2023 年 8 月 21 日,美国网络安全和基础设施安全局(CISA)、国家安全局(NSA)与国家标准与技术研究院(NIST)联合发布《量子准备:向后量子密码迁移》指南,该指南为各组织着手开展后量子密码(也称为抗量子密码,PQC)迁移工作予以指导,要求组织成立专门的项目管理团队,梳理并形成易受量子攻击的系统和资产清单,摸清当前使用的加密技术,并重视供应链安全,加强与包括云服务商在内的技术供应商的合作等。事实上,将现有密码系统向能够抵御量子计算攻击的后量子密码系统迁移是一项长期且花费巨大的工程,美国对此非常重视,除了加紧后量子算法与标准化研究外,还积极敦促尽早规划向 PQC 的过渡,认为现在必须为此做好准备。
一、发布背景
近些年,对量子计算机进行了大量研究,如果大规模量子计算机被建造出来,将破解目前使用的许多公钥密码系统。这将严重损害互联网和其他数字通信的机密性和完整性。2015 年,NSA 为此敲响了警钟,并宣布计划过渡到新的抗量子密码算法。不久之后,NIST 就开始了一个计划为期多年的项目以将这种算法标准化,并将之命名为后量子密码。相比与量子密钥分配,后量子密码学是一个更成熟的领域,具有若干优势。其目标是开发对量子和经典计算机都安全的密码系统,并且可以与现有的通信协议和网络进行互操作。近年来,后量子密码研究领域蓬勃发展,产生了一大批有望抵抗量子攻击的算法,使用传统密码技术的信息技术(IT)和操作技术(OT)系统需要尽快切换到使用后量子密码技术,而且,后量子密码迁移不仅仅是替换密码算法,还包括将密码协议、密码方案、密码组件、密码基础设施等更新为量子安全的密码技术,甚至还包括密码系统的灵活更新机制的能力构建及密码应用信息系统的迭代更新等。因此,成功的后量子加密迁移需要时间来规划和实施,需要一个长达数十年的过渡过程,必须考虑到安全、算法性能、安全实施的便利性、合规性等方面。
尽管 NIST 要到 2024 年才会发布新的后量子加密标准供商业产品使用,但 CISA、NSA 和 NIST 强烈建议各组织现在就要着手开始准备,从历史上看,部署现代公钥加密基础设施花了将近二十年的时间。因此,无论是否能够估计量子计算时代到来的确切时间,都必须积极创建量子准备路线图,制定易受量子攻击的系统和资产清单从而使组织能够进行风险评估和分析,通过识别、优先处理和保护可能易受攻击的数据、算法、协议和系统,明确迁移的优先级,并与供应商进行合作,为向 PQC 的过渡做好准备。
二、美国推进后量子密码迁移的主要举措
(一)政府出台专门的战略和政策法规,指导联邦机构向后量子密码迁移
2022 年 2 月,美国总统拜登签署了第 8 号国家安全备忘录—《关于改善国家安全、国防部和情报系统的网络安全》,其中首次提及后量子密码。这将对美国乃至世界的量子技术和量子安全产生巨大影响。这份文件是美国国家安全机构在当前的联邦网络安全计划中,首个特别提到后量子密码的文件。2022 年 5 月,白宫发布《关于促进美国在量子计算领域的领导地位,同时降低易受攻击的密码系统风险的国家安全备忘录》,建议采用政府一体化的模式来促进和激励向 PQC 迁移,评估和盘点易受攻击的密码风险,并强调迁移中应关注提升密码敏捷性。2022 年 8 月,美国 CISA 发布《关键信息基础设施向后量子密码迁移的新见解》,对美国 55 类关键信息基础设施向 PQC 迁移的紧迫性进行了分析。2022 年 9 月,美国 NSA 发布《商业性国家安全算法组件 2.0》,建议联邦机构加快部署使用后量子密码CRYSTALS-Kyber 和 CRYSS-Dilithium。2022 年 12 月,美国总统拜登签署了《量子计算网络安全防范法》,要求加快梳理联邦机构中易受量子计算攻击的 IT 系统,并向 PQC 迁移。
