CRYSTALS-Kyber（ML-KEM）作为后量子时代替代 RSA 和 ECC 的性能与存储分析.pdfVIP

CRYSTALS-Kyber（ML-KEM）作为后量子时代替代RSA和ECC的

性能与存储分析

NicolasRodriguezAlvarez

IESParquesol

nicolas.rodalv@educa.jcyl.es

FernandoRodriguezMerino

DepartmentofTheoretical,AtomicandOpticalPhysics,UniversityofValladolid

fernando.rodriguez.merino@uva.es

本Abstract

译

中量子计算机纠错技术的稳步进步已将当前记录推进到48个稳定的逻辑量子比特，使我们更接近能够运行威胁RSA

3和ECC加密的Shor算法的机器。

v尽管开发此类量子计算机的时间表仍不确定，密码学界必须为过渡到抗量子算法做好准备。由NIST在2022年标

4

9准化的CRYSTALS-Kyber代表了领先的后量子密码解决方案，但广泛采用面临着重大挑战。如果这种迁移遵循从

6SHA-1到SHA-2转换的模式，组织可能会经历长时间的脆弱期，并面临重大的安全和经济后果。本研究通过各种实

1

0现方案的性能测试评估Kyber的实际可行性，仅利用标准内置处理器加速功能（AES-NI,ASIMD），而不添加任何

.

8专用硬件。我们的发现表明，Kyber在提供强大的量子攻击防护的同时，还能保持大多数现代应用可接受的性能水

0平，只需使用制造商提供的加速能力的商品硬件。

5

2

:1介绍于模格上的学习带错误(LWE)问题——一种被认为能够

v

i抵御经典和量子计算攻击的数学基础。与基于容易受到

x由Shor和Grover建立的理论基础随着量子计算硬件量子攻击的数论难题（如RSA和ECC）获得安全性的算

r

a的进步，已从学术概念转变为实际关注的问题。虽然专家法不同。然而，仅仅理论上抗量子并不能保证实际采纳。

们对于实现能够大规模运行Shor算法的容错量子计算机任何密码学标准的成功在很大程度上取决于其性能特征、

的时间表存在争论，但密码学界面临着紧迫的任务：向抗存储需求以及与现有硬件基础设施的兼容性。之前的后量

量子算法过渡不能等到量子计算机投入使用。历史上在子提案由于过高的计算开销、禁止使用的密钥大小或对专

密码迁移中的先例提供了关于未来挑战的严肃教训。自用硬件加速的要求而面临重大采用障碍。为了解决这些问

2005年发现碰撞漏洞后开始从SHA-1迁移到SHA-2的题并评估Kyber作为当前加密标准替代方案的实际可行

过程历时超过十年[PS]，许多组织使用的系统长时间超性，本研究进行了跨越多种架构和实施场景的全面性能分

出推荐的时间线仍保持脆弱状态[PS]。这一漫长过渡期析。本研究通过提供在现实部署条件下Kyber性能特征

暴露了许多系统于安全风险之下，并突显了延迟密码学的经验证据来促进后量子密码学过渡。我们的评价方法

升级所涉及的重大经济和运营成本。如果后量子密码学利用了商品处理器中可用的标准硬件加速功能（AES-NI、

的迁移遵循类似的模式，那么组织可能会面临长时间的AVX2、ASIMD），无需专门添加抗量子硬件，确保我们的

量子攻击漏洞，对数字基础设施、金融系统和国家安全造发现准确反映了组织在实际部署过程中可以期望的性能

成潜在灾难性后果。为应对这一挑战，国家标准与技术研水平。通过对x86_64和ARM64架构下的RSA-7680和

究院(NIST)启