经过数年的评审，美国国家标准与技术研究院正式选出了世界上首批三种后量子加密算法作为其量子安全战略的基础：ML-KEM、ML-DSA和SLH-DSA。

随着量子计算机威胁日益成为现实，NIST于2016年首次要求密码学家开发这些新标准。量子计算机有望破解当前常用的加密算法，如RSA。

截至2022年，NIST共收到了69种此类算法，并选择了其中四种进行进一步评审。第四种算法Falcon未被选为初始标准，但评估工作仍将继续。

NIST还在继续识别和评估其他算法。该机构今天宣布，预计将在不久的将来宣布约15种算法，这些算法将进入下一轮测试、评估和分析。

但NIST数学家、后量子密码标准化项目负责人Dustin Moody表示，企业现在就应该开始转向后量子加密，无需等待。新算法只是NIST今天宣布的三种算法的补充。

Moody在今天发布的声明中表示：“没有必要等待未来的标准。现在就可以开始使用这三种算法。我们需要为可能击败这三种标准算法的攻击做好准备，并将继续制定备份计划以确保数据安全。但对于大多数应用来说，这些新标准才是主角。”

基于网格的密码学

这三种新算法都是为非对称加密设计的——即用于编码消息的密钥与用于解码消息的密钥不同。你保留解码密钥作为自己的秘密，而将编码密钥公开。这样，任何人都可以向你发送只有你能读懂的秘密信息。

这被称为公钥加密，是几乎所有在线通信、网站安全、金融交易以及密钥管理系统和其他专业应用的基础。

该系统的核心思想是，将两个大数相乘相对容易，但将一个非常大的数分解为它的因子却极其困难。

新的基于网格的加密方法依赖于一种不同的数学机制，这种机制不仅对传统计算机来说是困难的，对量子计算机也是如此。

IBM的密码学研究员Gregor Seiler表示，这基于所谓的“背包问题”。你有一组非常大的数。然后，你取其中的一些数并将它们相加。总和是另一个大数。相加数字非常容易。但是，要找出哪些数字相加得到这个总和却非常困难。

“当集合非常大且整数非常长时，这是一个非常难的问题，” Seiler说。

基于网格的密码学采用了这一思想并加大了难度。不再是背包里装满数字，而是现在装满了向量。如果你把单个数字想象成一条线上的一个点，那么向量就是指向空间中浮动的一个点的箭头。而且，你不仅可以相加多个向量，还可以相加这些向量的倍数。

ML-KEM  该算法最初被称为CRYSTALS-Kyber，是一种基于模块格密钥封装的标准。它最初由IBM的研究人员与其他机构合作开发。这是一个设计为用于一般加密的标准，如安全访问网站，因为它使用起来很快。

ML-DSA   该算法最初被称为CRYSTALS-Dilithium，也是由IBM最初开发的。此标准是这三种算法中第二快的，它被设计用于数字签名。

据Seiler介绍，该算法的诀窍在于解码消息需要知道所有已相加的向量的乘数。

数字签名用于验证文档或软件，“有助于确保它们没有被修改或篡改”，Seiler说。“由于它们在医疗保健、金融和制造业等敏感行业以及政府机构中使用，因此迁移到量子安全的数字签名方法已成为一种迫在眉睫的需求。”

SLH-DSA  这是另一种数字签名标准，但它比其他两种更安全，但代价是成本更高。据Seiler介绍，根据实现的是哪个变体，它要么具有更大的签名，要么需要更多时间来创建签名。

NIST表示，该算法旨在作为ML-DSA被证明存在漏洞时的备用方案。

不仅仅是算法

除了数学加密算法外，NIST还发布了相关的实现细节。

“这些最终确定的标准包括将它们集成到产品和加密系统中的说明，” Moody说。“我们鼓励系统管理员立即开始将它们集成到他们的系统中，因为全面集成需要时间。”

向量子安全密码学的转变将比以往的密码学演变更为复杂，因为这些算法与经典加密算法大不相同，针对不同用例需要使用多种不同的算法，而且因为软件供应链比以往任何时候都更加复杂。

埃森哲新兴技术安全主管Tom Patterson表示，解决方案是灵活选择使用哪种具体标准。这将使企业能够与可能使用不同加密标准或仍依赖经典加密的供应商和合作伙伴进行集成。此外，这也将使企业能够切换到未来可能出现的新的、更好的或更高效的标准。

Patterson表示，在量子安全加密方面，我们即将看到的这三个标准还不是最后的标准。“在未来几年里，将有一系列不同的算法可供使用和标准化，”他说。

“这对全球大多数首席信息安全官来说是一个开始，” Patterson说。“现在他们知道将要使用哪些算法了。”