该论文聚焦于后量子密码学转型背景下，组织面临更新大型复杂软件组合中密码算法的巨大挑战。当前多数密码API围绕特定算法设计，要求显式使用特定算法，缺乏基于策略的算法选择支持，且无法直接迁移现有密钥至新算法，导致密码算法过渡困难。论文首先通过配套评估框架识别密码敏捷性的障碍，指出算法过渡本质上是软件工程问题。为克服现有API局限，论文提出设计密码敏捷API所需的原则，这些原则源自五项基本架构特性：抽象性、稳定性、时间灵活性、分离性和可扩展性。具体实现上，论文展示了如何利用Protocol Buffers API设计模式，提出基于范围的意图词汇表，将密钥创建与算法身份解耦，支持在适用范围内透明替换算法。密码治理通过抽象策略API实现，不规定策略格式。密钥以稳定标识符表示，并支持密钥演化操作（轮换、转换、迁移），便于算法和提供商之间迁移，同时跟踪原始密钥身份及其演化历史。该方法使密码更新成为运维流程，无需重写应用程序代码。

本文针对即将到来的后量子密码迁移挑战，指出当前密码API在设计时未考虑敏捷性，导致算法替换困难。作者提出一个基于组件的评估框架，用于系统性地衡量应用层密码敏捷性。该框架包含七个正交维度：三个耦合维度（操作耦合、创建耦合、配置耦合）衡量应用代码对算法和提供者的依赖程度；一个横切解耦机制；一个治理权威维度；以及两个敏捷性使能维度（版本化能力和外部化配置）。框架是非线性的，可以捕获非层次化特征。作者用该框架评估了六个代表性API：PKCS#11、OpenSSL 3.0、JCA、Google Tink、AWS KMS和HashiCorp Vault Transit。评估揭示了三个普遍且独立的缺口：没有系统支持基于意图的密钥创建，没有提供策略驱动的算法选择（区别于访问控制），也没有为现有密钥的算法转换提供专用的一流操作。这些缺口单独就足以阻碍敏捷迁移，解释了为何尽管API发展数十年，后量子迁移仍然是软件工程问题。本文适合密码学研究人员、安全架构师和软件开发者阅读，以理解现有API的局限性并指导未来设计。

该论文针对量子计算对现有金融加密体系构成的威胁，提出了一种后量子安全的联邦去中心化金融（DeFi）框架，旨在提升因信用记录不足而被传统银行排斥的个人的金融包容性。核心方法包括：多家银行将客户加密数据批量上传至虚拟服务器，采用基于格的全同态加密（FHE）实现端到端同态计算，确保数据在加密状态下完成融合分析；服务器融合本地数据驱动的概率评估、专家信念以及NASA-IBM Prithvi地理空间基础模型（GFM）生成的可验证证据（全部为密文形式）；利用区块链等去中心化技术保证证据的防篡改性和机构间数据交换的可审计问责。该框架以美国弗吉尼亚州农村借款人的农业贷款决策为测试场景，展示了在保护隐私的同时提升贷款覆盖率的潜力。论文的主要贡献在于首次将后量子密码学、联邦学习、FHE与地理空间AI模型系统性地整合到DeFi场景中，为应对量子威胁下的金融普惠问题提供了可扩展的架构方案。适合关注后量子安全、联邦学习、隐私计算及普惠金融的技术研究与安全架构师阅读。

该论文提出了一种面向药物警戒系统的后量子安全数据管道教育原型。药物警戒系统处理包括不良事件报告和临床观察在内的敏感医疗数据。随着量子计算的发展，RSA和椭圆曲线密码等经典公钥系统可能变得脆弱，对需要长期保密的医疗数据构成威胁。该原型采用ML-KEM-768进行后量子密钥建立，HKDF-SHA-256派生AES密钥，AES-256-GCM进行文件加密，以及ML-DSA-65进行数字签名和防篡改。管道支持TXT、CSV、JSON、PDF等多种文件格式，通过将文件视为原始字节并保留元数据以供接收方重建。系统包含独立的医院、网关、制药接收方、攻击者、基准测试和仪表板组件。使用不同大小和格式的合成药物警戒数据集进行评估，结果表明ML-KEM增加了较小的恒定开销，而AES加密和ML-DSA签名随文件大小增加成为运行时的主导。本工作并非生产就绪的医疗系统，而是一次教育性的系统级探索，展示了后量子密码原语如何集成到医疗风格的数据管道中。

