在量子计算技术迅猛发展的今天,RSA、ECC等传统公钥密码系统正面临着“秀尔算法”的致命威胁——一旦大规模通用量子计算机成为现实,这些依赖于大数分解或离散对数难题的密码技术将彻底失效。为应对这一挑战,后量子密码(PQC)成为密码学领域的研究核心,而基于同源的算法(CSIDH) 凭借其独特的数学基础和优秀的后量子安全特性,成为最具潜力的PQC方案之一。
一、背景
从同源密码到CSIDH的演进
“同源”(Isogeny)并非全新的数学概念,其在椭圆曲线领域的研究可追溯至19世纪,但将其应用于密码学仅始于近20年。2006年,Jao和De Feo首次提出基于椭圆曲线同源的密钥交换协议(SIDH),开创了同源密码的先河。SIDH通过椭圆曲线之间的同源映射实现密钥交换,其安全性依赖于“同源问题”的计算困难性,而这一问题被证明对量子算法具有天然抗性。
但SIDH存在明显缺陷:协议需依赖“超奇异椭圆曲线”,且交互过程中需传输大量辅助信息,密钥生成效率较低。2018年,Castryck、Schroder等学者在SIDH的基础上进行突破性改进,提出了CSIDH(Commutative Supersingular Isogeny Diffie-Hellman) 算法。其核心创新在于实现了“交换性”和“非交互性”,大幅简化了密钥交换流程,同时保留了同源密码的后量子安全优势,成为同源密码技术的里程碑。
二、CSIDH的数学基础
CSIDH的安全性根植于椭圆曲线与同源的深层数学结构,理解以下核心概念是掌握CSIDH的前提。
1.椭圆曲线与超奇异椭圆曲线
椭圆曲线是定义在有限域上的代数曲线,其标准方程可表示为y² = x³ + ax + b(Weierstrass形式)。根据曲线的“j-不变量”(刻画椭圆曲线同构类的关键参数)和有限域特性,椭圆曲线可分为“普通椭圆曲线”和“超奇异椭圆曲线”。
CSIDH专门采用超奇异椭圆曲线,这类曲线的显著特征是其“自同源环”(Endomorphism Ring)具有复杂的代数结构,且同源映射的构造与计算更适合密码学应用。CSIDH通常选择定义在素数域ℱₚ上的超奇异椭圆曲线,其中p ≡ 3 (mod 4),以简化计算过程。
2.同源与同源类群
同源(Isogeny) 是指两个椭圆曲线E₁和E₂之间的“有理群同态”,即满足φ(P+Q) = φ(P) + φ(Q)的映射,且除有限个“分歧点”外处处可导。同源具有“度数”(Degree)属性,度数为素数的同源称为“素数阶同源”,是CSIDH的核心操作单元。
对于给定的超奇异椭圆曲线E,所有从E到自身的同源(称为“自同源”)构成一个环,而所有“可逆同源”则构成一个群,即同源类群(Isogeny Class Group)。CSIDH的密钥交换正是通过在这个群中进行“随机游走”实现的。
3.同源路径问题
CSIDH的安全性依赖于超奇异椭圆曲线同源路径问题(Supersingular Isogeny Path Problem, SIPP),其描述为:给定两条超奇异椭圆曲线E和E'(二者属于同一同源类),以及一组素数ℓ₁, ℓ₂, ..., ℓₙ,求一组整数k₁, k₂, ..., kₙ,使得E'可通过度数为ℓ₁ᵏ¹, ℓ₂ᵏ², ..., ℓₙᵏⁿ的素数阶同源链从E构造得到。
目前,无论是经典计算机还是量子计算机,都尚未找到能在多项式时间内解决SIPP的算法——这正是CSIDH具备后量子安全性的根本原因。
三、CSIDH算法核心流程