2023 年 3 月,美国发布《2023 年国家网络安全战略》,提出政府应增加对 PQC 迁移的有关投资,广泛更换容易被量子计算破坏的硬件、软件和服务。2023 年 8 月,美国 CISA、NSA 与 NIST 联合发布《量子准备:向后量子密码迁移》指南。2023 年 9 月,NIST 下属的国家网络安全中心(NCCoE)发布《向后量子密码学迁移》项目情况说明书,概述了向 PQC 迁移项目的背景、目标、挑战、好处和工作流程,此外 NCCoE 还列出了参与该项目的最新 28 家技术供应商名单。
(二)推进后量子密码解决方案征集及标准制定,筛选优秀后量子密码
NIST 从 2016 年开始启动后量子密码标准协议全球征集项目,2022 年 7月,经过严格的三轮评选,NIST 宣布首批四种抗量子加密算法,分别是CRYSTALS-K YBER、CRYSTALS-Dilithium、FALCON 和 SPHINCS+。2023年 7 月,NIST 公布了新一轮(第四轮)后量子密码学数字签名方案的候选者,其中包含了 40 个签名候选。8 月,NIST 发布 3 份后量子密码学标准草案,预计将于 2024 年发布后量子密码标准,这将是美国政府推进后量子密码迁移的基础。NIST 认为,受限于对未来量子计算认识的不足,后量子密码的研究面临诸多挑战,例如,第四轮评估中的候选后量子密码 SIKE 已被比利时学者使用经典计算机破解。但是,NIST 征选新一轮的后量子密码标准算法方案,标志着在量子计算机威胁传统密码学安全的背景下,全球正在积极寻找新的、对抗量子计算攻击的安全解决方案,以防止未来的量子计算机破解现有的加密系统。
(三)提出向后量子密码迁移的具体措施
(1)启动联邦政府在 PQC 实用化方面的具体行动计划
迁移工作的核心是强调密码的敏捷性,既要减少过渡所需的时间,又要实现对未来的密码学标准的无缝更新。为此,美国商务部、国土安全部、NIST 等一系列部门和机构应采取一些具体行动:1)组建一个公开工作组,确定所需的工具和数据集,为 NIST 制定指南和最佳实践提供信息,以协助PQC 的规划和优先排序;2)NIST 建立一个“向后量子密码学迁移项目”,解决向 PQC 过渡带来的网络安全挑战;3)提供包括加快向 PQC 迁移建议的年度报告;4)发布关于在标准中废除易受量子影响的密码学的拟议时间表;5)国家安全局局长每年就抗量子密码迁移、实施和对国家安全局的监督提供指导;6)提交关于量子计算对国防工业基地和国防供应链的风险评估,以及一份与关键商业实体接触的计划,以升级其 IT 系统、实现抗量子化,等等。
(2)建立量子准备路线图
建立量子准备路线图的意义主要是鼓励各组织积极地为将来迁移到实现后量子加密标准的产品做好准备,主要包括:1)参与标准组织:各组织应指导其首席信息官加强对标准制定的参与,了解与算法和相关协议修改等必要信息相关的最新发展。2)制定关键数据目录:各组织应列出在较长时间内需要进行保护的敏感和关键数据集。3)制定加密技术目录:各组织应给出所有使用加密技术的系统的目录。4)识别内部标准:国土安全部的首席信息官要识别需要更新以反映后量子需求的采购、网络安全和数据标准。5)公钥加密识别:各部门应从目录中识别出什么地方、处于什么目的使用了公钥密码学,并将这些系统标记为易被量子计算机攻击的。6)识别系统替换优先级:系统的加密算法过渡也需要给出优先级,而优先级与部门和任务需求是强相关的。7)制定过渡计划:根据目录和优先信息,各组织应当在新的后量子加密标准发布后根据任务需求建立系统过渡计划。
