发布日期:2025-08-03 浏览次数:
众所周知,一台密码相关量子计算机 (CRQC) 能够破解目前广泛使用的公钥密码系统,这些系统目前用于非对称密钥交换和数字签名,并可能对系统造成毁灭性的影响。国家安全系统 (NSS) 使用公钥密码技术作为关键组件,以保护国家安全信息的机密性、完整性和真实性。
白宫首席网络顾问安妮·纽伯格(Anne Neuberger)最近在伦敦皇家联合服务研究所(RUSI)谈到了这一点。她表示,发布这些新算法是“一个重要的时刻”,因为它表明了迈向下一代密码学的真正进展。
她解释说,这种转变的原因是人们对 CRQC 的担忧,正如她所说,CRQC 可能会破坏“保护公司和国家安全机密的根本”加密。
让我们了解什么是商业国家安全算法套件 2.0(CNSA 2.0)。
CNSA2.0 (商用国家安全算法套件 2.0)是美国国家安全局 (NSA)开发的下一代加密标准,旨在保护国家最敏感的系统,尤其是在量子计算成为现实威胁的当下。这些算法经过特殊设计,具有抗量子特性,即使在传统加密技术可能被破解的未来也能确保长期安全。
所有使用公共标准算法的国家安全系统 (NSS),无论是新设计还是已部署,都必须强制使用CNSA 2.0。SuiteB或CNSA 1.0等旧版加密集将不再适用,所有系统都必须过渡到 CNSA 2.0。正如 NSA 所说,此举旨在确保系统“今天安全,明天具备韧性”。
CNSA 2.0 所采用的算法均选自美国政府商业加密官方机构NIST所制定的标准算法。NSA 则选择了性能最佳的方案,以满足国家安全需求,这些方案不仅性能强大,而且针对关键任务操作进行了优化。NSA 对这些算法进行了测试和分析,并相信它们足以长期保护美国国家安全。
该机构认为CNSA 2.0适合保护从战场通信到外交电报等一切信息。他们不会让用户蒙在鼓里。NSA正在与IETF合作发布RFC(征求意见稿),这些技术指南将有助于将这些算法安全地集成到实际系统中。这里的指导原则是,重要的不仅仅是你使用什么算法,而是你如何使用它们。
即使已经启动并运行的系统也未能幸免。除非获得正式豁免,所有已部署的设备都必须及时升级。这项规定得到了NSM-8、NSM-10等重要安全备忘录以及CNSSP 11和CNSSP 15等政策的支持。
不同类型的系统将遵循不同的过渡路径。军用级或“高级”设备将根据CJCSN 6510和CNSSAM 01-07-NSM进行转换,而商用设备目前仍将沿用 CNSA 1.0,但必须在2025 年至 2030 年之间进行转换,具体时间取决于具体系统。所有二维码实施都必须通过NIAP 认证和NIST 验证,不得走捷径。
这份指南并非仅针对政府内部人员。美国国家安全局正在公开CNSA 2.0计划,以便供应商、行业合作伙伴以及任何希望与NSS互动的人员都能开始做好准备。这包括更新设备、软件和安全通信平台。
随着美国国家安全局 (NSA) 推进 CNSA 2.0,技术术语也得到了清理。ML-KEM和ML-DSA等算法现在是该标准下唯一获准的名称,取代了其标准之前的标签CRYSTALS-Kyber和CRYSTALS-Dilithium。只有最终版本(以FIPS 203和204 的形式发布)才允许使用。任何较旧或经过调整的版本,即使标签相似,也不符合CNSA 2.0 的要求。
下表列出了各算法及其功能、规格和参数。
| 算法 | 功能 | 规格 | 参数 |
| 通用算法 | |||
| 高级加密标准 (AES) | 用于信息保护的对称分组密码 | FIPS PUB 197 | 所有分类级别均使用 256 位密钥。 |
