(post-quantum

背后的主要动机#xff0c;但其他未来的量子计算威胁也需要一个深思熟…1.

若现在不使用量子安全算法来加密数据能够存储当前通信的攻击者最快十年内就能对其解密。

这种先存储后解密的攻击是当前采用后量子密码学

(post-quantum

背后的主要动机但其他未来的量子计算威胁也需要一个深思熟虑的计划——将当前的经典密码算法迁移到PQC。

所讨论的量子攻击的可行性。

存在先存储后解密攻击。

需要具有数十年使用寿命的固定公钥的应用场景。

需

对可能需要大量重新设计才能与后量子算法配合使用的系统进行探索性研究特别是在需要更广泛的行业协作的情况下。

Shor

若对手将来能够访问量子计算机那么当前的系统是否已经面临风险。

现在存储密文并稍后解密是一个典型的例子需要在量子计算机出现之前就部署

非对称加密和密钥协商使用私钥/公钥对建立可用于对称加密的密钥。

受

Shor

算法影响容易受到“先存储后解密”攻击。

数字签名使用私钥/公钥对来验证数据并提供不可否认性。

受

Shor

算法影响但不容易受到“先存储后解密”攻击。

“Fancy”密码学此类取决于特定算法和用例但许多隐私保护技术如

盲签名、

算法的影响且部分容易受到“先存储后解密”的影响。

其中许多技术需要进一步研究。

建议仔细评估量子威胁对这些计划的影响。

对称密码学使用单个密钥来加密和验证数据。

目前认为对称密码学不会在所有实际用途上受到量子计算机的影响。

Grover

算法可用作攻击手段但目前认为即使对于medium-term量子计算机也是不可行的。

详情参见2017年论文Reassessing

Grover’s

NIST一直致力于标准化新的量子安全算法以解决非对称加密和密钥协议以及数字签名问题。

相关算法有

算法类型公钥大小密文/签名大小ECDH经典算法密钥协商32字节32字节ECDSA经典算法数字签名32字节64字节Kyber-768/ML-KEM-768密钥协商1184字节1088字节Dilithium3/ML-DSA-65数字签名1952

字节3309字节SPHINCS±128s/SLH-DSA-128s数字签名32字节7856

NIST

以便制定基于更广泛的数学假设的方案并允许在公钥大小和密文/签名大小之间进行不同的权衡。

PQC

算法在过去十年中已接受了大量的密码分析但它们仍然不如经典密码学成熟建议是以混合方式来使用经典密码学和PQC这要求攻击者同时破解经典算法和后量子算法。

密码学应用场景

经典密码学广泛应用于现代软件和基础设施中。

后量子密码学将影响许多现有的部署。

接下来将针对不同的用例给出了建议但请注意标准仍在制定中这些标准将成为使用哪种算法的更明确的指导。

3.1

CA属于公共密钥基础设施并且需要社区达成共识才能进行有意义的部署。

Google

算法。

传输中加密所需的密钥的短暂性使得这个用例虽然最紧迫但出于技术和社会原因也是相对最简单的。

Kyber768

安全启动信任链的根。

这些签名的公钥通常必须被刻录到硅芯片中或以其他方式防止被更改和篡改。

这使得在大多数情况下无法更改此用例的签名方案。

对于寿命长达十年或更长的设备最终会遇到与“先存储后解密”攻击类似的情况现在需要实施量子安全算法因为无法稍后对其更改。

由于加密算法的硬件实现通常涉及较长的生产时间这使得情况变得更加复杂。

SPHINCSFIPS

软件签名与固件签名类似需要保证安全启动并使部署能够防止二进制文件和源代码被篡改。

与固件签名不同软件签名的公钥通常可以更新并依赖较低级别的签名来确保真实性。

最重要的是二进制文件和源代码通常都相当大并且签名和验证都不是特别受资源限制。

这为该应用场景提供了最大的灵活性和相对宽松的时间表。

Dilithium3FIPS

公钥基础设施是用于为传输中的加密提供真实性以及机器和人员的可靠身份的基础设施。

PKI

通常依赖于证书链即带有附加签名的公钥该签名可由链中较高级别的密钥验证。

这使得当前形式的

PKI

时某些设备就会开始出现故障详情见2021年11月8日博客Sizing

Post-Quantum

Signatures。

这个问题可能是可以解决的但无论如何都会造成严重的性能损失。

PKI

的性能问题。

目前正在寻求在这个领域进行试验以收集数据以提供更可靠的建议。

3.5

Token(JWT)。

使用对称加密技术或使用状态技术作为纵深防御措施的令牌不会受到量子威胁的影响。

对于非对称令牌来说主要困难是它们经常带来的大小限制。

如应该保存为

cookie

无状态令牌具有独立的安全问题转向有状态令牌是谨慎的做法只是为了确保系统更健壮。

NIST

竞赛的第二个入口中的一些方案具有非常小的签名但却又很大的公钥——可为解决令牌场景的另一种工具。

3.6

在某些情况下文档必须进行非对称加密与传输中的加密分开。

该用例主要包括通过

S/MIME

缺乏量子安全机密性和缺乏量子安全真实性都可能被威胁者利用。

虽然对机密性的威胁更为直接但对真实性的威胁往往影响范围更广更具破坏性。

4.1

国家最有可能首先实现与密码相关的量子计算机。

他们很可能会尝试以可否认的方式部署量子计算机以避免向对手透露其能力。

国家最有可能针对其他国家客户的云部署并可能针对政治异见人士和其他监视目标。

国家也可能出于军事或经济原因而针对谷歌或其他基础设施提供商。

虽然构建与密码相关的量子计算机很困难但一旦机器建成破解任何给定的公钥应该不会太昂贵。

考虑到传输密钥加密的短暂性最有可能的第一个目标将是

PKI

等所需的更多静态密钥以及破坏被认为高度感兴趣的存储通信。

随着量子计算机变得越来越便宜它们可能会瞄准越来越多的受害者。

NIST

公开竞赛中设计的。

此外如果大多数部署都是混合方式那么在量子计算机问世之前单独破解

PQC

谷歌和其他公司正在致力于构建量子计算机该计算机最终可能与密码学相关。

与其他珍贵技术一样内部威胁仍然是一个媒介。

为此公司需要采取必要的预防措施来保护他们的皇冠上的宝石以避免被国家威胁和其他有动机的攻击者盗窃或利用。

4.3

对于出于经济动机的威胁者来说主要考虑因素是量子计算机的可用性。

如果量子计算机的用例仍然有限那么对于出于经济动机的威胁者来说访问它们可能会太困难。

如果它们可以直接或通过云部署以相对便宜的价格获得很可能会看到它们通过利用尚未迁移到量子安全协议的领域来提取赎金或进行工业间谍活动。

4.4

已成为美国多项行政命令的热门话题要求美国政府努力部署量子安全密码技术。

CNSA

2.0,

Report在上图中总结出所拥有的量子计算机风险的最佳总体时间线估计

根据这个时间表并得到谷歌量子计算团队

cryptography中指出其认为谷歌评估“与加密相关的量子计算机的主要风险在

4-5

尽管距离密码学相关的量子计算机的普及还有很长的时间希望通过本文给出的概述能够帮助了解哪些领域面临的风险最大以及目前应该开始关注的地方。

参考资料