CSIDH的核心功能是实现双方的密钥交换,其最大优势在于非交互性:双方无需多次通信,仅通过交换公钥即可计算出相同的共享密钥。以下是其标准流程(以通信双方Alice和Bob为例)。
1.系统参数初始化
首先需要约定全局公开参数,包括:
一个大素数p(满足p ≡ 3 (mod 4)),定义有限域ℱₚ;
一条定义在ℱₚ上的超奇异椭圆曲线E₀(作为初始曲线);
一组小素数ℒ = {ℓ₁, ℓ₂, ..., ℓₘ}(称为“素数基”,通常取前m个素数,如ℓ₁=2, ℓ₂=3, ℓ₃=5,...)。
这些参数由可信第三方生成,可长期复用。
2.密钥生成(Key Generation)
Alice和Bob分别独立生成自己的公私钥对:
a.私钥生成:随机选择一组整数向量s = (s₁, s₂, ..., sₘ),其中每个sᵢ的绝对值较小(通常在[-t, t]范围内,t为预设阈值,如t=3),且多数sᵢ=0(稀疏向量,降低计算量)。这一向量即为私钥。
b.公钥生成:以初始曲线E₀为起点,对每个非零的sᵢ,构造度数为ℓᵢ^|sᵢ|的素数阶同源映射:
若sᵢ > 0:构造从当前曲线E到E/kerφ的“正向同源”(kerφ为同源的核,即映射为单位元的点集);
若sᵢ < 0:构造从当前曲线E到E/kerφ̂的“反向同源”(φ̂为φ的“对偶同源”)。
经过所有同源操作后,得到的最终椭圆曲线Eₛ的j-不变量j(Eₛ)即为公钥(j-不变量可唯一表征椭圆曲线的同构类,且长度仅为一个域元素,约256比特)。
例如,若Alice的私钥为s=(2, -1, 0, ..., 0),则她先对E₀做2次度数为2的正向同源,再做1次度数为3的反向同源,得到公钥j(Eₛ)。
3.密钥交换与共享密钥计算
a.公钥交换:Alice将公钥jₐ = j(Eₛₐ)发送给Bob,Bob将公钥jᵦ = j(Eₛᵦ)发送给Alice。
b.共享密钥计算:
Alice收到jᵦ后,先恢复出对应的椭圆曲线Eₛᵦ,再用自己的私钥sₐ对Eₛᵦ重复密钥生成时的同源操作,得到曲线Eₛₐ₊ₛᵦ,其j-不变量即为共享密钥K;
Bob收到jₐ后,用自己的私钥sᵦ对Eₛₐ执行同源操作,同样得到Eₛₐ₊ₛᵦ的j-不变量K。
由于同源操作满足“交换性”(sₐ + sᵦ = sᵦ + sₐ),双方最终得到的共享密钥完全一致,且第三方无法通过jₐ和jᵦ反推私钥(因SIPP问题难解)。
四、CSIDH的安全性与性能分析
1.安全性
CSIDH的安全性建立在SIPP问题的计算困难性之上,目前已被证明具备强大的抗攻击能力:
抗量子安全性:目前所有已知量子算法(包括秀尔算法、格罗弗算法)均无法在多项式时间内解决SIPP问题。量子计算机最多只能对暴力搜索进行二次加速,而对CSIDH的256比特参数而言,这种加速仍不足以构成威胁。
抗经典攻击:2020年,学者提出针对CSIDH的“亚指数时间攻击”,但该攻击仅对小参数有效,对标准化的256比特参数(如CSIDH-512)的攻击复杂度仍高达2¹²⁸,远超实际可实现范围。
侧信道攻击风险:CSIDH的计算过程依赖于同源链的构造,若实现时未做防护,可能存在计时攻击等侧信道风险,但可通过“恒定时间实现”等技术规避。
2.性能
与传统密码(以ECC的secp256r1曲线为例)和其他PQC方案(以格基密码CRYSTALS-Kyber-768为例)相比,CSIDH的性能呈现鲜明差异。在公钥长度上,256比特安全级别的CSIDH与ECC保持一致,均为256比特,而CRYSTALS-Kyber-768的公钥长度则达到1184比特,明显更长。私钥长度方面,CSIDH的私钥为512比特且呈稀疏向量形态,ECC私钥为256比特,CRYSTALS-Kyber-768的私钥最短,仅240比特。
