随着技术发展的突飞猛进,量子计算机的威胁日益凸显。尽管量子计算机有望在天气预报、药物研发和基础物理学等领域带来革命性的变革,但它也对现行加密体系构成了显著威胁。这种威胁并非仅限于未来;如今截获的任何敏感数据都有可能被储存起来,待量子计算机具备足够能力后解密。这种“先收集后解密”的策略严重威胁着我们的数字通信保密性、医疗记录、金融交易以及国家安全。
量子算法:格罗弗(Grover)算法与肖尔(Shor)算法
量子计算机借助量子力学原理,能够以空前的速度执行特定类型的计算任务。其中,两种量子算法对现行密码体系构成了直接威胁:格罗弗算法和肖尔算法。
格罗弗算法:此算法能够在未排序数据库中进行搜索,其速度相较于任何经典算法均快四倍。尽管它并未直接攻破密码系统,但显著削弱了诸如AES(高级加密标准)和SHA-2(安全散列算法2)等对称密钥算法的安全性,从而需要更长的密钥以确保安全。
肖尔算法:该算法能够以指数级速度分解大整数,远胜于经典计算机上运行的现有最优算法。这对于依赖大数分解或离散对数问题难度的非对称加密算法(例如RSA、ECC(椭圆曲线密码学)及DSA(数字签名算法))而言,尤为危险。一旦拥有足够强大的量子计算机运行肖尔算法,这些密码体系将被破解,进而失效。
美国国家标准与技术研究院(NIST)后量子密码学标准
为应对迫切需求,美国商务部下属的国家标准与技术研究院(NIST)始终走在推动后量子密码学(PQC)标准发展的前列。为此,NIST组织了一场竞赛,以选拔最优的PQC算法。2024年8月13日,NIST宣布了首批旨在抵御量子计算机网络攻击的算法定稿。这一里程碑事件标志着八年努力的结晶,并汇聚了全球密码学领域的力量,共同开发和评估能够捍卫我们数字未来安全的算法。
NIST最终确定的标凈涵盖三种核心算法,分别针对密钥封装和数字签名等特定应用领域。这些算法包括:
ML-KEM(FIPS 203,即原CRYSTALS-Kyber):该算法基于格问题构建,格问题被认为具有抵抗量子攻击的特性。ML-KEM在安全性、效率及实施便捷性方面表现均衡,适用于一般加密场景。其密钥尺寸小且封装/解封装速度快,特别适合资源受限的环境。
ML-DSA(FIPS 204,即原CRYSTALS-Dilithium):与ML-KEM相似,ML-DSA同样基于格问题设计,但专为数字签名而优化。它提供了强大的安全保障及高效的运算性能,非常适合需要身份验证和数据完整性的应用场景。
SLH-DSA(FIPS 205,即原SPHINCS+):该算法采用无状态哈希技术,提供了与传统基于格的方法不同的安全特性。SLH-DSA以其简洁性和对各类攻击的强鲁棒性而备受推崇。
在这三类算法中,ML-KEM和ML-DSA预计将被广泛部署。NIST还有望于2024年年末发布基于Falcon算法的FN-DSA(FIPS 206)草案标准。该数字签名算法运用了结构化格。
回溯至2020年,NIST还发布了SP 800-208标准,其中引用了抗量子的有状态哈希基签名方案──莱顿·米利奇签名(LMS)系统以及扩展默克尔签名方案(XMSS)。LMS和XMSS均依托于默克尔树结构,该结构为管理和验证众多签名提供了一种安全且高效的方式。LMS系统采用基础的默克尔树,而XMSS则融入了更多额外特性。这使得这些系统的性能因使用场景的不同而存在差异,最终决定了哪个系统更适宜于特定的应用情形。
展望未来:NIST第四轮量子防护标准制定
NIST不断评估新增算法,旨在确保密码学领域具备多样性与安全性。目前,NIST已经开启了第四轮标准化努力,其中一组额外的密钥封装算法正接受评估,目的是寻找更多算法以补充现有的已标准化算法集合。预计第四轮将筛选出一至两种算法,并计划在2025年发布相应的公共草案。参与第四轮评估的密钥封装算法包括Classic McEliece、BIKE和HQC。
