摘 要
为了应对新兴量子计算带来的挑战,2023年2月,全球移动通信系统协会(Global System for Mobile Communications assembly, GSMA)发布了《后量子电信网络影响评估白皮书1.0版》(Post Quantum Telco Network Impact Assessment Whitepaper Version 1.0 ),以动员电信行业尽快制定采用后量子密码(PQC)的指南和流程。报告主要评估了PQC、量子安全市场驱动因素、政府举措以及对运营商及其合作伙伴的影响。原文编译如下:
后量子电信网络影响评估白皮书
1.0版
2023年2月17日
1 简介
1.1 概述
为应对新兴量子技术带来的安全挑战,许多国家制定了后量子密码(PQC)计划。例如,美国国家标准与技术研究院(NIST)于2022年7月发布公告,宣布了量子计算时代的第一个PQC标准化候选算法。
电信行业需要动员起来,制定采用PQC的指南和流程,以确保网络、设备和系统的安全,因为这会影响整个电信供应链和生态系统,涵盖运营商、网络和IT供应商、集成商、监管机构、标准和开源社区。
到目前为止,电信行业的重要工作集中在量子密钥分发(QKD)和量子随机数生成上,而对PQC的关注有限。
1.2 研究范围
本报告旨在分析负责任的行业向量子安全技术迁移的依赖性和时间表,其中包括被认为能够抵抗密码相关量子计算机攻击的算法(例如NIST选择的算法),以及如何在电信生态系统中适用的情况下引入和维护量子抵抗和/或加密敏捷性。本报告考虑了广泛的方面,例如PQC技术和标准、业务流程、安全、政策和法规。风险评估将为减轻各种风险和维持防御能力所需的一系列优先行动提供信息和指导。
在本报告中,“量子计算机”是指与密码相关的量子计算机。本报告研究范围不包括以下技术:量子计算、量子网络、依赖于量子特性的量子安全机制,例如QKD、量子传感和量子互联网。
1.3 目标读者
本报告的读者包括:电信行业的利益相关者(CTO、CIO、CISO)、供应链中的利益相关者(CTO、CIO、CISO)、行业分析师、负责安全政策的行业监管者、安全研究人员。
2 后量子密码学——执行摘要
本报告评估了后量子密码学(PQC)、量子安全市场驱动因素、政府举措以及对运营商及其合作伙伴的影响。总之,我们强调以下见解:
● 向PQC的迁移正在进行中
○ 政府和民间社会团体已开始规划向PQC的迁移,并建议企业开始规划向PQC的迁移进程。
○ 标准小组已确定PQC算法并开始标准化流程。
● 作为一个行业,为向PQC迁移做好准备
○ 为了应对“立即存储,稍后解密”及其他量子攻击,需要彻底改革现有的PKI架构,因为现有算法已过时。
○ 与行业团体、政府和供应商合作制定实施PQC的路线图。
○ 准备如何处理遗留问题。了解如何处理可能未更新的系统/服务/产品。
○ 考虑如何减轻技术(加密)的负面影响,例如评估可用的量子安全对称密码学。在某些使用公钥加密的情况下,量子安全对称密钥可能是一种安全的替代方案。
○ 适用或考虑对关键管理系统的影响。
● 运营商业务和技术准备
○ 计划建立加密库:例如当前使用的加密算法和密钥长度;识别依赖于加密技术的系统或供应商产品。
○ 计划对网络系统中使用的加密技术进行风险评估。
● PQC和安全方面的内部专业知识培训
○ 支持PQC标准化和开源项目。
○ 赞助或支持密码敏捷性研究。
○ 与客户就需求和潜在利益进行互动。
○ 制定PQC计划(参见第3.4节)。
运营商和行业合作伙伴应:
● 为未来实施向量子安全的迁移制定计划
● 部署标准化量子安全算法(参见第6节)
3 后量子电信网络——市场驱动因素和时间表
3.1 市场驱动因素——网络安全
网络运营商采取的标准的、持续的活动旨在应对网络安全风险。从这个意义上说,“量子威胁”是电信行业的内在驱动力。这意味着在操作中完成广泛的加密应用程序的风险评估包括以下领域,每个领域预计有不同的时间表和需要管理的依赖关系:
● 加密技术,包括加密库、加密协议、加密硬件。
● 加密系统,包括公钥基础设施、证书颁发机构、硬件安全模块、身份/访问管理和特权访问管理。
● 计算技术,例如服务器、固件、操作系统、虚拟化、云基础设施、数据库(列长度)、软件(数据结构)、中间件、安全系统。
● 网络设备,例如以太网交换机、IP路由器。
● 电信架构,例如结算、电信特定网络功能、无线电、核心、传输、通信服务(语音、消息、关键任务)、OSS/BSS系统。
● 电信特定业务流程,例如设备激活、漫游和结算。
3.2 市场驱动因素——新服务
后量子密码学旨在保护通信网络免受量子计算机的潜在威胁。考虑到这些威胁可能在未来十年内成为现实的高风险,需要关注以下问题:电信服务提供商的业务成本是多少?为客户(包括企业客户)提供的一项服务(由于高级安全性而提供的全新服务或升级服务)可以货币化的成本是多少?
