​NIST选择4种PQC算法来防御量子计算机

PQC（后量子密码）是能够抵抗量子计算机对现有密码算法攻击的新一代密码算法。所谓“后”是因为量子计算机的出现，现有的绝大多数公钥密码算法（RSA、Diffie-Hellman、椭圆曲线等）能被足够大和稳定的量子计算机攻破，所以可以抵抗这种攻击的密码算法可以在量子计算和其之后时代存活下来，所以被称为“后”量子密码。也有人称之为“抗量子密码”。英文中的表述是："Post-quantum Cryptography (PQC)"，或者"Quantum-resistant cryptography"。

美国NIST（美国国家标准技术研究所）从2012年开始就正式启动了后量子密码的研究，这些年来开展的工作：

· 2012：NIST 启动后量子密码方向的研究

· 2015.1：NIST 举行第一届后量子密码 workshop

· 2016.2：NIST 宣布即将启动全球范围内的后量子公钥密码算法标准征集工作

· 2016.4：NIST 发布了关于后量子密码的研究报告

· 2016.12：NIST 正式启动了全球范围内的后量子公钥密码算法标准征集工作

· 2017.9.30：提交初始版本算法，以便 NIST 检查提案的合规和完整性

· 2017.11.30：NIST 的标准草案征集的提交工作已经截止

· 2017.12：NIST 公布了所有符合最低要求的算法

· 2018.4：NIST 举办了第一届后量子密码标准工作会议

· 2018/2019：NIST 淘汰一批算法，开启第二轮评审

· 2019 下半年举行第二届后量子密码标准工作会议

· 2020.7：NIST 开启第三轮评审

· 2022.7.5：选定标准化的算法

7月5日，NIST发布了期待已久的关于第三轮PQC竞赛决赛的公告。NIST选择标准化四种算法：用于KEM（密钥封装机制）的CRYSTALS-Kyber和用于数字签名的CRYS-Dilithium，Falcon和SPHINCS+。

NIST选择了CRYSTALS-Kyber算法用于对公共网络交换的数据进行通用加密，而CRYS-Dilithium，FALCON和SPHINCS+算法用于数字签名，通常用于在交易过程中验证身份。

Kyber和Dillithium是都是基于结构化格的加密算法，用于大多数应用程序的主要算法；Falcon适用于Dillithium的签名可能太长并且包含SPHINCS+的情况。

虽然现在已经选择了第一批标准化的算法，但NIST PQC竞赛仍将继续进行第四轮，其中包括四种KEM算法：BIKE、Classic McEliece、HQC和SIKE。今年晚些时候将有一个全新的征集，要求使用新的签名算法。即使是获胜算法，在标准草案出来之前，可能仍然会稍作调整。

NIST的Laurie Locascio主任在公告中说：“我们的后量子密码学计划利用了全球密码学界的顶尖人才，产生了第一组抗量子算法，这些算法将产生一个标准，并显著提高我们数字信息的安全性。”