本文提出并实现了首个实用的、轮次最优的基于格的盲签名方案。盲签名是一种基础的密码学原语，允许用户获取消息的签名而不向签名者泄露消息内容，广泛应用于匿名投票、数字货币等场景。此前，基于数论假设（如RSA、离散对数）的盲签名已相当成熟，但在后量子假设下，特别是格上，现有方案要么不实用（签名/密钥过大、效率低），要么仅支持有限次签名查询，要么轮次复杂度高。本研究解决了这些挑战，基于标准格假设（如SIS和LWE问题）构造了一个支持无限次签名查询、轮次最优（即两轮交互）的盲签名协议。作者提供了详细的参数估计和实现结果：在核心SVP硬度为109比特的安全级别下，签名大小约为45KB，签名者、用户和验证者的运行时间都非常小。方法上，他们利用了格上陷门函数、拒绝采样和零知识证明等技术，通过精心设计交互协议实现了轮次最优。实验表明该方案在效率和安全性上达到了实用水平，填补了后量子盲签名领域的空白。适合密码学研究者、安全协议设计者以及需要后量子安全性的应用开发者阅读。

本文针对带宽受限的两方安全消息协议（如Signal、WhatsApp等）的后量子安全性进行比较研究。随着量子计算机的发展，当前基于离散对数或整数分解的密钥交换协议面临被破解的风险，因此需要后量子安全的替代方案。然而，后量子密码方案通常具有较大的密钥和密文尺寸，在带宽受限的网络环境（如卫星通信、物联网、低带宽移动网络）中成为瓶颈。论文系统性地比较了多种后量子密码体制（基于格、编码、哈希、多变量等）在双棘轮协议（Double Ratchet）框架下的性能，重点关注通信开销、计算复杂度和安全性权衡。核心贡献包括：提出一种统一的形式化安全模型来评估不同后量子原语的适用性；设计了一种新的混合协议，结合经典与后量子技术以兼顾效率与安全；通过实验模拟证明了该协议在典型带宽限制条件下（如每轮消息1KB以下）仍能满足实时性要求。研究指出，尽管某些后量子方案（如CRYSTALS-Kyber）在桌面端表现良好，但在移动端或极低带宽场景下仍需优化。本文适合密码学研究员、安全协议设计者和即时通讯软件开发者阅读。

本文介绍了首个基于机械化证明的后量子安全协议验证方法。作者提出了PQ-BC，一种针对量子攻击者计算安全性的计算一阶逻辑，并实现了对应的机械化支持工具PQ-SQUIRREL。该工作基于经典的BC逻辑及其在SQUIRREL证明器中的机械化实现。PQ-BC的发展需要使BC逻辑对单一交互式量子攻击者保持完备性。作者通过修改SQUIRREL，依赖PQ-BC的完备性结果并强制执行一组语法条件，实现了PQ-SQUIRREL证明器；此外，还提供了新的策略来扩展工具范围。利用PQ-SQUIRREL，作者进行了多个案例研究，提供了首个机械化的后量子安全性证明，包括两个通用的基于KEM的密钥交换构造、IKEv1和IKEv2的两个子协议，以及Signal的X3DH协议的一个后量子变体。此外，他们用PQ-SQUIRREL证明了几个经典的SQUIRREL案例已经具有后量子安全性。这项工作的贡献在于将形式化验证扩展到后量子设置，为安全协议的后量子安全性提供了自动化的推理工具。

