数学之美筑牢量子时代安全屏障：天津大学展示剖析“后量子密码”的数学基础

摘要：量子计算被认为是一项革命性的高新技术，但事实上，它也是一把双刃剑。如果在不远的将来建造出高效的量子计算机，现在广泛用于加密通信的多种密码体系就会很容易被攻破。所以提前构建能够抵抗量子计算机攻击的密码体系成为保障未来通信安全的当务之急，这便是“后量子密码”。

量子计算被认为是一项革命性的高新技术，但事实上，它也是一把双刃剑。如果在不远的将来建造出高效的量子计算机，现在广泛用于加密通信的多种密码体系就会很容易被攻破。所以提前构建能够抵抗量子计算机攻击的密码体系成为保障未来通信安全的当务之急，这便是“后量子密码”。

最近，天津大学应用数学中心宗传明教授在顶级期刊Research上发表了题为The Mathematical Foundation of Post-Quantum Cryptography《后量子密码学的数学基础》（Research 2025;8:Article 0801. https://doi.org/10.34133/research.0801）。该论文系统性地揭示了支撑后量子密码学的深邃数学原理，阐明了其安全性与高维几何中球堆积、球覆盖等经典数学问题的内在关联，为应对量子计算带来的安全挑战提供了坚实的理论支撑。

危机，来自量子的“万能钥匙”

我们日常的网上银行、电子邮件、微信聊天等信息安全，都依赖于一套称为“公钥密码”的体系。其中最著名的代表是RSA算法，它的安全性基于一个简单的数学事实：将两个大质数相乘很容易，但把乘积重新分解回两个质数却极其困难。对于传统计算机，这可能需要耗费宇宙年龄那么长的时间。

然而，1994年，数学家彼得·肖尔（Peter Shor）提出了一种量子算法。他证明，一旦有足够强大的量子计算机，解决质因数分解和离散对数这类问题将变得轻而易举。这意味着，RSA等现行主流密码体系在量子计算机面前将不堪一击。

2007年，加拿大公司D-Wave展示了第一台商用量子计算机。虽然最初的机器还很初级，但技术的飞速发展敲响了警钟：我们必须在新威胁成为现实之前，找到新的、量子计算机也算不动的数学难题来构建密码。

这两个科技事件及其后续发展给保密通信带来了前所未有的危机。

走入“高维迷宫”

经过全球密码学界多年的竞赛与筛选，美国国家标准与技术研究院（NIST）在2022年选定了4种后量子密码算法作为最终候选，并在2024年正式发布了其中3项标准。它们中除了一项基于哈希函数，其余三项都基于同一种数学结构——格（Lattice）。

那么，什么是“格”？

想象一个无限延伸的、整齐排列的苹果箱堆垛。每一个苹果都是一个点，整个堆垛就是一个三维的“格”。在数学上，格就是高维空间中按固定规则周期性排列的点的集合。

基于格的密码系统，其安全性不再依赖于分解大数，而是依赖于两个在格中看似简单、实则极难的计算问题：

最短向量问题（SVP）：在这个巨大的高维迷宫里，找出离中心点最近的那个点（但不能是中心点自己）。这就像在一个由无数房间组成的巨型宫殿里，让你瞬间找到离大门最近的那个宝箱。

最近向量问题（CVP）：随便指出迷宫里的一个位置，在格点中找到离这个位置最近的点。这就像蒙上你的眼睛，把你随机扔进迷宫，然后让你找到离你最近的出口。

直觉上觉得这很容易？但在成百上千维的空间中，这些问题会变得异常复杂，即使对量子计算机来说，目前也没有找到快速解决的算法。格基密码的巧妙之处就在于：生成一个困难的迷宫（公钥）很容易，但要在迷宫中寻路（破解私钥）却难如登天。

数学根基：从“球堆积”到“二次型”

为什么这些问题这么难？它们的困难性深深植根于几个历史悠久的数学领域。

球堆积问题（Ball Packing）

最短向量问题（SVP）本质上是一个 “球堆积”问题。想象在每个格点上都放一个同样大小的球，并且不让这些球相互重叠。能放下的最大的球的半径，其实就是最短向量长度的一半。密码的安全性就与“在这个高维格中，球到底能塞得多紧密”这个问题直接相关。自牛顿、高斯以来，数学家们就一直研究球堆积的最大密度，但即使在三维空间（如何最密堆积 cannonball），证明于1998年提出，直到在2005年得到全面验证。维度越高，问题越复杂。

