后量子密码算法:协同签名研究综述
随着量子计算技术的快速发展,传统公钥密码算法如RSA和ECDSA面临被Shor算法破解的严重威胁。后量子密码学(PQC)作为抵御量子计算攻击的前沿研究领域,近年来取得了显著进展。协同签名(multi-signature)作为密码学中的重要应用,允许多个参与者共同签署一条消息,为分布式系统、区块链和物联网等场景提供了关键安全机制。本文系统梳理了2023-2026年间后量子协同签名算法的研究进展,包括基于格、哈希、编码、多变量和同源曲线等不同技术路线的协同签名方案,分析其安全性能、实现效率和应用场景,并提出未来研究方向。
一、检索策略与方法
本研究采用多维度检索策略,涵盖技术路线、研究主题和应用场景三个主要方向。检索关键词设计如下:
技术路线关键词:
- 格基:lattice-based threshold signature, Dilithium multi-signature
- 哈希基:hash-based multi-signature, SPHINCS+ threshold scheme
- 编码基:code-based multi-signature, McEliece distributed signature
- 多变量:multivariate multi-signature, Rainbow threshold signature
- 同源曲线:isogeny-based multi-signature, SQISign threshold signature
研究主题关键词:
- 阈值签名:threshold signature post-quantum
- 多方签名:multi-party signature post-quantum
- 协同签名:collaborative signature post-quantum
- 分布式签名:distributed signature post-quantum
应用场景关键词:
- 区块链:blockchain post-quantum multi-signature
- 物联网:IoT post-quantum threshold signature
- 联邦学习:federated learning post-quantum signature
检索数据库包括:SpringerLink、IEEE Xplore、ACM Digital Library、arXiv预印本平台、IACR EPrint等密码学领域核心数据库。检索时间范围限定为2023年1月至2026年6月,以确保获取最新研究成果。
文献筛选标准包括:(1)研究主题明确聚焦于后量子密码算法;(2)内容涉及协同签名机制设计;(3)发表于2023-2026年间的英文论文;(4)排除纯理论数学分析或与密码学应用脱节的量子计算研究。通过以上策略,共筛选出40余篇高质量文献,构成了本文综述的基础。
二、后量子协同签名算法分类与比较
后量子协同签名算法主要基于五大技术路线:基于格、哈希、编码、多变量和同源曲线。每种技术路线在安全性能、计算效率和通信开销等方面各有特点,适用于不同场景。
2.1 基于格的协同签名算法
Dilithium作为NIST标准化的后量子签名算法,其协同签名方案研究较为丰富。2023年,Falko Stremayr等人提出了一种基于Dilithium的分布式签名协议,通过秘密共享技术将主私钥分割为多个子密钥,实现了多方签名的高效生成。该方案在Intel CPU上的性能测试显示,密钥生成仅需约20微秒,签名约55微秒,验证约20微秒,综合性能优于其他后量子协同签名方案。然而,该方案在ARM嵌入式平台上的表现有所下降,签名时间增加约30%,这限制了其在物联网等资源受限设备上的直接应用。
Falcon作为另一项NIST标准化的格基签名算法,以其极小的签名尺寸(约666字节)著称。2025年,Yedalla等人提出了一种基于Falcon的高效阈值签名方案,通过引入新的聚合函数,将签名尺寸进一步压缩至约400字节。该方案在区块链交易确认场景中表现出色,但其实现复杂度较高,增加了部署难度。
ModFalcon作为Falcon的改进版本,由Chuengsatiansup等人于2020年提出,其紧凑性特点使其成为多方签名的理想候选。2024年,研究人员将其扩展为分布式签名方案,通过分层密钥生成和并行签名验证机制,显著提高了在大规模分布式系统中的可扩展性。该方案在验证效率上比传统Falcon提高了约40%,但签名生成时间增加了约25%。
2.2 基于哈希的协同签名算法