本文针对金融行业在后量子密码（PQC）迁移过程中面临的操作性瓶颈，提出了一种自动化的TLS配置解析与混合PQC部署方法。背景是：大规模量子计算机尚未出现，但组织需要提前升级密码基础设施以抵御未来的量子攻击。NIST已标准化PQC密钥交换与数字签名算法，如ML-KEM（原Kyber），但实际部署中，企业面临异构环境（如Web服务器、API网关、负载均衡器、反向代理）中TLS配置不透明、缺乏统一视图、手动配置易错等挑战。作者认为瓶颈在于操作层面而非算法层面——主流库已支持混合密钥交换（如ML-KEM与经典算法结合），但安全团队没有精确的可视化和可重复的方法来启用兼容设置。 核心贡献包括：1）提出一种配置解析方法，自动从主流企业Web服务器（如Nginx、Apache等）提取并规范化TLS密码学配置，生成带有来源追溯的统一密码学清单（Cryptographic Inventory），作为迁移和合规的基础。2）在8443个来自公共仓库的真实Nginx配置上验证了该方法的可行性，并在某金融机构的概念验证部署中，对内部应用的TLS终端（Web服务器和API网关）启用了ML-KEM及混合ML-KEM密钥交换，零应用层代码修改，性能开销可控。 实验表明，该方法能有效识别当前TLS配置中的量子脆弱组件，辅助制定迁移优先级，并确保合规性。论文主要面向金融行业的安全架构师、密码学工程师和运维团队，为他们提供一套可操作的工具链，以加速PQC的规模化落地。

本文是'模格安全性'系列论文的第三部分，聚焦于分圆域Q(ζ_{2^k})的对数单位格上的结构化最近向量问题（CVP）距离。论文首先证明了从随机短环元素到对数单位格的L^2 CVP距离渐近收敛到(π/(2√6))√n，其中n=2^{k-1}。对于k≥4，该目标位于原点的Voronoi胞内。在L^∞范数下，n个子高斯坐标的最大值产生O(√log n)的边界，这转化为短生成元问题的次多项式近似因子。文章还提出了'粗格定理'：Babai算法对所有结构化目标返回零，但能精确恢复任意大小的单位扰动。对于模行列式理想，进一步证明了Trigamma定理，揭示了内在不平衡性σ_{g_0}=O(1)与模q无关。最后，结合前两部分，将ML-KEM的CDPR因子从exp(Õ(√n))降低到次多项式值。该工作为评估后量子密码标准ML-KEM的安全性提供了更紧的理论界。

零知识证明（ZK）是现代密码学的基石，由Goldwasser、Micali和Rackoff在1985年提出。随着区块链技术的兴起，ZK-SNARKs（简洁的非交互式零知识证明）因其非交互性、公开可验证性和简洁性而受到广泛关注。然而，现有部署面临运行时间长、内存消耗大等问题，难以在普通硬件上扩展到大规模电路。本文提出并实现了Ligetron，一个高效的亚线性非交互式零知识证明系统，可作为Web应用部署，并支持高达数十亿门规模的电路。核心创新在于使用Web Assembly（WASM）作为中间表示（IR），WASM具有三个优势：（1）能灵活表示复杂计算；（2）可从大多数高级语言编译；（3）蕴含丰富语义以实现空间高效。在后端，Ligetron基于Ames等人（ACM CCS 2017）提出的Ligero ZK系统，设计并实现了空间高效的变体，充分利用WASM语义。Ligetron是首个在浏览器中运行、且能扩展到十亿门规模的后量子ZK-SNARK。在普通硬件上，Ligetron可扩展至任意大电路，其证明者和验证者运行时间具有竞争力，证明长度优于所有先前的后量子ZK-SNARK。实验表明，Ligetron在性能上显著优于现有方案，为实际部署提供了可行的轻量级解决方案。该研究主要面向密码学、区块链安全及Web应用安全领域的研究者和工程师。