| ML-KEM(CRYSTALS Kyber) | 非对称密钥建立算法 | FIPS PUB 203 | ML-KEM-1024 适用于所有分类级别。 |
| ML-DSA(CRYSTALS Dilithium) | 任何用例中的数字签名的非对称算法,包括签名固件和软件 | FIPS PUB 204 | ML-DSA-87 适用于所有分类级别。 |
| SHA | 计算信息浓缩表示的算法 | FIPS PUB 180-4 | 对所有分类级别使用 SHA-384 或 SHA-512。 |
| 特定应用中允许的算法 | |||
| LMS签名 | 用于数字签名固件和软件的非对称算法 | FIPS PUB 800-208 | 所有参数均已获所有分类级别认可。建议使用 LMS SHA 256/192。 |
| XMSS签名方案 | 用于数字签名固件和软件的非对称算法 | FIPS PUB 800-208 | 所有参数均已获得所有分类级别的批准。 |
| SHA3 | 用于计算硬件完整性信息的精简表示的算法 | FIPS PUB 202 | SHA3-384 或 SHA3-512 仅允许用于内部硬件功能(例如启动完整性检查) |
美国国家安全局的目标是到2035年使所有国家安全系统(NSS)都具备抗量子能力,这与国家安全备忘录-10(NSM-10)中提出的目标相一致。虽然2035年是最终目标,但转型过程会更早开始,更新后的CNSSP-15政策中概述了关键里程碑。
对于现有系统,任何已根据 NIAP 或 CSfC 配置文件验证的 NSS在其验证期结束前仍将保持批准状态。2025年 12 月 31 日之前不会强制过渡到 CNSA 2.0 。但是,任何尚未符合CNSA 1.0标准的 NSS ,自更新后的 CNSSP 15 发布之日起,只有六个月的时间才能符合 CNSA 2.0 标准,否则必须在 90 天内提交豁免申请。
自2027年1月1日起,所有新采购的NSS设备均需支持CNSA 2.0算法,除非另有明确规定。到2030年12月31日,所有无法支持CNSA 2.0的设备和服务必须逐步淘汰。到2031年12月31日,除非另有明确规定,否则所有设备均须强制使用CNSA 2.0算法。
过渡并非一日之功。NSA 预计未来将出现一个混合阶段,届时系统可能同时使用 CNSA 1.0 和 CNSA 2.0,具体取决于各自组件的成熟度。新系统和升级版系统的设计应优先考虑 CNSA 2.0,并且随着标准的最终确定,这些系统最终应该只接受 CNSA 2.0 算法。
像 IETF 这样的标准开发组织 (SDO)将继续发布RFC等支持材料。NSA 正在积极与他们合作,以确保这些文档能够指导协议配置,并帮助供应商有效地采用抗量子解决方案。
美国国家安全局预计所有设备转换将在2030 年 12 月 31 日之前完成,远早于 2035 年的最后期限,从而使安全系统能够及时应对全面的量子威胁。
以下是过渡到 CNSA 2.0 算法时需要考虑的一些要点:
NIAP 将更新保护配置文件,明确指出产品必须支持基于 NIST 和其他国际标准的CNSA 2.0 算法。
任何新的硬件或软件都必须符合新的规范。旧系统在下次更新时也必须符合规范,才能继续获得 NIAP 认证。
一旦经过测试和验证的 CNSA 2.0 解决方案准备就绪,它们就应该成为所有合格系统中的默认配置。
删除旧的、易受攻击的算法的时间表将由NIAP 的保护配置文件和NSM-10 技术更新周期指导。
如果遗留系统无法定期更新,则需要正式的豁免和明确的未来合规计划才能继续运行。
以下时间表是美国国家安全局为应对强大的量子计算机而制定的更广泛计划的一部分,旨在确保国家安全系统面向未来。分阶段推出的计划为行业和机构提供了适应的时间。
