微软抢跑后，谷歌也宣布启用NIST抗量子加密最新标准

8月13日，美国国家标准与技术研究院（NIST）正式发布首批抗量子加密（PQC）标准，不久后微软就宣布采用新标准进行抗量子加密部署，成为绝对的抢跑者。

时隔一个月——也就是9月13日，谷歌宣布更新其Chrome网络浏览器中的抗量子加密技术，用完全标准化的基于模块晶格密钥封装机制（ML-KEM，NIST首批PQC标准之一）取代实验性的Kyber，以提升对量子计算潜在攻击的防御能力。NIST的研究人员表示：即使是未来功能最强大的量子计算机，也很难攻破这套PQC标准。

图：9月13日，Google宣布更新其Chrome网络浏览器中的抗量子加密技术 来源：Google

这些更改与升级预计将在Chrome版本131中生效，该版本有望于2024年11月初发布。

苹果、微软都在迁，为什么我们需要抗量子加密？

今年以来，苹果、谷歌、微软等科技界领军企业已经陆续表态，他们将采用抗量子加密技术来防范量子计算机可能带来的安全风险。

抗量子加密技术的兴起与一个名为Q-day的概念紧密相连。Q-day代表了一个假设中的未来时刻，届时量子计算机将变得足够强大，能够轻易破解目前广泛使用的网络加密技术。据专家预测，Q-day可能会在接下来的5至10年内到来。尽管量子计算技术的广泛应用仍需时日，但现有的加密技术变得不再安全只是迟早的事情。

尽管CRQC（Cryptanalytically Relevant Quantum Computer，加密相关量子计算机）尚未问世，但使用传统算法加密的数据已经处于潜在风险之中。目前，一些黑客已经开始了“先存储，后解密（SNDL）”的行动，即在侵入系统后先行保存那些具有较高价值的数据，待到量子计算技术成熟后再对加密数据进行破解。

虽然现代密码学技术可以防止数据在传输过程中被窃听或篡改，但它却无法阻止攻击者对加密数据进行精确复制——这是一个难以攻破的盲区。

因此，目前的防御措施只能暂时延缓黑客的攻击。一些高级黑客可能已经能够预见到哪些加密数据具有重要价值，因此，现在就开始向PQC过渡是预防这类威胁的长远之计。为了长期保护关键的信息系统及其所存储和处理的数据安全，我们必须迁移到PQC。

这就是为什么所有依赖加密技术的软件供应商都需要立即开始后量子时代的过渡，这一迁移过程的紧迫性不容忽视。

图：Whitfield Diffie

此外，2015年图灵奖得主、IBM的密码学专家Whitfield Diffie也从一个独特的视角强调了采用新的量子安全算法的紧迫性。他指出：“历史上的加密技术迁移耗时近20年才完成，而量子安全加密的迁移将比以往任何时候都要复杂，因为它涉及到重新设计众多安全协议和更新基础设施。为了在迁移过程中尽可能减少业务中断、降低相关成本，各组织需要立即制定量子安全的转型策略，并开始逐步过渡到新的标准。”

谷歌的PQC之路：从Kyber到ML-KEM

2023年8月，谷歌Chrome浏览器安全技术项目经理Devon O’Brien表示，从Chrome 116开始，谷歌浏览器将采用新的抗量子加密技术X25519 Kyber768。

这是一种混合机制，结合了两种加密算法的输出来加密传输层安全（TLS） 会话。X25519是一种椭圆曲线算法，目前用于建立安全TLS连接的密钥协议过程；Kyber-768是一种抗量子的KEM，于2022年获得了NIST的认可。

而在本次更新中，所采用的ML-KEM标准是一种用于常规加密的密钥封装机制，主要用于保护在公共网络上传输的信息的常规加密，例如保护访问安全网站时的数据。实际上，ML-KEM算法建立在CRYSTALS-Kyber算法的基础之上——也就是Chrome之前采用的算法。

既然两种技术如此相似，为什么还需要进行替换？谷歌指出，尽管从Kyber到ML-KEM的技术变化很小，但两者本质上不兼容，因此必须进行转换。

“对ML-KEM最终版本的更改使其与之前部署的Kyber版本不兼容，”谷歌在一则博客中表示，“因此，TLS中用于混合后量子密钥交换的码位从Kyber768+X25519的0x6399更改为ML-KEM768+X25519的0x11EC。”为了解决这个问题，谷歌将在Chrome 131中进行以下更改：