后量子密码学旨在抵抗量子计算机构成的威胁，其中基于编码理论的McEliece和BIKE（Bit Flip Key Encapsulation）是两种代表性方案。这些算法通过选择适当密钥尺寸可有效抵御经典结构攻击。然而，物理实现的侧信道安全性尚未充分评估。本文聚焦于解密阶段（生成共享秘密密钥时）的信息泄漏问题，采用简单功耗分析（SPA）方法，利用低成本设备采集电磁辐射信号。实验结果表明，电磁辐射与秘密值之间存在显著相关性。仅需采集200条功耗迹线，机器学习模型即可预测解密阶段产生的共享会话密钥的秘密比特，且准确率较高。该研究首次系统地量化了后量子编码密码方案在功耗分析威胁下的脆弱性，揭示了即便算法在数学上安全，物理实现仍可能泄露关键信息。研究成果对后量子密码的标准化和实际部署具有警示意义，强调必须结合侧信道防护措施。

后量子密码（PQC）就绪已成为关键基础设施面临的紧迫挑战，但现有障碍更多来自密码可见性不足、依赖关系复杂和治理碎片化，而非算法本身的缺失。本文以欧洲一家关键服务提供商为匿名案例，详细描述了其采用“先发现后迁移”策略推进PQC就绪的实践经验。该组织首先利用自动化工具对全网络进行密码资产清点，建立基于证据的基线，包括算法类型、密钥长度、使用场景、生命周期等。发现阶段揭示了三大系统性挑战：1）密码资产所有权高度分散，各部门缺乏统一管理；2）遗留系统与现代环境中的证据质量参差不齐，部分老旧系统文档缺失；3）严重依赖第三方供应商的密码路线图，可控性低。为将这些发现转化为可操作的风险缓解措施，组织设计了一套结构化的暴露登记册（exposure register），将资产关键性、机密数据保密期限（如需要保持机密超过10年的数据更易受“先收获后解密”攻击）、以及迁移可行性三个维度结合，对密码资产进行优先级排序。作者由此提出核心论点：PQC发现不应仅被视为技术清点工作，而应上升为一种治理能力——它能够稳定组织关于密码使用的知识，将模糊的不确定性转化为可衡量的责任主体，从而支撑基于风险的决策和跨团队协调。案例表明，即使不立即启动算法替换，建立系统的发现与暴露优先级框架也能显著提升组织的密码敏捷性。本文适合安全架构师、CISO、网络风险管理者和政策制定者阅读，为大型机构应对后量子过渡提供了可复用的治理方法论和实操经验。

该论文介绍了一个名为“Quantum Futures Interactive”的实时交互演示平台，旨在应对量子计算对区块链和分布式应用带来的长期安全挑战。随着量子计算的发展，广泛使用的公钥密码系统（如RSA、ECC）面临被破解的风险，这威胁到区块链平台的安全性。尽管后量子密码学（PQC）标准正在制定中，但对量子风险的理解在研究、工程、治理和投资社区中仍然分散。该平台通过教育可视化、参与式交互和密码学工件生成，展示了从经典密码系统到量子弹性区块链系统的过渡过程。参与者遵循结构化流程，包括量子威胁教育、情绪捕捉、技术优先级排序、基础设施权衡探索以及生成后量子密码学输出。系统集成了分布式信任概念、可持续性感知的基础设施考虑和负责任创新框架，并符合联合国可持续发展目标（SDGs）。该演示旨在促进区块链弹性方面的跨学科对话，并帮助不同背景的参与者理解量子风险、探索权衡，并生成实际的PQC工件（如密钥和签名）。实验表明，该平台能够有效提升参与者的量子安全意识和决策能力。

