menu

新闻详情

为何NIST需要更多数字签名?NIST第三轮九大PQC标准候选方案拆解

  • 8

近期,美国国家标准与技术研究所(NIST)发布了 NIST IR 8610 号内部报告,宣布九种候选算法进入其数字签名算法标准化征集项目第三轮,五种候选方案被淘汰。

 

晋级算法分属四类完全不同的数学密码体系,其中仅 HAWK 基于格密码构造,且其底层安全假设与 NIST 已敲定的两款格基后量子签名标准 ——ML-DSA(CRYSTALS-Dilithium)、FN-DSA(Falcon)互不兼容。

 

NIST 正在构建密码学上的“保险”。如果某项技术突破危及到支撑 ML-DSA 和 FN-DSA 的标准格问题的安全性,那么本流程中的大多数算法将提供基于完全不同数学基础的替代方案。

 

#本文由量子安全专家 Marin Ivezic(AppliedQuantum创始人、前世界五百强CISO)撰写,系统拆解 NIST 第三轮九大签名方案的技术逻辑、落选原因与迁移启示,首发于 PostQuantum.com,由 OpenPKI 编译。

 

为何 NIST 需要更多数字签名?

 

在深入探讨具体候选方案之前,有必要先理解 NIST发起这一流程的初衷。其动机来自两个方面:

 

  • 一是抵御突发性密码破译风险、构建安全冗余
  • 二是弥补现行已选定标准在工程落地中存在的性能短板。

 

截至目前,NIST 已正式落地两项后量子签名标准:ML-DSA(FIPS 204)、基于哈希的 SLH-DSA(FIPS 205);FN-DSA(FIPS 206)已通过选型立项,标准草案预计 2026 年末发布、2027 年正式定稿。三款标准中 ML-DSA、FN-DSA 均为格基构造,算法架构高度集中是首要安全隐患。

 

这种集中性是第一个问题。格密码学依赖于模块化 LWE(Module-LWE)和模块化 SIS(Module-SIS)等问题的计算困难性假设。尽管现有密码分析尚未攻破上述假设,但整套标准锚定单一数学分支。一旦研究者通过经典算法或量子计算机实现结构化格问题的高效求解,三款主流签名标准中将有两款同步失效。仅剩哈希基 SLH-DSA 可用,但该算法签名尺寸偏大、运算效率偏低,多数业务场景无法单独依靠其完成部署。

 

历史经验为这种担忧提供了依据。Rainbow 是一种多变量签名方案,曾进入 NIST 初始后量子密码(PQC)流程第三轮,作为签名决赛选手,在多年宣称其安全性之后,于 2022 年被一项密码分析突破所破解。SIKE 是一种基于同源的密钥封装机制(KEM),经受住了 NIST 三轮审查,却在 2022 年年中被 Castryck 和 Decru 在一个周末内破解。

 

格密码虽经受更长周期、更广范围的学术研判,但前车之鉴警示:若整套密码体系的安全假设仅被少数顶尖密码学者吃透,从审慎风控角度必须储备异构备选算法。

 

第二个问题是签名的大小。ML-DSA 与 FN-DSA 安全强度达标,但签名尺寸无法适配大量亟需后量子密码落地的受限场景。NIST 二级安全强度 ML-DSA-44 单条签名达 2420 字节;FN-DSA-512 签名 666 字节;SLH-DSA-128 分两种实现,精简版签名 7856 字节、高速版高达 17088 字节。对比经典椭圆曲线 ECDSA P-256 仅 64 字节、RSA-2048 签名 256 字节,后量子算法带来的报文扩容成本(迁移损耗)十分突出。

 

对大带宽 TLS 链路、通用主机代码签名等场景,签名偏大仅影响传输效率、尚可兼容;但在工业控制与物联网领域,报文尺寸超限直接导致方案不可落地。笔者此前在工业操作网(OT)后量子密码落地难点分析中提到:传统现场总线协议报文长度固定、终端普遍搭载 8 位单片机与 256KB 内存、设备服役周期 10~20 年且极少预留固件升级窗口期。SCADA 工控指令报文若因签名暴涨超出帧长限制,会直接破坏安全闭环内置的时序约束。对这类设备,紧凑型后量子签名并非优化选项,而是落地必备条件。

 