此外,还包括在实验环境中测试新的后量子密码学标准,但应等到正式发布后才能在生产环境中实施新标准;创建将组织的系统过渡到新加密标准的计划,包括进行相互依存分析,以揭示可能影响系统过渡顺序的问题,以及对采用新标准的产品进行验证和测试;对员工进行后量子迁移的教育和培训等。
(3)梳理并形成易受量子攻击的系统和资产清单
制定易受量子攻击的技术和相关关键数据重要性的清单,该清单主要包括:1)使用密码发现工具识别量子易受攻击的算法。包括:网络协议,用于识别允许可追溯性的网络协议中易受量子攻击的算法;终端用户系统和服务器上的资产,包括应用程序和相关库,应用程序功能以及固件和软件更新;以及持续集成/交付开发流水线中的密码算法代码或依赖性。2)列出最敏感和最关键的数据集,这些数据集必须在很长一段时间内得到保护。这些信息将为未来的分析提供信息,通过识别现在可能存在风险的数据,并在与密码学相关的量子计算机可用时进行解密。为此,各组织应:将加密清单与现有程序中可用的清单相关联,例如资产清单、身份、凭证和访问管理、身份和访问管理、端点检测和响应以及持续诊断和缓解;了解哪些系统和协议被用来移动或访问其最敏感和关键的数据集;识别易受量子攻击的加密技术,以保护关键进程,特别是关键基础设施。3)密码技术清单,清点所有目前部署的密码系统(不包括国家安全系统),并制订包括优先考虑的关键信息技术 IT 资产清单、临时基准以及评估过程的要求;4)所有联邦文职行政部门(FCEB)机构每年提交一份仍易受密码分析量子计算机(CRQC)影响的 IT 系统清单,特别关注高价值资产和高影响系统。最终,各组织应将易受量子攻击的清单提供给风险评估部门,以考虑部署的优先级。
(4)与技术供应商合作
CISA、NSA 和 NIST 鼓励供应商审查 NIST 发布的包含算法的 PQC 标准草案,同时也鼓励各组织与其技术供应商合作,了解供应商的量子准备路线图,应该在 NIST 最终确定其标准后尽快做好支持 PQC 的准备,包括迁移。该路线图应描述供应商计划如何迁移到 PQC,为测试 PQC 算法和集成到产品中制定时间表。并对现有和未来的合同进行必要修改,确保新产品交付时内置 PQC,旧产品将升级为 PQC,以满足过渡需求。
(5)做好供应链的量子准备
各组织应了解其对系统和资产中易受量子攻击的加密技术的依赖性,以及供应链中的供应商将如何迁移到 PQC,包括发现当前 IT 和 OT 系统和设备(定制或 COTS)中使用的易受量子攻击的算法,以及对云服务的依赖,以尽量降低量子风险。
三、2023年美国后量子密码研究和产业推进情况
(一)大型跨国公司和行业巨头积极投入研发力量,取得显著成果
根据 Inside Quantum Technology 的测算,预计到 2029 年,后量子密码软件和芯片市场规模将达到 95 亿元。美国从事该领域研究的主要大型跨国公司和科技巨头有谷歌、IBM、微软、亚马逊和英特尔等,各大公司都有其各自优势,而且在整个生态系统中彼此大量协作,例如 IBM、谷歌等企业正逐步推进后量子密码产业化发展,并在实践中验证后量子密码的有效性。2023 年主要推进情况有:(1)IBM、微软等公司成立后量子密码学联盟。2023 年 9 月,IBM Quantum、微软已经与非营利性研究机构 MITRE、英国密码公司 PQShield、谷歌兄弟公司 SandboxAQ 和滑铁卢大学组成了一个联盟,该联盟将运用其集体技术专长和影响力,促进 PQC 在商业和开源技术中的全球采用。(2)谷歌通过 PQC 帮助 Chrome 抵御未来攻击。