• Chrome将从支持Kyber改为支持ML-KEM

• Chrome将为混合ML-KEM（代码点 0x11EC）提供关键份额预测

• PostQuantumKeyAgreementEnabled标志和企业策略将同时应用于Kyber 和 ML-KEM

• Chrome将不再支持混合Kyber（代码点 0x6399）

此外，谷歌还表明，放弃实验系统而采用NIST批准的标准化机制，是一种“战略选择”。

Chrome不会同时支持 Kyber 和ML-KEM，主要出于以下原因：

首先，相较于标准化、规范化的ML-KEM，Kyber依然是实验性的，因此谷歌认为继续采用Kyber可能导致Chrome在非标准算法上僵化。

其次，抗量子签名及其相应的公钥过于庞大，无法同时提供两个后量子密钥共享预测。

最后，服务器运营商可以暂时同时支持这两种算法，以便在客户端随时间推移而更新时，在更广泛的客户端集上保持抗量子安全性。

向抗量子加密迁移，大厂带头

2024年8月13日，NIST发布首批抗量子加密标准，微软是最先采用新标准的大厂之一——绝对的抢跑者。

2024年9月9日，微软发布博客，宣布已开始在其开源核心加密库SymCrypt中部署抗量子算法。博客发布前一周，微软对SymCrypt进行了更新，其中包括ML-KEM和XMSS算法。微软还表示，将在未来几个月内推出基于格的数字签名方案ML-DSA（FIPS 204，以前称为Dilithium）和基于哈希的无状态数字签名方案SLH-DSA（FIPS 205，以前称为SPHINCS+），这两种算法也已被NIST列为抗量子加密最新标准。

图：9月9日，微软发布博客，宣布已开始在其开源核心加密库SymCrypt中部署抗量子算法

来源：微软

微软强调：“这是我们为量子时代做准备并帮助保护客户免受未来量子威胁的旅程中一个重要的里程碑。”

SymCrypt是微软开发的核心加密库，它为Windows和Linux操作系统提供加密功能。这个库支持对称和非对称加密算法，并且是微软在Azure、Microsoft 365、所有受支持的 Windows版本、Azure Stack HCI和Azure Linux等产品和服务中使用的主要加密库。SymCrypt提供了用于电子邮件安全、云存储、Web 浏览、远程访问和设备管理的加密安全性。

2024年2月21日，苹果公司在其官方博客上宣布，将对iMessage的加密协议进行重要更新，以增强其抵御量子计算威胁的能力。苹果表示，新的PQ3协议预计将在2024年内全面取代所有现有的对话协议。

在这篇博客文章中，苹果指出，PQ3是“iMessage历史上最重要的加密安全升级”，并详细介绍了PQ3加密协议的构建方式和工作机制。此次更新引入了一种新型的抗量子加密密钥，该密钥作为使用iMessage服务的设备（包括手机和电脑）生成的公钥的一部分，并被发送至苹果的服务器。

此外，苹果还采用了Kyber算法来生成这些密钥，确保从第一条消息发送时起就能实现密钥的生成，即便消息接收者不在线也能完成这一过程。苹果强调，在创建加密密钥和进行消息交换的过程中，其系统提供了抗量子级别的保护措施——即使用户的加密密钥被攻击者获取，安全性依然得以保障。

苹果进一步指出，抗量子加密技术是对现有加密技术的一种强化和升级。苹果采用的PQC技术实际上是一种混合设计策略，将目前的椭圆曲线加密技术（ECC）与新的后量子保护技术相结合。苹果表示，若想破解PQ3的安全性，攻击者必须同时克服传统ECC加密技术和新型抗量子技术所带来的双重挑战。

QuSecure公司的联合创始人兼首席产品官Rebecca Krauthamer曾表示：“我们不应将具备强大计算能力的量子计算机的到来视为一件具体的、迫在眉睫的事，而应将其视为一种可能会毫无预兆地出现的现象。”

随着量子计算技术的不断发展，抗量子加密算法或将成为未来数据安全的核心。微软、谷歌等科技巨头的参与，既是主动采取措施以抵御未来威胁的先锋行动，也为NIST抗量子算法成为全球公认的实用标准提供了强有力的助推。在这些行业领军者的带动下，越来越多的企业可能会逐步过渡到抗量子加密技术，掀起一波新的PQC热潮。

参考链接

[1]https://security.googleblog.com/2024/09/a-new-path-for-kyber-on-web.html

[2]https://techcommunity.microsoft.com/t5/security-compliance-and-identity/microsoft-s-quantum-resistant-cryptography-is-here/ba-p/4238780

[3]https://github.com/microsoft/SymCrypt

[4]https://www.tomsguide.com/computing/vpns/google-chrome-switching-to-post-quantum-encryption

[5]https://thehackernews.com/2024/09/google-chrome-switches-to-ml-kem-for.html

[6]https://www.techradar.com/computing/cyber-security/chrome-to-adopt-nist-approved-post-quantum-encryption-on-desktop

[7]https://www.phonearena.com/news/apple-upgrades-imessage-with-pq3_id155572

[8]https://www.yahoo.com/news/apple-rolls-imessage-upgrade-withstand-140305409.html

[9]https://www.theregister.com/2023/08/12/google_chrome_kem/

[10]https://www.nist.gov/news-events/news/2024/08/nist-releases-first-3-finalized-post-quantum-encryption-standards

声明：本文来自光子盒，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。