上述问题的答案可能与企业、政府部门、客户以及服务提供商的立场有关。例如,向PQC迁移以确保公共网络的关键网络基础设施和通信链路的安全,可能被网络运营商视为“必须做的事情”,并且可能被视为开展业务的成本。其目标是由服务提供商自己设定的,目的是为了提高企业声誉和品牌价值。
3.2.1 客户对服务的需求
私营和公共部门客户可能会提出不同的需求场景。
第一种可能性是他们积极要求网络和服务成为量子安全级别的。虽然不同行业的企业客户不太可能拥有足够的市场力量对服务提供商施加有效影响,但对于政府而言,情况可能大不相同。政府机构可以强制要求服务提供商满足某些要求和/或启动国家电信监管机构实施监管。
第二种可能性是企业客户采用缓慢的进展行动,以减轻任何量子威胁。例如,中小企业可能就属于这种情况。至少在向PQC迁移的早期阶段,公司可能对量子安全电信服务(例如Quantum-Safe SD-WAN服务)的需求较低。在这一迁移阶段,服务提供商可以向客户群提供早期的量子安全服务主张,这些客户群出于某些原因,更偏向“高级保护水平”,至少在迁移期内提供高级保护,直到该保护水平成为所有客户的“标准”。
当服务提供商向企业客户提供专用移动网络并运营这些网络时,作为量子安全技术早期采用者的某些客户群体很可能要求其供应商做好量子准备。只要利用PQC的技术还不是商品,服务提供商就可以通过额外的功能或“优质”网络服务水平来满足市场需求,并致力于将其货币化。
从上面的讨论来看,时机显得很重要。在迁移到量子就绪状态的过程中,可能会出现量子安全网络服务货币化的机会,其中技术标准的相互依赖性成为需要考虑的重要因素。为了协助规划,本报告在第6.5节中对此进行了更详细的分析。
针对这些不同场景的后续问题包括:
● 假设在多年的漫长迁移期间存在基于PQC的新(安全升级)服务市场,针对不同的客户群体什么样的服务可能有价值?
● PQC能否成为全新服务类型的推动者?
3.2.2 新服务示例
关于安全升级服务,以下是潜在新服务的示例:
● 量子安全虚拟专用网络。
● 量子安全软件定义广域网。
● 企业客户与电信云计算中心的量子安全连接。
● 电信边缘云计算服务、公共云与私有云的基础设施的量子安全互连。
● 量子安全的物联网连接。
● 为企业和政府提供量子安全卫星通信链路。
● 电信服务提供商的量子安全(云)存储(例如,降低“立即存储、稍后解密”攻击的可能风险)。
利用PQC寻找新服务也可以通过考虑“什么可能最容易受到量子攻击的威胁”来受到启发。量子攻击可用于不同的目的,从监视秘密信息和交易(例如银行交易)到破坏服务和基础设施,以及对关键IT基础设施进行黑客攻击。特别是高度脆弱的领域或对恶意行为者有高度吸引力的领域,人们可以考虑新的服务,以先发制人的方式减轻此类风险。例如对用于关键(国家)基础设施的专用移动网络的保护。
3.3 市场驱动因素——垂直业务
作为运营商市场的推动者,多个行业的客户对量子安全通信的兴趣是一个重要的考虑因素,同时优先考虑PQC相关工作。
尽管所有垂直行业都预计将从PQC的改进中受益,包括上述新服务,但某些行业也特别提到了他们对PQC的更多细节性的兴趣。
3.3.1 公共部门
请参阅第5节了解与PQC直接相关的全球公共部门利益的详细信息。
3.3.2 金融服务业
金融服务业已开始规划PQC。
国际清算银行(The Bank for International Settlements)于2022年6月在其创新中心启动了一项关于后量子加密和支付的研究项目:“该项目将研究和测试潜在的加密解决方案,这些解决方案可以承受量子计算机处理能力大幅提高的影响。目标是测试各种支付系统中的用例,并研究引入抗量子密码技术将如何影响其性能”。存款信托和清算公司(Depository Trust and Clearing Corporation, DTCC)于2022年9月发布了一份白皮书,就PQC对银行间结算和支付的影响向清算银行成员和银行业提出了建议。
法国中央银行已于2022年9月在其创新中心测试了PQC的实施情况。
世界银行将PQC列入银行需要采取行动的未来技术清单及其教育课程中。
3.4 时间表
通过评估内在/外在市场驱动因素,运营商可以确定适合其业务的时间表。下面我们提出了一个可以调整的通用的向PQC迁移时间表。
● 第一阶段:PQC研究和算法标准化
○ 选择用于持续标准化的算法,例如美国NIST、韩国KpqC。
○ 支持PQC协议,包括混合模式。
○ 与标准制定组织(SDOs)(例如3GPP、ETSI)合作,酌情标准化PQC。
● 第二阶段:运营商架构和规划
○ 更新运营商要求以支持PQC。
○ 与电信供应商就路线图进行合作。
○ 与开源社区合作,例如Linux、OpenSSL。
○ 加密库。
