发布日期:2026-03-13 浏览次数:
在当前“量子时代”安全保障的浪潮中,我们优先考虑了保密性。我们谈论“先获取,后解密”(HNDL),即攻击者窃取加密数据,以便在量子计算机足够强大时读取这些数据。但公钥密码学的阴影下,还潜藏着第二个,或许更危险的威胁——“先信任,后伪造”(TNFL)。
目前,我们使用RSA和ECC对所有内容进行签名,从数字签名到软件更新。这些签名在数学上是“不可能”伪造的。但量子计算机的出现改变了密码学的格局。攻击者可以利用你今天创建的公钥,通过量子算法(例如Shor算法)进行运算,反向推导出你的私钥。
一旦他们掌握了那把密钥,他们不仅拥有了你当前的身份,还拥有了你的历史记录。他们可以签署文件、生成恶意软件,或者进行欺诈交易,并将交易日期篡改为2025年或更晚。由于私钥验证无误,系统别无选择,只能信任它。
如今,攻击者一旦获取了签名或公钥和数字签名,实际上就等于锁定了一个“冻结”的身份。这之所以如此危险,是因为它会导致不可否认性彻底失效。这意味着你将无法证明自己没有做过某件事。
与需要攻击者主动拦截和存储大量数据的机密性攻击(HNDL)不同,TNFL目前无需任何投入。以下是该攻击随时间展开的详细步骤。
公钥并非秘密;它们旨在全球可用。每个 TLS 证书、每个代码签名证书、每个固件验证链以及嵌入操作系统中的每个根证书都包含公钥材料。
如今,攻击者只需“收藏”这些公钥即可。RSA算法利用了分解大数的难度,而ECC 算法则利用了椭圆曲线离散对数问题。在这两种情况下,你的公钥都与你的私钥存在数学上的关联。推导出私钥所需的所有信息都已存在,只是被“锁定”在一个需要传统计算机花费数万亿年才能解决的复杂计算背后。
一旦密码学相关量子计算机(CRQC)投入运行,攻击者就可以利用捕获的RSA/ECC公钥运行Shor算法,从而推导出相应的私钥。此时,攻击者就拥有了你2024年数字身份的“完美”副本。那一刻,攻击者不仅“攻破”了系统,还继承了原所有者的全部权限。
一旦获取到私钥,攻击者就能生成数学上完美的签名。噩梦由此开始。有了私钥,攻击者就能生成新的签名。他们创建一个恶意固件组件或伪造一份合同,并将其时间戳设置为2024年。这堪称完美犯罪,因为他们使用的是真正的私钥;生成的数字签名在密码学上与你十年前创建的签名完全相同。
在我们的法律和技术体系中,我们依赖于不可否认性原则,即如果签名有效,你就不能否认自己签过名。而这正是信任的“悬崖”,一旦出现问题,信任就会消失。例如,证书的用户或使用者收到一条“已签名”的关机命令。它检查签名,发现签名来自“可信的制造商”,然后关机。系统根本无法判断这条命令是伪造的。
你能想象那会是怎样的混乱局面吗?任何人都可以找任何人的麻烦,追究任何责任。
攻击者可以伪造一份数字贷款协议或巨额银行转账记录,将日期提前五年,并用原始私钥签名。如果签名与你2024年的私钥匹配,你如何在法庭上证明自己没有签署这份协议?
当签名可以被伪造时,证明你清白或意图的“证据”就不复存在了。以下是TNFL的主要目标:
这是最危险的运行威胁,因为它绕过了所有边界防御。大多数系统、服务器和设备都设计为仅接受使用可信制造商密钥签名的软件更新。如果黑客在 2035 年破解了制造商 2024 年的 RSA 密钥,他们就可以将密钥日期篡改为 2024 年,并签署恶意“紧急更新”。对系统而言,这种恶意软件看起来完全真实。它拥有“已验证”的签名,因此硬件会将其安装。
制造商无法验证更新是否源自其他来源。如果出现他们从未发送过的“漏洞”或“攻击”,制造商将承担责任。
浏览器中的“绿色小锁”是互联网信任的基石。它告诉你,你正在访问的网站正是它所声称的那样。这种信任根植于证书颁发机构(CA)。如果通过量子数学逆向工程破解了根 CA 的私钥,攻击者就可以为任何域名颁发“受信任”的证书。如果 CA 的私钥被重构,后果将更加严重:攻击者可以颁发新的中间 CA,创建伪造的最终实体证书,并伪造证书吊销列表(CRL)或 OCSP响应等吊销凭证。在这种情况下,整个信任层级结构将崩溃。这种伪造在数学上是完美的;即使是 CA 本身也无法证明它没有颁发过该证书。
数字签名通常预计能保持数十年的可验证性。法律合同、监管文件、金融交易记录和长期存档文件都依赖加密签名作为真实性和不可否认性的证据。
如果未来某个时候RSA或ECC签名变得可破解,攻击者就可以重构旧的私钥,并伪造看似多年前创建的签名。在许多系统中,验证引擎会检查签名在数学上是否正确,证书链在声称的签名时间是否有效,以及吊销状态是否可接受。
