導(dǎo)讀

隨著量子計(jì)算技術(shù)的發(fā)展，相關(guān)運(yùn)算操作在理論上實(shí)現(xiàn)從指數(shù)級向多項(xiàng)式級別的轉(zhuǎn)變，量子計(jì)算機(jī)有望攻破現(xiàn)有的公鑰密碼體制。為應(yīng)對出現(xiàn)的新型威脅，后量子密碼（PQC）應(yīng)運(yùn)而生，旨在研究密碼算法在量子環(huán)境下的安全性。

美國為維護(hù)國家安全，進(jìn)一步搶占量子領(lǐng)域全球領(lǐng)導(dǎo)地位，早先于2017年開始推動(dòng)PQC算法標(biāo)準(zhǔn)化研究。2022年7月5日，美國國家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）宣布CRYSTALS-KYBER、FALCON、CRYSTALS-Dilithium等4個(gè)項(xiàng)目提前入選其PQC項(xiàng)目標(biāo)準(zhǔn)化算法結(jié)果，并宣布BIKE、Classic McEliece等4個(gè)候選算法進(jìn)入下一輪算法篩選。這一里程碑事件標(biāo)志著NIST PQC標(biāo)準(zhǔn)化工作經(jīng)過6年的發(fā)展即將進(jìn)入最后階段。

01背景

（一）量子計(jì)算給現(xiàn)有密碼體制帶來的威脅與日俱增

近年來量子計(jì)算取得多項(xiàng)重大突破，IBM、谷歌、微軟公司等多家科技巨頭公布量子計(jì)算發(fā)展路線圖，密集推出革命性量子硬件、軟件，種種跡象表明量子計(jì)算正逐步邁入規(guī)模化應(yīng)用階段。在百萬比特級加密量子計(jì)算機(jī)的沖擊下，現(xiàn)有公鑰密碼體制（如RSA、ECC及DH密鑰交換技術(shù)）都將被完全破解，對稱密碼算法（如AES、SHA1、SHA2等）的安全性將被顯著降低。網(wǎng)絡(luò)攻擊者可利用量子計(jì)算機(jī)輕松打破世界上任一數(shù)字防御系統(tǒng)、破解公鑰密碼系統(tǒng)，進(jìn)而對國家安全造成嚴(yán)重威脅。

（二）美國政府積極引導(dǎo)傳統(tǒng)密碼體制向后量子密碼過渡

為應(yīng)對量子計(jì)算發(fā)展給國家安全帶來的威脅，美國政府密集出臺一系列應(yīng)對量子技術(shù)風(fēng)險(xiǎn)相關(guān)政策法案（如表1），進(jìn)一步加快PQC技術(shù)布局，推動(dòng)PQC技術(shù)遴選和標(biāo)準(zhǔn)化工作。相關(guān)法案指出聯(lián)邦政府現(xiàn)有的信息系統(tǒng)需要向PQC技術(shù)遷移，政府和產(chǎn)業(yè)界需要優(yōu)先開發(fā)可以容易升級到PQC的應(yīng)用、硬件和軟件。

表1.美國PQC遷移相關(guān)政策

為此，美國國家網(wǎng)絡(luò)安全卓越中心（NCCoE）于2021年8月正式啟動(dòng)PQC遷移項(xiàng)目，邀請各部門、企業(yè)撰寫PQC遷移意向書，描述產(chǎn)品和技術(shù)性內(nèi)容，從而為PQC遷移項(xiàng)目提供安全平臺支持和演示；7月5日當(dāng)天，美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）宣布建立PQC計(jì)劃，將向后量子加密過渡確定為網(wǎng)絡(luò)安全愿景的優(yōu)先事項(xiàng)。

（三）借力學(xué)術(shù)、產(chǎn)業(yè)界開展后量子密碼研發(fā)及應(yīng)用測試

美國《國家戰(zhàn)略計(jì)算倡議戰(zhàn)略計(jì)劃》強(qiáng)調(diào)通過“整體型政府與工業(yè)界、學(xué)術(shù)界共同建立高性能計(jì)算系統(tǒng)的跨機(jī)構(gòu)戰(zhàn)略遠(yuǎn)景和投資”。美國政府積極聯(lián)合學(xué)術(shù)界、產(chǎn)業(yè)界開展PQC技術(shù)和產(chǎn)品研發(fā)，積極進(jìn)行多場景抗量子密碼應(yīng)用測試，推出相關(guān)商業(yè)服務(wù)和升級產(chǎn)品等。例如，2022年7月，后量子安全公司QuSecure宣布產(chǎn)品QuProtectTM基于Kyber標(biāo)準(zhǔn)算法建立量子安全通道，實(shí)現(xiàn)100%正常運(yùn)行時(shí)間保護(hù)美國政府空域的加密通信和數(shù)據(jù)；2022年4月，韓國移動(dòng)運(yùn)營商LG Uplus推出了世界上首個(gè)后量子密碼專線服務(wù)，可以實(shí)現(xiàn)對量子計(jì)算網(wǎng)絡(luò)攻擊的有效防御；2021年8月，德國慕尼黑工業(yè)大學(xué)研究人員設(shè)計(jì)生產(chǎn)了一種基于RISC-V技術(shù)的PQC芯片，旨在展示其阻止黑客使用量子計(jì)算機(jī)解密通信的能力。

