Arch Day 219
Arch Day 219: NIST后量子密码学标准 — ML-KEM、ML-DSA与SLH-DSA
NIST于2024年8月发布了首批三个后量子密码学(PQC)标准——这是密码学领域自RSA(1977)以来最重大的标准更换。PQC的性能瓶颈在带宽和数据大小,而非CPU。
2026-10-25
第八阶段 - 综合冲刺NISTPQCMLKEMMLDSASLHDSAFALCON格密码哈希签名
日期: 2026-10-25 (Day 219) 阶段: 第八阶段 - 综合冲刺 标签: #NIST #PQC #MLKEM #MLDSA #SLHDSA #FALCON #格密码 #哈希签名
核心概念
一句话定义
NIST于2024年8月发布了首批三个后量子密码学(PQC)标准——这是密码学领域自RSA(1977)以来最重大的标准更换。PQC的性能瓶颈在带宽和数据大小,而非CPU。
知识点详解
1. 三大标准
FIPS 203 — ML-KEM (密钥封装,原CRYSTALS-Kyber)
| 参数集 | 安全级别 | 公钥 | 密文 |
|---|---|---|---|
| ML-KEM-512 | AES-128 | 800B | 768B |
| ML-KEM-768 | AES-192 | 1,184B | 1,088B |
| ML-KEM-1024 | AES-256 | 1,568B | 1,568B |
数学基础:Module Lattice(模格)。密钥交换速度~40μs,比RSA ~1ms更快。
FIPS 204 — ML-DSA (数字签名,原CRYSTALS-Dilithium)
| 参数集 | 安全级别 | 公钥 | 签名 |
|---|---|---|---|
| ML-DSA-44 | ~AES-128 | 1,312B | 2,420B |
| ML-DSA-65 | ~AES-192 | 1,952B | 3,293B |
| ML-DSA-87 | ~AES-256 | 2,592B | 4,595B |
FIPS 205 — SLH-DSA (备份签名,原SPHINCS+)
纯哈希基础,安全假设最保守,但签名17KB+(太大)。
2. 传统 vs PQC对比
| 指标 | ECDSA P-256 | ML-DSA-65 | SLH-DSA-128f |
|---|---|---|---|
| 公钥 | 64B | 1,952B | 32B |
| 签名 | 64B | 3,293B | 17,088B |
| 3证书链 | ~192B | ~9.9KB | ~51KB |
| 验证速度 | ~100-200μs | ~100μs | 较慢 |
3. 区块链场景签名方案选型
| 方案 | 签名大小 | 适合区块链? | 说明 |
|---|---|---|---|
| FALCON/FN-DSA | ~666B(512) | 最适合 | 签名小,速度快 |
| ML-DSA | ~3.3KB | 可用 | 通用,稍大 |
| SPHINCS+/SLH-DSA | 17KB+ | 太大 | 备份方案 |
| XMSS | ~2.5KB | 有状态 | 需管理签名状态 |
| Winternitz | 可调 | 一次性 | 适合UTXO |
4. NIST迁移时间线
| 时间 | 要求 |
|---|---|
| 现在 | 开始规划和库存盘点 |
| 2030 | RSA/ECDSA/EdDSA 弃用 |
| 2035 | 上述算法完全禁用 |
面试题
问题:PQC对区块链最大的挑战是什么?
回答:数据膨胀——ECDSA签名64字节,ML-DSA签名3,293字节(51倍)。一个Ethereum区块中数百笔交易的签名总大小会从几十KB膨胀到几MB。这直接影响:1) 区块大小和Gas成本;2) P2P网络带宽需求;3) 全节点存储成本。FALCON(~666B)是目前最适合区块链的PQC签名方案,但仍比ECDSA大10倍。这也是为什么Ethereum采用"渐进式"迁移而非一次性切换。