后量子密码｜NIST发布首批3项抗量子密码标准，第4项即将推出

2024年8月13日，美国国家标准与技术研究院（NIST）发布了人们期待已久的首批后量子密码 （PQC） 标准。

NIST的PQC竞赛

NIST于2016年启动了PQC项目，发布了一项公开竞赛，旨在寻找和标准化能够抵御量子计算攻击的新型加密算法。与此同时NIST的国家网络安全卓越中心也启动了“后量子密码学迁移项目”，旨在开发实践和工具，帮助企业平稳过渡到新标准。

此次竞赛吸引了来自25个国家的82份算法提案。经过四轮评审和淘汰，NIST于2022年确定了四种候选算法。

时到今日，NIST现已正式确定以下三项PQC标准，以迎接Q—Day的到来，加强量子时代的现代公钥加密基础设施（PKI）：

第四种算法FALCON标准草案预计将于2024年底推出，并于2025年获得最终批准。

具体来看，——

联邦信息处理标准（FIPS）203，旨在作为通用加密的主要标准。其优势包括较小的加密密钥，便于双方交换，以及较快的运行速度。该标准基于CRYSTALS-Kyber算法，现已更名为ML-KEM，即模块化格基密钥封装机制的缩写。

FIPS 204，旨在作为保护数字签名的主要标准。该标准采用CRYSTALS-Dilithium算法，现已更名为ML-DSA，即模块化格基数字签名算法的缩写。

FIPS 205，同样为数字签名而设计。该标准采用Sphincs+算法，现已更名为SLH-DSA，即无状态哈希数字签名算法的缩写。此标准基于与ML-DSA不同的数学方法，旨在作为ML-DSA出现漏洞时的备用方案。

同样地，当基于FALCON算法的FIPS 206草案标准发布时，该算法将被命名为FN-DSA，即基于NTRU格的快速傅里叶变换（FFT）数字签名算法的缩写。

对于企业首席信息官 （CIO）和首席安全官 （CSO）来说，这是一个信号，表明他们应该开始在其IT基础设施中实施PQC，以保护其组织免受未来大规模量子计算机的网络安全攻击。

这些标准可能会成为未来互联网的重要组成部分，NIST鼓励计算机系统管理员尽快开始采用这些新标准，过渡到后量子安全。

据悉，美国政府已制定计划，将所有政府IT系统升级到新标准，预计将在2025年至2035年间为此花费约71亿美元。

NIST数学家、PQC标准化项目负责人达斯汀·穆迪 （Dustin Moody）表示，该机构正在继续评估另外两种算法作为备用标准，但敦促安全从业人员使用当下发布的算法。 

“没有必要等待未来的标准，”他说道，“建议现在就开始使用这三个标准，我们需要做好准备，并继续制定备份计划，以保证我们的数据安全。但对于大多数应用程序来说，这些新标准才是重中之重。” 

NIST加密组负责人、负责标准化过程的Lily Chen表示，NIST在20世纪70年代制定的加密标准如今已应用于几乎所有设备，包括互联网路由器、手机和笔记本电脑等。

但这一过程不可能一蹴而就。

“如今，公钥加密无处不在，每个设备中都在使用。”Chen表示，“我们现在的任务是替换每个设备中的协议，这并不是一件容易的事情。”

但，这是当下一定要做的事情，为什么？

为Q-Day的到来做好准备。

为什么我们现在需要PQC？

尽管大多数专家认为，大规模量子计算机至少在十年内不会建成，但如果加密相关量子计算机（CRQC）提前出现，该如何应对？

用户需要考虑最坏情况的心态，因为破解现有非对称加密算法的技术可能比预期更早被发现。

QED-C发布的报告《保护金融信息安全的量子技术》中指出，能够在24小时内破解RSA-2048的量子计算机在未来十年内出现的可能性相当高。

一旦足够强大的量子计算机投入使用，互联网通信、数字签名、密码、合同和其他文件的数据保护机制将立即过时。 

坐等观望并不是一种选择。

此外，恶意个体可能会现在就下载并存储加密数据，然后在量子计算机足够强大时再进行解密。这种策略被称为“现在收集，未来解密”（harvest now, decrypt later），即使这些数据现在无法破解，它们在未来仍然可能对敏感信息构成威胁。

此外，很多使用RSA加密的设备，如汽车和一些物联网设备，预计将至少使用十年。因此，这些设备在投放市场之前需要配备抗量子加密技术。

目前，几乎所有的数据（如金融、医疗和个人数据）都采用了某种形式的加密，其中大部分使用RSA方法。据报道，可能有超过200亿台设备需要将其软件升级到抗量子密码学（PQC）标准。

NXP半导体公司的首席安全架构师兼密码学家乔斯特·雷内斯（Joost Renes）表示，各行各业的安全专家开始认真对待量子计算机的威胁。

“2017年、2018年的时候，人们还在问‘什么是量子计算机？’”Renes说道，“现在，他们问的是‘抗量子密码标准什么时候发布？我们应该实施哪个？’”

这是向加密敏捷时代大规模过渡的开始。

有了这些标准化的原语，我们可以在此基础上构建整个网络安全世界及其所有协议。

来源｜公开资料
封面｜Spectrum
作者｜公钥密码开放社区
重要声明：本文来自公钥密码开放社区，经授权转载，版权归原作者所有，不代表锐成观点，转载的目的在于传递更多知识和信息。