如果签名可以被重新创建并篡改日期,那么如果签名在密码学上有效,你就无法说“我没有签过这个”,因为你没有办法用密码学方法证明你没有签过它。
“先获取,后解密”(HNDL)和“先信任,后伪造”(TNFL)都是量子时代的威胁模型。但它们攻击的安全属性不同,使用的机制不同,造成的长期后果也不同。
| 因素 | HNDL | TNFL |
| 攻击 | 今天捕获加密数据,等到量子计算机能够破解经典密钥交换时再进行解密。 | 今天信任签名,但一旦量子技术突破经典签名算法,就可以伪造签名。 |
| 受影响的主要安全财产 | 保密性 | 诚信、真实、不可否认 |
| 密码学原语目标 | 数字签名/密钥交换(RSA、ECC、ECDH) | 数字签名(RSA、ECDSA) |
| 对当今的依赖 | 是的,如果现在不采集数据,以后就无法解密。 | 不,公钥已经随处可得了。 |
| 技术上哪里出了问题? | 会话保密性 | 签名完整性和身份信任 |
| 对TLS的影响 | 过去的加密会话将变为可读状态。 | 证书可以被伪造。 |
| 对 PKI 的影响 | 机密通信泄露 | CA 私钥可推导,完整的 PKI 层级结构遭到破坏 |
应对 TNFL 需要采用与传统数据保护不同的策略。由于 TNFL 攻击的是完整性,因此您的目标不仅是隐藏数据,还要确保您的“真实性证明”在数十年内都坚不可摧。
以下清单提供了一条从即时可见性到长期量子韧性的结构化路径。进行调研和盘点,以识别和梳理以下内容:
根证书颁发机构和颁发证书颁发机构
用于对您的软件、固件和补丁进行签名的私钥
影子证书或通配符证书(如有)
代码签名密钥。在 CI/CD 流水线中强制执行签名验证。
时间戳授权机构 (TSA)。将 TSA 密钥纳入 PQC 迁移路线图。
使用 CBOM(加密物料清单)工具执行自动化发现和盘点。
将 1-2 年的证书周期改为 90 天(或更短的 47 天)的周期。
识别那些被硬编码为使用 RSA/ECC 且无法远程更新的传统或嵌入式设备。
将所有签名密钥存储在符合 FIPS 140-3 标准的HSM中。针对 RSA 硬编码启动环境,制定硬件更新计划。
定义混合签名架构(并行或复合)。确保保留传统签名以实现向后兼容性。
设计新的支持 PQC 的根目录层级结构。在过渡期间并行运行传统根目录和 PQC 根目录(如果可能)。
迁移到PKI 即服务 (PKIaaS)或开箱即用支持 PQC 算法的云原生 CA。
对于无法打补丁的传统 OT/ICS 环境,将其置于网关之后,由网关代表其验证 PQC 签名。
使用抽象层(或 CLM 工具),您可以通过更改配置文件而不是重写代码来替换算法(例如,从 RSA 迁移到 ML-DSA)。
无需手动管理证书。如果密钥泄露(或出现新的技术突破),您应该能够在数小时内(而不是数月内)重新签名整个证书集群。
验证 HSM 固件 PQC/混合支持路线图
使用更大的算法对签名吞吐量进行基准测试
更新钥匙仪式流程,使其包含 PQC 钥匙
验证新密钥类型的备份/恢复流程
更新操作文档(CP/CPS)
这份清单的目标是帮助您的组织从被动脆弱的状态转变为主动诚信的状态。
缓解 TNFL 威胁需要我们转变管理信任“有效期”的方式。与可以通过静态加密解决的机密性威胁不同,TNFL 会攻击您的权威性。如果根密钥或代码签名密钥在十年内泄露,攻击者可以将签名日期回溯到今天,而您当前的系统将无法区分真假签名。
这张表格相当于一张漏洞地图。它将数字世界划分为不同的“信任域”,即我们依赖数字签名的领域,并解释了TNFL如何将这些领域转化为安全隐患。
| PKI 信任域 | TNFL 冲击 | 为什么风险很高 | 切实可行的缓解措施重点 |
| 信任锚(根证书颁发机构/信任存储) | 伪造根私钥可以让攻击者颁发完全可信的证书链,创建虚假身份或对被验证为合法的恶意基础设施进行签名。 | 根基深厚且广受信赖;妥协是系统性的。 | 构建并行的 PQC 就绪根;尽早分发信任锚点(GPO/MDM/镜像);规划根轮换;缩短信任期限。 |
| 发行(中间)CA | 泄露颁发 CA 密钥可以大规模颁发伪造的终端实体证书,从而大规模冒充服务、用户或设备。 | 颁发 CA 证书会对所有内容进行签名;一旦泄露,会迅速影响众多终端。 | HSM 支持的 CA 密钥、更短的 CA 生命周期、分阶段 CA 更换、长期生存证书的混合颁发策略。 |