02美國后量子密碼標(biāo)準(zhǔn)進(jìn)展

2016年12月，NIST正式面向全球征集具備抗擊量子計(jì)算機(jī)攻擊能力的新一代PQC算法，以期逐漸取代以經(jīng)典RSA為代表的不可抗量子計(jì)算機(jī)攻擊的公鑰加密算法，并最終成為標(biāo)準(zhǔn)化加密算法。PQC算法評估工作分為三輪進(jìn)行，每輪18個(gè)月左右，預(yù)計(jì)2024年前完成。

PQC標(biāo)準(zhǔn)化算法篩選只選擇了無狀態(tài)數(shù)字簽名、非對稱加密和密鑰封裝機(jī)制（KEMs）兩種密碼體制，并將算法安全性、效率和性能、其他因素（如知識產(chǎn)權(quán)要求、實(shí)施難度）作為評估標(biāo)準(zhǔn)因素。

（一）PQC標(biāo)準(zhǔn)化項(xiàng)目進(jìn)程

1.第一輪篩選結(jié)果

2017年12月，NIST公布PQC標(biāo)準(zhǔn)協(xié)議的第一輪預(yù)選結(jié)果，期間共收到82個(gè)基礎(chǔ)方案，篩選收錄63個(gè)完整方案，其中包括44個(gè)非對稱加密和KEMs方案及19個(gè)數(shù)字簽名方案。

表2.NIST第一輪標(biāo)準(zhǔn)方案情況表

2.第二輪篩選結(jié)果

2019年1月，NIST公布PQC標(biāo)準(zhǔn)協(xié)議的第二輪預(yù)選結(jié)果，共計(jì)26個(gè)算法進(jìn)入下一輪進(jìn)程，其中包括17個(gè)非對稱加密和KEMs方案（BIKE、Classic McEliece、CRYSTALS-KYBER、FrodoKEM、HQC、LAC、LEDAcrypt、NewHope、NTRU、NTRU Prime、NTS-KEM、ROLLO、Round5、RQC、SABER、SIKE、Three Bears）及9個(gè)數(shù)字簽名方案（CRYSTALS-DILITHIUM、FALCON、GeMSS、LUOV、MQDSS、Picnic、qTESLA、Rainbow、SPHINCS+）。

表3.NIST第二輪標(biāo)準(zhǔn)方案情況表

3.第三輪篩選結(jié)果

2021年1月，NIST公布的第三輪審查共有7個(gè)算法入圍，其中包括4種非對稱加密和KEMs（Classic McEliece、CRYSTALS-KYBER、NTRU、SABER）及3種數(shù)字簽名算法（CRYSTALS-DILITHIUM、FALCON、Rainbow）。此外，NIST還保留了8個(gè)備選算法，包括5種備選公鑰加密和密鑰生成算法（BIKE、FrodoKEM、HQC、NTRU Prime、SIKE）和3種數(shù)字簽名算法（GeMSS、Picnic、SPHINCS+）。

表4.NIST第三輪標(biāo)準(zhǔn)方案情況表

4.標(biāo)準(zhǔn)化算法結(jié)果

2022年7月5日，NIST公布提前選中并將進(jìn)行標(biāo)準(zhǔn)化的算法，其中包括用于非對稱加密和KEMs的CRYSTALS-KYBER、用于數(shù)字簽名的CRYSTALS-Dilithium、FALCON及SPHINCS+。其中，NIST推薦CRYSTALS-Kyber算法用于保護(hù)通過公共網(wǎng)絡(luò)交換信息的通用加密，推薦其余三種算法用于身份認(rèn)證。以上四種算法均在2024年之前支持NIST未來的加密標(biāo)準(zhǔn)。

