼學又再次引起了大家的興趣。2017年，基于同源的加密方案和秘鑰封裝協(xié)議SIKE被提交到美國NIST，參與后量子密碼方案的候選。《后量子密碼之橢圓曲線同源密碼學》一文提到，基于超奇異橢圓曲線同源密碼體制有以下特點：

• 相對于其他后量子密碼具有秘鑰尺寸短的優(yōu)勢；

• 其實現(xiàn)的效率相比于基于糾錯碼和基于格的均不占優(yōu)勢；

• 同源密碼學建立在已經(jīng)比較復(fù)雜的橢圓曲線密碼之上，導(dǎo)致其構(gòu)造非常復(fù)雜；

• 同源密碼學系統(tǒng)的結(jié)構(gòu)非常特殊，設(shè)計加密方案時需要借助圖論的知識構(gòu)建超奇異同源圖，而無法在此之上定義群，導(dǎo)致許多現(xiàn)有密碼協(xié)議拓展到該系統(tǒng)之上。

因此，基于橢圓曲線同源問題的密碼體制目前還處于初期研究階段。

基于哈希的簽名算法最早出現(xiàn)于1979年，被認為是傳統(tǒng)數(shù)字簽名 （RSA、DSA、ECDSA等）的可行代替算法之一。哈希函數(shù)有多重構(gòu)造方式，包括直接定址法、數(shù)字分析法、平方取中法和折疊法等。在密碼的實現(xiàn)方式上，可以采用基于公鑰秘法的構(gòu)造方法，基于分組密碼的構(gòu)造方法和直接構(gòu)造的方式。不過，華為在《后量子密碼》中提到此類算法只能用于簽名。其中一個限制是每個私鑰僅可用于生成有限數(shù)量的簽名，需要繼續(xù)研究如何優(yōu)化和使用�；�于哈希的算法的��(yōu)點是，其安全性比較容易理解和分析。

當前，國內(nèi)也在積極致力于后量子加密技術(shù)的研究，已在積極推進現(xiàn)有商用密碼算法標準SM2、SM3、SM4、SM9、ZUC等成為國際標準。

去年10月，相關(guān)報道指出我國在后量子加密芯片方面取得了令人矚目的進展，來自清華大學的科研團隊在《采用低復(fù)雜度快速數(shù)論變換和逆變換技術(shù)在 FPGA 上高效實現(xiàn) NewHope-NIST 算法的硬件架構(gòu)》提出一種低計算復(fù)雜度的快速數(shù)論轉(zhuǎn)換與逆變換方法，設(shè)計了一款具有普適的通用性的后量子密碼硬件架構(gòu)，顯著降低了算法的運算量，在進展方面，要比同類研究平均速度快 2.5 倍左右。

除了清華大學的研究，國內(nèi)目前還有一項研究值得關(guān)注。相較于TUM團隊打造的后量子加密ASIC芯片方式，中科大潘建偉、張強團隊與云南大學、上海交通大學及科大國盾量子公司等單位合作，完成了量子密鑰分發(fā)（QKD）和后量子算法（PQC）的融合應(yīng)用。

在《量子密鑰分發(fā)與后量子算法實現(xiàn)融合應(yīng)用》報道中提到，抵御量子計算威脅、實現(xiàn)信息安全機制主要有兩種：一是量子密碼，如具有信息論安全的量子密鑰分發(fā)（QKD）；二是后量子密碼（PQC），如格密碼。中科大等聯(lián)合團隊首次將兩種看似完全不同的技術(shù)進行融合，技術(shù)優(yōu)勢互補，利用PQC解決QKD預(yù)置密鑰的關(guān)鍵問題，而QKD則彌補了PQC待驗證的長期安全性問題，兩者聯(lián)合最終保證了網(wǎng)絡(luò)系統(tǒng)安全性。

當然，無論是什么方式的后量子加密，當前的研究都處于早期階段，且基本用于當前計算系統(tǒng)對量子計算機的防御。目前已知的量子計算均還無法破解，因此也就沒有漏洞可供研究。當然隨著人類對量子計算的理解加深，伴隨著算力提升，量子計算想必也會需要保護，不過那時候的加密算法想必會復(fù)雜很多。