发布日期:2025-10-12 浏览次数:
数字签名是网络安全的核心。它确保您收到的数据真实可靠,且未被篡改。几十年来,RSA 和ECC(椭圆曲线密码学)一直是领先的数字签名算法。但量子计算的兴起有可能打破这两种算法的垄断。为此,美国国家标准与技术研究院 (NIST)在其后量子密码学 (PQC)标准化流程中遴选了新的算法。其中,ML-DSA 已被选为数字签名的未来标准。
RSA 的安全性依赖于大整数因式分解的难度。已知最快的通用经典大整数因式分解算法是通用数域筛选法 (GNFS),其运行时间仅为亚指数级。相比之下,Shor 算法在量子计算机上的因式分解时间为多项式时间,这意味着如果将来能够构建可扩展且容错的量子计算机,RSA 算法将被彻底攻破。
椭圆曲线密码学 (ECC) 基于椭圆曲线离散对数问题的难度。Pollard 的 rho 算法是目前已知最快的针对 ECDLP 的通用经典攻击,其运行时间相对于密钥长度呈指数级增长。然而,Shor 算法可以在量子计算机上以多项式时间求解离散对数问题,这使得 ECC 在量子时代与 RSA 一样脆弱。
更大的密钥长度并不能解决问题,因为无论密钥长度如何,量子算法仍然有效。这意味着RSA和ECC算法可能被破解,从而使数字签名变得脆弱。
ML-DSA(基于模块格的数字签名算法)是一种源自 CRYSTALS-Dilithium 项目的后量子数字签名方案。它依赖于基于格问题的难度,具体来说,是 Module-LWE(带错学习)和 Module-SIS(短整数解)。根据NIST的说法,基于当前的密码分析技术,即使在大规模量子计算机存在的情况下,ML-DSA 也被认为是安全的。
这些数学问题被认为能够抵御来自经典计算机和量子计算机的攻击,这使得 ML-DSA 成为未来几十年数字签名安全保障的有力候选方案。以下是一些理由:
量子安全保障
格子问题(例如 LWE、Ring-LWE、SVP)被认为能够抵抗 Shor 和 Grover 等量子算法的攻击,使其成为 PQC 的有力候选。这些问题涉及在高维格子(点阵)中寻找隐藏结构。
虽然解决这些问题的最著名算法运行时间呈指数级或亚指数级增长,并且随着格参数的增加,在密码规模下解决这些问题几乎是不可能的。基于格的方案(例如用于加密的 ML-KEM 和用于签名的 ML-DSA)已被 NIST 最终确定为 PQC 标准,这为其提供了可信度和行业采用的动力。
简单胜过复杂
一些后量子方案依赖于高级代数结构,例如多元多项式或基于哈希的大规模构造。这些结构可能难以实现,也难以安全地优化。相比之下,ML-DSA 使用哈希函数、模运算和结构化随机性,这些易于理解的工具使该方案更易于跨平台实现、审计和维护。
跨平台可用性
它经过优化,可在各种设备上高效运行,从服务器和笔记本电脑到嵌入式系统和物联网硬件等受限环境。与其他 PQC 替代方案不同,ML-DSA 不需要专门的加速器或定制硬件,因此在不同平台上的采用更加简单、实用。
侧信道意识
ML-DSA 非常重视侧信道安全性。为了限制泄露敏感信息的可能性,它避免了以下常见陷阱:
相反,ML-DSA 坚持恒定时间、基于整数的操作,保持其执行可预测,并减少经常导致更复杂的加密设计失败的各种细微泄漏。
实施的实用性和性能
尽管密钥长度比 RSA/ECC 更大,基于格的方案仍然保持计算效率高且易于部署。它们在性能、安全性和灵活性方面取得的平衡使其成为安全消息传递、物联网和数字基础设施等实际应用的有力候选者。ML-DSA 最大的优势之一是性能,它的签名和验证速度比基于哈希的方案(例如 SPHINCS+)快得多。如此快的速度使其成为高容量身份验证和安全通信等实际用例的实用选择。
| 参数集 | 公钥(字节) | 私钥(字节) | 签名(字节) |
| ML-DSA-44 | 1,312 | 2,560 | 2,420 |
| ML-DSA-65 | 1,952 | 4,032 | 3,309 |
| ML-DSA-87 | 2,592 | 4,896 | 4,627 |
后量子安全
ML-DSA 建立在基于格的密码学基础之上,这是密码学的一个分支,利用格的数学结构,被认为能够抵御经典攻击和量子攻击。它专门设计用于抵御来自大规模量子计算机的攻击。
由 NIST 标准化
2024年,NIST在其FIPS 204文档中将ML-DSA标准化为后量子密码学的主要数字签名算法。这使得ML-DSA在大多数应用中成为RSA和ECC的官方替代品。
实用效率
ML-DSA 提供快速的签名和验证,优于其他几种以速度换取安全性的后量子方案。虽然它的密钥和签名大小比 ECC 更大,但比 SPHINCS+ 等体积更大的方案更易于管理。ML-DSA 基于简单的整数设计,更易于安全实现,从而降低了错误和侧信道泄漏的风险,使其成为实际部署中非常实用的选择。
| 特征 | RSA | ECC | ML-DSA |
| 安全基础 | 整数分解 | 椭圆曲线离散对数 | 格子问题(模块-LWE、模块-SIS) |
| 抗量子 | 不安全 | 不安全 | 安全的 |
| 密钥大小 | ~2048–3072 位 | ~256 位(等效) | ~1–1.5 KB |
| 签名尺寸 | ~256 字节 | ~64–72 字节 | ~2–3 KB |
| 表现 | 慢签名,快验证 | 快速签名,适度验证 | 签名快,验证慢 |
美国联邦政府估计, 2025年至2035年间将花费71亿美元用于更新目前使用RSA和ECC签名的系统。其中很大一部分投资将用于部署ML-DSA数字签名算法。NIST还宣布,到2030年,RSA、ECDSA和EdDSA等经典数字签名算法将被弃用。到2035年,这些算法将在联邦系统中被彻底禁用。
ML-DSA 源自 CRYSTALS-Dilithium,已被标准化为这些签名的主要替代方案。ML-DSA 代表未来趋势的一些关键原因如下:
它为我们未来的数字安全做好了准备,因为它可以防御经典攻击和量子攻击。
ML-DSA 得到 NIST 的支持,确保全球采用。
ML-DSA 具有广泛的适用性,可以集成到软件、固件和硬件系统中,以保护通信、代码签名和敏感数据的安全。
揽阁信息提供的Thales Luna HSM,已经在固件中支持了ML-DSA算法,可实现PQC算法密钥的全生命周期管理。不仅于此,我们还可以针对您的项目情况,提供定制化解决方案。欢迎联系我们获取更多资料。
几十年来,RSA 和 ECC 一直是数字签名的基础,但量子时代需要更强大的保护。ML-DSA 提供了这种保护,为未来提供了安全且标准化的解决方案。通过采用 ML-DSA,组织可以确保其数字签名在后量子时代仍然值得信赖。
为了确保顺利过渡到后量子算法,专家和经验丰富的指导至关重要。揽阁信息致力于帮助您以清晰、自信的方式前进,并制定符合您目标的定制策略。让我们立即行动,确保您的组织不仅在当前,而且在未来都受到保护。
揽阁信息 · 值得您信赖的信息安全顾问!
沪公网安备31011202021337号 网站地图
友情链接: Thales官网 芯片产品网站 服务热线