此外，NIST推薦將BIKE、Classic McEliece、HQC、SIKE算法進(jìn)入第四輪篩選進(jìn)程。

（二）標(biāo)準(zhǔn)化算法情況

1.非對稱加密和密鑰封裝機(jī)制（KEMs）

CRYSTALS-Kyber是基于格理論的PQC算法，其安全性基于假定的硬件模塊的容錯(cuò)性學(xué)習(xí) (MLWE) 問題。在保障安全性的同時(shí)兼具加密密鑰相對較小、交換數(shù)據(jù)量小、運(yùn)行速度快的特點(diǎn)。同時(shí)，Kyber的硬件、軟件及混合設(shè)置、抗側(cè)信道攻擊等性能在同類型算法中位于前列，專利障礙問題較少，在未來具有較大的使用前景。

2.數(shù)字簽名

Crystals-Dilithium是基于格理論的數(shù)字簽名方案，其安全性依賴于MLWE和模塊短整數(shù)的強(qiáng)度解決問題 (MSIS) 并遵循Fiat-Shamir與中止技術(shù)。該算法在密鑰和簽名大小方面具有強(qiáng)大而平衡的性能，并且密鑰生成、簽名和驗(yàn)證算法的效率在實(shí)際驗(yàn)證中表現(xiàn)良好。

Falcon是一種利用“散列和符號”范式的基于格的簽名方案，其安全性依賴于短整數(shù)解（SIS）問題在NTRU格算法上的難度，以及隨機(jī)預(yù)言機(jī)模型 (ROM) 和QROM 中的安全證明遞減。該算法提供了最小的帶寬，提供非常好的整體性能。

Sphincs+是一種基于散列的無狀態(tài)簽名方案，其安全性依賴于關(guān)于底層散列函數(shù)安全性的假設(shè)。該算法提供了可靠的安全保證，但會導(dǎo)致性能上的巨大成本。NIST 將該算法視為極其保守的選擇，同時(shí)也是標(biāo)準(zhǔn)化算法中的唯一哈希算法，成為其余格密碼受威脅背景下的備選方案。

表5.NIST標(biāo)準(zhǔn)化算法數(shù)字簽名方案比較表

03影　響

（一）格密碼將成為后量子密碼中的主流路線

PQC算法中，格密碼算法可在安全性、公私鑰大小、計(jì)算速度方面達(dá)到較好的平衡。同時(shí)在相同安全強(qiáng)度下，格密碼的公私鑰大小比其他三種（編程密碼、多變量密碼、哈希密碼）方案更小，計(jì)算速度更快且更適用于多應(yīng)用場景。在NIST公布的4種標(biāo)準(zhǔn)化算法中就包含3個(gè)格密碼，足見其巨大潛力。美國家安全局網(wǎng)絡(luò)安全局（NSA CSD）指出，基于格的加密方案進(jìn)行參數(shù)化可保證安全，該密碼方案是當(dāng)前最高效的后量子算法。該機(jī)構(gòu)預(yù)計(jì)，基于NIST篩選的格密碼算法將被批準(zhǔn)用于國家安全系統(tǒng)（NSS）。

（二）短期內(nèi)將開發(fā)和使用混合密鑰協(xié)議

目前，NIST選定的PQC標(biāo)準(zhǔn)化算法只包括了公鑰加密和數(shù)字簽名兩種常用的密碼算法，但這些算法已趨于成熟，優(yōu)化改進(jìn)余地較小。短期內(nèi)，PQC算法要與傳統(tǒng)安全密碼技術(shù)結(jié)合形成一種“混搭”模式以適用當(dāng)前的安全需求。亞馬遜AWS公司首席安全官指出，混合密鑰交換方案在實(shí)際應(yīng)用中具有廣泛的前景，其中ECDHE+Kyber混合方案的性能最佳。

（三）標(biāo)準(zhǔn)化后量子算法已開啟商用化應(yīng)用

新型密碼體系的成熟離不開企業(yè)界的長期測試研究與商業(yè)應(yīng)用。西方多家科技巨頭既是PQC算法的設(shè)計(jì)者，又是應(yīng)用落地的催化者。當(dāng)前，PQC標(biāo)準(zhǔn)算法已然開啟商業(yè)化應(yīng)用，部分企業(yè)將PQC標(biāo)準(zhǔn)算法集成至公司產(chǎn)品中，進(jìn)一步提升其安全性能。例如Cloudflare公司將CRYSTALS-Kyber與其他PQ算法集成到其加密數(shù)據(jù)庫CIRCL；Crypto Quantique公司推出CRYSTALS-Kyber算法的后量子物聯(lián)網(wǎng)安全平臺。

總結(jié)

以上是生活随笔為你收集整理的美国NIST公布首批后量子密码标准算法的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。