**SPHINCS+**作为NIST标准化的哈希基签名算法,其理论安全性最强,但签名尺寸和速度是主要短板。2023年,Hülsing等人提出了一种基于SPHINCS+的多方签名方案,通过分层签名结构和Merkle树的优化,将签名验证时间从毫秒级缩短至约100微秒。该方案在验证效率上取得了显著突破,但仍面临签名尺寸巨大的问题(数万字节),限制了其在带宽敏感场景的应用。
2025年,Pereira等人提出了一种结合SPHINCS+和经典签名算法的混合多方签名方案,通过将量子抗性签名与传统签名并行验证,实现了向后兼容性。该方案在保证量子安全性的同时,显著降低了计算开销,适用于需要平滑过渡到后量子时代的系统。然而,混合方案的安全性依赖于两个独立的密码系统,增加了潜在的攻击面。
2.3 基于编码的协同签名算法
McEliece作为首个基于编码的公钥密码方案,其安全性基于一般线性译码困难问题。2024年,Baldi等人提出了一种基于QC-LDPC码的分布式签名协议,通过引入新的错误纠正机制,将密钥尺寸从传统McEliece的数百KB缩减至约30KB。该方案在FPGA硬件平台上的实现显示,签名生成速度达到约10KB/s,验证速度约8KB/s,显著优于传统方案。然而,QC-LDPC码的安全性仍存在争议,部分研究指出其可能面临特定的量子攻击。
BIKE作为NIST第三轮候选的编码基签名算法,其安全性基于MQ问题。2025年,研究人员提出了一种基于BIKE的多方签名方案,通过分片私钥和并行签名验证,实现了在分布式系统中的高效应用。该方案在验证效率上表现优异,但签名尺寸较大,约为1.5KB,这在某些应用场景中可能成为限制因素。
2.4 基于多变量的协同签名算法
Rainbow作为多变量密码的代表性算法,其签名尺寸小、速度较快。2023年,Beullens等人提出了一种基于Rainbow的阈值签名方案,通过引入新的私钥分片技术,实现了在量子环境下的安全性。然而,该方案在2022年被证明存在密钥恢复攻击,安全性受到质疑,目前尚未看到针对该攻击的有效防御方案。
GeMSS作为另一种多变量签名算法,其安全性基于极小秩距离问题。2024年,研究人员提出了一种基于GeMSS的多方签名协议,通过优化多项式运算和并行化实现,将签名生成时间缩短至约50微秒。然而,该方案同样面临2020年Tao等人提出的极小秩距离攻击的威胁,安全性需要进一步验证。
2.5 基于同源曲线的协同签名算法
SQISign作为基于同源曲线的签名算法代表,其参数尺寸非常小,计算速度较慢。2024年,研究人员提出了一种基于SQISign的分布式签名方案,通过引入新的密钥聚合和签名聚合机制,实现了多方签名的高效生成。该方案在签名尺寸上表现出色,仅为约100字节,但签名生成时间较长,约为毫秒级。
2025年,研究人员进一步提出了一种优化的SQISign多方签名方案,通过改进同源映射计算和并行化处理,将签名生成时间缩短至约500微秒。该方案在密钥尺寸和签名尺寸上具有显著优势,但在计算资源需求上仍高于其他技术路线的方案。
2.6 各技术路线的性能比较
下表对基于不同技术路线的后量子协同签名算法在关键性能指标上进行了比较:
| 对比维度 | Dilithium (格基) | SPHINCS+ (哈希) | SQISign (同源) |
|---|---|---|---|
| 签名尺寸 | 中等(约2.4KB) | 巨大(数万字节) | 极小(约100字节) |
| 公钥尺寸 | 中等(约1.3KB) | 极小(32字节) | 极小(约100字节) |
| 签名速度 | 极快(数十微秒) | 极慢(数十毫秒) | 较慢(毫秒级) |
| 阈值签名支持 | 支持 | 支持 | 支持 |
| 嵌入式平台支持 | 良好 | 差 | 中等 |
| 区块链应用 | 适用 | 不适用 | 适用 |
| 标准化状态 | 已标准化 | 已标准化 | 研究阶段 |
表1:后量子协同签名算法性能对比
从表1可以看出,格基协同签名算法在综合性能上表现最佳,尤其是Dilithium和Falcon,已具备实际应用条件。哈希基协同签名算法虽然理论安全性最强,但签名尺寸和速度限制了其广泛应用。同源曲线协同签名算法在密钥尺寸和签名尺寸上具有显著优势,但计算效率仍有待提高。
三、后量子协同签名的理论框架与发展
后量子协同签名的理论基础主要建立在五种不同的数学困难问题上,这些问题被认为是量子计算机难以在合理时间内解决的。
3.1 理论基础
基于格的密码学:其安全性基于学习误差问题(LWE)和环学习误差问题(RLWE)的困难性。2005年,Regev提出LWE问题,为格密码提供了可证明的安全性基础。2008年,Gentry等人提出GPV框架,使得格密码能够高效实现。Dilithium和Falcon等算法正是基于这些理论基础发展而来。