软件和固件签名必须立即开始转换,到 2025 年将优先使用 CNSA 2.0,到 2030 年将专门使用。
到 2025 年,网络浏览器、服务器和云服务必须支持并优先使用 CNSA 2.0,到 2033 年转为专用。
到 2026 年,VPN 和路由器等传统网络设备应该支持并优先使用 CNSA 2.0,到 2030 年则将专门使用它。
预计到 2027 年,操作系统将支持并优先采用 CNSA 2.0,到 2033 年将全面采用该操作系统。
受限设备和大型 PKI 系统等利基设备应在 2030 年前支持并优先使用 CNSA 2.0,并在 2033 年前专门使用它。
到 2033 年,必须更新或完全替换定制应用程序和遗留系统以满足 CNSA 2.0 标准。
CNSA 2.0 时间线
让我们深入研究基于哈希的签名算法的技术细节,并探讨它们在后量子密码学(PQC)中的意义。
基于哈希的签名方案是CNSA 2.0 量子弹性策略的关键组成部分,用于保护长寿命软件和固件。这些算法适用于需要多年可信签名的任务,例如固件签名。
美国国家安全局批准用于国家安全系统(NSS)的两种主要基于哈希的算法是:
LMS(Leighton-Micali 签名方案)
XMSS(扩展 Merkle 签名方案)
这两种方法均已由NIST 在 SP 800-208 中标准化,并已通过联邦信息处理标准 (FIPS)的验证。NSA 建议在需要状态签名机制的系统中特别使用它们,在这些系统中,必须跟踪每个签名以确保密钥不会被重复使用,这是长期维护安全性的关键要求。
NSA 倾向于使用 NIST 标准第 4.2 节中定义的 SHA-256 算法的 LMS。此特定配置在性能和安全性之间实现了良好的平衡,非常适合不经常更新的嵌入式设备或硬件系统。
另一方面,HSS(分层签名方案)和 XMSSMT(多树 XMSS)虽然与 LMS/XMSS 相关,但在 CNSA 2.0 中却不被允许。NSA 已明确表示,这些多树变体不符合 NSS 的使用标准。
另一种算法SLH-DSA(也称为SPHINCS+),尽管也是基于哈希算法,但根据CNSA 2.0标准,其NSS(国家安全战略)根本没有被批准使用。这确保了只有经过最彻底评估且易于实施的算法才值得信赖,用于国家安全目的。
在 CNSA 2.0 中, SHA-3的使用仅在非常有限的情况下才被允许。具体来说,供应商可以在不与外部系统交互的内部硬件组件中使用SHA3-384 或 SHA3-512 。这包括安全启动或系统完整性检查等用例,在这些用例中,加密过程完全在供应商控制的环境中进行。NSA 做出这一例外是为了在不中断现有内部流程的情况下,加快向后量子加密的过渡。
然而,SHA-3 并未被批准作为CNSA 2.0 中的通用哈希函数。只有在经批准的加密标准明确定义的情况下,才允许使用它,例如NIST SP 800-208规定的 LMS 内部,或用于非常具体的内部应用。同样, SHA-3 系列的另一个变体SHAKE也不允许用于广泛的加密用途。NSA 的立场很明确,在已获批准的用例之外依赖 SHA-3 会带来不必要的复杂性,增加互操作性测试的负担,并可能破坏遵循严格国家安全标准的系统的可靠性。
SHA-2 系列,尤其是SHA-384 和 SHA-512,仍然是 CNSA 2.0 哈希函数策略的支柱。SHA-384 仍然是标准,而出于性能考虑,允许使用 SHA-512,但使用 SHA-512 的系统必须仔细评估潜在的互操作性影响。
如果加密系统将 SHA-3 或其他哈希变体作为NSA 认可算法(例如 LMS 或 XMSS)中已定义函数的一部分,则允许这样做,但仅限于该算法设计的范围内。在这些定义之外的 SHA-3 的常规或外部应用仍然不符合 CNSA 2.0 的要求。
