美国国家安全局(NSA)在美国国家标准技术研究院(NIST)正式公布第三轮后量子密码(PQC)入选名单的前一天,公开对外发布声明,称该机构将对NIST正在进行的PQC算法征集活动进行点评。由于NSA从来没有对国际商用密码标准制定活动进行公开评论的惯例,因此消息一经披露,引起了国际密码学界的高度关注。今天,“高高举起的第二只皮鞋终于落地”:NSA下属的网络安全局(CSD)代表这个世界上最为庞大的情报机构正式发表了对目前NIST全球PQC算法征集活动安全性的“官方态度”。

“量子计算最前沿”现将NSA的最新声明编译/点评如下:

近日,应其合作伙伴国家安全系统(NSS)部门的要求,美国国家安全局网络安全局对NIST后量子标准化工作中正在审核的算法发表看法。本局认为,公开分享(我们的)相关观点是为了使NSA在确保NSS安全性方面更加透明。NSA首先感谢NIST为推动安全的后量子密码技术的采用和部署所做的所有努力,这对美国的国防至关重要。

与几天前NSA的“预警性”声明中提到的他们仅仅是提出一些抽象、高层(High Level)的观点略有不同,今天发布的声明当中,显示了NSA对具体的后量子加密算法簇的观点和“偏爱”。NSA指出:

(1)基于格的加密方案

基于格的加密方案的安全性源于以下相关问题:格上最短向量SVP问题及其等价的数学难题。在密码学文献中对这类难题进行了充分的研究。分析表明,对这类算法系统进行参数化后可以保证安全。我们赞成NIST在NISTIR 8309文件中的评估结果:NIST后量子密码技术标准化过程第二轮审核状态报告中的评估,即认为这些算法是最高效的后量子算法。根据NIST的分析和实施工作的历史,NSA CSD预计,基于NIST筛选的格的候选签名算法和候选密钥封装机制将被批准用于NSS

(2)基于哈希的签名:

基于哈希的签名方案是基于反转哈希函数的安全性。在密码学文献中,这些系统也有相当多的研究。分析表明,对这些系统进行参数化后可以保证安全性。但是,安全哈希的状态(stateful versions)对每个公钥所允许的签名数量有限,并且要求签名者保持内部状态(internal state)。因此,它们并不适用于所有应。NSA CSD预计,状态签名LMS和XMS将由NIST在NIST SP 800-208中进行标准化,并批准用于某些冷门应用(niche applications)的NSS解决方案,在这些应用中可以维持状态。

目前,NSA CSD并未预见到需要批准其他用于NSS的后量子密码技术,但认为未来情况可能会发生变化。包括对安全和性能的信心、互操作性、系统工程、预算、采购和其他需求在内的多种因素都可能影响这些决策。

如果按照NSA上述声明的内容主体来看,第二代公钥加密算法(即PQC公钥加密算法)的主力军依然集中在格基密码家族的应用上。然而需要指出的是,由于保障格基密码系统安全的参数调制背后的理论依据仍不清晰,因此,一旦成为全球网络安全基础性的产业标准之后,是否又会带来第一代公钥密码(RSA/ECC)家族现在面临的“所有鸡蛋均放在一个篮子里”的尴尬局面?对此,国际密码学界仍然心存疑虑。

本文由量子计算最前沿基于相关资料原创编译

声明:本文来自量子计算最前沿,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。