liboqs项目中ML-KEM私钥种子格式的技术演进分析

在密码学领域，密钥管理一直是一个核心问题。近期，open-quantum-safe/liboqs项目社区就ML-KEM（后量子密码学标准候选算法之一）私钥的存储格式展开了深入讨论。本文将全面分析这一技术演进过程及其背后的密码学考量。

背景与问题起源

ML-KEM作为NIST后量子密码标准化项目的重要候选算法，其私钥传统上采用FIPS 203标准中定义的扩展格式存储。然而，密码学界逐渐形成共识：使用64字节种子形式（即ML-KEM.KeyGen_internal()的输入）存储私钥更为合理。这种形式不仅更紧凑，还能降低实现复杂度并提高安全性。

当前liboqs的实现仅支持扩展格式的私钥，这导致无法实现基于种子形式定义的安全协议。具体表现为OQS_KEM_ml_kem_XXX_keypair()方法生成扩展私钥，而OQS_KEM_ml_kem_XXX_decaps()方法也要求输入扩展私钥。

技术解决方案探讨

社区提出了几种可能的改进方案：

1. 最小化修改方案：拆分出一个从种子生成扩展私钥的方法，保持现有API基本不变，但允许应用在生成全新密钥时自行填充随机种子。

2. 并行API方案：创建一套新的算法标识符（如ML-KEM-XXX-seedonly），使用derand API进行密钥生成和解封装，同时保持封装操作与现有ML-KEM一致。

3. 上游修改方案：推动上游实现（如pqcrystals）修改其私钥格式处理逻辑，从根本上解决问题。

实现细节分析

深入技术实现层面，pqcrystals_kyberXXX_ref_keypair_derand()函数中的coins参数实际上就是64字节的种子形式。这意味着底层实现已经支持所需功能，只需在liboqs层面进行适当封装。

对于解密操作，由于上游API需要扩展私钥作为输入，可以在解密时调用pqcrystals_kyberXXX_ref_keypair_derand()进行实时转换。这种方案虽然会增加少量运行时开销，但保持了API的简洁性。

项目架构考量

liboqs项目坚持两个核心设计原则：

1. 算法独立性：所有算法在相同API下表现一致
2. 不维护算法实现：所有核心密码代码由专业上游维护

这些原则对解决方案的选择产生了重要影响。社区更倾向于不破坏算法独立性的方案，同时避免直接修改上游代码。因此，创建独立的算法标识符成为较优选择。

未来发展方向

PQ Code Package项目正在讨论扩展上游API，计划支持包括种子形式私钥表示、扩展密钥处理和密钥验证等功能。这可能会成为liboqs未来更换上游实现的重要契机。

同时，社区也在思考如何平衡研究需求与标准化要求。作为研究平台，liboqs可能需要支持算法所有可能的变体；而作为生产系统，则可能需要严格遵循标准实现。

结论

ML-KEM私钥格式的演进反映了后量子密码学标准化过程中的典型挑战。liboqs社区通过谨慎的技术讨论，在保持项目核心原则的同时，为这一重要密码学组件的改进找到了可行路径。这一过程也展示了开源密码学项目如何协调学术研究、标准制定和工程实现之间的关系。