NSA 为未来纳入其他 NIST 批准的算法保留了可能性,但前提条件非常具体:该算法必须被广泛采用,符合 NSA 的独立安全评估,并保持与其他系统的兼容性。目前的重点仍然是使用现有经过严格审查的算法套件,以避免在保护国家安全数据的系统之间出现碎片化。
使用 LMS 或 XMSS 时,根据系统的功能,有不同的验证步骤:
如果系统仅验证签名,则必须通过 CAVP(加密算法验证程序)测试。
如果它也生成签名(即充当签名者),则必须在 CMVP(加密模块验证程序)下进行验证。
签名生成更加敏感,因为它涉及管理加密状态,如果滥用(例如重复使用密钥),可能会使系统面临攻击。因此,这里不允许任何豁免,验证是强制性的。
NSA 强调,签名和状态管理最好在硬件中实现,例如HSM(硬件安全模块),以最大限度地减少人为或软件错误。即使在备份操作期间,也必须保存密钥状态,以避免任何状态重用的可能性。
那些不属于 NSS 但提供与 NSS 交互的代码或产品的供应商仍需满足相同的加密质量要求。这意味着任何涉及签名验证的代码都必须能够通过 CAVP 验证,即使签名者本身不属于 NSS。
对于商业产品评估,NSA 并不期望在“评估目标”(TOE)内生成签名,而只要求进行签名验证。因此,在大多数供应商场景下,CAVP 测试足以证明其符合 CNSA 2.0 标准。
固件一旦部署通常无法更新。因此,现在就为固件选择抗量子签名算法(例如 LMS 或 XMSS)至关重要。NSA 强调尽早开始过渡,而不是等待其他算法(例如 ML-DSA)获得验证。这确保了在系统其他部分开始升级到后量子标准之前,就已经建立了长期的加密信任根。
为了让国家安全系统(NSS)做好迎接量子时代的准备,美国国家安全局已经提出了替代加密方案,例如:
预共享密钥 (PSK) 可能有助于减少量子威胁,但其有效性可能有所不同;组织在依赖它们之前应咨询 NSA 或 CSfC 指导。
量子计算机对公钥密码学的风险远大于对称密码学;具有较大密钥大小的对称算法(如 CNSA 2.0 中的算法)仍然被认为是安全的。
美国国家安全局现在正在对量子威胁采取行动,因为国家安全系统(NSS)的寿命很长,今天建造的系统可能会使用几十年,需要面向未来的保护。
量子密钥分发 (QKD) 使用量子物理学来安全地共享加密密钥,但不能提供完整的加密保护,并且不被视为 NSS 的实用解决方案。
NSA不建议将 QKD 用于NSS,并建议各机构在未直接协商的情况下不要投资或部署 QKD 系统。
量子随机数生成器 (RNG) 使用量子效应来产生随机性,任何经过适当标准认证的 RNG 如果实施正确都是可以接受的。
重点在于在强大的防护与实用的标准化实施之间取得平衡,并兼顾向后兼容性。以下几点概述了必要的考虑因素以及 NSA 的指导意见。
混合解决方案结合了多种加密算法(经典+抗量子)来加强密钥交换或身份验证。
NSA 仅信任 CNSA 2.0 算法,并且不需要混合解决方案来实现 NSS 安全——尽管混合设置可能用于互操作性或技术限制。
使用混合加密会增加实施和测试的复杂性,从而增加出现错误和配置错误的风险。
混合解决方案也可能减缓标准化进程,因为协议必须就如何组合和管理多种算法达成一致。
在 IKEv2(一种 VPN 协议)等情况下,由于公钥大小限制的技术限制,NSA 支持混合解决方案——首先使用较小的密钥,然后使用较大的加密密钥。
除非特别建议,否则NSA不支持在任务系统中使用混合或非标准的抗量子解决方案;此类解决方案可能会导致不兼容或效率低下。
在特殊情况下可以使用具有对称密钥覆盖的混合解决方案(如 RFC 8773 或 8784),但这些是例外,而不是常态。
