11月12日,美国国家标准与技术研究院(NIST)发布了过渡到后量子密码学(PQC)标准的初始公开草案(《Transition to Post-Quantum Cryptography Standards》),包含迁移的路线与时间表。
NIST希望到2035年将政府机构的加密系统转变为后量子加密。根据草案,NIST将在2030年前弃用112位及以下安全强度的加密算法,并于2035年前禁用这些算法。
图:11月12日,美国国家标准与技术研究院(NIST)发布了过渡到后量子密码学(PQC)标准的初始公开草案
来源:NIST
未雨绸缪,为未来立盾
根据过往经验,算法标准化至完全融入信息系统需10至20年,反映了企业在产品服务开发、采购及技术整合中的复杂性。尽管后量子密码学的过渡已在加密相关量子计算机(CRQC)建成前启动,但“先存储,后解密”的威胁使得敏感数据长期面临风险,因此迫切需要向其过渡。
根据Mosca定理,组织应在数据安全需求(X年)与过渡时间(Y年)之和超过加密相关量子计算机预期建成时间(Z年)前,开始向后量子密码学迁移。据此,即使加密相关量子计算机问世尚需十年,我们仍应立即采取行动(特别是对长期敏感数据,如政府机密和医疗记录),以确保今天的安全措施能保护未来。
大刀阔斧,逐步淘汰现有加密算法
在公开草案中,NIST对“弃用”和“禁用”进行了区分。其中,“弃用”(Deprecated)表示“可以使用算法和密钥长度/强度,但存在一些安全风险。数据所有者必须检查这种潜在风险,并决定是否继续使用已弃用的算法或密钥长度”;“禁用”(Disallowed)表示“算法、密钥长度/强度、参数集或方案不再被允许用于所述目的”。
NIST表示,原计划自2031年1月1日起禁用那些仅提供112位安全强度的公钥加密方案。然而,考虑到在该时间节点前向PQC算法过渡的必要性,NIST打算调整策略,将这些算法的状态从“禁用”改为“弃用”,特别是针对那些112位安全级别的传统数字签名算法。在向PQC过渡期间,各组织将被允许继续使用这些算法及其参数集,以确保平稳过渡。这一策略调整旨在给予组织更多的灵活性,以适应新的安全要求,同时减轻因技术更新带来的潜在冲击。具体迁移计划如下表所示。
表:易受量子攻击的数字签名算法
来源:NIST、光子盒
与数字签名算法的过渡类似,NIST打算改为弃用而不是完全禁止112位安全级别的经典密钥建立方案。组织在迁移到ML-KEM或其他获批准的抗量子技术时可以继续使用这些算法和参数集。但是,为了降低对网络通信“先存储,后解密”攻击的风险,特定于应用程序的指南可能要求提前迁移到抗量子密钥建立方案。目前,ML-KEM是唯一获批的基于公钥密码学的后量子密钥建立方案。其他算法仍有待成为NIST PQC标准化流程第四轮的候选者,NIST预计将来会选择一种或多种ML-KEM的替代方案。具体迁移计划如下表所示。
表:易受量子攻击的密钥建立方案
来源:NIST、光子盒
NIST现行的对称密码学标准,涵盖了哈希函数、可扩展输出函数(XOF)、分组密码、密钥派生函数(KDF)以及确定性随机比特生成器(DRBG),这些标准相对而言对已知的量子攻击具有较高的抵抗力。具体来说,那些能够提供至少128位传统安全性的NIST认证对称密码原语,普遍被认为足以满足NIST后量子密码学(PQC)标准化进程中,用于评估参数集的五个安全强度等级体系中的至少第一级安全要求。与此同时,NIST计划在2030年停止使用其中一些仅提供112位安全级别的对称密码学标准,建议应用程序开发者在向量子抗性密码学过渡的过程中逐步淘汰这些即将过时的标准。
NIST负责制定和更新安全技术、协议和系统中使用的加密标准与指南,例如FIPS 201-3及其技术准则,这些规定了个人身份验证的安全性和互操作性要求。随着向PQC的过渡,NIST将提供更详细的指南,以逐步淘汰易受量子攻击的算法,并针对特定应用程序定制过渡计划。这些指南将根据量子计算机对应用的潜在影响和PQC的支持情况来制定,优先考虑在TLS和IKE等协议中迁移到抗量子密钥建立方案,以抵御“先存储,后解密”的攻击。NIST将与行业密切协作,确保关键安全协议及时更新,以适应PQC,同时考虑到不同应用领域面临的风险和挑战。
