(图片来源:NIST)
作为全球量子计算机研发的一个重要参考标志和网络空间安全的重大事件,自从2016年开始美国国家标准技术研究院(NIST)面向全球征集具备抗击量子计算机攻击能力的新一代公钥加密算法簇。由于公钥加密算法是现代网络空间可信链的基石,在全球通过互联网连成一体的今天,NIST的举措引起了世界各国的高度关注。今日,NIST公布了第三轮的7个候选算法,它们分别是:
公钥加密/KEMs
Classic McEliece
CRYSTALS-KYBER
NTRU
SABER
数字签名
CRYSTALS-DILITHIUM
FALCON
Rainbow
此外,以下8种算法将进入第二组备选:
公钥加密/KEMs
BIKE
FrodoKEM
HQC
NTRU Prime
SIKE
数字签名
GeMSS
Picnic
SPHINCS+
一旦大规模容错型量子计算机研发成功,它可以轻松解决许多以前难以解决的问题,其中就包括彻底瓦解互联网可信链之锚—基于第一代公钥密码算法(RSA/ECC)的各种网络安全协议。因此,国际上业已达成共识:虽然这项技术仍处于初级阶段,未来量子计算技术成熟以后将有能力击败许多当前的密码系统。
由于量子计算机的未来能力仍然是未知的,NIST团队采取了多种数学方法来保护加密。例如,上一轮审查入围的26种候选算法就是建立在三种不同的数学方法家族的思想上。
NIST数学家达斯汀·穆迪(Dustin Moody)说:“在第三轮审查中的15个入选算法中,12个来自上述三个家族,其余3种算法是基于其他方法。对于最终的标准来说,提供多种加密途径是很重要的,以防被一网打尽。”
密码算法以多种方式保护信息,例如通过创建数字签名来证明电子文档的真实性。新标准将为数字签名、公钥加密和密钥生成分别指定一个或多个抗量子算法,分别对NIST的FIPS 186-4、特别出版物(SP)800-56A修订版3和SP 800-56B修订版2中的算法进行扩充。
在第三轮审核中,NIST采取了一个新的方法,将剩下的候选算法分成两组,他们称之为“track”。第一组包含了7种似乎最有希望的算法。穆迪说:“我们称这7名选手为决赛选手。在很大程度上,它们是通用算法,我们认为可以得到广泛的应用,并在第三轮之后做好准备。第二组的8种侯选算法要么需要更多的时间成熟,要么是为更具体的应用量身打造的。第三轮审核结束后,审查程序将继续进行,最终,这些第二组的一些候选算法可能也会成为标准的一部分。可能的结果是,在第三轮结束时,我们将对一到两种加密和密钥封装算法,以及一到两种用于数字签名的算法进行制标工作。但到我们结束的时候,审查过程将持续五六年,可能有人在这期间想出了一个好主意。因此,我们也许会找到一种新方法。”
第三轮审查结束后,NIST将继续对上述7名决赛入围算法进行审查,供下一步制定标准参考。由于CRYSTALS-KYBER、NTRU和SABER都是基于格的方案,NIST打算最多选择一个作为标准。签名方案中的CRYSTALS-DILITHIUM 和FALCON也是如此。在NIST看来,这些基于格上困难问题的方案是公钥加密/KEM和数字签名方案中最有前途的通用算法。
对于进入第三轮审查的8种备选算法,NIST指出,尽管可能性不大,这些算法仍有希望被标准化。NIST预计将对部分备选算法进行第四轮评估。其中一些候补候选算法的表现比入围者差,但可能会基于对其安全性的高度信心而被选为标准化候选算法。其他候选算法的表现可以接受,但需要额外的分析或其他工作,以激发对其安全或安全原理的信心。此外,NIST将根据对未来抗量子安全标准中更广泛的增强安全假设的期望、它们对目标用例的适用性或其进一步改进的潜力选择一些替补算法。
对于进入第三轮审查的算法,NIST将允许提交算法的团队选择提供更新的规范和实现方案(即“调整”方案)。这些调整方案的最后提交期限是2020年10月1日。NIST将审查提交的修改方案,并将在不久后公布已接受的提交文件。总的来说,NIST预计,对7个入围算法的修改应当相对较小,同时允许对8个备选算法有更多的自由度。不过,若有较大的变化可能表明算法目前还不够成熟,那么这类算法就无法进行标准化。
由于COVID-19流感大流行可能造成的延误,第三轮审查的日程安排比过去两轮宽松。预计第三轮的评价和审查将持续12-18个月。NIST计划在2021年召开第三届NIST PQC标准化会议。穆迪表示,NIST预计将在2022年发布后量子密码的初始标准。
另外,值得注意的是,就在NIST正式公布这个第三轮审查结果的前一天,美国国家安全局(NSA)公开了一个很有趣的评论,“美国国内外各方纷纷询问NSA对NIST有关后量子制定过程和正在分析的算法的看法。我们(NSA)打算在我们的网站上为客户提供关于算法的高级指导,并且我们计划应客户的要求将同样的信息发布到这个新闻组(NIST后量子算法新闻组)。我们认识到,虽然NSA即将公布的新闻不会包含与NIST后量子算法新闻组以往那种相同的深刻而详细的分析,但这是NSA根据网络安全总统令赋予的职责,努力使国家安全系统更加公开和透明的一个方面。同时,我们要再次公开感谢NIST在这一过程中所做的一切努力。这是一项富有挑战性和艰苦的工作,但往往得不到充分的重视。我们仍然乐观地认为,NIST将选择对国家安全和商业案例更为安全的算法。”NSA的这个表态,让人深思。
量子计算与现代网络空间安全即将进入一个崭新的博弈阶段。让我们拭目以待。
声明:本文来自量子计算最前沿,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。