球堆积问题 | 论文

球覆盖问题（Ball Covering）

最近向量问题（CVP）则对应一个 “球覆盖”问题。这次，我们要用许多球盖住整个空间，让空间中的每一点都至少在一个球里。球的半径必须至少是迷宫中那个“最远的死角”到最近出口的距离。用尽可能小的球（低成本）覆盖整个空间（无死角），也是一个极其困难的优化问题。

球覆盖问题 | 论文

正定二次型（Positive Definite Quadratic Forms）

无论是SVP还是CVP，都可以转化为一种称为“正定二次型”的数学对象来研究。简单说，就是处理一种特定的多元二次方程。求解这种方程整数解的最小值（SVP）或最接近某个值的解（CVP），是数论中的一个核心难题，已经困扰了数学家从拉格朗日、高斯到现代学者数百年的时间。

正是这些经历了数百年考验、至今未被攻破的数学难题，为我们的后量子密码提供了坚实的安全基础。可以说，后量子密码学是纯粹数学研究成果直接转化为关键核心技术的杰出典范。

四百年的智慧：从开普勒到当代

宗传明教授指出："事实上，SVP是一个球堆积问题，CVP是一个球覆盖问题。换一个角度看，SVP和CVP都可以等价地表述为正定二次型的算术问题。"这一联系极具深意。球堆积问题研究的是如何在空间中放置相同半径的球体使其互不重叠且密度最大，这一问题自1611年开普勒提出猜想以来，直到2017年才由维亚佐夫斯卡（Maryna Viazovska）等人彻底解决8维和24维情形。而球覆盖问题则研究如何用相同半径的球体完全覆盖空间且半径最小，同样是经典数学难题。

宗传明教授的论文详细论证了这两个问题的数学基础，特别着重介绍了可能影响后量子密码进一步发展的一些基础数学问题。在过去的四百多年中，这些数学问题曾被开普勒、牛顿、高斯、厄密特、闵可夫斯基和许多当代数学家系统研究过。

论文中，宗教授深入探讨了球堆积密度问题、球覆盖密度问题、Rogers常数、Dirichlet-Voronoi多面体、Rankin常数等深层数论与几何问题。这些问题不仅是纯数学研究的核心议题，更是支撑后量子密码安全性的理论基础。

以Dirichlet-Voronoi多面体为例，这是格理论中一个重要的几何结构，可以直观地理解为每个格点的"势力范围"。宗教授在论文中揭示了这一结构与SVP和CVP之间的深刻联系："Dirichlet-Voronoi多面体不仅编码了格的结构信息，更重要的是，它同时包含了SVP和CVP的解决方案。"

数学树根支撑技术果实

宗教授用比喻描述了后量子密码与数学的关系："假如我们将后量子密码比作果实，格的计算复杂度理论就是果树，那么球堆积问题、球覆盖问题和正定二次型的算术理论就是树根。"这一比喻形象地揭示了不同层次数学理论在后量子密码中的重要作用。

论文将这些数学基础完整有机地呈现出来，让密码学家和数学家都能看清自己所在的位置和在整个工程中对对方的依赖。宗教授强调："不论后量子密码如何发展，数学都将是它不可避免的基础，因为它总是需要像格理论那样的数学模型。当然，仅有数学是远远不够的。成功的后量子密码一定是密码学家、数学家和量子计算科学家共同合作的产物。"

这一观点指出了后量子密码发展的关键路径。随着量子计算技术的快速发展，需要不同领域专家的紧密合作，才能构建出既安全又实用的后量子密码系统。

现状与未来：一场正在发生的静默切换

目前，基于格的密码标准（如CRYSTALS-Kyber, CRYSTALS-Dilithium）已经开始被逐步集成到软件、硬件和网络协议中。这是一场静默但浩大的工程，目的是在量子计算机真正构成威胁之前，完成整个互联网安全基础的切换。

宗传明教授的这篇综述论文不仅系统总结了后量子密码的数学基础，更为未来的研究方向提供了重要指导。通过揭示格密码与球堆积、球覆盖等经典数学问题的深刻联系，论文展现了数学在解决现实世界问题中的强大力量。

未来也许会发现更高效的量子算法来攻击格问题，或者诞生全新的密码学思想。但就目前而言，基于高维“迷宫”的格密码，是我们应对量子未来最可靠、最坚实的盾牌。它或许没有量子计算那样光彩夺目，但正是在这些深邃、优美而坚实的数学根基之上，我们未来的数字世界才能继续安全地运转。

编辑：吴欧

论文信息

发布期刊Research

发布时间2025年8月26日

论文标题 The Mathematical Foundation of Post-Quantum Cryptography

(DOI：https://doi.org/10.34133/research.0801）