后量子密码之椭圆曲线同源密码学（Isogeny-based Cryptography）

相关背景

随着量子计算机的出现与其逐步的发展，使用Shor算法来快速分解大整数可能在不久的将来会成为一件非常简单的事情，这就对传统的公钥密码学提出了一个巨大的挑战。就目前而言，绝大多数公钥加密算法都是基于大整数分解或是求解离散对数，但在量子计算之下，这些问题被证明都是可以在多项式时间内被轻易解决的。于是，对能够抵抗量子攻击的后量子密码体制的研究开始逐步火热起来，基于椭圆曲线同源的密码体制（Isogeny-based Cryptography）正是其中一个重要的研究方向。

同源密码学的发展

基于同源的密码体制的发展主要经历下面几个阶段：

1. 椭圆曲线同源最早于1997年被应用到密码学中，但直到2006年才有相关论文被正式发表出来，尽管这些论文提出的方案能够满足基本的公钥加密和秘钥交换的功能，但当时的方案不仅实现效率低下，并且在2010年被证明在量子计算下都是不安全的。
2. 到了2011年，Jao提出了超奇异椭圆曲线同源问题，同源密码学又再次引起了大家的兴趣。超奇异的同源问题在计算效率上比普通的同源快了几个数量级，并且不依赖于椭圆曲线离散对数问题，同时被证明可以抵抗已知的量子攻击。此后，对椭圆曲线同源的密码体制的研究都主要集中在超奇异椭圆曲线同源上。
3. 2017年，基于同源的加密方案和秘钥封装协议SIKE被提交到美国NIST，参与后量子密码方案的候选，并且在2019年成功进入到了第二轮。

什么是同源

所谓同源（Isogenies），就是指两条椭圆曲线之间的同态，换句话说，其实就是把一条椭圆曲线上的点映射到另一条椭圆曲线上。举个例子，假如有两条定义在Fq的椭圆曲线E1和E2，那么映射φ：φ（P1）= P2，P1∈E1，P2∈E2 就可以称作一个同源。这就是对同源的一个简单直观的理解，但它其实是一个十分复杂的理论，这个同源映射中包含着许多特殊的性质，这里就不一一列举了。

超奇异椭圆曲线同源

说完了椭圆曲线同源，那么什么又是超奇异椭圆曲线的同源问题呢？其实就是定义在超奇异椭圆曲线上的同源映射，而这就要从超奇异椭圆曲线说起，它的定义是这样子的：

也就是说，如果一条定义在Fq上的椭圆曲线E的自同态环在Fq的代数闭包上是不可交换的，那么这个椭圆曲线就被称为超奇异椭圆曲线。这个概念看起来似乎不太容易好理解，我们还需要知道什么是自同态环以及代数闭包，下面我再给出自同态环的定义：

如果没有完全理解这些概念也没有关系，作为初学者我们只需要弄清楚这些概念的大概意思，等以后深入学习的时候再来仔细研究这些理论的具体含义。

基于超奇异椭圆曲线同源密码的特点

由于上文中所提到，目前对Isogenies的研究都集中到了超奇异椭圆曲线上来，因此我们只需要了解基于超奇异椭圆曲线同源密码体制的特点，它主要以下几个特点：

1. 相对于其他后量子密码具有秘钥尺寸短的优势；
2. 其实现的效率相比于基于纠错码和基于格的均不占优势；
3. 同源密码学建立在已经比较复杂的椭圆曲线密码之上，导致其构造非常复杂；
4. 同源密码学系统的结构非常特殊，设计加密方案时需要借助图论的知识构建超奇异同源图，而无法在此之上定义群，导致许多现有密码协议拓展到该系统之上。

同源密码学现状

就目前而言，同源密码学的研究还处在探索阶段，目前主要集中于以下几个点：

1. 现有的基于超奇异椭圆曲线同源的加密算法和交换协议还有待进一步优化；
2. 是否有可能基于超奇异同源创建高效的IND-CCA安全公钥加密方案仍然是一个悬而未决的问题；
3. 在量子随机预言机模型中证明基于超奇异同源的密码系统的安全性也是一个重要的开放问题；
4. 如何突破现有的加密体制中的局限性，从而将传统密码体制中的方案拓展到该体制之上。