○ 加密敏捷性考虑因素。
● 第三阶段:设计
○ PQC支持加密系统,包括PKI、CA和HSM。
○ 更新供应商产品和开源项目以支持PQC。
○ 验证和测试系统、网络功能和流程是量子安全的。
● 第四阶段:实施(根据运营商特定风险评估和客户要求确定优先顺序)
○ 将移动网络本身更新为量子安全。这是我们根据行业标准改进设备和网络以使用PQC或其他量子安全方法的地方。
● 第五阶段:一旦标准更新,供应商实施了新标准,运营商也部署了新标准,我们就可以认为端到端网络是量子安全的。
4 后量子电信网络——生态系统
以下生态系统图提供了国际量子特定标准和行业群体的高级视图。由于本报告重点关注PQC,因此我们将优先活动(“量子安全”)与更广泛的电信网络标准和行业团体背景联系起来。但是,这并非一份详尽的清单。
4.1 潜在受影响的实体
下表显示了受PQC迁移影响的潜在实体列表。
GSMA可能会根据需要与这些实体合作。
受PQC影响的跨行业开源社区和标准机构。
5 按国家和地区划分的后量子政府举措
本节的范围:提供积极实施PQC计划的国家的概要,作为对后量子电信网络分析的背景。但是,这并非详尽的列表,仅供参考。鉴于全球政府领域的快速发展,需要持续监测以确保与战略计划和路线图的一致性。
5.1 澳大利亚
5.1.1 PQC算法
澳大利亚网络安全中心(Australian Cyber Security Centre, ACSC)是澳大利亚政府网络安全机构。ACSC没有开发PQC算法,ACSC尚未选择PQC算法,其选择将由NIST流程通知。
5.1.2 已发布的建议
澳大利亚政府工业、科学和资源部(Australian Government Department of Industry, Science and Resources)发布了有关PQC的国家政策。
● 关键技术行动计划:后量子密码学,2021年10月。
● 澳大利亚政府的国家科学机构(CSIRO)发布了白皮书:“网络安全的量子威胁:透过后量子密码学的棱镜观察”,2021年4月。
● ACSC于2022年7月发布了“后量子密码学”,并计划更新澳大利亚信息安全手册以解决PQC。
5.1.3 时间表
政策建议商业部门的早期采用者应在2024-2027年期间实施PQC。2027年之后,应在所有应用中实施PQC。2021年10月,澳大利亚PQC国家政策摘要发布。
准备水平——2021年
● 对分类网络实施预标准化PQC。
● 提供预标准化PQC服务的网络安全公司。
● 用于预标准化PQC算法的硬件加速器的实验室测试。
准备水平——2-5年(2023-2026)
● 商业部门的早期采用者(例如金融机构)可以对关键网络实施PQC。
准备水平——超过5年(2027年起)
● PQC算法已被纳入所有需要存储、发送或接收敏感数据的消费、商业和工业设备和软件中。
● 用于提高PQC速度的专用硬件
5.2 加拿大
5.2.1 PQC算法
加拿大网络安全中心(Canadian Centre for Cyber Security)并未开发自己的PQC算法,而是与NIST合作开发PQC。
5.2.2 已发布的建议
加拿大网络安全中心已发布了有关规划向PQC和加密敏捷性迁移的指南。
● 解决密码学的量子计算威胁,ITSE.00.017 2020年5月,加拿大网络安全中心。
● 让您的组织做好应对密码学的量子威胁的准备,ITSAP.00.017 2021年2月,加拿大网络安全中心。
● 关于实现加密敏捷性的指南,ITSAP.40.018 2022年5月,加拿大网络安全中心。
加拿大创新、科学和经济发展部长(Innovation, Science and Economic Development, ISED)赞助了一个工作组,发布有关迁移的详细行业建议。加拿大国家量子就绪:最佳实践和指南,版本02–2022年6月17日。由加拿大数字基础设施弹性论坛(Canadian Forum for Digital Infrastructure Resilience, CFDIR)的量子就绪工作组(Quantum-Readiness Working Group, QRWG)发布。
● 量子安全加拿大倡议量子安全加拿大–量子安全加拿大桌面网站符合NIST标准化流程。
加拿大政府的密码学规范尚未包括PQC算法。
● 非机密、受保护A和受保护B信息的加密算法(版本2),IT.SP.40.111,2022年8月17日,加拿大网络安全中心。
5.2.3 时间表
量子就绪工作组(QRWG)定义了以下时间表:
第一阶段:在新的PQC标准于2024年完成之前进行初步规划和范围界定
● 准备
● 发现
● 量子风险评估
第二阶段:实施。从2025年开始
