NIST宣布后量子密码学标准

J. Wang/NIST and Shutterstock

如今，互联网上几乎所有的数据，包括银行交易、医疗记录和安全聊天，都受到一种名为RSA（以其创建者Rivest、Shamir和Adleman的名字命名，https://spectrum.ieee.org/rsa-flaw-found）的加密方案的保护。这个方案基于一个简单的事实——即使在世界上最强大的超级计算机上，也几乎不可能在合理的时间内计算出一个大数的质因数。然而，如果是大型量子计算机，就会发现这项任务轻而易举（https://spectrum.ieee.org/encryptionbusting-quantum-computer-practices-factoring-in-scalable-fiveatom-experiment），从而破坏了整个互联网的安全性。

幸运的是，量子计算机只在一类特定的问题上比经典计算机好，而且有很多加密方案量子计算机没有任何优势。近日，美国国家标准与技术研究所（NIST）宣布了三种后量子密码加密方案的标准化（https://csrc.nist.gov/News/2024/postquantum-cryptography-fips-approved）。有了这些标准，NIST鼓励计算机系统管理员尽快开始向后量子安全过渡。

这些标准很可能成为互联网未来的一个重要组成部分。NIST密码学小组负责人Lily Chen表示，NIST在20世纪70年代制定的先前密码学标准几乎用于所有设备，包括互联网路由器、手机和笔记本电脑。但大规模采用不会在一夜之间发生（https://spectrum.ieee.org/post-quantum-cryptography-2667758178）。

Chen说：“如今，公钥密码学在每个设备中都得到了广泛的应用。现在我们的任务是替换每个设备中的协议，这不是一件容易的事。”

大多数专家认为，大规模量子计算机至少还要十年才能建成。那么，为什么NIST现在对此感到担忧呢？主要有两个原因。

首先，许多使用RSA安全的设备，如汽车和一些物联网设备，预计将继续使用至少十年（https://spectrum.ieee.org/quantum-computing-skeptics）。因此，在投入使用之前，它们需要配备量子安全密码学。

其次，如今，“邪恶的人”可能会下载和存储加密数据，并在足够大的量子计算机上线后解密。这个概念被称为“harvest now, decrypt later”，就其性质而言，它现在对敏感数据构成威胁，即使这些数据只能在未来被破解。

NXP Semiconductors司首席安全架构师兼密码学家Joost Renes表示，各行各业的安全专家开始认真对待量子计算机的威胁。“早在2017年、2018年，人们就会问‘什么是量子计算机？’”Renes说，“现在，他们在问‘PQC标准什么时候出台，我们应该实施哪一个？’”

LGT Financial Services公司首席技术官Richard Marty对此表示赞同。“对我们来说，不能只是等待，看看会发生什么。我们希望尽快做好准备并实施解决方案。”

NIST早在2016年就宣布了最佳PQC算法的公开竞争（https://csrc.nist.gov/projects/post-quantum-cryptography）。他们收到了来自25个不同国家的82份参赛作品。从那时起，NIST已经经历了4轮淘汰，最终在2022年减少到4种算法（https://spectrum.ieee.org/post-quantum-cryptography-nist）。

这个漫长的过程是一个全社区的努力，NIST听取了加密研究界、行业和政府利益相关者的意见。NIST的Chen表示：“工业界提供了非常有价值的反馈。”

这四种获胜的算法有着听起来很激烈的名字：CRYSTALS-Kyber，CRYSTALS-Dilithium，Sphincs+，和FALCON。遗憾的是，这些名字没有通过标准化：这些算法现在被称为联邦信息处理标准（FIPS）203至206。FIPS 203、204和205是NIST近日发布的重点。FIPS 206，即以前称为FALCON的算法，预计将于2024年底标准化。

每种加密协议都基于一个数学问题，这个问题很难解决，但一旦你有了正确的答案，就很容易检查。对于RSA，它将大数分解为两个素数——很难弄清楚这两个素数是什么（对于经典计算机），但一旦你有了一个素数，就可以直接除法得到另一个素数。

NIST已经标准化的三种方案中有两种，FIPS 203和FIPS 204（以及即将推出的FIPS 206），都是基于另一个难题，即格密码学（https://spectrum.ieee.org/post-quantum-cryptography-2667758178）。格密码学依赖于在一组数字中找到最低公倍数的棘手问题。通常，这是在许多维度上或在晶格上实现的，其中最小公倍数是向量。

第三个标准化方案FIPS 205基于哈希函数（https://en.wikipedia.org/wiki/Cryptographic_hash_function），换句话说，将消息转换为难以反转的加密字符串

这些标准包括加密算法的计算机代码、如何实现它的说明以及预期用途。每种协议都有三个安全级别，旨在在算法中发现一些弱点或漏洞的情况下，对标准进行未来验证。

今年早些时候，arXiv上发布的一份预印本震惊了PQC社区（https://eprint.iacr.org/2024/555.pdf）。这篇论文由清华大学的Yilei Chen撰写，声称表明基于格的密码学是NIST三种协议中两种协议的基础，实际上并不能免受量子攻击。经过进一步检查，Yilei Chen的论点被证明有一个缺陷——晶格密码学仍然被认为可以抵御量子攻击。

一方面，这一事件突显了所有加密方案的核心问题：没有证据表明这些方案所基于的任何数学问题实际上都是“困难的”。唯一的证据，即使是标准的RSA算法，也是人们长期以来一直试图破解加密，但都失败了。由于包括晶格密码术在内的后量子密码术标准更新了，因此不太确定没有人会找到破解它们的方法。

也就是说，这次最新尝试的失败只是建立在算法的可信度之上。该论文论点中的缺陷在一周内被发现，这表明有一个活跃的专家社区在研究这个问题。NIST的Lily Chen（与清华大学的Yilei Chen无关）说：“这篇论文的结果是无效的，这意味着基于格的密码学的谱系仍然是安全的。人们一直在努力打破这种算法。很多人都在努力，他们非常努力，这实际上给了我们信心。”

NIST的公告令人兴奋，但将所有设备过渡到新标准的工作才刚刚开始。要完全保护世界免受未来量子计算机的威胁，需要时间和金钱。

LGT Financial Services公司的Marty说：“我们花了18个月的时间进行过渡，花了大约50万美元。我们有一些[PQC]的例子，但对于完整的过渡，我不能给你一个数字，但有很多事情要做。”