DNSSEC(域名系统安全扩展)是是另一大受掣领域。DNSSEC 校验链需要在根域、顶级域、二级域名与资源记录上逐层叠加签名,传统设计适配 512 字节 UDP 数据包。即便现代 DNS over TLS/QUIC 放宽最大传输单元(MTU)限制,超大签名仍会增大区域配置体积、拖累递归服务器缓存效率与信任链校验开销。ML-DSA 2420 字节的签名会迫使绝大多数 DNSSEC 报文舍弃 UDP 改用 TCP;反观 SQIsign 一级安全强度签名仅 148 字节,小于 RSA-2048、五级安全强度规格优于 RSA-4096。

 

IETF 新近落地的 Roughtime 安全授时协议同样受签名尺寸约束:协议仅传输 64 比特基准时间,全生态服务器需共用同一种签名算法,依托默克尔树批量签名摊薄单次验签开销。第三轮候选算法专题研讨中,学者沃森・拉德指出:若采用 ML-DSA,报文膨胀幅度将迫使 Roughtime 放弃无连接 UDP、改用 TCP 完成短短 64 比特时间数据的身份认证;而 SQIsign 可保留协议原生轻量化传输架构。

 

上述场景并非小众特例:卫星通信、低时延工业组网、深度嵌入式固件签名、智能卡身份认证、TLS 证书链等带宽受限业务,全都受制于现有格基算法的签名体积短板。紧凑型后量子签名能够打通格密码无法落地的应用边界,这正是 NIST 补充征集签名标准的核心诉求。

 

NIST 2022 年 9 月发布的征集指南明确两类参选门槛:非格基算法需在关键性能上显著优于哈希基 SLH-DSA;新增格基算法至少在一项性能指标上超越 ML-DSA、FN-DSA。高标准的筛选规则说明,NIST 无意重复选型同类格密码方案。

 

2023 年 6 月征集截止共收到 50 份算法提案,初筛保留 40 项、二轮遴选剩余 14 项,最终 9 款入围第三轮评审。

 

九种幸存方案:四大数学家族

 

9 款算法按照底层安全假设划分为四大门类,多架构异构正是本轮补充标准化的核心目标。

 

头脑内多方计算(MPCitH):FAEST、MQOM 和 SDitH

 

九种幸存方案中有三种使用了一种称为“头脑内多方计算(MPCitH)”技术。其核心思想非常巧妙:为了证明你知晓一个私钥,你在一个密码学证明内部模拟一个多方安全计算过程。你将你的秘密分割成若干份额,模拟多个参与方将如何使用这些份额进行计算,承诺中间值,然后仅揭示足够的信息让验证者检查一致性。通过 Fiat-Shamir 变换,这个交互式证明就变成了一个非交互式的数字签名。

 

该技术路线优势在于安全根基依托经过长期验证的对称密码原语(哈希、分组密码),无需依赖全新数论猜想;代价是算法逻辑与安全证明复杂度高,需全球密码学界持续审计。二轮评审周期内,依托头内门限计算(TCitH)、头内向量无关线性求值(VOLEitH)等优化技术,全谱系算法性能实现跨越式提升。

 

  • FAEST :三款中设计最保守,安全完全锚定 AES(全球研究最透彻、工程落地最广泛的分组密码)。签名密钥等价于一组 AES 密钥,验签密钥为该密钥对应的输入输出映射对,签名以零知识形式证明签名方掌握满足映射关系的 AES 密钥。二轮迭代中优化 GGM 树分片计算、完善量子随机预言模型下安全证明,因 AES 安全假设成熟度居 MPCitH 组别首位获 NIST 留选。短板为签名偏大:受限于仿真计算的证明日志存储,签名以 KB 为单位,在全谱系内尺寸不占优。
  • MQOM:二轮 MPCitH 候选中综合性能最优,三档安全规格下 “公钥 + 签名” 总长度为组别最低,签验速度表现优异;安全依托有限域随机多变量二次方程组求解困难问题,学术积淀充足,但 NIST 明确指出的注意事项是:MQOM 在随机预言机模型和量子随机预言机模型中的安全性证明都需要进一步成熟。
  • SDitH(头内伴随式译码算法)入选理由是底层安全假设稳健,基于 1970 年代起深耕的随机线性码伴随式译码难题,安全根基完备度仅逊色于采用 AES 的 FAEST;缺点是运算开销偏高,它通常比其 MPCitH 同类方案慢,尽管其密钥和签名大小在适当调整后具有竞争力。

 

NIST 针对 MPCitH 的策略很明确:保留三个候选方案,共同涵盖最强的安全论证(FAEST提供对称密码原语的信任,SDitH提供编码理论的信任,MQOM提供性能优势),并让第三轮决定哪些(如果有的话)方案足够成熟以进入标准化。