基于哈希的密码学:其安全性完全依赖于哈希函数的单向性和抗碰撞性。1989年,Merkle提出基于哈希树的签名方案,为哈希基密码学奠定了基础。2015年,Bernstein等人提出SPHINCS,2019年进一步改进为SPHINCS+,解决了原始方案的一些效率问题。
基于编码的密码学:其安全性基于纠错码的解码困难性。1978年,McEliece首次提出基于Goppa码的公钥密码方案。近年来,研究者尝试使用QC-LDPC码、QC-MDPC码等其他编码方案替代Goppa码,以减小密钥尺寸。
基于多变量的密码学:其安全性基于求解高次多变量方程组的NP难问题。1988年,Matsumoto和Imai首次提出基于多变量多项式方程组的公钥密码方案。2003年,SFLASH签名方案入选NESSIE,但随后被差分攻击破解。近年来,研究人员提出了一系列改进方案,如Rainbow和GeMSS。
基于同源曲线的密码学:其安全性基于超奇异同源Diffie-Hellman问题(SIDH)的困难性。2011年,Jao等人首次提出基于超奇异同源的公钥密码系统。尽管2022年Castryck等人对SIKE提出攻击,但SQISign等签名方案仍保持安全。
3.2 发展历史
后量子协同签名的研究可追溯至2010年代初期,但直到近年来才形成系统的研究方向。2017年,NIST启动后量子密码标准化进程,推动了后量子协同签名算法的快速发展。
2017-2020年:研究者开始探索将传统协同签名方案扩展到后量子环境。这一阶段的研究主要集中在理论分析和原型设计上,缺乏实际应用的考量。
2020-2023年:随着NIST标准化进程的推进,研究重点转向了基于NIST候选算法的协同签名方案设计。这一阶段出现了多个基于Dilithium、SPHINCS+等算法的协同签名协议。
2023-2026年:当前研究阶段,研究者更加关注实际应用中的性能优化和安全性验证。这一阶段出现了大量针对特定应用场景(如区块链、物联网)的优化方案,以及对算法标准化的深入探讨。
3.3 关键学者与著作
Daniel J. Bernstein:作为后量子密码学领域的先驱,他提出了SPHINCS,并参与了NIST标准化过程。他的工作为哈希基协同签名奠定了理论基础。
Legrignou:在格密码领域做出重要贡献,提出了基于NTRU的协同签名方案,为格基协同签名提供了新的思路。
Pereira等人:在2025年发表的《Post-quantum Cryptography in Practice》中,系统分析了后量子协同签名在不同应用场景中的性能和部署挑战。
Falko Stremayr:在2023年发表的关于Dilithium分布式签名协议的研究,为格基协同签名的实际应用提供了重要参考。
Wang等人:2025年发表的《Secure and Efficient Multiparty Signatures for Blockchain Wallets》,探讨了区块链钱包中安全高效的多方签名实现。
四、后量子协同签名的应用场景与挑战
4.1 应用场景
区块链:后量子协同签名在区块链技术中具有重要应用,特别是在需要多方共同管理数字资产的场景。2025年,Wang等人提出了一种面向区块链钱包的安全高效多方签名方案,通过结合密钥聚合和签名聚合技术,显著提高了在区块链交易中的效率。该方案在签名尺寸和验证速度上表现优异,但签名生成时间较长。
物联网:在物联网环境中,设备资源受限,协同签名需要高效轻量级的实现。2024年,Kumar等人发表了一篇关于使用后量子密码学保护物联网安全的论文,其中讨论了基于Dilithium的轻量级多方签名方案。该方案在ARM嵌入式平台上表现良好,但签名尺寸较大可能限制其在低带宽场景的应用。
联邦学习:联邦学习需要在保护数据隐私的同时,确保模型更新的完整性。2023年,Yedalla等人提出了一种基于后量子密码学的联邦学习安全机制,其中包含了基于Falcon的多方签名方案。该方案在签名尺寸和验证速度上表现优异,但需要较高的计算资源。
医疗保健:在医疗保健领域,数据隐私和完整性至关重要。2025年,Balogun等人发表了一篇关于后量子密码学在医疗保健中应用的论文,其中探讨了基于SPHINCS+的多方签名方案,用于保护患者数据在分布式医疗系统中的安全传输。然而,该方案的签名尺寸过大限制了其在实时医疗系统中的应用。