本文提出一种基于机器学习的攻击方法 SalsaPicante，针对带有稀疏二进制秘密的学习与错误（LWE）问题。LWE 是后量子密码（PQC）系统的基础难题，NIST 标准化的密钥交换机制（KEM）基于模 LWE，而现有同态加密（HE）库多基于环 LWE。出于效率考虑，PQC HE 方案常采用稀疏二进制秘密（即秘密向量中非零元素很少），但这可能削弱安全性。先前的工作 SALSA 展示了在低维度（n ≤ 128）和低汉明重量（h ≤ 4）下对稀疏二进制 LWE 的机器学习攻击，但它需要窃听数百万个 LWE 样本，并且在更高的汉明重量或维度下失败。SalsaPicante 通过改进攻击策略，能够在更实际的参数下（如更高维度和更高汉明重量）成功恢复秘密，同时减少所需样本数量。实验证明该方法对中等规模参数有效，揭示了稀疏二进制秘密在 PQC 实现中的潜在风险。本文适合密码学研究人员、后量子安全实现者及同态加密系统开发者阅读。

本文系统地探讨了后量子密码架构，特别是基于格密码（如 LWE）的根本局限性。传统观点认为，通过在加密过程中注入人工离散高斯噪声，可以抵御量子计算机的攻击。然而，作者从计算复杂性、信息论热力学、量子纠错和量子学习理论四个相互关联的领域，对这种噪声依赖模型的理论和物理边界进行了深入分析。首先，在算法基础上，作者指出这些框架依赖于暂时的复杂性理论假设，而这些假设可能被未来的量子算法突破。其次，通过将密码机制映射到物理热力学，作者证明故意注入的离散高斯噪声并不等同于信息的永久擦除，因为密码秘密的结构完整性仍保留在密文中。最后，作者论证，利用先进的量子纠错协议和量子学习模型，攻击者可以高效地提取底层的数学内核。因此，尽管基于格的密码学提供了稳健的过渡性替代方案，但将其绝对地归类为无条件后量子安全还为时过早，因为其安全性依赖于暂时的物理瓶颈而非不可逾越的理论界限。该研究对于密码学研究人员和量子安全标准制定者具有重要参考价值。

该论文对SSH协议进行了全面的后量子密码学安全性分析。SSH是首批升级以抵抗未来量子计算机攻击的互联网安全协议之一，OpenSSH自2022年4月起默认采用“量子（或其他经典）”安全的混合密钥交换。然而，现有文献对SSH抗量子版本的安全性分析不足：相关工作要么孤立地分析混合密钥交换，不考虑整体协议安全；要么在不适合SSH的安全模型（尤其是在后量子环境下）中分析协议。本研究通过“自顶向下”的方法填补了这一空白：首先在一个更合适的模型（即后量子扩展的认证机密信道建立协议安全模型，ACCE）中证明了SSH的安全性，该扩展能够捕获“先收集、后解密”攻击，具有独立研究价值；然后基于协议级别的ACCE安全分析，推导了SSH底层原语（如OpenSSH和TinySSH最新版本中使用的密钥封装机制“Streamlined NTRU Prime”）的密码学属性，在量子随机预言机模型中证明了相关属性，并解决了文献中关于其分析的开放问题。值得注意的是，对后量子SSH的ACCE安全分析依赖于混合密钥交换中使用的临时KEM的较弱IND-CPA安全性，而此前的工作依赖于更强的IND-CCA安全性。论文最后讨论了将当前后量子SSH实现中的IND-CCA安全KEM替换为更简单、更快的IND-CPA安全KEM的可行性，并提供了相应基准测试。

本文提出了一种名为Ringtail的基于格的后量子阈值签名方案。阈值签名允许将签名密钥分发给ℓ个参与方，其中任意t个参与方可以联合生成签名。现有方案要么需要三轮签名协议（Eurocrypt'24），要么依赖非标准假设（Crypto'24）。Ringtail首次实现了以下理想特性的组合：①签名协议仅需两轮，且第一轮与消息无关，可离线预处理；②具体效率高且可扩展到t≤1024个参与方，对于128位安全性和t=1024，签名大小为13.4KB，在线通信量为10.5KB；③安全性基于标准学习误差（LWE）假设（随机预言机模型）。为了验证实用性，作者在五大洲8个国家进行了首次跨广域网（WAN）的格基阈值签名实验，观察到端到端延迟的绝大部分由网络延迟消耗，证明了轮数优化方案的必要性。该工作对后量子密码标准化（如NIST的征集）具有重要参考价值。