 

多变量:UOV、MAYO、QR-UOV 和 SNOVA

 

九种幸存方案中有四种属于“不平衡油醋”(UOV)家族,使得多变量密码学成为占比最大的类别。这有些出乎意料,因为二轮评审中多组 UOV 参数集遭遇重磅破解,但 NIST 仍全数保留,也侧面印证该路线在解决签名尺寸痛点上具备不可替代的落地潜力。

 

UOV 结构于 1999 年被提出,是后量子密码学中最古老的思想之一。其核心概念是:构造一个具有隐藏结构(“油醋”划分)的多变量二次多项式方程组,使得签名者能够高效地反转该系统,而攻击者则面临一个计算上困难的问题。UOV 的签名大小优势显著,在 NIST 安全类别1下可小至 96 字节,验证过程仅需数万 CPU 周期。其代价是公钥在展开形式下可达数百千字节。

 

MAYO、QR-UOV、SNOVA 均通过架构改良压缩公钥体积:MAYO 采用种子扩展算法由短密钥生成完整 UOV 实例;QR-UOV 借助商环数学缩减公钥存储;SNOVA 融合 MAYO 种子扩展与分块环结构,实现本谱系最小公钥。

 

2025 年初 Ran 提出的楔型攻击成为二轮重大风险:借助外积运算攻破二元有限域构造的 UOV 隐藏油子空间,四款原版 UOV 三组参数安全强度大幅缩水;后续 Furue、Ikematsu 基于小特征域漏洞再次削弱同款参数,MAYO 一级规格 MAYO2 安全位损耗约 30 比特,SNOVA 受创最重、多数原始参数集被攻破。唯有基于奇特征有限域的 QR-UOV 天然免疫原版楔型攻击,衍生变种攻击也未能击穿其安全边界。

 

那么,为什么 NIST 保留了所有四个多变量候选方案?报告明确阐述了三个原因:

 

  • 攻击仅针对特定二元域参数选型,UOV 底层数学构造未被攻破;替换为奇特征域参数即可修复安全缺陷,各算法均留存未被破解的备选参数集;
  • 签名压缩能力无可替代:若完成安全调参,签名尺寸可对标甚至优于经典 ECDSA。SNOVA 团队改版奇特征参数后,一级规格公钥、签名尺寸双双优于 FN-DSA,是受限物联网场景的刚需方案;
  • 密码多样性兜底:若格密码失效、MPCitH 算法效率无法适配业务,轻量化多变量签名是仅剩的可行路线。

 

NIST 对多变量算法持审慎态度,报告明确该门类标准化周期更长,大概率需要加赛一轮评审方可立项,SNOVA 架构尚未定型、处于重点观察阶段。

 

基于同源:SQIsign

 

SQIsign 与竞赛中的任何其他方案都截然不同,并且有数据可以证明这一点。在 NIST 安全类别 1 下,其签名为 148 字节——小到一个 SQIsign 签名可以轻松放入单个以太网帧中,还有剩余空间。其公钥加签名的总大小是后量子签名候选方案中最小的一档,甚至比许多经典签名方案还要小。

 

该方案构建在超奇异椭圆曲线同源的数学理论之上,具体而言是计算超奇异曲线之间同源以及确定其自同态环的困难性。如果说这听起来很陌生,确实如此。基于同源的密码学是后量子研究中最新的领域之一,所涉及的数学理论足够深奥,以至于全球能够全面分析它的密码学家相对较少。

 

SQIsign 的第二轮提交方案代表了重大的架构革新。原始设计使用基于 KLPT 的路径查找算法;更新后的版本转向更高维的同源,这简化了安全性分析并显著提升了性能。与第一轮版本相比,签名速度提高了大约 20 倍,验证速度提高了 6 倍。签名大小也减小了。

 

需要特别指出一个重要的注意事项:SQIsign的“近亲”SIKE 在 2022 年被一项利用辅助挠点信息的攻击以惊人的方式破解。SQIsign 避免了导致该攻击的结构性漏洞——它不暴露 SIKE 密钥交换所依赖的辅助点——但 SIKE 事件提醒我们,基于同源的构造可能隐藏着意想不到的弱点NIST 承认这一点,呼吁继续研究 SQIsign 的安全属性。

 

另一个担忧是侧信道攻击的防护能力。SQIsign 的签名过程涉及复杂的数学运算,难以以恒定时间方式实现。部分侧信道信息在签名过程中的泄露已被证明可用于攻击,而实现完全恒定时间的签名仍然是一个悬而未决的工程挑战。