● 量子风险缓解
● 向新的QSC迁移
● 验证
5.3 中国
5.3.1 PQC算法
从2018年开始,中国密码学研究会(CACR)举办了一轮评选后量子算法的竞赛。本次竞赛仅对至少有一名中国参赛者的队伍开放。CACR要求使用三种类型的公钥算法:密钥交换、数字签名、公钥加密方案。获奖者于2020年1月公布。三种算法排名第一(两种关键封装机制和一种数字签名方案)。第二和第三排名包括十一种其他算法(三种密钥交换方案、五种密钥封装机制和三种数字签名方案)。
5.3.2 已发布的建议
CACR于2020年发布了PQC算法的建议(提供普通话版本)。
5.3.3 时间表
据报道,2018年,中国PQC的理论研究已经启动,并计划分阶段进行原型设计、标准化和应用。
5.4 欧盟委员会
5.4.1 已发布的建议
EC通过欧盟网络安全局(European Union Agency for Cybersecurity, ENISA)发布了多份有关PQC的报告。最近的报告重点关注使用密码学更新现有系统以使用PQC所需的技术变革。
5.4.2 时间表
ENISA报告不包括迁移时间表。
5.4.3 其他信息
欧盟委员会发起了“向后量子密码学迁移”的呼吁。
(https://ec.europa.eu/info/fundingtenders/opportunities/portal/screen/opportunities/topic-details/horizon-cl3-2022-cs-0103;callCode=HORIZON-CL3-2022-CS-01)
欧盟委员会于2022年11月16日结束了一次新的电话会议,题为“向后量子密码学迁移”(HORIZON-CL3-2022-CS-01)。
欧盟认识到量子技术将带来的潜力和机遇,并了解其对社会安全产生的重大风险。欧盟也认识到需要推进向后量子密码学的迁移。他们认为,许多公司和政府无法承担未来解密其受保护的通信/数据的费用,即使这个未来还需要几十年。
在此背景下,欧盟委员会发起了此次呼吁,并取得了以下预期成果:
● 测量、评估和标准化/认证面向未来的密码学。
● 解决抗量子密码学提供的理论可能性与其实际实现之间的差距。
● 安全解决方案中包含的抗量子加密原码和协议。
● 可用于从当前密码学迁移到面向未来的密码学的解决方案和方法。
● 在大规模量子攻击出现时做好安全信息交换和处理的准备。
参与者应开发能够抵御使用量子计算机和经典计算机进行攻击的加密系统(即能够抵御这两种类型的攻击)。他们同样应关注抗量子密码算法在软件和特定硬件上的实现,并通过在相关用例中部署试点演示器来提供不同的迁移策略。
这一呼吁不仅认识到整个生态系统的重要性,也认识到跨学科合作的重要性。鼓励参与者评估并借鉴其他研究领域(例如数学、物理、电气工程)和行动(例如H2020项目、NISTPQC竞赛、ETSI的努力)的相关成果,还鼓励参与者尽可能计划与相关组织接触和合作。
值得指出的是,PQC的安全性取决于某些数学问题的计算难度。有许多既定定理和结果可能对PQC产生影响。例如,NIST竞赛第三轮决赛入围者之一的SIKE(超奇异同源密钥封装)就被鲁汶大学的研究人员使用单核进程破解了。这次攻击背后的数学原理是基于数学家Ernst Kani于1997年提出的一个相对古老的定理。让其他研究领域的人们参与到PQC的研究中将会带来新的视角,从而加速其发展。
最后,该项目不仅需要分析如何在欧洲开发组合量子经典密码解决方案,还需要分析考虑量子密码学中的相关行动(例如H2020开放QKD项目,EuroQCI)。
5.5 日本
由日本内阁府牵头,国家信息通信技术研究所(National Institute of Information and Communications Technology, NICT)正在研究量子安全云技术,并开发了具有量子密码、秘密共享和下一代后量子公钥基础设施的系统。
日本密码学研究和评估委员会(Cryptography Research and Evaluation Committees, CRYPTREC)是一个NICT项目,旨在评估和监控日本电子政务系统中使用的密码技术的安全性。CRYPTREC的目标是通过使用安全密码技术确保日本电子政务系统的安全并实现安全的IT社会。
2019年,CRYPTREC成立了一个工作组,跟踪量子计算机的研究趋势,讨论如何应对PQC。
CRYPTREC评估了量子计算机对当前密码算法的影响,并考虑在未来采用PQC。
5.5.1 PQC算法
日本研究人员为NIST流程做出了贡献。
5.5.2 已发布的建议
CRYPTRECLS-0001-2012R7尚未进行涵盖PQC的更新,CRYPTRECLS-0001-2012R7为日本电子政务推荐密码列表,最后更新时间为2022年3月30日。
