发布日期:2025-04-02 浏览次数:
NIST 于 2016 年启动了后量子密码学项目,邀请全球密码学专家提交能够抵御经典和量子攻击的算法。截至目前,已有 69 种算法提交并发布以供公开评估。今天,NIST 发布了首批五种量子安全算法。
达斯汀·穆迪 (Dustin Moody) 的言论可以说明使用选定的 NIST 算法的重要性:“没有必要等待未来的标准,”他说。“继续使用这三种算法吧。我们需要做好准备,以防攻击破坏这三种标准中的算法,我们将继续制定备份计划,以确保我们的数据安全。但对于大多数应用程序来说,这些新标准才是重中之重。”
尽管我们今天还没有强大的量子计算机,但现在开始研究后量子加密技术也很重要。原因是改变全球加密技术需要很长时间,通常需要10 到 20 年。企业需要时间来更新他们的系统,并确保一切在新的加密方法下继续顺利运行。如果我们等到量子计算机准备就绪,可能就太晚了,无法保护我们的敏感数据。
2025 年 3 月 11 日,美国国家标准与技术研究所 (NIST)宣布选择 HQC (汉明准循环) 作为其后量子密码 (PQC) 标准套件的最新成员。这一决定凸显了 NIST 致力于加强网络安全措施以应对量子计算带来的新威胁。
NIST 后量子密码项目负责人、数学家达斯汀·穆迪 (Dustin Moody) 表示,HQC 并非旨在取代 ML-KEM,后者仍将是通用加密的推荐选择。
“各组织应继续将其加密系统迁移到我们在 2024 年最终确定的标准,”他说。“我们宣布选择 HQC 是因为我们希望有一个基于不同于 ML-KEM 的数学方法的备份标准。随着我们对未来量子计算机的理解不断加深,并适应新兴的密码分析技术,如果 ML-KEM 被证明存在漏洞,那么有一个后备方案至关重要。”
为什么 HQC 在第四轮后被选中?在 NIST 第四轮评估后,HQC 被选为第五个后量子密码 (PQC) 标准。虽然它的封装密钥比 BIKE 的密钥大约大 41-47%,密文大约大三倍,但 NIST 优先考虑的因素不仅仅是密钥和密文的大小。
让我们详细了解 PQC 算法:
NIST 特别出版物(SP) 800-131A、IR 8457、IR 8454提供了一组来自 NIST 的规则,可帮助美国政府机构决定哪些加密方法(算法和密钥长度)可以安全地用于保护敏感但未分类的信息。
这意味着组织将获得以下方面的分步计划:
如何顺利过渡且不冒安全风险
由于量子计算机最终将破解当今的加密技术,NIST 正在研究新的抗量子算法。作为此次转型的一部分,NIST 将更新 SP 800-131A,并提供关于何时以及如何切换到这些新算法的明确指导。
NIST 传统上使用位长安全强度(如 128 位、192 位和 256 位)来描述算法抵御传统攻击的安全性。然而,在后量子密码学 (PQC) 中,安全性的衡量标准不再是固定的位长,而是更广泛的类别。
每个安全类别都基于一个参考原语,即一个众所周知的加密函数,可作为评估算法对不同攻击方法的抵抗力的基准。这些类别并非只关注位长,而是提供了一种更实用、更灵活的方法来衡量针对量子威胁的安全性。文档中的下表列出了组织目前可能在其加密基础设施中识别出的易受攻击的算法以及将采用哪些量子安全算法,并展示了它们与传统安全强度的比较。
是否有人相信量子计算机足够强大,能够破解加密技术,这还得等 10 年还是 100 年,这无关紧要。当密码被弃用时,它们就成了每个人的问题,必须被取代。
下表重点介绍了需要转换为抗量子替代算法以确保长期安全的算法。
| 数字签名算法 | 范围 | 过渡 |
| ECDSA [FIPS186] | 安全强度≥128位 | 2035 年后禁止 |
| EdDSA [FIPS186] | 安全强度≥128位 | 2035 年后禁止 |
| RSA [FIPS 186] | 安全强度≥128位 | 2035 年后禁止 |
当组织迁移到下表中标识的后量子签名时,它们可以继续使用这些算法和参数集。
| 数字签名算法 | 参数集 | 安全强度 | 安全类别 | 私钥大小(字节) | 公钥大小(字节) |
| ML-DSA [FIPS204] | ML-DSA-44 | 128 位 | 2 | 2560 | 1312 |
| ML-DSA-65 | 192 位 | 3 | 4032 | 1952 | |
| ML-DSA-87 | 256 位 | 5 | 4896 | 2592 | |
