当前,后量子密码算法的征集与标准制定在全球加速推进,产业界与监管部门普遍希望尽快形成可迁移、可验证、可落地的技术路线,以应对量子计算对现有公钥密码体系的潜在冲击。
但在“加速”与“稳妥”之间,如何确保候选算法经得起公开审视与实证检验,成为标准化能否真正守住安全底线的关键。
问题在于,部分候选算法在追求实现便利、性能指标或工程可用性时,可能引入难以被直观发现的结构性薄弱环节。
中国电信PQC研究团队与上海交通大学郁昱教授团队近期开展的联合研究表明,KAZ系列算法套件在关键数学结构选择上存在根本性缺陷,导致安全性假设难以成立。
相关成果以论文形式发布于国际密码学会预印本平台,为抗量子密码算法的独立安全评估提供了方法与案例参考。
从原因看,研究将问题指向KAZ-KA、KAZ-KEM与KAZ-SIGN v2.0等算法采用的primorial模数设计,即以连续小素数的乘积作为群模数。
这一设计在计算实现上具有一定便利性,但副作用同样显著:群阶呈现“极度平滑”的结构特征,使得离散对数问题的困难性被大幅削弱。
换言之,算法所依赖的“难题”因为结构选择而变得不再难,从而动摇了整体安全基础。
针对这一结构特性,研究进一步构造了在推荐参数下均可高效执行的密钥恢复攻击,对相关算法的安全性形成直接冲击。
在影响层面,研究不仅停留在理论推断,而是给出贴近现实攻击条件的验证路径。
对于KAZ-KA与KAZ-KEM,团队提出可在全部推荐参数下运行的密钥恢复方法;针对KAZ-SIGN v2.0,研究将安全分析转化为隐藏数问题,并利用格约简技术求解。
与以往依赖大规模离散对数表、对内存和算力要求较高的思路不同,该方法仅需两条签名即可恢复签名密钥,显著降低了攻击门槛,更符合真实攻防环境中“低成本、快迭代”的特点。
实验结果显示,在128位、192位与256位三类安全级别下,相关密钥恢复均可在普通笔记本电脑上于1秒内完成,意味着攻击不依赖昂贵设备或专用硬件,具备明确现实可行性。
这种“可复现、可规模化”的风险特征,对任何正在推动落地部署的标准化工作都是强烈提醒。
对策方面,研究释放出两点更具普遍意义的信号:其一,公钥密码算法(包括后量子密码)设计应尽可能立足于经过长期研究与广泛验证的计算困难问题,避免以工程便利替代安全论证;其二,需要以形式化的安全归约与公开的第三方评测机制来夯实安全根基,通过多轮审查、跨机构复现和参数审计,尽早发现结构性风险,减少“标准发布后再补漏洞”的系统性代价。
对采用类似primorial模数思路的方案而言,此次分析亦构成直接警示:结构选型一旦带来群阶过度平滑等特征,往往会引发连锁式安全失效,必须在设计源头予以规避。
从产业与应用前景看,后量子密码的推进不只是算法竞赛,更关乎迁移路径与全栈能力建设。
中国电信表示,其已构建覆盖密码算法、数据加密、密钥管理等在内的商用密码产品体系,多款产品获得相关认证,并在抗量子密码领域推动PQC算法与密码卡、密码机、安全网关、密服平台等产品形态融合,形成从算法预研、方案设计到迁移验证的技术链条。
业内普遍认为,后量子密码的规模化应用将经历“算法评估—标准制定—产品适配—存量系统迁移—持续验证”多阶段推进,任何环节都需要将安全性置于性能与进度之前。
此次对KAZ系列的研究为评估框架提供了可操作样本,也提示标准化机构在评审中应提高对结构性假设的审查强度,强化对签名场景、密钥恢复类攻击等关键风险的专项验证。
当前,全球正处于密码技术的重要转折点。
后量子密码的标准化进程关乎国家信息安全和产业发展的长远利益。
中国电信与上海交通大学的这项研究,不仅为国际密码学界提供了重要的安全评估参考,更体现了我国在密码技术领域的研究深度和创新能力。
这一成果提醒我们,在推进新技术标准化的过程中,必须保持高度的科学严谨性,通过充分的理论论证和实践验证来确保安全性。
只有这样,才能为数字时代的信息安全筑牢防线,为产业发展奠定坚实基础。