简体中文
English
Français
Español
Português
2025 年 4 月 25 日随着量子计算技术的快速发展,传统公钥加密算法如RSA、椭圆曲线密码(ECC)面临潜在失效风险。为保障国家关键信息基础设施安全,美国国家标准与技术研究院(NIST)自2016年启动了后量子密码(PQC)标准化流程,目标是遴选出能抵御量子攻击的新一代加密标准。
图1:NIST PQC征集时间线
该流程已在2022年选定了首批标准算法,包括基于格的密钥封装机制Kyber、基于格的数字签名Dilithium和Falcon,基于无状态哈希的数字签名SPHINCS+,其中,Kyber、Falcon 和SPHINCS+分别被纳入2024年8月发布的 FIPS 203、204、205 标准,对应ML-KEM、FN-DSA和SLH-DSA。而在2025年3月发布的官方报告NIST IR 8545 《Status Report on the Fourth Round of the NIST Post-Quantum Cryptography Standardization Process》中,NIST又选定了另一种密钥封装机制—HQC(Hamming Quasi-Cyclic),作为Kyber的安全补充,进一步完善抗量子密码标准体系。
该报告总结了从2022年起的第四轮KEM算法评估过程,并正式宣布将基于编码理论的HQC(Hamming Quasi-Cyclic)算法选为第二个拟标准化的密钥封装机制(KEM)。报告明确指出,第四轮的主要目标是:在已经标准化的格基算法Kyber(ML-KEM)之外,进一步选出一个基于不同数学假设的KEM方案,以提升未来抗量子密码体系的安全多样性和系统鲁棒性,实现密码敏捷性。进入最终评审的候选算法包括:HQC、BIKE、Classic McEliece和SIKE,其中SIKE已经在2022年被证明不安全。在详细评估之后,NIST最终决定选择HQC作为补充标准,并预计将在两年内发布相关标准草案。
根据NIST IR 8545中的分析,选择HQC的原因主要包括以下几方面:
1、安全性成熟且结构清晰
HQC的安全性建立在准循环码解码(QCSD)问题之上,这是一个研究超过50年的经典难题。算法无trapdoor结构,有利于形式化验证与安全分析。为了实现IND-CCA2安全性,必须保证足够低的解码失败率(DFR)。该报告指出,HQC在这方面表现优于BIKE,后者在DFR分析上仍存在公开难题。
2、尺寸和性能相对均衡
HQC的准循环结构使其公钥和密文的尺寸较小,但仍明显大于结构化格的密钥封装机制。HQC的密文和公钥大约分别是BIKE密文和公钥大小的2.9倍和1.5倍。尽管HQC的带宽高于BIKE,但HQC的密钥生成和解封装速度却明显快于BIKE,加密速度则仅为BIKE的一半。相比之下,Classic McEliece虽然安全性强,但公私钥体积极大,在多数实际场景下难以部署。
图2:四个算法参数大小和性能对比
3、实现特性
HQC提交者指出两个相关专利,专利持有方承诺无偿授予全球非独占许可,确保合理条款且无不公平歧视,因此不存在专利壁垒问题。此外,由于Classic McEliece的较小密文和快速加解密,它可能在某些特定应用(公钥只需要传输一次,如 VPN 和文件加密)中有用。但是该算法正在ISO标准化审议中,NIST和ISO同时标准化可能导致不兼容。在McEliece完成ISO标准化后,NIST可能基于ISO标准开发相关标准。
HQC是一种基于编码理论的密钥封装机制(KEM),利用了准循环码的结构优势,未在编码结构中隐藏任何trapdoor,安全性可直接规约到QCSD问题,属于编码类密码学中的主流路线之一。与其他基于编码的方案一样,目前对HQC最有效的攻击方式仍为信息集解码(ISD)方法。
根据NIST的官方定位,Kyber与HQC的角色是互补而非替代。前者作为高性能、广泛适配的主力标准,后者则提供不同数学基础的安全保证。我们在我们的测试环境中对两者的软算法(Level 1和Level 3级别)进行了测试,得到如下总结:
图3:Kyber和HQC算法对比
HQC的入选代表着NIST在构建抗量子密码体系时,明确提出了安全基础多样化的目标。虽然Kyber是主力部署对象,但HQC提供了一条不同路径的安全备选,特别适用于高安全或私钥敏感的应用场景。目前,HQC的标准草案正在制定中,预计将在未来两年内正式发布。NIST也计划在2025年9月举行新一轮后量子密码标准会议,继续推动签名算法等标准化工作。
深耕信息安全行业30多年,作为行业专家,我们深知标准规范对行业发展的重要性。握奇将持续洞察NIST标准草案的更新动态,并紧密关注相关应用部署的推进情况,以助力行业稳健发展。