发布日期:2025-09-03 浏览次数:
在安全领域,快速适应至关重要。随着量子计算等新威胁的出现,这种灵活性至关重要。加密敏捷性指的是在不中断运营或危及安全的情况下快速切换加密算法和协议的能力。
这一概念源于过去过渡过程中的经验教训,例如从 DES 到AES 的漫长过渡,其中三重 DES 在 AES 标准化后仍被使用近 23 年。鉴于无缝迁移的需求日益增长,NIST 于 2025 年 3 月发布了其基础草案CSWP-39:实现加密敏捷性的考虑因素,并于 2025 年 7 月更新为第二份公开草案。本指南深入探讨了有效加密敏捷性所需的运行机制、权衡利弊、API 策略和系统级规划。
根据 NIST 的 CSWP-39《实现加密敏捷性的考虑因素》,关键挑战包括向后兼容性、持续的过渡需求以及资源/性能限制。例如,SHA-1 到 SHA-2 的转换耗时数年,因为即使在漏洞被发现之后,SHA-1 仍然深深嵌入到各个协议中。
加密敏捷性很重要,因为它使系统能够:
当弱算法受到威胁时,迅速淘汰它们
随着威胁的演变,扩大加密配置的规模
即使在高风险环境中也能保持运营连续性
尽管 NIST 早在 2011 年就弃用 SHA-1 作为数字签名,但据估计,截至 2016 年,仍有 35% 的网站在使用它,这使其容易受到已知的碰撞攻击。
虽然人们通常从软件灵活性的角度来讨论加密敏捷性,但在实践中,部署设备的硬件功能才是决定其实际效果的关键。这一挑战在运营技术 (OT) 环境中尤为突出,因为在这种环境中,设备通常构建在资源受限的嵌入式平台上,而非高性能的企业级系统上。简而言之,即使软件可以快速更新,硬件也可能不足以应对这些变化。
从加密敏捷性的角度来看,这些限制使得采用新的加密算法或迁移以应对不断演变的威胁变得更加复杂。例如,按照NIST 的PQC 标准化工作建议过渡到后量子加密,可能需要比传统 OT 硬件所能提供的更高的处理能力、内存和带宽。以下列出了一些限制:
许多 OT 设备运行在 CPU 和内存受限的微控制器或处理器上。引入现代加密算法的计算成本可能非常高昂。例如,在具有 192 KB RAM 的中型微控制器上使用PQC算法进行 TLS 握手可能会消耗大约 35% 的可用内存,而基于经典椭圆曲线的握手大约只消耗 1%。
即使固件可以更新以支持 PQC,剩余内存也可能不足以维持正常运行,从而导致稳定性或性能问题。本质上,硬件资源上限会限制基于软件的加密升级的程度。
现代微控制器和处理器通常包含专用的加密加速器,以加快算法执行速度并满足时序要求。这些加速器对于在性能受限的设备上实现加密操作至关重要。
然而,它们存在两个主要局限性:
静态算法支持:硬件加速器一旦部署,通常无法更新以支持新算法。如果支持的算法被弃用或变得不安全,设备必须回退到速度较慢的纯软件实现。
无法修补的漏洞:如果在硬件加密实现中发现缺陷,则无法现场修复。修复该漏洞需要制造新的芯片,这是一个昂贵且耗时的过程。
这就造成了一种情况,尽管硬件加速最初是有益的,但最终可能会将系统锁定在过时的加密原语中。
除了处理器集成的加密加速器之外,许多设备还利用外部硬件安全模块(例如安全元件 (SE) 或可信平台模块(TPM))来加强密钥保护并卸载敏感操作。
从加密敏捷性的角度来看:
焊接模块:提供强大的安全性,但与片上加速器一样,存在更新限制。一旦部署,其功能就固定不变。
可交换模块:无需更改主设备硬件,即可在部署后进行硬件升级和密钥替换,显著提升加密敏捷性。这种灵活性既支持实施敏捷性,也支持配置敏捷性。
然而,这种模块化方法也有其自身的安全风险:
不安全的接口:主机设备和模块之间的通信通常没有加密保护,因此容易受到篡改。
模块盗窃:如果模块被盗,攻击者将控制其中存储的加密身份,从而进行冒充攻击。
人为安全措施:某些保护机制需要人为交互,这在无人 OT 部署中是不切实际的。
