NIST宣布后量子密码学标准
点击蓝字 关注我们
SUBSCRIBE to US
J. Wang/NIST and Shutterstock
如今,互联网上几乎所有的数据,包括银行交易、医疗记录和安全聊天,都受到一种名为RSA(以其创建者Rivest、Shamir和Adleman的名字命名,https://spectrum.ieee.org/rsa-flaw-found)的加密方案的保护。这个方案基于一个简单的事实——即使在世界上最强大的超级计算机上,也几乎不可能在合理的时间内计算出一个大数的质因数。然而,如果是大型量子计算机,就会发现这项任务轻而易举(https://spectrum.ieee.org/encryptionbusting-quantum-computer-practices-factoring-in-scalable-fiveatom-experiment),从而破坏了整个互联网的安全性。
幸运的是,量子计算机只在一类特定的问题上比经典计算机好,而且有很多加密方案量子计算机没有任何优势。近日,美国国家标准与技术研究所(NIST)宣布了三种后量子密码加密方案的标准化(https://csrc.nist.gov/News/2024/postquantum-cryptography-fips-approved)。有了这些标准,NIST鼓励计算机系统管理员尽快开始向后量子安全过渡。
“Now our task is to replace the protocol in every device, which is not an easy task.”
—Lily Chen, NIST
这些标准很可能成为互联网未来的一个重要组成部分。NIST密码学小组负责人Lily Chen表示,NIST在20世纪70年代制定的先前密码学标准几乎用于所有设备,包括互联网路由器、手机和笔记本电脑。但大规模采用不会在一夜之间发生(https://spectrum.ieee.org/post-quantum-cryptography-2667758178)。
Chen说:“如今,公钥密码学在每个设备中都得到了广泛的应用。现在我们的任务是替换每个设备中的协议,这不是一件容易的事。”
“
为什么我们现在需要后量子密码学?
大多数专家认为,大规模量子计算机至少还要十年才能建成。那么,为什么NIST现在对此感到担忧呢?主要有两个原因。
首先,许多使用RSA安全的设备,如汽车和一些物联网设备,预计将继续使用至少十年(https://spectrum.ieee.org/quantum-computing-skeptics)。因此,在投入使用之前,它们需要配备量子安全密码学。
“For us, it’s not an option to just wait and see what happens. We want to be ready and implement solutions as soon as possible.”
—Richard Marty, LGT Financial Services
其次,如今,“邪恶的人”可能会下载和存储加密数据,并在足够大的量子计算机上线后解密。这个概念被称为“harvest now, decrypt later”,就其性质而言,它现在对敏感数据构成威胁,即使这些数据只能在未来被破解。
NXP Semiconductors司首席安全架构师兼密码学家Joost Renes表示,各行各业的安全专家开始认真对待量子计算机的威胁。“早在2017年、2018年,人们就会问‘什么是量子计算机?’”Renes说,“现在,他们在问‘PQC标准什么时候出台,我们应该实施哪一个?’”
LGT Financial Services公司首席技术官Richard Marty对此表示赞同。“对我们来说,不能只是等待,看看会发生什么。我们希望尽快做好准备并实施解决方案。”
“
NIST对最佳量子安全算法的竞争
NIST早在2016年就宣布了最佳PQC算法的公开竞争(https://csrc.nist.gov/projects/post-quantum-cryptography)。他们收到了来自25个不同国家的82份参赛作品。从那时起,NIST已经经历了4轮淘汰,最终在2022年减少到4种算法(https://spectrum.ieee.org/post-quantum-cryptography-nist)。
这个漫长的过程是一个全社区的努力,NIST听取了加密研究界、行业和政府利益相关者的意见。NIST的Chen表示:“工业界提供了非常有价值的反馈。”
这四种获胜的算法有着听起来很激烈的名字:CRYSTALS-Kyber,CRYSTALS-Dilithium,Sphincs+,和FALCON。遗憾的是,这些名字没有通过标准化:这些算法现在被称为联邦信息处理标准(FIPS)203至206。FIPS 203、204和205是NIST近日发布的重点。FIPS 206,即以前称为FALCON的算法,预计将于2024年底标准化。
每种加密协议都基于一个数学问题,这个问题很难解决,但一旦你有了正确的答案,就很容易检查。对于RSA,它将大数分解为两个素数——很难弄清楚这两个素数是什么(对于经典计算机),但一旦你有了一个素数,就可以直接除法得到另一个素数。
“We have a few instances of [PQC], but for a full transition, I couldn’t give you a number, but there’s a lot to do.”
—Richard Marty, LGT Financial Services
NIST已经标准化的三种方案中有两种,FIPS 203和FIPS 204(以及即将推出的FIPS 206),都是基于另一个难题,即格密码学(https://spectrum.ieee.org/post-quantum-cryptography-2667758178)。格密码学依赖于在一组数字中找到最低公倍数的棘手问题。通常,这是在许多维度上或在晶格上实现的,其中最小公倍数是向量。
第三个标准化方案FIPS 205基于哈希函数(https://en.wikipedia.org/wiki/Cryptographic_hash_function),换句话说,将消息转换为难以反转的加密字符串
这些标准包括加密算法的计算机代码、如何实现它的说明以及预期用途。每种协议都有三个安全级别,旨在在算法中发现一些弱点或漏洞的情况下,对标准进行未来验证。
“
Lattice密码学在漏洞警报中幸存下来
今年早些时候,arXiv上发布的一份预印本震惊了PQC社区(https://eprint.iacr.org/2024/555.pdf)。这篇论文由清华大学的Yilei Chen撰写,声称表明基于格的密码学是NIST三种协议中两种协议的基础,实际上并不能免受量子攻击。经过进一步检查,Yilei Chen的论点被证明有一个缺陷——晶格密码学仍然被认为可以抵御量子攻击。
一方面,这一事件突显了所有加密方案的核心问题:没有证据表明这些方案所基于的任何数学问题实际上都是“困难的”。唯一的证据,即使是标准的RSA算法,也是人们长期以来一直试图破解加密,但都失败了。由于包括晶格密码术在内的后量子密码术标准更新了,因此不太确定没有人会找到破解它们的方法。
也就是说,这次最新尝试的失败只是建立在算法的可信度之上。该论文论点中的缺陷在一周内被发现,这表明有一个活跃的专家社区在研究这个问题。NIST的Lily Chen(与清华大学的Yilei Chen无关)说:“这篇论文的结果是无效的,这意味着基于格的密码学的谱系仍然是安全的。人们一直在努力打破这种算法。很多人都在努力,他们非常努力,这实际上给了我们信心。”
NIST的公告令人兴奋,但将所有设备过渡到新标准的工作才刚刚开始。要完全保护世界免受未来量子计算机的威胁,需要时间和金钱。
LGT Financial Services公司的Marty说:“我们花了18个月的时间进行过渡,花了大约50万美元。我们有一些[PQC]的例子,但对于完整的过渡,我不能给你一个数字,但有很多事情要做。”
微信号|IEEE电气电子工程师学会
新浪微博|IEEE中国
· IEEE电气电子工程师学会 ·
往
期
推
荐
微信扫码关注该文公众号作者