| 代码签名 | 攻击者重构代码签名密钥,并对恶意软件或篡改的软件更新进行签名,这些更新看起来像是供应商提供的,并且能够通过签名验证检查。 | TNFL 能够实现“看似合法”的恶意更新;影响范围巨大。 | HSM 保护的签名密钥、双重/混合签名、在 CI/CD 中强制签名、溯源控制(SBOM + 策略门)。 |
| 固件/安全启动签名 | 使用派生密钥签名的伪造固件映像会被设备接受,从而绕过安全启动并安装持久性恶意代码。 | 通常情况下,无法升级的验证器和伪造的签名可以伴随设备的整个生命周期。 | 尽可能对固件进行双重签名;计划对硬编码的 RSA/ECC 进行硬件更新;并添加具有更强验证功能的更新网关。 |
| 撤销(OCSP/CRL) | 伪造的 OCSP 响应或 CRL 会错误地表明被吊销的证书是有效的,或者使合法的证书无效,从而破坏信任决策。 | 如果吊销凭证可以伪造,你就无法保证“此证书是否有效?”。 | 将撤销签名密钥与新的层次结构、严格的 OCSP 签名控制、监控和装订验证测试保持一致。 |
| 时间戳/长期验证 | 伪造的签名,加上篡改的时间戳链,使得恶意文件看起来具有历史效力,具有法律真实性。 | TNFL 问题会因时间戳链薄弱而加剧;法律和审计影响十分严重。 | PQC就绪时间戳策略,重新为长期存在的记录添加时间戳,LTV设计,使归档证明不会崩溃。 |
| 注册基础设施 | 使用被泄露的 CA 密钥批准或伪造的恶意证书请求,可以颁发未经授权的身份证书,而这些身份证书在加密上看起来是有效的。 | 签名可以被原谅,这简直是灾难性的。 | 加强注册身份验证、自动化审批、模板限制、审计跟踪和 CLM 强制执行。 |
| 验证端点/应用程序 | 由于信任锚点遭到破坏,应用程序会接受伪造的证书链,使得恶意服务与合法服务难以区分。 | 如果验证器无法解析新的配置文件/OID,则从传统信任模式迁移将失败。 | 加密敏捷性测试、信任库更新能力、链/路径构建测试、规模/延迟测试。 |
PQC评估
我们首先会绘制您当前的加密环境。这包括发现和清点所有加密资产,例如证书、密钥和相关依赖项。然后,我们会评估哪些系统容易受到量子威胁,并审查您的PKI、HSM和应用程序的就绪情况。最终,我们会提供详细的加密清单、量子风险影响分析以及清晰的优先行动计划。
PQC 战略和路线图
接下来,我们将根据您的业务目标,量身定制迁移策略。这包括根据 NIST 和 NSA 指南更新加密策略、创建治理框架,并嵌入加密敏捷性原则,以确保您的系统保持灵活应变。这将最终形成全面的 PQC 策略、加密敏捷性框架,以及根据您的优先事项和时间表构建的分阶段迁移路线图。
供应商评估和概念验证
选择合适的解决方案至关重要。我们帮助您明确 RFP/RFI 要求,筛选出最合适的 PQC 算法、密钥管理和 PKI 供应商,并在您的环境中进行概念验证测试。这将为您提供供应商比较报告和定制建议,以支持您做出明智的决策。
PQC实施
制定计划后,我们将协助您在基础设施(例如 PKI、企业应用或更广泛的生态系统)中部署后量子算法。我们还支持混合加密模型,确保跨云、本地和混合环境的无缝集成。这有助于提供经过验证的互操作性、强大的文档和实践培训,使您的团队能够自信地管理和维护系统。
试点测试和扩展
在企业范围部署之前,我们会进行受控的试点测试,以验证性能并解决集成问题。优化完成后,我们将分阶段部署,以取代传统算法,最大限度地减少中断并保持合规性。这可实现顺畅、可扩展的部署,并通过持续监控和优化,确保您的系统安全可靠,并在未来保持稳定。
作为Thales的重要合作伙伴,揽阁信息提供的Thales Luna HSM,已经在固件中支持了ML-DSA、ML-KEM、LMS等算法,可实现PQC算法密钥的全生命周期管理。不仅于此,我们还可以针对您的项目情况,提供定制化解决方案。欢迎联系我们获取更多资料。
尽管业界长期以来一直关注HNDL对我们秘密信息的威胁,但TNFL揭示了一种更为根本的风险:数字身份和不可否认性可能彻底崩溃。如果我们现在不采取行动清点我们的加密资产并过渡到抗量子签名,我们将面临一个历史本身可以被改写、数字签名不再受我们控制的未来。保障未来不仅仅意味着今天隐藏我们的数据;它还意味着加强我们未来的能力。
揽阁信息 · 值得您信赖的信息安全顾问!
沪公网安备31011202021337号 网站地图
友情链接: Thales官网 芯片产品网站 服务热线
