摘要:11月13日,美国国家标准技术研究院(NIST)邀请各部门、各企业撰写抗量子密码迁移意向书,描述产品和技术性内容,从而为抗量子密码迁移计划提供安全平台支持和演示。本通知旨在跨出美国国家网络安全卓越中心(NCCoE)与技术公司合作的第一步,双方将合作应对在“抗量子密码迁移”计划中认识到的网络安全挑战。本项目是开放项目,任何有意向的公司都可以参与。
开始时间:NIST会回复已确认必要产品组件和能力的意向书。当现有已完成且已签署的意向书已经足够满足本计划需求时,合作活动会立即开始。该开始时间不会早于2021年11月12日。
意向书投递地址:NCCoE位于美国马里兰州罗克维尔市Great Seneca高速公路9700号,邮编20850。意向书若为电子版,须提交至applied-crypto-pqc@nist.gov;若为纸质版,须提交至上述地址。有意者可在网站填写意向书表单,并下载模板。若合作方选择过程结束,NIST会在官网通知公众不再接受本项目的意向书。若NIST决定接收意向书,则会与相关组织签署《联合研发协议》(CRADA)(参见噎鸣智库编写的《美国量子经济发展联盟分析报告》第4章附录)。
联系方式:电话301–975–0232,William Newhouse;电子邮箱applied-crypto-pqc@nist.gov;邮件地址美国马里兰州罗克维尔市Great Seneca高速公路9700号,邮编20850。
补充信息
背景:NCCoE是一个公私合营的组织,隶属于NIST,致力于加快推广网络安全工具和技术的统一使用。我们将工业界、政府和学术界的专家集合在一起,为现实中信息技术(IT)系统的复杂网络安全需求,研究可行且具有互操作性的方法。我们通过加快传播使用这些统一工具和技术,增强公众对美国IT通信、数据、存储系统的信任,减少企业和个人使用IT系统的风险,并鼓励开发具有创新性且能创造工作机会的网络安全产品。
过程:NIST正广泛邀请具有相关安全能力的组织加入《联合研发协议》(CRADA),为展现“抗量子密码迁移”计划的安全平台提供产品和技术支持,可在官网浏览整个项目的内容。有意者可访问项目网站填写表单并获取意向书模板。意向书模板需要完整填写,检查准确无误后提交电子版或纸质版给NIST。NIST会以“先到先得”的方式,在各个产品组件和类别(见下文)中选择参与者,招满为止。参与者需提交完整意向书,若意向书中的项目目标和需求(见下文)有问题,NIST会联系提交者。项目结束后,NIST会在项目网站中发布通知,宣布项目的终止,并不再接收意向书。
请提交完整的意向书,NIST收到后会以“先到先得”的方式处理,并要求选中的参与者加入CRADA与NIST联合。若未被选上或错过了时间,之后还可能会有机会参与。
图:NIST与抗量子密码
项目目标:量子计算技术的出现会打破很多目前使用的密码算法的安全性,特别是公钥密码,而公钥密码又广泛应用于数字信息保护。现在正在进行抗量子公钥密码标准的开发,其中算法选择工作有望在未来一两年内完成。而不管是从技术方面还是非技术方面来看,密码算法的替换都具有挑战性,可能会花费数年甚至数十年才能完成。为应对这些挑战,NCCoE正与相关公共和私营部门社区合作承担一项工作,展示能为执行迁移路线图迈出第一步的技术和工具。
为加快向抗量子密码的迁移,NCCoE会在“抗量子密码迁移”项目中展示自动化辅助工具,用于检测易受量子攻击的密码学代码或依赖项。公钥密码用于数据中心的自有软件,或者云和分布式计算、存储、网络基础设施中,这些工具为识别公钥密码如何使用提供了自动化辅助支持。项目还能支持涉及密码学的标准、指南、规定、硬件、固件、操作系统、通信协议、密码库、应用,参与者包括使用公钥密码算法的产品的开发者、集成人员、需要配置这类产品的客户组织,以及使用或依赖于公钥密码算法的协议的标准化实体。