2023 年 8月,谷歌宣布在 Chrome 中添加对抗量子加密的支持,从而确保网络浏览免受后量子安全威胁。新的抗量子加密技术被称 X25519Kyber768,是一种混合机制,结合了两种加密算法来加密 TLS 会话。分别是 X25519(一种广泛用于当今 TLS 密钥协商的椭圆曲线算法)和 Kyber-768(一种抗量子密钥封装方法(KEM))。新的混合加密已在 Chrome 116 中提供。谷歌保护 Chrome加密密钥免受后量子威胁的做法非常具有前瞻性。(3)谷歌推出首个抗量子硬件密钥。抗量子硬件密钥的问世是网络安全业界推广和普及抗量子加密算法的一次重大突破。2023 年 10 月,谷歌推出首个开源的抗量子(量子弹性)FIDO2 安全密钥,该产品是谷歌 OpenSK 安全密钥计划的一部分。该密钥的开源硬件优化实现使用了一种新颖的ECC/Dilithium混合签名模式,该模式受益于ECC面对常规攻击的安全性以及Dilithium抵御量子攻击的弹性。与 Chrome 的混合机制(X25519 和 Kyber-768 的组合)类似,谷歌提出的 FIDO2 安全密钥实现是椭圆曲线数字签名算法(ECDSA)和最近标准化的抗量子签名算法 Dilithium 的混合。
(二)初创公司和安全行业公司的创新层出不穷,推进后量子密码产业化快速发展
在后量子密码研发领域,初创公司和安全行业公司也是重要的推动力量,2023 年主要推进情况有:(1)Thales 在其旗舰移动安全应用中部署 PQC。2023 年 2 月,全球网络安全先驱 Thales(泰雷兹)在其旗舰移动安全应用Cryptosmart 中创建 PQC 的首个真实世界应用,利用 5G SIM 卡实现 PQC。在试点项目中,混合密码术(传统密码学与 PQC 的结合)被用于两个设备之间的电话通话中,以保护通话期间交换的信息。(2)QuSecure 实现首个实时、端到端抗量子加密通信星链。2023 年 3 月,抗量子网络安全领域的领导者 QuSecure 宣布,已成功实现首个端到端量子抵御加密通信星链,标志着美国卫星数据传输首次使用抗量子密码技术,免受经典和量子解密攻击。QuSecure 在安全卫星通信能力方面的突破创造了世界上第一个地外抗量子抵御通信网,这是迈向量子安全的旅程中非常重要的一步。(3)Atos 子公司 Eviden 发布首个“后量子就绪”数字身份解决方案。2023 年 4 月,Atos集团子公司 Eviden 发布其首个“后量子就绪”数字身份解决方案。该解决方案由 PQC 驱动,包括 IDnomic PKI 和 Cryptovision Greenshield 两款网络安全产品,将于 2023 年第四季度正式推出。(4)SandboxAQ 推出端到端安全套件,帮助组织向 PQC 过渡。2023 年 4 月,SandboxAQ 发布了一款名为“Security Suite”的端到端加密漏洞扫描和修复软件。SandboxAQ 表示,该安全套件的推出旨在帮助组织过渡到能抵抗经典计算攻击和量子计算攻击的后量子密码技术上。(5)QuSecure 与 RedHat 合作提供增强的 PQC 解决方案。2023 年 4 月,QuSecure 公司与 RedHat(红帽)达成合作,旨在为公共和私营部门的客户提供增强的经典和后量子网络安全解决方案。QuSecure 的尖端后量子网络安全技术在红帽企业 Linux、红帽 OpenShift 和红帽 Ansible 自动化平台上得到了支持,旨在提供经典的 PQC 解决方案,以抵御现代网络威胁。(6)SEALSQ 公司开发了能运行双种 NIST PQC 标准算法的演示器。