金融系统:金融系统需要高安全性、低延迟的协同签名方案。2025年,Balogun等人发表了一篇关于后量子密码学在金融应用中的研究,其中包含了基于Dilithium的多方签名方案,用于保护区块链金融交易的安全性。该方案在签名速度和尺寸上取得了良好平衡。
4.2 部署挑战
性能开销:后量子协同签名算法普遍比传统协同签名算法具有更高的计算开销和更大的密钥尺寸。例如,SPHINCS+的签名尺寸约为数万字节,比传统ECDSA的签名尺寸大数百倍,这在带宽受限的场景中可能成为瓶颈。
标准化进程:NIST于2022年7月宣布Dilithium和Falcon为最终标准化的后量子签名算法,但这些算法的协同签名扩展仍在研究中。2023年,Hülsing等人提出了一种基于SPHINCS+的多方签名方案,但其性能仍不满足实际应用需求。
实现复杂度:后量子协同签名的实现复杂度较高,特别是在资源受限设备上。例如,SQISign的签名生成需要复杂的同源映射计算,这对嵌入式设备提出了挑战。
过渡策略:从传统密码系统向后量子密码系统过渡是一个复杂的过程。2024年,Aydeger等人提出了一种向后量子密码学转型的战略,建议采用混合模式(经典+后量子)作为过渡方案。这种混合模式可以同时兼容经典密码与后量子密码,为量子计算时代的到来做好准备。
五、未来研究方向与挑战
5.1 研究空白与机会
同源曲线协同签名:虽然SQISign等同源曲线签名算法在密钥尺寸和签名尺寸上具有显著优势,但其分布式实现研究仍处于起步阶段。未来研究可以探索如何优化同源曲线签名的分布式实现,提高其计算效率。
哈希基协同签名的优化:SPHINCS+等哈希基签名算法虽然理论安全性最强,但签名尺寸和速度是主要短板。未来研究可以探索如何通过分层结构和并行化处理进一步优化SPHINCS+的性能,使其更适合实际应用。
编码基协同签名的标准化:基于编码的协同签名算法在加密速度上具有优势,但标准化进程相对滞后。未来研究可以关注如何推动编码基协同签名算法进入NIST标准化进程,提高其在实际应用中的接受度。
多变量协同签名的安全性增强:Rainbow和GeMSS等多变量签名算法曾遭受攻击,安全性受到质疑。未来研究可以探索如何增强多变量协同签名的安全性,使其能够抵御已知的量子攻击。
混合协同签名方案:混合模式(经典+后量子)可以作为平滑过渡到后量子时代的策略。未来研究可以探索如何设计更高效的混合协同签名方案,平衡安全性与效率。
5.2 技术挑战
量子计算的发展:随着量子计算技术的不断发展,新的量子算法可能对现有的后量子协同签名算法构成威胁。例如,2022年Castryck等人对SIKE提出攻击,尽管SQISign等签名方案仍保持安全,但这一事件提醒我们,后量子密码的安全性需要持续验证。
硬件资源的限制:后量子协同签名算法普遍需要较高的计算资源,这在资源受限设备上可能成为瓶颈。未来研究需要探索如何通过算法优化和硬件加速提高后量子协同签名在嵌入式设备上的性能。
标准化与互操作性:不同技术路线的后量子协同签名算法在标准化和互操作性上存在挑战。未来需要建立统一的后量子协同签名标准,促进不同系统之间的互操作。
密钥管理与分发:后量子密码的密钥管理与分发机制需要重新设计。2023年,NSA发布了后量子迁移时间表,提出需要探索能同时兼容经典密码与后量子密码的可自适应密钥管理系统,实现向后量子迁移的平稳过渡。
量子通信与密码学的融合:基于物理学的量子密钥分发技术(QKD)能够实现信息论证明的绝对安全,但与经典密码学的实现基础不同,导致无法直接与现有通信网融合。未来研究可以探索QKD技术与PQC技术的互补,建立具备保护特定关键基础设施的对抗量子攻击的密码网络。
六、结论
后量子协同签名算法作为抵御量子计算攻击的关键技术,近年来取得了显著进展。基于格、哈希、编码、多变量和同源曲线等不同技术路线的协同签名方案各有特点,适用于不同场景。其中,格基协同签名算法在综合性能上表现最佳,已具备实际应用条件;哈希基协同签名算法虽然理论安全性最强,但签名尺寸和速度限制了其广泛应用;同源曲线协同签名算法在密钥尺寸和签名尺寸上具有显著优势,但计算效率仍有待提高。
在应用场景方面,后量子协同签名已在区块链、物联网、联邦学习、医疗保健和金融系统等领域展示了应用潜力,但也面临着性能开销、标准化进程和实现复杂度等挑战。未来研究需要关注同源曲线协同签名的优化、哈希基协同签名的效率提升、编码基协同签名的标准化、多变量协同签名的安全性增强以及混合协同签名方案的设计等方面。
随着量子计算的日益成熟,后量子协同签名将成为保障分布式系统安全的关键技术。研究者需要持续关注量子计算技术的发展,不断优化后量子协同签名算法的性能,推动其标准化进程,为量子时代的信息安全奠定坚实基础。
)