随着量子计算机的成功应用日益临近,全世界都在为量子计算机将对我们生活的许多方面产生的影响做好准备,从商业业务到政府和关键基础设施。
为量子计算做准备的首要问题是它对网络安全、公钥基础设施(PKI)和密码学市场的影响。 用于保护数字数据交换的当代加密方案,如 ECC(Elyptic-Curve Cryptography)和 RSA(Rivest、Shamir 和 Adleman),并不具备防止量子计算机攻击的能力。特别是 20 世纪 70 年代开发的 RSA,由于很难在合理的时间内计算出算法的质因数,现代经典计算机几乎不可能破解。
然而,对于量子计算机来说,这绝非难事。正因为如此,当量子计算机可用时,所有以数字方式交换的数据都将面临风险,从政府数据、金融数据到医疗和个人数据。
幸运的是,量子计算机的开发本身就面临着复杂的挑战,据估计,实用的量子计算机至少还要再过十年才能问世。当今的量子计算模型仅在少数功能上超越了经典计算机,这就给了安全市场和世界其他地方为量子计算机的到来做好准备的时间。
上个月,美国国家标准与技术研究院(NIST)宣布,他们已经完成了三种后量子加密方案的标准化工作。以 RSA 算法为例,目前 NIST 建议的最小值是 2048 位,而 2015 年更新的最小值是 1024 位。目前面临的挑战是,公钥加密技术是用于确保设备、服务器、浏览器和数字通信身份安全的主要方法,无处不在。一旦量子计算机问世,就需要在所有使用案例中大规模取代非量子安全方案。
什么是 NIST 的三个后量子加密标准?
NIST 目前已完成了三项量子安全加密方案标准:
- FIPS(联邦信息处理标准)203:由 CRYSTALS-Kyber 算法发展而来,也被称为基于网格的密钥封装机制(Module-Lattice-Based Key-Encapsulation Mechanism),指的是其基于网格的加密方案,与 RSA 等更广泛使用的加密方案不同,它支持 PQC。这很可能成为通用加密的标准,其优点是密钥相对较小,功能方便。
- FIPS 204:由 CRYSTALS-Dilithium 算法(即基于模块晶格的数字签名算法)发展而来。作为数字签名的主要标准,它将能够支持更大的签名和公开密钥,同时大大超过现代的验证速度。
- FIPS 205:使用 Sphincs+ 算法,即无状态基于哈希的数字签名算法,支持小公钥,但可生成大数字签名。这种算法基于与前两种算法不同的数学方案,是用哈希算法创建的,目的是作为 FIPS 204 的辅助方法,以防它被证明是脆弱的。
NIST 还宣布了第四种算法,即基于 FALCON 算法的 FIPS 206,或 FN-DSA(FN-DSA 是 FFT [fast-Fourier transform] over NTRU [Number Theory Research Unit] - Lattice-Based Digital Signature Algorithm 的缩写)。这也将支持数字签名,预计将于 2024 年底完成。
这对采用 PQC 意味着什么以及为什么量子准备工作现在很重要
自从 D-Wave 系统公司在二十世纪九十年代开发出第一个量子原型以来,世界一直在等待后量子解决方案的新进展,但有关后量子世界的信息并不多,甚至连密码和安全专家也仍在塑造后量子解决方案和证书的模样。
不过,这些新标准是全球量子准备工作的第一步,促使各组织、浏览器和证书颁发机构(CA)在其 Q 日规划中向前迈进。以前没有太多的信息,而现在至少有了一些关于组织应在其规划中实施什么的想法。据说,专家们预计全球供应链将发生转变,以确保在出现功能正常的量子计算机时为脆弱系统做好准备。
虽然这一发展为企业提供了更好的洞察力,但在为量子进入安全市场做准备时,还需要克服其他障碍。CA 目前还没有兼容的硬件安全模块(HSM)来为后量子安全证书做准备,虽然现在还很难预测后量子市场会是什么样子,但对于像CA/B(证书颁发机构/浏览器)论坛这样的合规框架来说,为后量子安全技术做准备是一个挑战。
问题在于,理想情况下,企业需要在可行的量子系统出现之前做好准备。我们不仅需要在每个设备、网络、服务器和身份识别中替换当前的经典加密协议。我们还需要为当前的用例做好准备,这些用例在量子系统到来时仍将继续使用。这尤其会影响那些仍处于早期开发阶段的用例,如新软件或物联网连接设备。不仅如此,网络犯罪分子还开发了一种被称为 “现在收获,稍后解密 ”的系统,他们通过该系统访问并存储关键数据,以便在将来他们可能访问到可行的量子系统时进行解密。
虽然更多的加密标准正在制定中,但它们的到来还不够快,因为各组织和市场监管者都在为可行的量子计算机的到来做好准备。这需要每个数字实体通力合作,确保数字通信的安全,因为一旦 Q 日到来,即使是最小的漏洞也可能导致灾难。