所提出的概念验证解决方案会集成商用的和开源的产品,利用网络安全标准和推荐做法来展现“抗量子密码迁移”项目介绍中详细描述的用例场景。本项目会以SP 1800系列标准的形式公开《NIST网络安全实践指引》,产出可能包括指南书、工具、代码、白皮书等形式。SP 1800系列标准给出了编写网络安全参考实现所需的步骤,是一系列详细的实现指南。
意向书需求:回应本通知的组织,需要在意向书中给出所提供的安全平台组件或能力。意向书中不应有公司的专利信息,提供的所有组件和能力都应能用于商业用途。在“抗量子密码迁移”项目介绍的第3节中给出了组件清单,其中包括但不限于:
通用信息技术组件:
运行密码学代码检测工具所必需的计算、存储、网络资源;
云服务;
功能性安全组件:
数据安全组件;
端点安全组件;
身份和访问管理组件;
安全分析组件;
设备和网络基础设施组件:
设备、端点等资产;
应用、服务等企业核心资源;
网络基础设施组件;
在以下系统中用于检测公钥密码组件的方法和工具:
操作系统;
应用程序代码;
用于实现、控制或加速密码功能模块的硬件;
在以下情况下用于检测算法迁移造成影响的方法和工具:
通信和网络协议;
密钥管理协议、过程和程序;
网络管理协议、过程和程序;
商务上的过程和程序。
另外,意向书中还需要包含产品如何对项目展示的情景提供帮助。在“抗量子密码迁移”项目介绍的第2节中给出了情景清单:
使用非抗量子公钥密码,但已通过FIPS-140认证的硬件和软件模块
使用非抗量子公钥密码的密码库
包含(或关注)非抗量子公钥密码的密码应用和密码支持应用
计算平台中嵌入的非抗量子密码的代码
使用非抗量子的密码算法,但已广泛部署在不同的工业部门的通信协议
需要满足以下特性:
所有用于替换的抗量子公钥算法,安全性应该至少等同于被替换的非抗量子算法。非抗量子算法的安全性在非量子计算环境下测量。
若给出的提议是使用补偿控制方法进行算法替换,则需要解释补偿控制方法何以提供相关的机密性和完整性保护,且这些保护至少需要等同于现有算法在非量子计算环境下测量的结果。
若预估时发现给出的提议在使用NIST的候选抗量子算法进行替换时会降低性能,则需要在项目发现中给出这一特性。
此外,意向书中需要高度重视以下事项,并给出承诺:
所有参与者团队应能访问在安全平台组件间进行功能性连接所必需的组件接口,以及问询相关的组织专家。
支持“抗量子密码迁移”项目的开发和展示,并与以下标准和指引的最新版本保持一致:FIPS 200、SP 800-37、SP 800-52、SP 800-53、SP 800-63、SP 1800-16。关于“抗量子密码迁移”项目的更多信息见官网。
NIST不保证回应方所提出的所有产品都会在展示中使用。“抗量子密码迁移”项目要求每个参与者与NIST工作人员和CRADA协议规定的其他项目参与者协同工作,工作内容包括协助建立必需的功能接口、连接、安装能力和流程、展示带、使用所需的环境和安全条件、平台用户统一指令,以及展示所需的计划和文案。若有需要,参与者可训练NIST工作人员在展示能力时操作产品的方法。若展示成功,NIST会公开发布该安全平台的介绍,并给出平台的性能特征。在其它组织开发和部署满足“抗量子密码迁移”项目安全目标的平台时,该特征就是性能上的标准。
根据CRADA的条款,在开发各参与者产品间的接口时,NIST会以提供信息技术基础设施、实验室和办公室设施、合作设施、工作人员的方式,支持组合组件、编写安全平台文档、展示等活动。
“抗量子密码迁移”项目的能力展示日期会提前至少两周在NCCoE网站上公布,届时需要展示抗量子密码迁移解决方案的组件能如何增强安全能力,并在仍然符合工业部门的合规性需求的情况下减小识别到的风险。参与组织能够从中认识到,它们的产品和其它组织的产品之间是可以互操作的。
本文由量子计算最前沿基于相关资料原创编译,转载请联系本公众号获得授权。
声明:本文来自量子计算最前沿,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。