密钥交换的计算量是三者差异的核心体现:CSIDH的计算量较高,约需10⁶次域运算;ECC的计算量最低,仅需约10⁴次运算,是三者中最轻便的方案;CRYSTALS-Kyber-768的计算量处于中等水平,约为10⁵次运算。存储开销与公钥、私钥长度直接相关,CSIDH与ECC的存储开销均较低,而CRYSTALS-Kyber-768因密钥更长,存储开销显著更高。
在资源受限设备适配性上,ECC凭借低计算量和短密钥的双重优势,适配性最高;CSIDH虽密钥短小可降低存储压力,但较高的计算量限制了其适配能力,适配性处于中等水平;CRYSTALS-Kyber-768则因存储开销偏高,适配性同样为中等。
核心优势:公钥/私钥长度极短,仅为格基密码的1/4~1/5,非常适合物联网、嵌入式设备等存储资源受限的场景。
主要局限:计算效率较低,密钥生成与交换的耗时约为ECC的100倍,大规模部署时需依赖硬件加速或算法优化。
五、应用场景
CSIDH的特性使其在特定领域具有不可替代的价值:
物联网(IoT)安全:物联网设备通常存储容量小、算力有限,CSIDH的短密钥特性可降低存储开销,而其计算量可通过轻量级实现优化适配。
后量子密钥协商:可与TLS协议结合,替代传统的ECC密钥交换,构建抗量子的通信加密通道。
区块链安全:区块链系统需长期存储密钥和交易数据,CSIDH的后量子安全性可确保decades级的长期安全,避免未来量子计算机对区块链历史数据的破解。
资源受限场景:如智能卡、射频识别(RFID)标签等设备,短密钥是其首要需求,CSIDH比格基密码更具优势。
六、标准化进程
CSIDH是NIST(美国国家标准与技术研究院)后量子密码标准化的重要候选方案之一:
在NIST PQC第一轮(2019年)和第二轮(2020年)评估中,CSIDH均作为“密钥封装机制”候选方案入选;
由于计算效率问题,CSIDH未进入第三轮最终候选,但NIST仍将其列为“值得持续关注的方案”,并鼓励对其进行效率优化;
目前,学术界已提出多种CSIDH的优化变体,如“CSIDH-Sqrt”“Fast-CSIDH”等,通过改进同源计算算法,将效率提升了3~5倍,为其标准化奠定了基础。
七、挑战
CSIDH的发展仍面临两大核心挑战:计算效率提升与参数安全性强化。未来的研究方向主要包括:
1.同源计算加速:通过优化有限域运算、改进素数基选择(如采用更大的素数减少同源链长度)、利用硬件并行计算等方式,降低密钥生成的计算开销。
2.参数标准化:目前CSIDH的参数(如素数p、素数基ℒ)尚未统一,需结合安全性证明与实际性能,制定适配不同安全级别的标准参数集。
3.签名方案扩展:CSIDH本身是密钥交换协议,学者已基于其提出“CSIDH-Sign”等签名方案,但签名效率仍需提升,未来有望成为兼顾密钥交换与签名的一体化方案。
4.跨领域融合:将CSIDH与格基密码、基于编码的密码等其他PQC方案结合,构建“混合后量子密码系统”,进一步提升安全性与灵活性。
结言
CSIDH以椭圆曲线同源这一独特的数学工具为核心,构建了兼具后量子安全性与短密钥优势的密码方案,为应对量子威胁提供了重要选择。尽管其计算效率仍需优化,但随着算法改进与硬件技术的发展,CSIDH有望在物联网、通信安全等领域发挥关键作用。在量子计算的“倒计时”中,CSIDH不仅是密码学理论的创新突破,更是守护数字世界未来安全的重要基石。