本文提出 SILMARILS，一种基于信息论和量子安全的设计者验证签名方案，构建于有限域 F_p 上的最小代数核心，使用真随机性和完美 2-out-of-2 Shamir 秘密共享。方案支持两方和三方模式。两方模式下，实现可转移设计者验证签名（TDV）：指定验证者能够模拟出与真实签名不可区分的接受副本，满足 Jakobsson-Sako-Impagliazzo DV 安全；验证者可发布收据 r 用于公开验证，但即使有 r，外部方也无法区分签名或模拟。针对非指定验证者，在随机预言模型和量子随机预言模型中证明了 EUF-CMA^¬DV 安全性。三方模式下，采用 Fitzi 等人的广播模型，获得基于模拟安全的统计安全签名协议，错误率 1/p。安全性在纯信息论模型、IT+ROM 和量子随机预言模型下分析，并将 Fitzi 框架扩展到具有经典 I/O 的量子敌手。方案实现了正确性、保密性、可转移性和不可伪造性，且与基于模拟的安全等价。由于代数结构简单，SILMARILS 的密钥和签名尺寸显著小于 Dilithium、Falcon、SPHINCS+ 等标准化后量子方案，同时在后量子环境下提供 TDV 安全，特别适合区块链应用。

本文对FIDO2、CTAP 2.1和WebAuthn 2这一现代无密码认证协议族进行了形式化安全分析，并提出了后量子安全的实例化方案。研究者首先构建了这些协议的符号模型，涵盖了注册、认证、凭证管理等多阶段交互，并利用Tamarin Prover工具进行了自动化安全验证。分析揭示了在标准安全假设下协议能够满足预期的安全属性（如抗钓鱼、密钥泄露保护、绑定认证等），但发现了在特定场景下存在的设计缺陷，例如CTAP 2.1中某些消息序列可能导致不安全的凭证共享。基于这些发现，论文提出了两方面的贡献：一是给出了一个增强的、可证明安全的协议规范修正；二是引入了后量子密码原语（如基于格的签名方案），对协议进行了后量子安全实例化，并证明了其在量子计算机威胁下的安全性。实验评估表明，后量子实例化在性能开销上可接受，兼容现有硬件。该工作为大规模部署无密码认证提供了坚实的理论基础和工程指导。

本文（系列第6篇）聚焦后量子密码学中基于NTT（数论变换）硬件的算术掩码组合安全性。布尔掩码的组合理论（NI、SNI、PINI）已成熟，但素数域上的算术掩码（NTT后量子密码的基础）缺乏类似理论。作者提出并形式化证明了素数域上PINI（Prime-Field PINI）的组合定理。核心见解是“更新参数”（renewal argument）：当在两个流水线阶段间施加新的随机掩码时，中间导线无论第一阶段的防护参数如何都会变得完全均匀。对于两个PF-PINI gadgets（参数k1和k2），经新鲜掩码组合的两阶段流水线满足PF-PINI(k2)，阶段1的多重性被完全消除。无新鲜掩码时，中间导线多重性可达k1，构成差分功耗分析的必要条件。作者在Lean 4中形式化了两个定理，包含18个机器检查的证明，零个“sorry”存根。他们还形式化地桥接了Barrett约简的代数模型与硬件忠实算术模型，并实例化定理以正式诊断微软Adams Bridge PQC加速器：其缺失阶段间新鲜掩码导致Barrett输出导线在一阶探针模型下非均匀，这一架构缺陷与三个独立实证分析一致。计算证据进一步表明“1比特屏障”在Barrett和Montgomery约简中具有普遍性。本文适合对后量子密码侧信道防护、形式化验证与硬件安全感兴趣的研究者阅读。