2023 年 6 月,全球领先的网络安全、人工智能、物联网芯片开发商 WISeKey 的子公司 SEALSQ 使用基于 AI 的量子解决方案开发了一个能运行两种 NIST PQC 标准算法的演示器。这是其 QUASARS 项目开发的一个重要里程碑,使其朝着构建后量子硬件安全模块和信任根(RoT)的目标更近一步。(7)TII 发布全球首个用于评估 PQC 方案安全性的开源软件库。2023 年 9 月,TII 密码学研究中心(CRC)推出了“密码估算器(Crypgraphic Estimators)”,这是世界上第一个致力于评估 PQC 方案安全性的开源软件库,包括密钥交换方法、公钥加密和签名。作为 TII 对密码研究和标准化的最新贡献,密码估算器通过整合现有估计器并为新设计的估计器提供基础,满足了对具体安全估计的可靠访问点的需求。(8)Signal 协议加入对 PQC 的支持。2023 年 9 月,Signal 协议最新加入后量子密码学算法PQXDH,该算法是基于 NIST 选择的四种 PQC 之一的 Crystals-Kyber。Signal协议此前使用的加密算法是基于椭圆曲线 Diffie-Hellman 密钥交换协议,利用由椭圆曲线密码学建立公钥与私钥对,其安全性是基于数学上的单向函数,而该单向函数是基于离散对数问题。攻击者如果有量子计算机,可以利用 Shor 算法解决离散对数问题破解私钥,可以在短时间内破解 Signal 的加密。
四、向后量子密码迁移应考虑要点及面临的挑战
(一)向 PQC 迁移应考虑的要点
2023 年 10 月 3 日,全球数字业务和 IT 服务提供商 NTT DATA 发布《向后量子密码迁移白皮书》,其中白皮书提出向 PQC 迁移的实践要点,包括考虑数据大小、提高算法灵活性、重新加密信息、采购新的硬件等七个方面:(1)数据量大小可能会增加。每一种 PQC 算法的密钥数据、加密数据和签名数据的大小都比传统的密码系统要大。如果程序设计时没有考虑到这些大小,数据可能无法正确地存储在存储器、IC 卡等中,系统可能会异常终止。(2)处理速度可能会变慢。对于每一种 PQC 算法,密钥生成速度和加密处理速度可能会比以前更快或更慢。如果速度变慢,系统用户的等待时间将会增加,算法便利性可能会降低。(3)提高加密算法灵活性。虽然每一个 PQC 算法的安全性都经过了 NIST 的充分验证,但其历史比传统的 RSA 短等,所以在未来总是存在被发现攻击的可能性。(4)如果系统中存储了加密的数据,请考虑重新加密。如果系统中存储了加密的机密信息,则有必要考虑通过 PQC 算法或扩展密钥长度的对称加密算法重新加密,这可能是针对“先存储,后解密”攻击的对策。(5)如果使用 TLS 硬件,必须确保足够时间采购。如果在负载平衡器上终止 TLS 通信,则必须更新负载平衡器以支持 PQC 算法,因为它的加密库驻留在负载平衡器硬件上。(6)持续收集 NIST、SOG-IS 等机构发布的信息。即使在考虑向 PQC 迁移计划后,也需要根据 PQC 安全评价的更新状态,关注 NIST、SOG-IS 发布的信息。(7)了解云服务提供商提供的 PQC 功能。如果计划在下一次系统更新时将部分或全部系统迁移到云端,那么应当了解云服务提供商提供的 PQC功能,这可能包括密钥管理服务、证书颁发服务、硬件安全模块服务、加密通信服务等。
(二)向 PQC 迁移面临的挑战