 

尽管存在这些担忧,其紧凑性的优势如此显著,以至于 NIST 还是让 SQIsign 晋级了。对于带宽受限的应用,如数字证书、固件更新和物联网身份验证,一个 148 字节的后量子签名将是变革性的。

 

基于格:HAWK

 

本轮格基独苗,与 ML-DSA、FN-DSA 同属格密码大类,在主打异构选型的补充征集里脱颖而出,核心价值是填补现有格标准的硬件短板。

 

FN-DSA(Falcon)签名紧凑但签名阶段高斯采样依赖浮点运算,无硬件浮点单元的嵌入式芯片落地难度大、极易引入运算误差;常数时间浮点编码也是旁路泄露高发点。

 

HAWK 全流程采用整数运算彻底规避上述痛点,一级安全强度签名 555 字节,尺寸优于 FN-DSA 与 ML-DSA。架构差异化:摒弃 Falcon 的 NTRU 格 + 高斯采样,采用秩 2 模格、以格拉姆矩阵为公钥,通过整数运算在格陪集中抽取短向量完成签名。

 

HAWK 安全依托两项新兴格难题:搜索型模格同构问题(smLIP)、多一次最短向量问题(omSVP),安全假设成熟度不及 ML-DSA 的 Module-LWE。二轮密码分析修正了 omSVP 原始定义漏洞、smLIP 出现部分求解优化算法,但现有技术无法作用于 HAWK 选用的分圆数域NIST 标注两项底层困难问题仍需学术界长期研判。

 

五种被淘汰的方案

 

理解候选方案被淘汰的原因,通常与理解其他方案晋级的原因为同样具有启发性。

 

  • CROSS(编码密码):公钥短小但签名臃肿,指标对标 SLH-DSA。SLH-DSA 依托历经数十年验证的哈希假设,CROSS 安全基于受限伴随式译码问题、学术沉淀不足,叠加二轮定向破解被迫改参,性能无优势、安全可信度偏低,失去留存意义;
  • LESS(编码密码): CROSS 指标相反(签名小、公钥巨大、运算低效),二轮攻击直接削减 12~24 比特安全余量,底层线性码等价问题研究深度不及晋级方案,性能硬伤无法修复;
  • Mirath(MPCitH,基于极小秩问题):二轮性能优化显著、运算提速 10 倍,但同赛道竞争劣势明显。NIST 收紧 MPCitH 入围名额,优先保留安全根基 / 综合性能更优的 FAEST、MQOM、SDitH,Mirath 安全假设虽成熟但产品无差异化亮点;
  • PERK(MPCitH,基于置换核问题):签名略小于 FAEST 但签验效率大幅落后,置换核难题仅 30 年研究史、密码分析文献偏少,对比 AES 背书的 FAEST 不具备竞争力;
  • RYDE(MPCitH,基于秩伴随译码):签名尺寸对标 MQOM,但多轮基准测试中签验速度持续落后,二者性能高度同质化,NIST 精简同类方案、保留性能更强的 MQOM。

 

拆解 NIST 标准化遴选策略

 

从这些选择决策中可以发现几个模式。

 

安全优先级>性能,但性能是同分淘汰赛关键。 NIST 明确指出安全是最重要的标准,其次是成本和性能。但在 MPCitH 候选方案中,当安全性特征大致相似时,性能差异驱动了选择。MQOM 主要因其速度而超越了 Mirath 和 RYDE。

 

多数学架构是硬性目标,而非锦上添花。九种候选方案跨越了六种不同的数学假设:AES/对称密码原语(FAEST)、多变量二次方程组(MQOM)、随机码的校验子解码(SDitH)、UOV/多变量多项式(四个多变量候选方案)、超奇异同源(SQIsign)和模格问题(HAWK)。任一数学分支被攻破,其余路线可即时补位。

 

在潜在回报高的地方,NIST愿意承担风险。多变量候选方案遭受了严重的攻击。用 NIST 自己的话说,SNOVA 拥有“令人担忧的密码分析历史”。但是,实现紧凑、快速签名的潜力使所有四个方案得以保留。同样,SQIsign的 exotic 数学和有限的分析人员群体是风险,但 148 字节的签名过于有吸引力,以至于不能过早放弃。

 

并非所有幸存者都处于同等地位。NIST明确表示多变量方案的标准化时间线会更长,并指出 SNOVA 需要达到稳定形态。MPCitH 候选方案需要其复杂的安全性证明得到验证。SQIsign 需要实现恒定时间签名和更广泛的安全性分析。HAWK 需要对其新颖的假设进行进一步研究。这些候选方案中的一些可能无法通过第三轮。

 

这对企业后量子密码迁移意味着什么?

