深度好文：向后量子密碼學(xué)遷移，我們應(yīng)該怎么做？

在這篇博文中，我們探討PQC遷移過程中面臨的一些挑戰(zhàn)，研究應(yīng)對這些挑戰(zhàn)的策略。

已公布的PQC標(biāo)準(zhǔn)及其最近發(fā)布的草案讓我們距離廣泛部署PQC更近一步。PQC遷移過程將是迄今為止公鑰密碼學(xué)領(lǐng)域的一次重大變革，影響數(shù)十億設(shè)備和全球數(shù)字安全基礎(chǔ)設(shè)施。

向PQC遷移：充滿挑戰(zhàn)的道路

傳統(tǒng)的非對稱密碼學(xué)基于RSA或ECC方案，是現(xiàn)代數(shù)字基礎(chǔ)設(shè)施的重要支撐。向PQC遷移將面臨許多挑戰(zhàn)。

首先，需要考慮計(jì)劃和部署。這不僅包括密鑰、密文和簽名的大小，還包括內(nèi)存和效率的影響。其次，許多公鑰基礎(chǔ)設(shè)施需要升級。特別是，美國國家標(biāo)準(zhǔn)與技術(shù)研究院正在標(biāo)準(zhǔn)化的一些方案在功能上與基于RSA和ECC的方案不同，這意味著廣泛使用的協(xié)議需要做出相應(yīng)的調(diào)整。第三，要根據(jù)每個(gè)具體用例的風(fēng)險(xiǎn)分析來確定遷移的時(shí)機(jī)。例如，影響力更大的基礎(chǔ)設(shè)施比為智能家居設(shè)計(jì)的物聯(lián)網(wǎng)設(shè)備更易成為惡意實(shí)體的攻擊目標(biāo)。前者應(yīng)該盡早制定遷移計(jì)劃，而后者可能根本不需要遷移。

除了遷移外，還要注意的是，正在標(biāo)準(zhǔn)化的PQC算法相比傳統(tǒng)的算法還不夠成熟，尤其是在物理安全方面。對于嵌入式設(shè)備，特別是部署在敵對環(huán)境中的設(shè)備，抵御物理攻擊者也面臨一系列挑戰(zhàn)。例如，我們討論了加固大多數(shù)PQC密鑰封裝機(jī)制 (KEM) 的困難，以及一些針對特定用例的非常規(guī)方法來防止攻擊。顯然，無論P(yáng)QC部署在何處，依賴PQC的機(jī)制或協(xié)議的安全性都是至關(guān)重要的：我們需要?jiǎng)?chuàng)建一個(gè)既能保持傳統(tǒng)密碼學(xué)提供的當(dāng)前安全性，又能增強(qiáng)對量子攻擊者防御的系統(tǒng)。

混合PQC機(jī)制：一種規(guī)避風(fēng)險(xiǎn)的解決方案

要實(shí)現(xiàn)傳統(tǒng)密碼學(xué)保護(hù)和后量子密碼學(xué)保護(hù)的雙重目標(biāo)，可以使用混合PQC，將傳統(tǒng)的非對稱密碼學(xué)方案和后量子密碼學(xué)方案結(jié)合起來。德國BSI和法國ANSSI等多個(gè)國家機(jī)構(gòu)都推薦使用混合方法。

在混合系統(tǒng)中，信息安全依賴于兩種或多種密碼學(xué)方案：僅僅破解其中一種方案并不能完全攻破系統(tǒng)。一般來說，與單獨(dú)使用PQC相比，同時(shí)使用傳統(tǒng)算法和PQC所帶來的通信或存儲開銷很小，因此這種規(guī)避風(fēng)險(xiǎn)的做法代價(jià)相對較低。對于數(shù)字簽名，部署可以非常簡單，只需包含一個(gè)傳統(tǒng)簽名 (ECDSA或RSA) 和一個(gè)PQC簽名(ML-DSA、SLH-DSA、LMS或XMSS)，同時(shí)進(jìn)行驗(yàn)證，且必須同時(shí)通過驗(yàn)證。對于密鑰協(xié)商 (key establishment)，情況就比較復(fù)雜，因?yàn)橐獙⒁粋€(gè)KEM (如ML-KEM) 與ECDH (E) 結(jié)合起來需要考慮一些細(xì)節(jié)。另外，TLS握手的推薦方法與IKEv2的方法也有所不同。

混合機(jī)制的各種標(biāo)準(zhǔn)和指南還在制定，它們將有助于實(shí)現(xiàn)互操作性。例如，在密鑰交換階段，標(biāo)準(zhǔn)和指南確保通信雙方以正確的順序和格式將輸入送入密鑰派生函數(shù)，從而得到相同的會話密鑰，并可靠地進(jìn)行后續(xù)安全通信。這些標(biāo)準(zhǔn)和指南也將幫助產(chǎn)品和系統(tǒng)避免使用較弱的機(jī)制。

密碼學(xué)敏捷性：一個(gè)遠(yuǎn)大的目標(biāo)

為了減輕未來潛在必要更新的影響 (無論是為了適應(yīng)未來的PQC標(biāo)準(zhǔn)，還是為了及時(shí)應(yīng)對密碼分析的新進(jìn)展)，都可以通過提高密碼學(xué)的敏捷性來實(shí)現(xiàn)。密碼學(xué)敏捷性可以定義為一個(gè)系統(tǒng)在遇到新的安全或法規(guī)要求時(shí)能夠輕松進(jìn)行調(diào)整的能力。它不僅包括從一種算法遷移到另一種算法，還包括采用其他方法，例如在實(shí)現(xiàn)或安全參數(shù)方面具有一般靈活性。

