上一篇我們為大家介紹了NIST PQC徵集第四輪最新進展，2025年3月11日，美國國家標準與技術研究院(NIST)發布了《NIST後量子密碼標準化過程的第四輪狀態報告》（NIST IR 8545），宣布最終選擇HQC算法為第二個密鑰封裝機制（KEM），作為Kyber算法的安全補充標準；並預計將在兩年內發布相關標準草案。本期我們將為大家詳細解讀HQC算法。

HQC算法是一種基於編碼理論的非對稱的密鑰封裝機制(KEM)。早在2024年8月13日，NIST就已經發布了基於格理論的後量子KEM標準FIPS 203。與FIPS 203不同的是HQC算法基於的困難問題是非格理論的。作為KEM，HQC算法是FIPS 203的一種補充和替代方案，可以有效地避免FIPS 203中可能存在的漏洞。

基於編碼理論的公鑰密碼

編碼理論是一門研究如何有效地傳輸和存儲數字信息的學科。其主要目標是通過設計高效、可靠且具有容錯能力的編碼方案，確保在數據經過傳輸或存儲過程後能夠準確恢復原始信息。基於編碼理論的公鑰方案最早可以追溯到上個世紀70年代由Robert McEliece提出的McEliece密碼。人們對McEliece密碼的信心來源於一個簡單而有力的事實：在過去50多年中，沒有有效的攻擊算法可以破解它。這一歷史記錄進一步鞏固了編碼密碼在後量子時代的重要性。

HQC算法的原理

HQC是Hamming Quasi-Cyclic的縮寫，從中可以看出，HQC使用的碼是基於漢明距離的擬循環碼，具體地說，這種擬循環碼是截斷Reed-Solomon碼和重複Reed-Muller碼的組合。雖然HQC算法與FIPS 203使用的底層困難問題完全不同，但在算法思路上確有幾分相似。

1. 噪聲引入：在算法的加密階段，隨機產生一些噪聲，使用公鑰把噪聲混入到消息編碼中產生密文；在解密階段，使用私鑰和解碼算法對消息進行還原。

2. FO變換：二者均採用FO變換，把IND-CPA的公鑰加密（PKE）機制轉換成IND-CCA2的密鑰封裝機制（KEM）。

HQC算法的優勢和劣勢

根據《NIST後量子密碼標準化過程的第四輪狀態報告》所述，HQC算法具有以下優勢：

1. 更可靠的安全性：HQC算法能夠戰勝BIKE算法的決定性因素是，它在解密失敗率(DFR)分析上更可靠。有證據表明HQC具有足夠低的DFR。雖然BIKE算法通過小的修改也能達到同樣低的DFR，但NIST認為BIKE在DFR分析上不如HQC成熟。另外，HQC不需要通過修改就能達到所需的安全屬性。基於這些，NIST對HQC的安全性更有信心。

2. 性能優秀：通過表1可以看出，在密鑰生成上，BIKE比HQC慢6-10倍；解封裝上，BIKE比HQC慢5-7倍；密鑰生成上，McEliece比HQC慢3個數量級。

3. 更短的解封密鑰：這對於IoT等資源受限環境尤為重要。通過表2可看出，BIKE的解封密鑰長度是HQC的7-17倍，McEliece的解封密鑰長度更是比HQC大2-3個數量級。

表1 x86_64平台上BIKE/HQC/McEliece性能(單位:1000 cycles)（數據來自NIST IR 8545及openquantumsafe.org網站）

表2 BIKE/HQC/McEliece密鑰和密文尺寸(單位:bytes)

根據《NIST後量子密碼標準化過程的第四輪狀態報告》所述，HQC算法存在下列不足之處:

1. 密鑰和密文長度較長：具體來說，HQC的封裝密鑰長度大約比BIKE長41-47%；HQC的密文長度大約是BIKE的3倍。

2. 對網絡環境敏感：在TLS1.3和QUIC協議中對後量子KEM算法進行實驗得到的結果表明，在理想網絡環境下，HQC的握手速度更快；而當網絡環境差到一定程度時，BIKE算法表現得比HQC優秀。

HQC算法的應用場景

HQC是一種密鑰封裝機制，可以用於在不安全信道上建立通信雙方的共享密鑰，應用場景包括郵件加密、網絡協議、IoT設備、在線支付系統等。

握奇公司，作為數據安全領域的資深專家，憑藉30年深厚行業積累，專註密碼算法、數字安全防護及安全芯片操作系統等核心技術。在持續洞察NIST標準更新動態的基礎上，我們更加關注後量子算法的前沿進展，積極布局技術演進，致力於為客戶提供數字安全防護解決方案，以科技賦能行業穩健發展。