5.5.3 时间表
日本央行货币经济研究所(Bank of Japan’s Institute for Monetary and Economic Studies)发布:
● 量子计算机研发和PQC标准化的最新趋势,讨论文件第2021-E-5。
● “关于PQC的缓解”包括拟议的时间表。
5.5.4其他信息
日本在量子安全网络、QKD和PQC方面开展了重要的国家和商业研究与开发活动。2020年,宣布建设全球QKD网络的计划,该网络有100个节点,其中将包括光纤和卫星通信。Sumimoto、东芝和NICT是QuantumSafe通信开发领域领先的国家组织之一。
● 关于量子网络的论文。建设国际量子安全中心。
● 东芝牵头受日本总务省委托开发全球量子密码通信网络联合研发项目-旨在部署世界上第一个大范围、大规模的量子密码通信网络-|企业研发中心|东芝。
● 新闻稿|世界首次利用微型卫星演示空间量子通信|NICT-国家信息和通信技术研究所。
5.6 新西兰
5.6.1 PQC算法
新西兰政府通信安全局(Government Communications Security Bureau, GCSB)将在选择PQC算法之前审查NIST运行的PQC国际标准化计划的结果。
5.6.2 已发布的建议
新西兰信息安全手册于2022年9月更新,提供了有关向PQC迁移规划的建议。
建议包括创建加密库存、识别使用公钥加密的易受量子计算机攻击的系统,以及创建数据集清单和数据必须保持安全的时间。
最后的建议是制定迁移计划。
5.6.3 时间表
可能从2024年到2027年为放弃经典加密算法做好准备。
5.7 新加坡
5.7.1 PQC算法
新加坡正在监控NIST流程。
5.7.2 已发布的建议
新加坡通信和信息部(Ministry of Communications and Information)、网络安全局(Cyber Security Agency)以及信息和媒体发展局(Information and Media Development Authority)正在与其他相关机构合作,开发量子安全方法,以确保数字通信和记录的持续安全。
5.7.3 时间表
在撰写本文件时,尚无新加坡的时间表。
5.7.4 其他信息
2022年11月29日,通信和信息部长回答议会关于评估量子计算技术的风险和影响以及确保加密数字记录和通信网络安全的努力的问题。
新加坡宣布将建设一个国家量子安全网络,最初由10个节点组成,涵盖PQC和QKD。Frauenhofer Singapore和AWS是为用例做出贡献的公司之一。
“该网络将提供以下技术:
● i)量子密钥分发——一种量子安全通信的硬件方法,需要安装设备来创建和接收量子信号;
● ii)后量子密码学——升级软件以运行被认为可以抵抗量子计算机攻击的新密码算法。
5.8 韩国
量子密码学被纳入科学和信息通信部(Ministry of Science and ICT)第六次科技预测(2022年11月)。
5.8.1 PQC算法
2021年宣布了韩国PQC(KpqC)标准化项目。本次竞赛分为两轮,旨在选出三种类型的后量子密码算法:密钥交换/密钥建立、数字签名和公钥加密方案。第一轮将于2023年底完成,第二轮将于2024年底完成。
该流程与NIST竞赛类似。这些提案必须在高级国际会议或期刊的会议记录中发表,或者至少出现在IACR密码学电子打印档案中。每个提案必须具体包括算法的技术描述、安全证明和ANSIC的参考实现。
5.8.2 已发布的建议
科学和信息通信部已发布了如下工作计划:
https://www.msit.go.kr/eng/bbs/view.do?sCode=eng&mId=4&mPid=2&pageIndex=&bbsSeqNo=42&nttSeqNo=610&searchOpt=ALL&searchTxt=
5.8.3 时间线
开始第一轮竞赛(22年11月-23年11月)。
5.8.4 其他信息
作为2020年“数字新政”倡议的一部分,科学和信息通信部与QKD启动了量子安全通信基础设施项目。随着试点型量子密码网络已在韩国26个公共和私人机构部署,量子安全通信基础设施展示了其商业化的潜力。
https://www.msit.go.kr/eng/bbs/view.do?sCode=eng&mId=4&mPid=2&pageIndex=&bbsSeqNo=42&nttSeqNo=627&searchOpt=ALL&searchTxt=
5.9 法国
5.9.1 PQC算法
