h1_key

  過去十年中，量子計算已經(jīng)從以理論研究為主轉向初步實際應用，如今已有許多組織推出了低計算密度的系統(tǒng)。隨著這些系統(tǒng)能力的提升，用于保護數(shù)字系統(tǒng)的最常用加密算法將隨著時間的推移，變得不堪一擊。面對這一威脅，企業(yè)界、學術界和標準制定機構正在開發(fā)后量子密碼(PQC)概念。

  2016年，美國國家標準與技術研究院(NIST)啟動了一項為期多年的、為PQC建立一個框架和標準的計劃。這項計劃預計最早于2020年6月進入第三階段技術評估，目標是在2022 - 2024年期間發(fā)布標準草案。本文概述了NIST計劃迄今為止的進展，以及英飛凌為了開發(fā)基于芯片的PQC技術所付出的努力。

  量子算法開發(fā)

  自20世紀90年代中期，大家就開始認識到數(shù)字安全系統(tǒng)最常用的非對稱算法將無法抵御量子計算機的密碼攻擊。Peter Shor在1994年提出的一種量子因數(shù)分解算法，已被證明在使用足夠強大的量子計算機時，能夠破解基于RSA和ECC的密碼系統(tǒng)。該理論方法旨在將非對稱密碼所用的公鑰進行分解，這些非對稱密碼用在保護智能卡、智能手機、計算機和服務器、工業(yè)控制系統(tǒng)和新興物聯(lián)網(wǎng)的數(shù)字簽名和公鑰加密(PKI)中。

  1996年由Lov Grover開展的另一項工作，發(fā)現(xiàn)了一種可以用來加速暴力破解的算法，這導致對稱加密中使用的密鑰長度增加了一倍——從AES-128上升至AES-256。

  如今的挑戰(zhàn)是，如何在量子計算能力發(fā)展到基于Shor算法或其他先進方法的攻擊成為現(xiàn)實之前，改進非對稱加密算法。

  在Shor的研究成果首次發(fā)布時，利用量子力學現(xiàn)象來加速處理還是個相當新穎的想法。雖然目前應用于量子計算機的計算單元或量子位數(shù)仍在100以下，但它已然能在幾分鐘內(nèi)完成傳統(tǒng)計算機可能需要數(shù)千年才能完成的計算。

  必須現(xiàn)在就開發(fā)難以攻破的加密算法來作為保護數(shù)字交易和通信安全的新標準。

  據(jù)估計，破解像RSA-2048這種密鑰長度很長的密碼所需的算力，需要大約4,098個可靠的容錯量子位。[1] 雖然達到所需的穩(wěn)定算力是一項可能需要耗費至少十年的任務，但這意味著，必須現(xiàn)在就開發(fā)難以攻破的加密算法來作為保護數(shù)字交易和通信安全的新標準。

  企業(yè)正在擁抱開源。但對于安全保護，熱情并沒有那么高!

  NIST保護量子安全的計劃

  NIST在2016年發(fā)起的提案征集中，共收到來自六大洲25個國家的278名個人提交的提案。研究人員提交了采取基于點陣、代碼和同源的機制的密鑰交換算法。還提交了基于多變量對稱加密方法的簽名算法。2017年12月，NIST公布了69個它認為“完整且恰當”的算法，并面向研究界公開征詢意見。15個月后，2018年4月“第一次后量子密碼標準會議”在佛羅里達州勞德代爾堡召開。超過350名與會者出席了本次會議;到第一輪評選結束時，PQC論壇社區(qū)共收到1000多條帖子，其中包括300條官方評論。

  2019年1月，NIST公布了從最初的69個算法中挑選出的26個最具潛力的算法[2]，由此開始了第二輪評選。NIST邀請這些作者在2019年4月開始的下一輪評價和評估開始之前，對他們的提案進行改進和/或合并。NIST指出，雖然主要評選標準是密碼強度，但也考慮了可能的成本、性能及實現(xiàn)的復雜性(或者更理想的“簡易性”)。相應的PQC硬件論壇在同一時期內(nèi)開放，NIST提出了對通用CPUS、基于ARM? Cortex-M4的微控制器和Artix-7 FPGA進行性能評估的建議。

  在進入第二輪的26個算法中，9個是簽名算法，17個是密鑰封裝算法，如表1和表2所示。公布第二輪算法后的2019年8月，“第二次后量子密碼標準會議”在加州圣巴巴拉召開，吸引了超過250名與會者參會。除了專家演講，還舉辦了行業(yè)專題討論會，著重探討了將PQC引入產(chǎn)品中所需的政策和時間表問題，以及實現(xiàn)應用所面臨的障礙和知識產(chǎn)權問題。

  表1

  表2

  在第二次會議上探討的重大技術問題包括，針對不同原語和數(shù)學方法置信度的持續(xù)研究，以及實現(xiàn)密鑰封裝機制標準化的最佳方法。密鑰封裝機制一般遵循“選擇明文攻擊”(CPA)或“選擇密文攻擊”(CCA)模型。前者通常僅在不重復使用密鑰對時提供安全保護。遵循CPA模型的機制通常最穩(wěn)健，但所付出的代價是復雜性更高。一個沒有專門提到的問題是如何實現(xiàn)混合算法，雖然普遍認為PQC可能會在現(xiàn)有密碼標準的基礎之上推出。

  英飛凌的行動

  英飛凌一直積極支持抗量子密碼算法的開發(fā)。SPHINCS+的開發(fā)是在一個歐洲大學團隊主導并且業(yè)界專家參與下進行的。它最初于2015年以SPHINCS為名發(fā)布，在NIST第一輪提交之前結合反饋意見進行了更新。不斷的改進已使處于1級NIST安全等級的非優(yōu)化形式的簽名長度縮短至8 kb，使達到最高5級NIST安全等級所需的簽名長度縮短至約30 kb。為了實現(xiàn)在不同參數(shù)中的靈活性，提供了三個版本的SPHINCS+，它們允許通過使用不同的哈希機制來達到不同處理速度下的5級NIST安全等級。它們分別是：

  ●SPHINCS+-SHA3(使用SHAKE256)

  ●SPHINCS+-SHA2(使用SHA2)

  ●SPHINCS+-Haraka(使用Haraka短輸入哈希功能)

  英飛凌也加入了兩個由德國政府資助部分經(jīng)費的PQC相關項目的研究團隊。Aquorypt [3] 聯(lián)盟由主要研究工業(yè)嵌入式系統(tǒng)和智能卡安全性的高校和企業(yè)研究人員組成。PQC4MED [4] 專注于醫(yī)療產(chǎn)品中的嵌入式系統(tǒng)安全保護，且正在研究應對量子計算機等威脅的硬件和軟件需求實現(xiàn)。

  保護物聯(lián)網(wǎng)通信OPTIGA?TPM在Raspberry pi上的演示

  為了應對量子計算帶來的網(wǎng)絡安全和加密數(shù)據(jù)威脅，英飛凌推出了全新的OPTIGA?TPMSLB9672。該TPM芯片選擇基于后量子加密技術的固件更新機制，是一種前瞻性的安全解決方案。

  OPTIGA?TPM該系列包括各種安全控制器，可以保護嵌入式設備和系統(tǒng)的完整性和可靠性。借助安全密鑰存儲和各種加密技術的支持，OPTIGA?TPM由于其豐富的功能給關鍵數(shù)據(jù)和過程帶來了強大的保護。