后量子暗码搬迁研讨
量子核算技能对传统暗码算法安全性的要挟十分大。在量子核算模型下,公钥暗码将被破解,对称暗码和杂凑暗码的安全性将折半。研讨和运用反抗量子核算进犯的暗码技能日趋急迫,美国国家规范与技能研讨所(National Institute of Standards and Technology,NIST)于 2022 年 7 月遴选出 4 种拟规范化的候选算法。跟着算法规范化进程挨近结尾,后量子暗码搬迁活动被提上日程。就该范畴打开体系性研讨,概括总结干流的后量子暗码搬迁问题、计划、技能和办法等,并以政务云渠道体系进行后量子暗码搬迁为例进行论述,为后续的暗码运用搬迁供给参阅。
暗码技能是信息安全的核心技能,也是网络空间安全的柱石,而暗码技能的安全性依靠于暗码算法的安全性。跟着核算机运算功用的提高及暗码剖析技能的前进,特别是量子核算技能的展开,暗码算法的安全性遭到了严峻的应战。
量子核算(Quantum computing)是运用量子态的性质(如叠加原理和量子羁绊)来履行核算的一种新式技能。其间,量子核算机的展开十分敏捷,估计 5~15 年后,会对暗码算法将形成严峻要挟的有用量子核算机将被制造出来。由于量子核算机带来了运算算力的提高,量子算法(如 Shor 算法和Grover 算法)能下降破解传统暗码算法的核算难度,使得破解传统的公钥暗码算法(如 SM2、SM9 等)成为或许,特别是依据大数因子分化问题和离散对数问题的暗码算法易被破解,此外,破解对称暗码算法和杂凑暗码算法的时刻消耗会大约降为本来所需的一半。
为了应对量子核算技能的要挟,后量子暗码应运而生。后量子暗码是在经典核算机上运转的、能反抗量子核算进犯及经典核算进犯的暗码算法和暗码协议。现在,人们评论最广泛的是公钥暗码算法。
美国主导了后量子公钥暗码算法规范化的进程 。美国国家规范与技能研讨所(National Institute of Standards and Technology,NIST)在 2016年面向全球启动了搜集后量子公钥暗码算法的活动,得到了世界暗码学界的广泛呼应,共搜集到 69份算法计划。历时 6 年多,经过了 3 轮的评价,于2022 年 7 月确认了 4 种拟规范化的后量子暗码算法,分别为密钥封装机制 Crystals-Kyber、数字签名算法Crystals-Dilithium、Falcon 和 Sphincs+,一起确认了位翻转密钥封装(Bit Flipping Key Encapsulation,BIKE)、Classic McEliece 和汉明准循环(Hamming Quasi-Cyclic,HQC)这 3 种密钥封装机制进入第 4轮评价。NIST 计划于 2023 年发布后量子公钥暗码算法规范草案以寻求大众定见,并于 2024 年公布正式规范。
为了有用处理传统暗码算法面临的量子计算 攻 击 的 安 全 威 胁, 同 时 考 虑“ 先 收 集, 后 破解 ”(Store-Now-Decrypt-Later,SNDL)潜 在进犯的长时性及全套暗码算法(包含公钥暗码算法、 对 称 密 码 算 法 和 杂 凑 密 码 算 法) 替 换 的 时刻( 数 十 年), 使 用 传 统 密 码 技 术 的 信 息 技 术(Information Technology,IT)和操作技能(Operation Technology,OT)体系需求赶快切换运用后量子暗码技能,这项作业被称为后量子暗码搬迁 。
遭到量子核算安全要挟的 IT 和 OT 体系首要包含:
(1)体系的安全性依靠于量子不安全的暗码算法;
(2)体系的安全性依靠于以量子不安全的密码算法构建的暗码协议;