从当今的公钥密码学向 PQC 迁移是一项既耗时又具有挑战性的工作,面临着:(1)性能考虑:PQC 算法具有更高的计算、存储、内存和通信要求,因此在各种部署场景中的性能考虑至关重要。(2)安全考虑:由于公钥密码算法的变化,将会产生很多安全问题。与现有的 RSA 和 ECC 算法相比,由于 PQC 不太为人所知,因此可能会引发对密钥大小、计算时间等方面的担忧。另一个需要解决的领域是 PQC 算法的密码分析。(3)算法考虑:未来的后量子加密标准很可能会为不同的应用指定多种算法。例如,签名或密钥大小对于某些应用程序可能不是问题,但在其他应用程序中可能是不可接受的。在这种情况下,NIST 标准可以识别不同应用程序需要部署不同算法的需求。另一方面,可能需要修改现有协议以处理更大的签名或密钥大小。新应用程序的实现将需要适应后量子加密的需求,并允许新方案适应它们。(4)算法的替换通常需要更改或替换加密库、实现验证工具、实现或加速算法性能的硬件、依赖的操作系统和应用程序代码、通信设备和协议,以及用户和管理程序。(5)需要明确公钥加密的使用位置和方式:在任何情况下,从当前的公钥算法集迁移到后量子算法的先决条件是确定在何处以及出于何种目的使用公钥加密。公钥密码学已经集成到现有的计算机和通信硬件、操作系统、应用程序、通信协议、密钥基础设施和访问控制机制中。信息技术和操作技术系统依赖于公钥密码术,但许多系统没有该密码术在哪里使用的清单。这使得很难确定后量子算法需要在何处以及以何种优先级取代当前的公钥系统。迫切需要工具来帮助发现在现有技术基础设施中公钥加密的使用位置和方式。
五、几点思考
(一)我国应提前规划和布局后量子密码迁移工程
后量子密码学是一个充满挑战和机会的领域,它的研究与应用将对整个密码学界和信息安全产业产生深远的影响,而向后量子密码迁移是一个重要且复杂的过程,涉及密码算法、协议、硬件设备和网络基础设施等多个方面。我国无论是政策层面还是企业层面,都应对后量子密码和公钥算法及其迁移保持高度关注,研判向后量子密码迁移的安全性风险以及对我国相关制度的影响等,尽早规划和总体布局,并与密码学研究人员、行业和标准化组织密切合作,谨慎且逐步实施,采取多管齐下、协调一致的措施确保安全性和平稳过渡。
(二)我国应积极推进后量子密码的研发和标准化
随着量子计算研究逐步加快,关于 PQC 公钥密码的研究和标准化工作也日益紧迫。关于目前 NIST 的 PQC 标准化进展,我国还没有明确的标准化公开征集工作,但是很多华人学者都在积极参与 NIST 的 PQC 算法征集方案。整体来看,在 NIST 第四轮 PQC 候选算法征集的方案之中,华人学者大约贡献 10%左右的候选算法。未来,PQC 算法的公钥系统将是整个数字经济安全运行的基础,我国应积极参与 PQC 算法技术的讨论和标准化工作,以加快 PQC 公钥密码系统的迁移。此外,我国应加强 PQC 的研究部署,聚焦PQC设计与软硬件实现、PQC云服务器、PQC应用示范和产业迁移等,从多层面、多主体、多行为协调联动角度,共同提升我国后量子密码技术的水平和影响力,筑牢网络空间的安全基石。
随着网络信息技术的更新换代,网络空间已经深刻地改变了国际冲突的特点,博弈的核心在于对国家利益的争夺和维护,关键环节在于如何通过各种策略方式对别国施加影响,进而达成本国利益诉求。2023 年,美国通过战略路径调整、完善网络空间作战力量、加速新兴技术发展、打造新型态势感知系统、研发网络空间新型武器作战平台等举措进一步推进网络空间安全的发展,势必带动各国在网络空间领域的持续投入与发展,可以预计,未来的网络空间对抗将愈演愈烈。
供稿:三十所信息中心
声明:本文来自信息安全与通信保密杂志社,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。