如果您正在为如何开启后量子时代之旅而苦恼, 揽阁信息 将竭诚为您提供支持。作为您值得信赖的合作伙伴,我们将以清晰、自信和丰富的实践经验,指导您完成每一步。
这是基础阶段,我们将在此阶段构建您现有加密基础设施的可视性。我们会识别哪些系统面临量子威胁的风险,并评估您当前设置的准备情况,包括 PKI、HSM 和应用程序。目标是识别哪些加密资产存在、使用位置以及其重要性。我们会对您的 IT 环境中的证书、加密密钥、算法、库和协议进行全面扫描,包括端点、应用程序、API、网络设备、数据库和嵌入式系统。
识别所有使用加密技术的系统(本地、云端和混合环境),例如身份验证服务器、HSM、负载均衡器、VPN 等。收集关键元数据,例如算法类型、密钥大小、到期日期、颁发来源和证书链。构建所有加密组件的详细清单数据库,作为风险评估和规划的基准。
一旦建立可见性,我们将与关键利益相关者进行访谈,以评估加密领域是否存在量子漏洞,并评估您的环境对 PQC 过渡的准备程度。分析加密元素是否暴露于量子威胁,尤其是那些依赖于 RSA、ECC 和其他即将被破解的算法的元素。审查公钥基础设施和硬件安全模块的配置方式,以及它们是否支持后量子算法集成。分析应用程序中硬编码的加密依赖关系,并识别需要重构的依赖关系。提供一份详细的报告,其中包含易受攻击的加密资产清单、风险严重程度评级以及迁移优先级。
识别风险后,我们将与您携手,制定符合您业务、技术和监管要求的定制化分阶段迁移策略。创建定制的 PQC 采用策略,以反映您的风险偏好、行业最佳实践和面向未来的需求。设计系统和工作流程,以支持随着标准的发展轻松切换加密算法。更新安全策略、密钥管理流程和内部合规规则,以符合 NIST 和 NSA(CNSA 2.0)的建议。制定包含短期、中期和长期目标的分步迁移路线图,并将其分解为易于管理的阶段,例如试点、混合部署和全面实施。
在此阶段,我们将帮助您识别和测试能够支持您后量子目标的合适工具、技术和合作伙伴。帮助您定义 RFI/RFP 的技术和业务需求,包括算法支持、集成兼容性、性能和供应商成熟度。识别提供支持 PQC 的 PKI、密钥管理和加密解决方案的顶级供应商。在隔离环境中运行 PoC 测试,以评估性能、集成的简易性以及与您的用例的整体契合度。根据实际 PoC 结果,提供供应商比较矩阵和推荐报告。
在全面实施之前,我们会通过受控的试点验证所有方案,以确保其在实际应用中的可行性,并最大程度地减少业务中断。我们会在沙盒或非生产环境中测试新的加密模型,通常针对一两个应用程序。我们会验证与现有系统、第三方依赖项以及旧版组件的互操作性。我们会收集 IT 团队、安全架构师和业务部门的反馈,以优化计划。所有测试成功后,我们将支持平稳、可扩展的部署,逐步替换旧版加密算法,最大程度地减少业务中断,并确保系统保持安全和合规。我们会持续监控性能并提供持续优化,以确保您的量子防御系统强大、高效且面向未来。
计划制定完成后,就该付诸行动了。这是我们执行全面迁移的最后阶段,将 PQC 集成到您的实时环境中,同时确保合规性和连续性。我们将实施融合经典算法和量子安全算法的混合模型,以在迁移期间保持向后兼容性。我们将在您的 PKI、应用程序、基础设施、云服务和 API 中推出 PQC 支持。
过渡到量子安全加密技术是一大步,但您无需孤军奋战。有了揽阁信息的帮助,您将获得构建弹性、面向未来的安全态势所需的正确指导和专业知识,欢迎联系我们,开展您的PQC实施。
揽阁信息 · 值得您信赖的信息安全顾问!
沪公网安备31011202021337号 网站地图
友情链接: Thales官网 芯片产品网站 服务热线