| SLH-DSA [FIPS205] | SLH-DSA-SHA2-128[s/f] | 128 位 | 1 | 64 | 32 |
| SLH-DSA-SHAKE-128[s/f] | |||||
| SLH-DSA-SHA2-192[s/f] | 192 位 | 3 | 96 | 48 | |
| SLH-DSA-SHAKE-192[s/f] | |||||
| SLH-DSA-SHA2-256[s/f] | 256 位 | 5 | 128 | 64 | |
| SLH-DSA-SHAKE-256[s/f] | |||||
| LMS,HSS [SP800208] | 使用 SHA-256/192 | 192 位 | 3 | 64 | 60 |
| 使用SHAKE256/192 | 3 | ||||
| 使用 SHA-256 | 256 位 | 5 | |||
| 使用SHAKE256 | 5 | ||||
| XMSS、XMSSMT [SP800208] | 使用 SHA-256/192 使用 SHAKE256/192 | 192 位 | 3 | 1373 | 64 |
下表重点介绍了需要转换为抗量子替代算法以确保长期安全的算法。
| 数字签名算法 | 范围 | 过渡 |
| 有限域 DH 和 MQV [SP80056A] | 安全强度≥128位 | 2035 年后禁止 |
| 椭圆曲线 DH 和 MQC [SP80056A] | 安全强度≥128位 | 2035 年后禁止 |
| RSA [SP80056B] | 安全强度≥128位 | 2035 年后禁止 |
以下是后量子算法,包括 ML-KEM 和 HQC
| 数字签名算法 | 参数集 | 安全强度 | 安全类别 | 私钥大小(字节) | 公钥大小 |
| ML-KEM [FIPS203] | ML-KEM-512 | 128 位 | 1 | 1632 | 800 |
| ML-KEM-768 | 192 位 | 3 | 2400 | 1184 | |
| ML-KEM-1024 | 256 位 | 5 | 3162 | 1568 | |
| HQC [NIST IR45] | HQC-128 | 128 位 | 1 | 2249 | 40 |
| HQC-192 | 192 位 | 3 | 4522 | 40 | |
| HQC-256 | 256 位 | 5 | 7245 | 40 |
NIST 认为 HQC 可以很好地补充 ML-KEM,因为它基于不同的底层安全问题,并且仍然保留了一般应用的合理性能特征。唯一可能达到这一目的的第四轮候选方案是 BIKE,它依赖于与 HQC 类似的基于代码的假设。与 BIKE 相比,HQC 的公钥和密文大小更大,但密钥生成和解密成本更低。
请注意,NIST 计划在大约一年内发布包含 HQC 算法的草案标准,预计最终标准将于 2027 年发布。
截至目前,组织内的大多数关键资产、系统和应用程序都使用RSA和 ECC 等加密方法来保护数字签名、软件更新和数据保护。然而,一旦量子计算机变得足够强大,它们将能够破解这些加密算法。这就是为什么组织需要识别并用后量子密码术 (PQC)替换这些易受攻击的加密方法。
组织甚至可能不知道其系统、应用程序和供应链中所有使用公钥加密的地方。如果他们没有易受攻击的系统列表(清单),他们就不知道从哪里开始迁移到 PQC。
为了解决此问题,组织需要:
现在,让我们详细讨论每个步骤:
加密发现是找出组织 IT 和 OT(运营技术)系统中加密的使用位置和方式的过程。组织可以使用自动化工具扫描以下系统中易受量子攻击的算法:
开发管道(用于在代码库中查找加密依赖关系)。
然而,一些加密技术可能隐藏在产品内部,难以检测。在这种情况下,组织应该向供应商询问详细信息。
加密清单是组织中所有易受量子攻击的加密资产的列表。它应该包括:
该清单可帮助组织在量子计算机成为真正的威胁之前识别和解决风险,从而规划向 PQC 的平稳过渡。
数据分类意味着根据数据的敏感性和关键性对其进行分类。为了做好量子准备,组织应该:
将加密库存与现有资产管理系统(如身份和访问管理、端点检测等)进行映射。
通过这样做,组织可以确定 PQC 迁移需要首先进行的位置的优先级。
PQC-经典混合协议是一种过渡加密解决方案,在密钥建立或数字签名中同时使用抗量子和传统(易受量子攻击)加密算法。