法国网络安全局(French Cybersecurity Agency, ANSSI)严格遵循NIST PQC流程。然而,ANSSI并不打算将推荐的后量子密码算法限制为NIST获胜者,并且可能会考虑其他算法。因此,ANSSI认为Kyber、Dilithium、Falcon(未来的NIST标准)以及FrodoKEM(未被NIST选择)是抗量子解决方案的“首次部署的良好选择”。此外,ANSSI建议确保这些非对称算法的高安全级别,即NIST等级中的5级。
5.9.2 已发布的建议
2022年,ANSSI发布了一份立场文件“ANSSI对后量子密码学迁移的看法”,提供了其对向后量子迁移的看法。在这份文件中,ANSSI明确表示了对PQC的支持,PQC被认为是“阻止量子威胁最有希望的途径”。相反,他们认为量子密钥分发(QKD)是一种不合适的对策,“除了使用QKD在算法加密之上提供一些额外的物理安全性的利基应用(而不是作为替代品)”。
https://www.ssi.gouv.fr/en/publication/anssi-views-on-the-post-quantum-cryptographytransition/
5.9.3 时间表
然而,对PQC的支持必须经过限定,因为ANSSI明确承认缺乏此类解决方案的成熟度。因此,他们提出了一个由三个阶段组成的渐进迁移解决方案。在前两个阶段,除非基于哈希的签名的特殊情况,否则不建议使用独立的PQC。也就是说,任何针对量子电阻的系统都必须基于混合解决方案。
● 第1阶段:到2025年,“纵深防御”系统应考虑在混合框架内使用PQC。
● 第2阶段:2025-2030年,ANSSI将考虑抗量子特性作为可选,但计划将其推荐用于声称长期安全的产品。ANSSI还建议“后量子安全可能成为后一类产品的强制性功能”。
● 第3阶段:2030年及以后,ANSSI认为可以部署独立的PQC解决方案。
5.10 德国
5.10.1 PQC算法
BSI一直参与支持美国NIST PQC项目,并积极推动量子安全网络安全策略的准备工作,该策略基于密码相关量子计算机将于2030年初上市的工作假设(时间表),旨在用于风险评估。
5.10.2 已发布的建议
联邦政府的目标是使用量子技术来保护IT系统的安全。BSI发布了一系列关于加速准备、实施加密敏捷性和临时保护措施以及实施PQC的建议。此外,BSI强调需要进一步研究来解决有关PQC的悬而未决的问题。
此外,BSI还更新了随机数生成的研究,将量子源纳入其中。他们的立场是“QRNG是一种特殊类型的随机数生成器,不一定优于传统的物理生成器”。这与PQC算法部署相关,因为实现必须确保有效选择熵源。该评估的详细信息可在AIS20/31中找到。
5.10.3 时间表
更多信息:BSI-后量子密码学(bund.de)
BSI-量子技术和量子安全密码学(bund.de)
5.11 英国
5.11.1 PQC算法
国家网络安全中心(National Cyber Security Centre, NCSC)是英国的国家网络威胁管理机构,其构成政府通讯总部(Government Communication Headquarters, GCHQ)的组成部分。目前的指导意见是,采用量子安全密码学(QSC)将为应对量子计算威胁提供最有效的缓解方案,支持NIST正在致力于提供一套标准化算法的工作,这些算法将满足不同用例的关键协议和数字签名要求。预计商业产品和服务将包括向量子安全加密技术的迁移,基于NIST和ETSI的指南、标准和协议作为其路线图的一部分。此外,NCSC不建议采用预标准化QSC来减轻与更换加密组件相关的安全和业务连续性风险。对于管理自己的加密基础设施的组织来说,应该准备一个考虑优先级和依赖性的量子安全迁移的长期计划。
5.11.2 已发布的建议
《准备量子安全密码学》,第2版,2020年11月11日,NCSC。
https://www.ncsc.gov.uk/whitepaper/preparing-for-quantum-safe-cryptography
5.11.3 时间表
NCSC建议不要过早采用非标准化的QSC。NIST流程的结果将提供更多指导。
5.11.4 其他信息
此外,英国在PQC开发和量子通信网络实施方面正在进行重大研究活动。国家物理实验室的QRNG保证项目就是一个例子。英国电信和东芝已在伦敦实施了一个试点量子安全QKD城域网络,并正在试验该服务用于大型站点(例如公司办公室和数据中心)之间的高带宽专用链路。
5.12 美国
5.12.1 PQC算法
2022年9月,CNSA(商业国家安全算法套件)2.0发布,其中包括PQC算法、时间表和使用建议。所选的PQC算法基于NIST标准化流程。
5.12.2 已发布的建议
软件和固件签名
● NIST SP-800-208中指定了算法。