(3)体系的安全性一起依靠于上述两者。一般地,现在广泛运用的暗码算法大多数是量子不安全的,仅有少数的算法如 AES-256、SHA-512 等可被以为是量子安全的。后量子暗码搬迁不仅仅是替换暗码算法,它还包含将暗码协议、暗码计划、暗码组件、暗码根底设备等更新为量子安全的暗码技能,乃至还包含暗码体系的灵敏更新机制的才干构建及暗码运用信息体系的迭代更新等。
现在传统的(量子不安全)暗码技能现已广泛运用和布置,进行后量子暗码搬迁的作业量很大。当然,人们希望在搬迁时对现有体系的改动量越少越好,但这个需求完结起来并不简略。后量子暗码技能比较于传统暗码技能,其公钥暗码算法在密钥尺度和密文尺度等方面要大几倍到几十倍,别的一些后量子公钥暗码算法速度十分慢,且十分消耗运算资源。因而,人们正尽力在各种暗码运用体系中测验运用后量子暗码算法,特别是在通讯协议和公钥根底设备(Public Key Infrastructure,PKI)体系中,并探究相关问题的处理办法和思路,希望在不久的将来能够平稳过渡到后量子暗码 。
本文第 1 节介绍后量子暗码搬迁的一些重要问题及相关处理思路,第 2 节介绍后量子暗码搬迁或许用到的一些有价值的技能,第 3 节介绍政务云渠道体系的后量子暗码搬迁,第 4 节对我国后量子暗码搬迁提出主张,终究进行概括总结。
1
搬迁问题及处理思路
后量子暗码搬迁面临许多技能、规范化及工程运用方面的问题,下面就这些问题做简略讨论,并供给一些处理思路。
1.1 技能困难
传统暗码算法与后量子暗码算法,特别是公钥暗码算法,在算法参数尺度、运算功率、算法机制等方面存在较大差异,不能简略地直接将传统暗码算法替换成后量子暗码算法。传统公钥暗码算法,如 SM2,供给加解密、签名验签、密钥洽谈等功用;公、私钥长度为 64 字节和 32 字节,加密数据长度为恣意字节,密文长度较明文数据长度添加 96 字节;签名原文数据长度恣意,经过杂凑后进行签名,签名效果长度为 64 字节;可与 Diffie-Hellman 算法结合进行密钥洽谈。但单种后量子暗码算法不能供给全面的运算功用,可将它们可分为两类:一类为密钥封装算法,如 Kyber768,供给加解密、密钥封装等功用,公、私钥长度为 1 184 字节和 2 400 字节,密钥封装功用原文数据长度为 32 字节,封装密文长度为 1 088 字节,不行与 Diffie-Hellman 算法结协作密钥洽谈;另一类是签名算法,如 Dilithium3,仅供给签名验签功用,公、私钥长度为 1 952 字节和 4 000 字节,签名长度为 3 293 字节。在运算速度上,部分后量子公钥暗码算法较 SM2 算法更快,如 Kyber768 使 用 高 级 向 量 扩 展(Advanced Vector Extensions,AVX) 并 行 指 令 优 化 后 较 SM2 快 10倍左右,另一些后量子公钥暗码算法较 SM2 慢许多,如 Sphincs+ 的签名速度是 SM2 的约千分之一。表 1 列出了部分比照效果,其间,* 表明运用 CPUAVX2 加 速, 在 I5 1135G7 2 核 CPU 上 测 试;LAC是我国学者提出的密钥封装算法。
别的,后量子公钥暗码算法品种特别多,现在没有一种算法能像 SM2 算法这样通用,因而,在不同的运用场景下,需求选用不同的后量子公钥暗码算法,而算法的挑选和互通性会给搬迁带来不小的应战。
处理的办法和思路能够从两方面考虑:一是加大算法理论和完结的研讨,增大算法及相关技能的储藏,为搬迁供给更多更优的候选算法;二是结合详细的运用场景,发掘立异式运用办法,加强暗码灵敏性研讨,防止暗码算法和暗码技能在体系中固化,为后续新暗码算法、暗码算法参数和暗码技能的切换更新供给才干确保。
表 1 SM2 算法与后量子密钥封装机制的比照