这些混合解决方案通常设计为只要至少一个组件算法是安全的,就能保持安全。
简单来说,传统锁(经典密码学)可能会随着时间的推移而变得脆弱,因此您可能决定也安装智能锁(后量子密码学 - PQC)。但问题是,并非所有门和用户都准备好使用智能锁。因此,目前最好的方法是同时使用这两种锁,确保如果其中一种锁失效,另一种锁仍能提供安全保障。
这正是混合密码协议在向后量子密码 (PQC) 过渡时所做的。混合密码协议在生成数字签名或建立加密密钥时结合了抗量子算法和易受量子攻击的算法。
两种不同的密钥建立方法协同工作,只要至少一种方法保持强大,最终的密钥就是安全的。
第 2 部分使用 PQC 生成,旨在实现量子安全(ML-KEM)
混合数字签名(也称为复合签名)是一种加密技术,其中将两个或多个数字签名应用于单个消息。这确保消息的验证需要所有签名都成功验证。
当前的 TLS 密码套件(例如TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384)在发展为后量子密码时可能看起来像TLS_KYBER_DILITHIUM_WITH_AES_256_GCM_SHA384。
后量子密码学 (PQC) 将逐渐影响依赖非对称密码学的各种用例,因为量子威胁直接针对公钥密码学。为量子时代做准备首先要分析哪些系统和流程将受到 PQC 的影响。这涉及识别和定义受影响的用例,例如以下示例:
目的:对软件进行数字签名,以验证其真实性并防止篡改。
重要性:安装和执行软件的设备必须验证这些签名。
量子风险:如果设备长期使用,且其签名验证系统无法更新,则必须设计它们以支持抗量子签名,以确保长期安全。
目的:使用非对称加密协议验证身份以控制对系统的访问。
量子风险:与加密(面临“现在收集,以后解密”的威胁)不同,身份验证系统在量子计算机能够破解当前算法之前是安全的。
需要采取的行动:在量子计算机出现之前,组织必须升级系统、PKI和硬件令牌以支持抗量子身份验证。
目的:使用非对称加密通过TLS和 VPN等协议进行安全的数据传输。
量子风险:密钥建立(加密密钥)容易受到“先窃取后解密”的影响。身份验证(身份验证密钥)可以稍后转换,但最终需要抗量子替换。
下一步:组织需要一个战略迁移计划来保护网络协议免受量子威胁。
目的:电子邮件加密(S/MIME),对电子邮件和文件进行加密以进行安全传输,确保数字通信的完整性和真实性。
量子风险:电子邮件加密容易受到“先收集,后解密”的影响,这意味着对手可以今天存储加密的电子邮件,并在量子计算机可用时对其进行解密。
需要采取的行动:组织应尽快将加密和签名机制转变为量子安全替代方案。
根据美国的国家安全备忘录 10 (NSM-10),美国政府计划到 2035 年完成向抗量子密码学的转变。这种转变是必要的,因为量子计算机可能会破解当前的加密方法。
但是,并非所有系统都会同时切换到 PQC。有些系统,尤其是处理长期机密数据的系统,可能需要更早过渡。其他系统由于技术限制,可能需要更长时间。NIST 认识到这些挑战,并将支持组织完成这一转变,同时确保关键系统得到保护。
虽然这个时间表只是预测,但量子计算的进步可能会加速这一进程。准备是关键,组织必须立即开始过渡到量子安全加密技术,以领先于威胁。
利用先进的加密发现来分析和保护您的加密基础设施。
评估加密环境的现状,找出当前加密标准和控制(如密钥生命周期管理和加密方法)中的差距,并对加密生态系统的任何可能威胁进行彻底分析。
评估现有治理协议和框架的有效性,并提出优化与加密实践相关的操作流程的建议。
根据加密资产和数据对 PQC 迁移的敏感性和关键性进行识别和优先排序。
确定可在组织网络中实施以保护敏感信息的 PQC 用例
定义并制定 PQC 流程和技术挑战的战略和实施计划。
我们协助确定您的组织所面临的加密挑战、危害和威胁。
无缝迁移到新的CA、证书和 PQC 算法。
自动化证书和密钥生命周期管理,以实现更强的安全性和持续合规性。
确保符合行业标准。
帮助您了解新的 PQC 算法及其在您的组织中的使用和利用情况。
协助认识和克服向后量子加密算法过渡期间的挑战,确保顺利、安全地迁移。
概述解决方案的功能以及与已确定的用例的供应商/产品映射。
记录测试/评估场景。
欢迎你联系我们,与我们的安全专家进行更为深入的沟通和交流。
揽阁信息 · 值得您信赖的信息安全顾问!
服务热线
