7月5日，美国国家标准与技术研究院（NIST）公布其后量子密码（PQC）标准化项目第三轮筛选的结果^[1]，并公布第四轮候选密钥建立机制入选算法。

后量子密码学的目标是开发对量子计算机和经典计算机都安全的密码系统，并且可与现有通信协议和网络进行互操作。经过三轮严格评选后，NIST公布了首批4种后量子密码标准算法^[2]，这些算法是为加密的两个主要任务而设计的：一般加密，用于保护通过公共网络交换的信息，NIST选择了CRYSTALS-Kyber算法；数字签名，用于身份验证，NIST选择了3种算法，包括CRYSTALS-Dilithium、Falcon、SPHINCS+。

（1）“代数格密码套件”（CRYSTALS）包含两个密码原语Kyber和Dilithium。Kyber是一种抗适应性选择密文攻击（IND-CCA2）安全密钥封装机制，Dilithium是一种高度不可伪造性（EUF-CMA）安全数字签名算法。两种密码都是为了应对量子计算机的攻击，并且在操作过程中只需更改几个参数即可实现安全级别的转换。

（2）Falcon是一种密码签名算法，具有5个优点：安全性，内部使用高斯采样器可提供几乎无限数量的签名，使密钥信息泄露的可能性几乎为零；紧凑性，使用了“数字理论研究单元”（NTRU）格，在具备相同安全性前提下使签名更短；高验证速度，使用傅里叶采集，验证速度在普通计算机上达每秒数千个签名；可扩展性，该算法的操作成本适中便于扩展；读写存储器经济性，该密钥生成算法仅使用不到30KB的读写存储器。

（3）SPHINCS+是一种基于哈希函数的无状态签名方案，包含多项改进，专门用于减少签名大小，能够使签名大小低至8KB。

目前，NIST将为以上算法创建新的标准草案，并提交相应团队进行协调和审核。此外，4种算法进入第四轮筛选流程，包括BIKE、Classic McEliece、HQC、SIKE。其中BIKE和HQC都适合作为不基于格密码的通用密钥建立机制，NIST预计在第四轮筛选结束时最多选择其中之一进行标准化；SIKE因密钥和密文大小较小的优势，NIST将在第四轮继续进行研究讨论；Classic McEliece被广泛认为安全性较强，但其公钥较大，NIST可能会选择在第四轮结束时对其进行标准化。（杨况骏瑜）