2022年9月,NIST还启动了另一轮针对额外后量子密码学(PQC)数字签名方案的标准化工作。在此轮工作中,NIST主要关注非基于结构化格的通用算法,同时对使用短签名和快速验证的算法表现出浓厚兴趣。任何基于格的签名算法需显著超越ML-DSA和FN-DSA的性能,并/或确保提供额外的安全特性。近期,NIST已经选定14种新型数字签名算法进入标准化的第二轮流程,这些算法包括:CROSS、FAEST、HAWK、LESS、MAYO、Mirath、MQOM、PERK、QR-UOV、RYDE、SDitH、SNOVA、SQIsign和UOV。预计第二阶段的评估将持续12至18个月。
CNSA v2.0:推进美国国家安全量子防护密码学
2022年9月,国家安全局(NSA)发布了商业国家安全算法(CNSA)套件2.0版本,并于2024年4月更新了其常见问题解答(FAQ)。CNSA是一套由NSA推荐的加密算法集,用于保护美国政府国家安全系统(NSS)及信息。量子计算对密码算法构成的威胁在2.0版本中首次得到应对。因此,2.0版本推荐的所有算法均符合NIST标准且具备量子抗性(QR),涵盖AES、SHA、LMS、XMSS,以及近期发布的PQC标准ML-KEM和ML-DSA。
NSA还借助CNSA推动NSS采纳PQC的时间进程。NSA对此事项的重视程度从CNSA v2.0的以下表述中可见一斑:“NSA预期至2035年,NSS向量子抗性算法的转换将依照国家安全备忘录NSM-10完成。NSA敦促供应商以及NSS的所有者和运营方竭尽全力达成该截止日期。在过渡期内,NSS的所有者和运营方在配置系统时需优先选用CNSA 2.0算法。在恰当的情形下,CNSA 2.0算法在NSS的商业产品类别中的运用将是强制性的,同时保留允许在特定用例中使用其他算法的选择权。”
后量子密码学产品
显然,为了保护当今的数据和系统在未来不受量子计算威胁,对量子抗性密码解决方案的需求日益迫切。
新思科技拥有一系列广泛的安全IP产品组合,从密码核心、PUF IP到预构建的嵌入式硬件安全模块(带有信任根)。其真随机数生成器(TRNGs)、PUF IPs、对称和哈希核心已经具备量子抗性。针对公钥基础设施安全所需的非对称IP,新思科技推出了新的Agile PQC公钥加速器(PKAs),符合NIST批准的PQC算法ML-KEM、ML-DSA、SLH-DSA、LMS、XMSS,并旨在抵御从边缘到云的各种应用中的量子计算威胁。
新思科技量子抗性PKAs的最重要特性之一是其可适应性,结合了硬件和嵌入式固件以实现性能和算法更新的灵活性。这一点至关重要,因为PQC标准将持续发展。因此,现场部署的系统必须能够处理更新和补丁,以确保它们随时间保持量子抗性。
除PQC外,PKAs还支持传统的ECC和RSA算法,确保当下及未来广泛的密码学覆盖范围,包括混合模式支持。由于其高度可配置和可扩展,该IP能够针对性能、面积、功耗和延迟进行优化。
新思科技Agile PQC PKAs支持完整的PQC数字签名、密钥封装和生成功能,并提供FIPS 140-3认证支持、安全密钥接口,以及可选的针对旁路和故障注入攻击的对策。借助新思科技Agile PQC PKAs,设计人员能够保护敏感数据和系统免受未来量子威胁,确保政府、企业和消费者的长期安全。
做好应对量子计算威胁的准备
量子威胁并非遥远的假设,而是逐渐逼近的现实。各组织必须即刻行动起来,以保护它们的敏感数据和确保数字未来的安全性。鉴于NIST最终确定的后量子密码学标准已经可供立即使用,因此刻不容缓。
量子计算的出现既带来了巨大的机遇,也带来了严峻的挑战。尽管其解决复杂问题的潜力是巨大的,但对现行密码系统的威胁却不容忽视。NIST最终确定的PQC标准标志着守护我们数字未来的关键一步,新思科技在此助您顺利完成过渡。立即采取行动以保护您的数据,并确保您的组织在量子时代的安全未来。
若想了解更多关于如何将后量子密码学集成至您系统中的信息,请即刻与我们取得联系。我们的专家随时准备助力您应对PQC的繁杂事宜,并确保您的数据在量子时代得以安全存续。