在解决主机到模块通信的安全性和实现防篡改、独立操作等问题之前,外部模块在高安全性 OT 环境中的使用将受到限制。
供应链供应商使用的硬件会显著影响组织保持加密敏捷性的能力。许多设备,例如硬件安全模块 (HSM)、物联网芯片或专用加速器,都采用固定的加密算法,且升级选项有限。如果供应商在设计硬件时没有考虑适应性,组织可能难以过渡到新标准或后量子算法,而需要承担高昂的替换成本。这会导致组织长期依赖供应商路线图,延迟安全升级,并增加运营风险。因此,供应链中的硬件限制不仅会减缓迁移工作,还会造成长期的安全和运营风险。
让我们举一个例子来说明硬件限制如何影响加密技术的采用。Falcon 使用基于快速傅里叶变换的陷门采样器来生成签名。它提供非常小的密钥和快速的验证,但与 Dilithium 或传统的 ECDSA 相比,其签名过程要慢得多。这是因为 Falcon 需要 53 位浮点精度,而大多数嵌入式设备仅支持 32 位浮点数。为了弥补这一缺陷,必须在软件中模拟更高的精度,这会显著降低签名操作的速度。
以下最佳实践可以帮助组织设计和维护既安全又适应性强的硬件系统:
| 最佳实践 | 技术方法 | 为什么重要 |
| 采用可升级的硬件辅助加密 | 使用支持加密算法固件级更新的硬件。这可能涉及基于 FPGA 的设计、可编程 HSM 或具有安全更新通道的模块化加密加速器。 | 允许更改算法(例如,从 RSA/ECC 迁移到后量子算法),而无需更换整个设备,从而减少停机时间和成本。 |
| 安全的主机模块通信 | 在主机系统和外部加密模块之间实现加密绑定的通信通道(例如,相互TLS 、消息认证码或数字签名的命令序列)。 | 防止可能危及敏感操作或密钥的中间人攻击或命令注入攻击。 |
| 启用算法和密钥更新的模块化架构 | 设计系统时应使加密组件可拆卸或更换(例如,使用 PCIe 加密卡或可移动安全元件)。 | 允许轻松进行硬件刷新周期,而不会影响 OT 系统的其余部分,从而延长系统寿命并支持加密敏捷性。 |
| 实施强大的固件完整性验证 | 要求使用受信任的供应商密钥对固件更新进行签名,并在执行之前验证硬件模块内的签名。 | 确保仅应用经过身份验证和批准的更新,防止恶意固件注入。 |
| 混合算法支持计划 | 在迁移阶段选择可以并行运行多种算法(例如经典和后量子)的硬件。 | 最大限度地减少操作中断并确保加密转换期间的持续互操作性。 |
通过遵循这些最佳实践,OT 运营商可以构建加密系统,使硬件不再成为限制因素,而是实现长期安全的保障。企业无需在算法过时时面临昂贵且混乱的替换,而是可以平稳过渡到更新、更强大的加密标准,同时保持运营的正常运行时间和合规性。
作为Thales的重要合作伙伴,揽阁信息一直为客户提供基于Thales Luna HSM的销售、技术支持、定制解决方案等工作。作为全球首款获得FIPS 140-3认证的Thales Luna HSM,其最新发布的固件v7.9已经支持PQC算法。我们还提供结构化方法,帮助您将 PQC 无缝集成到其安全基础设施中
实现加密敏捷性不仅仅是在新算法出现时更新软件。更大的挑战在于构建从一开始就灵活且适应性强的系统。组织应专注于设计能够支持新加密方法的解决方案,同时最大程度地减少对现有运营的干扰。这种方法不仅使添加后量子算法变得更加容易,还能更快、更有效地应对新兴的安全威胁。
此外,加密敏捷性需要维护清晰的策略、强大的治理以及对所有正在使用的加密资产进行详尽的记录。持续监控有助于在过时或薄弱的算法构成风险之前将其检测出来。培训开发和安全团队使用与算法无关的框架,可确保无缝实施变更。
揽阁信息 · 值得您信赖的信息安全顾问!
沪公网安备31011202021337号 网站地图
友情链接: Thales官网 芯片产品网站 服务热线