https://csrc.nist.gov/publications/detail/sp/800-208/final
对称密钥算法
● 与CNSA1.0相同,但添加了SHA-512。
公钥算法
● CNSA2.0已将CRYSTALS-Kyber(密钥建立)和CRYSTALSDilithium(数字签名)确定为正在进行的NIST标准化流程的候选算法。NIST流程完成后,新算法将弃用RSA、Diffie-Hellman和椭圆曲线加密技术。
美国联邦政府于2022年5月根据NIST PQC标准化活动(第6.5.1节中所述)发布了一份国家安全备忘录,指示联邦机构开始“将脆弱系统迁移到抗量子密码学”。
美国行政部门于2022年11月18日发布了针对各部门和机构负责人的附加指南,以协助遵守NSM-10。
2022年12月,美国行政部门还签署了两党量子计算网络安全准备法案,作为公法117-260(以前称为H.R.7535),要求美国政府在15个月内规划PQC。
5.12.3 时间表
下面提供CNSA2.0时间表作为参考,可以被视为美国运营商的有效基准。
6 后量子电信网络——技术分析
6.1 量子威胁——技术风险
常用加密算法(例如基于RSA和椭圆曲线的公钥加密和数字签名方案)的安全性依赖于解决某些基础数学问题的难度。基于RSA的协议依赖于查找大整数素因数的难度,而基于椭圆曲线的方法和Diffie-Hellman密钥交换则依赖于离散对数问题的难度。
这些非对称协议的安全性建立在以下假设之上:计算或时间有限的攻击者无法有效计算大整数的素因数或解决离散对数问题。量子计算的出现从根本上改变了我们对不良行为者可用的计算能力的假设。例如,Shor算法可以对大整数进行有效的因式分解,并允许攻击者有效地解决离散对数问题。重要的是,相对于已知的经典方法,Shor的算法可以实现指数级的加速,使得简单地增加密钥大小变得不可行。因此,足够大的容错量子计算机将对利用公钥密码学和/或数字签名的系统和协议构成威胁,并且需要进行大规模改变以在面对这种量子威胁时保持当下的安全保障水平。
除了上述对非对称协议的威胁之外,由于量子威胁,分组密码等对称加密协议也可能需要修改。相对于经典方法,Grover的量子算法可以在非结构化数据库搜索中实现二次加速,并且可以用来攻击对称密钥协议,例如AES或哈希函数。但请注意,我们正在进行一系列工作,旨在寻找比Grover算法更有效的攻击。
开发能够运行对现代密码学产生威胁的密码分析算法的大型容错量子计算机的时间尺度尚不确定。然而,人们普遍认为,这种计算机在未来十年(到2032年)出现的风险很大(>30%),因此需要做好准备,特别是因为某些形式的攻击可能是回溯性的,如下所述(例如现在存储,稍后解密)。
6.2 量子威胁——商业风险
量子威胁给电信行业及其用户带来了多种高影响风险。下表概述了其中一些威胁:
上述风险的业务后果对利益相关者来说非常重要,因为它们可能导致隐私泄露、声誉受损、网络中断或其他具有重大财务影响的不利后果。
6.3 后量子密码学
PQC是指一类密码协议,旨在通过使用经典(即非量子)技术提供针对量子授权对手的安全性。自从Grover算法对对称算法造成的量子威胁不太严重,对于对称协议来说,通往后量子状态的途径可能更直接。
也就是说,在存在量子授权对手的情况下,通过采用更高级别的安全性来保留类似的加密方法仍然是可行的。例如,在某些情况下,在正确的设计范例下增加密钥的位数大小可能足以在面对Grover算法时保持足够的安全级别。这些变化可以将对称协议从量子脆弱性提升到后量子安全性。
对于非对称算法来说,向后量子状态的转变更加复杂。由于Shor算法允许指数级加速,因此简单地提高当前方法的安全级别是不可行的。相反,人们必须用替代方法取代现有的非对称技术,以提供针对量子对手的安全保证。
请注意,非对称协议(例如普遍部署的公钥加密方案和数字签名方案)由于其提供的功能和实用性增加而受到青睐。由于量子威胁会影响这些普遍部署的非对称加密协议,因此人们必须放弃这一附加功能,或者用提供相同功能但被认为可以抵御量子攻击的新算法替换易受攻击的算法。
人们可以通过实施被认为可以安全抵御量子攻击的替代算法来保留当前部署的公钥加密和数字签名算法所提供的功能。此类算法被称为后量子非对称加密算法,这意味着它们似乎可以安全地抵御量子攻击。PQC预计将在解决量子威胁方面发挥主导作用,并建议NIST等机构采用,尽管PQC标准化仍在进行中。这种替换算法并不像听起来那么简单,因为即使实现了所需的加密功能和量子保护,该算法也可能会产生与给定用例约束不兼容的计算或故障率或密钥大小成本。