對于資源受限的嵌入式設(shè)備，實(shí)現(xiàn)任何形式的密碼學(xué)敏捷性都需要付出很高代價(jià)。通過風(fēng)險(xiǎn)分析，評估收益成本比，以及評估基礎(chǔ)設(shè)施是否能夠適應(yīng)替代的模式，是非常重要的。例如，一種保守的方法是從基于PKI的密鑰協(xié)商退回到預(yù)共享的對稱密鑰，這些密鑰可以用來安全地更換密碼系統(tǒng)，即使用于常規(guī)更新的基于PKI的密鑰協(xié)商被攻破了。

然而，對于許多用例來說，這并不可行，無論是因?yàn)樵黾恿嗣荑€存儲的需求和攻擊面，還是因?yàn)殡y以預(yù)測未來哪些設(shè)備可能會進(jìn)行配對。遺憾的是，提高敏捷性有可能帶來額外的復(fù)雜性和漏洞。必須確保對系統(tǒng)的任何修改或調(diào)整只能由經(jīng)過認(rèn)證的來源發(fā)起，并且不能影響安全性。

在前量子世界，恩智浦利用其在Edgelock安全區(qū)域和Edgelock安全芯片中的信任根等來實(shí)現(xiàn)這一點(diǎn)。

這些問題以及其他問題都是PQC風(fēng)險(xiǎn)評估的重要內(nèi)容。對于那些在近期將使用 (混合) PQC的設(shè)備，有必要評估它們過渡到新算法并支持新算法的能力，以便盡可能縮短全系統(tǒng)遷移所需的時(shí)間。

為了確保順利遷移，還需要在應(yīng)用研究、工程和標(biāo)準(zhǔn)化方面付出巨大努力。毫無疑問，我們迫切需要制定、評估和標(biāo)準(zhǔn)化遷移方案和策略，確保安全性和互操作性。目前，密碼資產(chǎn)的提供者應(yīng)該意識到需要建立全面的密碼庫，以便能夠迅速推出敏捷的解決方案。這種新的混合方式 (PQC的未來) 凸顯了密碼學(xué)敏捷性的重要性和相關(guān)性，是未來多年預(yù)測和應(yīng)對密碼威脅的使能因素。

本文作者

● Melissa Azouaoui是恩智浦半導(dǎo)體公司CTO機(jī)構(gòu)的密碼與安全能力中心(CCC&S)的資深譯碼員。她于2021年獲得比利時(shí)魯汶天主教大學(xué)(UCLouvain in Belgium)博士學(xué)位，在恩智浦德國公司工作，專注于對稱密碼學(xué)和非對稱密碼學(xué)的旁路攻擊防護(hù)及評估。Melissa是后量子密碼學(xué)團(tuán)隊(duì)的成員，在恩智浦的工作包括旁路攻擊和故障注入攻擊及防護(hù)，特別關(guān)注基于晶格和基于哈希的密碼學(xué)。

● Joppe W. Bos是恩智浦半導(dǎo)體公司技術(shù)總監(jiān)兼CTO機(jī)構(gòu)的密碼與安全能力中心(CCC&S)的譯碼員。他常駐比利時(shí)，是后量子密碼學(xué)團(tuán)隊(duì)的技術(shù)負(fù)責(zé)人，擁有20多項(xiàng)專利，發(fā)表過50篇學(xué)術(shù)論文。他是IACR Cryptoology ePrint Archive的聯(lián)合編輯。

● Christine Cloostermans是恩智浦半導(dǎo)體公司CTO機(jī)構(gòu)的密碼與安全能力中心 (CCC&S) 的資深譯碼員。她在圖埃因霍溫大學(xué) (TU Eindhoven) 獲得了基于晶格的密碼學(xué)相關(guān)的博士學(xué)位。Christine參與發(fā)布過10多篇科學(xué)文章，并發(fā)表過多場后量子密碼學(xué)領(lǐng)域的公開演講。除了PQC，她還積極參與多項(xiàng)標(biāo)準(zhǔn)化工作，包括工業(yè)領(lǐng)域的IEC62443、移動(dòng)駕駛執(zhí)照的ISO18013以及連接標(biāo)準(zhǔn)聯(lián)盟的訪問控制工作組。

● Gareth T. Davies是恩智浦半導(dǎo)體公司CTO機(jī)構(gòu)的密碼與安全能力中心(CCC&S)的資深譯碼員。他是后量子密碼學(xué)團(tuán)隊(duì)成員，從事包括協(xié)議分析、認(rèn)證方案和標(biāo)準(zhǔn)化等多個(gè)主題的研究工作。

● Sarah Esmann是NFC和物聯(lián)網(wǎng)安全領(lǐng)域資深產(chǎn)品經(jīng)理兼產(chǎn)品管理主管，恩智浦安全連接邊緣業(yè)務(wù)部。Sarah與后量子密碼學(xué)團(tuán)隊(duì)保持緊密的商業(yè)合作關(guān)系，參與了多個(gè)項(xiàng)目的推進(jìn)。