统筹兼顾,分阶段打配合迁移
-综合考虑,灵活布局:迁移初期采用混合加密算法
NIST明确指出,向PQC迁移的初期可能会采用混合解决方案,这些方案在建立加密密钥或生成数字签名时结合了抗量子算法和易受量子攻击算法的使用,以确保至少一个算法安全时整体系统的安全性。
混合解决方案在过渡期间是一种对冲策略,目的是应对加密算法的潜在缺陷,并为依赖传统易受量子攻击算法的行业提供适应PQC的途径。然而,这种方案增加了架构复杂性,可能提高安全风险和成本,因此依然被视为临时措施,最终目标是过渡到完全使用PQC算法的加密工具。
混合方案的实施需根据所采用的技术、应用程序以及开发和部署这些技术的社区进行权衡。组织和标准机构必须评估这些方案在其环境中的安全性、成本和复杂性。NIST计划在其加密标准中纳入混合技术的使用,以促进向PQC的过渡。
在过渡过程中,混合加密算法将在许多应用和系统中并行使用,以保持互操作性。网络安全协议支持多组加密算法的使用,并允许通信双方协商每个会话的算法。预计使用量子易受攻击的数字签名算法的公钥基础设施将与使用抗量子算法的基础设施并行部署和使用。如果每个会话仅使用单一加密算法,则不将其视为混合解决方案。
-“软硬兼施”,多维升级:协同进化为PQC集成做好全面准备
一旦PQC算法得以标准化,应用程序必须进行相应的调整以兼容这些新算法。许多应用程序依赖于基于标准化协议和安全技术的组件,这些组件必须更新以支持PQC算法的集成。此外,应用程序通常建立在软件加密库之上,这些库提供加密算法的实现或作为硬件加密模块的接口。因此,任何软件加密库和硬件加密模块也需更新,以确保它们能够支持PQC算法。同时,应用程序可能依赖的基础设施组件,如公钥基础设施(PKI),同样需要更新,以便应用程序能够顺利迁移到使用PQC算法。
具体包括:
-网络协议和安全技术标准:需要对TLS、SSH、IPsec、CMS等协议进行修改、更新以容纳PQC算法、支持新的密钥交换机制和抗量子身份验证方法,这对于维护数据的机密性和完整性至关重要;
-软件加密库:诸如OpenSSL、BoringSSL、Libsodium等软件加密库需要整合NIST的PQC标准算法,包括添加新算法、优化性能,并确保这些实现能够抵御侧信道攻击,从而使开发人员能够轻松访问抗量子加密函数,而无需自行实现复杂算法;
-加密硬件:硬件安全模块(HSM)、可信平台模块(TPM)等加密硬件模块需要升级或重新设计,包括更新固件或硬件以支持新算法,并确保这些模块能够高效执行量子抗性加密操作,同时维持这些设备的高安全标准,为加密操作和敏感密钥的存储提供安全的运行环境;
-公钥基础设施(PKI)及其他基础设施组件:在证书颁发过程中支持新的加密算法、修改验证和吊销机制,确保在过渡期内保持向后兼容性和互操作性,这对于维护整个网络的信任和安全性至关重要。
结语:规模与认知水平皆是前所未有
历史上,加密技术的更新迭代屡见不鲜,比如通过增加密钥长度或逐步淘汰安全性不足的哈希函数和分组密码。尽管向后量子密码学(PQC)的过渡在规模上前所未有,但我们对这一变革的认识和理解远超以往任何一次加密技术的更新。NIST深知,将广泛依赖于公钥加密的众多系统迁移至PQC是一项复杂且充满挑战的任务,它要求我们对各种具有特定需求和限制的应用程序与基础设施投入巨大的努力。这份路线图标志着NIST迈向管理和指导向后量子密码学过渡的更广泛战略的第一步。
这一转变将包括:
NIST致力于确保这一过渡过程尽可能平稳和协调,在平衡紧迫的PQC采用需求的同时,减少造成关键系统中断的问题。
美国的思路或许能够为我们提供一些启示。
[2]https://nvlpubs.nist.gov/nistpubs/ir/2024/NIST.IR.8547.ipd.pdf