量子计算、量子算法和量子相关密码学领域的研究持续快速发展。因此,合理的量子安全和可证明的量子安全的概念仍然是不同但相关的类别。新的攻击、新的算法或其他技术进步可能会揭示密码算法中的漏洞,否则这些算法看起来似乎是量子安全的;即PQC并不等同于“可证明量子安全”。正在进行的NIST PQC标准化项目是目前旨在标准化一组后量子安全加密/密钥交换算法和数字签名算法的领先项目之一。在这一标准化项目中,发现了针对所谓的量子安全算法(例如Rainbow和SIKE)的新攻击和密码分析,这表明该领域还处于相对初级阶段。尽管如此,仍有强烈的动机期望PQC候选算法具有量子安全性。此外,合理的量子安全是目前可用的下一个最佳替代方案。人们对密码算法的信心随着时间的考验而增加,而后者将最终决定哪些PQC算法仍然可行。
6.4 与其他量子技术的关系
6.4.1 量子密钥分发
量子密钥分发(Quantum Key Distribution,QKD)旨在利用物质的量子特性实现密钥交换。因此,QKD属于量子密码学的范畴,即协议本身利用了物质的量子特性。拦截在途量子态的对手无法同时获知该状态内的所有信息,并且不能不受干扰地将该状态发送给预期接收者。因此,QKD利用物理定律为密码安全奠定基础,避免了硬性假设的需要。然而,实现通常需要额外的安全成分来确保安全的密钥建立,例如预先认证的通信信道。鉴于这些限制,目前不推荐多个机构在特定场景下采用QKD,包括在美国和英国政府应用中使用。然而,QKD具有一定的优势,包括对计算和数学突破的完全抗毁性,因此可以在超安全链路上支持对称密码中的密钥刷新。产业界和研究机构不断积极探索和开发QKD的潜力。
6.4.2 量子随机数产生
随机数是一个既不可预测又无偏倚的数字。随机数对网络安全至关重要,因为所有形式的密码学都需要强大的熵源。随机数发生器的应用实例:在对称密码学中密钥的生成(也可能是初始化向量);在PQC中,LWE问题中噪声向量的选择;在QKD中比特值和基值的选择。
6.5 PQC算法的标准化
NIST和中国科学院正在开展PQC算法标准化项目,许多国家也有采用PQC的国家项目。
6.5.1 NIST
2016年4月,美国国家标准与技术研究院(NIST)发布了关于PQC的报告,并宣布将举行竞赛,以规范后量子数字签名算法和公钥加密/密钥封装机制。第一轮提交截止日期为2017年11月,当时提交了69个提案。这些提交的大多数都是基于格的,说明了这种数学工具抵抗量子计算机的潜力。
4年多来,密码学界对不同的候选方案进行了广泛的研究。若干攻击被认为足够严重,导致未选择第二轮NIST竞赛的相关算法。
2019年1月,NIST公布了第二轮竞赛的候选算法。2020年7月,进入第三轮竞赛的候选算法名单缩小为15个候选算法。其中7个确实被选为"入围者",这意味着其将在回合结束时继续接受审查,以实现潜在的标准化。另外8个候选算法只被选为"候补"候选者,这意味着其在未来而不是在竞争结束时可能是标准化的。
2022年7月,NIST宣布了第一个待标准化的算法列表:一个密钥封装机制和三个数字签名。此外,还启动了第四轮谈判,以使KEM投资组合多样化。除了预期的新提案外,第三轮的4个关键候选机构被保留作为备选候选机构,以供未来的标准化考虑(与此同时,其中1个(SIKE)已被完全打破并已被丢弃)。
NIST估计* 2023年PQC标准草案。
*https://csrc.nist.gov/csrc/media/Presentations/2022/the-beginning-of-the-end-the-first-nist pqc-standa/images-media/pkc2022-march2022-moody.pdf
6.5.2 ISO/IEC
继NIST遴选出PQC的4项未来标准后,ISO/IEC第27分委员会第二工作组在2022年10月6日的会议上决定启动一个初步工作项目“在ISO/IEC标准中纳入PQC的关键封装机制”。
该项目标题表明,ISO/IEC倡议的特殊性在于,迄今为止,它只涉及关键封装机制,而NIST竞争者也考虑数字签名机制。
ISO/IEC倡议的另一个特点是,他们愿意考虑被NIST拒绝的候选算法,如FrodoKEM。更具体地说,报告提到了三个潜在的标准化目标,即Kyber(未来的NIST标准)、Classic McEliece(NIST第四轮仍在考虑中)和FrodoKEM。最后两个方案表明,ISO/IEC将倾向于保守设计而非性能设计,这将产生替代标准列表,在一定程度上补充NIST标准。
7 后量子电信网络——影响评估
密码学提供了用于保护网络、设备和系统的构建模块。加密技术在电信领域的应用示例涵盖多个领域。
(方婷 赵婧琳)
声明:本文来自苏州信息安全法学所,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