 

对于正在规划后量子迁移计划的首席信息安全官(CISO)和安全领导者而言,这一公告强化了以下几点。

 

现有标准是您的当务之选。ML-DSA、SLH-DSA 已正式发布;FN-DSA 立项、2026 年末出草案、2027 年定稿。本轮新增候选最快 2028~2030 年才有望落地成标,2027 上半年 NIST 将再办专题会议,企业迁移优先落地已定型三项标准,新增算法仅做远期备选。

 

加密敏捷性变得更加重要。NIST 积极开展这一流程,为其自身最近发布的标准积极寻找替代方案,这一事实本身就告诉你,后量子密码学领域仍在发展。今天设计的系统需要具备在不进行架构大修的情况下交换算法的灵活性。PQCFramework.com 上的 PQC 迁移框架正是出于这个原因,将加密敏捷性视为基础性要求。

 

签名偏大的落地痛点客观存在,但规划不可赌未来紧凑型算法。正如笔者在关于这些替代方案为何重要的部分中所讨论的,ML-DSA 和 FN-DSA 的签名对于某些部署场景来说确实过大,给 TLS、DNSSEC、Roughtime 以及我在 OT PQC 挑战中分析的那些受限工业系统等协议带来了摩擦。如果 SQIsign、HAWK 或任何多变量候选方案达到标准化,它们将提供紧凑的签名选项,从而缓解这些部署挑战。但“如果”一词在此句中承担着沉重的分量。迁移规划应假设当前的标准大小,并将未来的紧凑选项视为受欢迎的“额外奖励”,而非一项依赖。

 

“现在收集,以后解密”的威胁对签名的适用性不同于加密——你不能“收集”一个签名并在量子计算机到来后追溯性地伪造一个签名。但它的类似物“现在信任,以后伪造”(Trust Now, Forge Later)确实适用。那些必须保持数十年可信度的文档、固件和代码上的长期数字签名,容易受到未来密码相关量子计算机(CRQC)的伪造攻击。迁移签名方案的紧迫性低于加密方案,但并非为零——而且,无论 Q-Day 何时到来,监管机构、保险公司和投资者都在设定他们自己的截止日期。

 

第三轮值得关注的动向

 

第三轮现正式开始,预计将持续约两年时间,NIST 计划在 2027 年上半年举办一场 PQC 标准化会议。提交团队可以在 2026 年 8 月 14 日之前提交更新的规范和实现。NIST 限定仅允许小幅迭代,大规模重构等同于算法成熟度不足、直接淘汰。

 

有几个技术主线值得关注。

 

  1. 多变量候选方案能否稳定下来?——NIST 给予了它们通常不会给予的宽容空间,例如,允许 SNOVA 进行“更显著的调整”——但这是以明确警告标准化将耗时更长为代价的。关注针对奇特征域的新参数集,这些参数集似乎能抵抗楔形攻击及其扩展。
  2. SQIsign 的签名能否实现恒定时间?——其紧凑的签名大小是非凡的,但在签名过程中的侧信道防护是在现实世界系统中部署的先决条件。如果 SQIsign 团队解决了这个问题,该方案将成为带宽受限应用的有力竞争者。
  3. MPCitH的安全性证明将如何经受考验?——FAEST、MQOM 和 SDitH 在第二轮中都经历了实质性的重新设计,因为新的 MPCitH 技术不断涌现。它们的安全性证明相应地都是新的且复杂的。NIST 已将证明验证标记为社区在第三轮中的一项关键任务。
  4. HAWK 的格假设能否经受住审查?——smLIP 和omSVP问题比支撑ML-DSA的Module-LWE 和Module-SIS问题更新。如果这些假设成立,HAWK 将提供一个有吸引力的、基于整数运算的 FN-DSA 替代方案。如果不成立,HAWK 将是唯一一个被淘汰不会降低组合多样性的候选方案,因为它与现有标准共享基于格的基础。
  5. NIST 补充签名征集自 2022 年启动,距离批量出标仍有数年。对比量子硬件飞速迭代节奏,标准化进程看似缓慢,但“密码分析-迭代优化-淘汰劣项”的严谨流程正是密码标准的必备打磨周期。

 

本轮九款入围方案是丰富后量子数字签名生态的最优候选,第三轮将筛选出能够规模化商用的最终标准。

 

本行业动态转载自《公钥密码开放社区》