h1_key

  過(guò)去十年中，量子計(jì)算已經(jīng)從以理論研究為主轉(zhuǎn)向初步實(shí)際應(yīng)用，如今已有許多組織推出了低計(jì)算密度的系統(tǒng)。隨著這些系統(tǒng)能力的提升，用于保護(hù)數(shù)字系統(tǒng)的最常用加密算法將隨著時(shí)間的推移，變得不堪一擊。面對(duì)這一威脅，企業(yè)界、學(xué)術(shù)界和標(biāo)準(zhǔn)制定機(jī)構(gòu)正在開(kāi)發(fā)后量子密碼(PQC)概念。

  2016年，美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)啟動(dòng)了一項(xiàng)為期多年的、為PQC建立一個(gè)框架和標(biāo)準(zhǔn)的計(jì)劃。這項(xiàng)計(jì)劃預(yù)計(jì)最早于2020年6月進(jìn)入第三階段技術(shù)評(píng)估，目標(biāo)是在2022 - 2024年期間發(fā)布標(biāo)準(zhǔn)草案。本文概述了NIST計(jì)劃迄今為止的進(jìn)展，以及英飛凌為了開(kāi)發(fā)基于芯片的PQC技術(shù)所付出的努力。

  量子算法開(kāi)發(fā)

  自20世紀(jì)90年代中期，大家就開(kāi)始認(rèn)識(shí)到數(shù)字安全系統(tǒng)最常用的非對(duì)稱算法將無(wú)法抵御量子計(jì)算機(jī)的密碼攻擊。Peter Shor在1994年提出的一種量子因數(shù)分解算法，已被證明在使用足夠強(qiáng)大的量子計(jì)算機(jī)時(shí)，能夠破解基于RSA和ECC的密碼系統(tǒng)。該理論方法旨在將非對(duì)稱密碼所用的公鑰進(jìn)行分解，這些非對(duì)稱密碼用在保護(hù)智能卡、智能手機(jī)、計(jì)算機(jī)和服務(wù)器、工業(yè)控制系統(tǒng)和新興物聯(lián)網(wǎng)的數(shù)字簽名和公鑰加密(PKI)中。

  1996年由Lov Grover開(kāi)展的另一項(xiàng)工作，發(fā)現(xiàn)了一種可以用來(lái)加速暴力破解的算法，這導(dǎo)致對(duì)稱加密中使用的密鑰長(zhǎng)度增加了一倍——從AES-128上升至AES-256。

  如今的挑戰(zhàn)是，如何在量子計(jì)算能力發(fā)展到基于Shor算法或其他先進(jìn)方法的攻擊成為現(xiàn)實(shí)之前，改進(jìn)非對(duì)稱加密算法。

  在Shor的研究成果首次發(fā)布時(shí)，利用量子力學(xué)現(xiàn)象來(lái)加速處理還是個(gè)相當(dāng)新穎的想法。雖然目前應(yīng)用于量子計(jì)算機(jī)的計(jì)算單元或量子位數(shù)仍在100以下，但它已然能在幾分鐘內(nèi)完成傳統(tǒng)計(jì)算機(jī)可能需要數(shù)千年才能完成的計(jì)算。

  必須現(xiàn)在就開(kāi)發(fā)難以攻破的加密算法來(lái)作為保護(hù)數(shù)字交易和通信安全的新標(biāo)準(zhǔn)。

  據(jù)估計(jì)，破解像RSA-2048這種密鑰長(zhǎng)度很長(zhǎng)的密碼所需的算力，需要大約4,098個(gè)可靠的容錯(cuò)量子位。[1] 雖然達(dá)到所需的穩(wěn)定算力是一項(xiàng)可能需要耗費(fèi)至少十年的任務(wù)，但這意味著，必須現(xiàn)在就開(kāi)發(fā)難以攻破的加密算法來(lái)作為保護(hù)數(shù)字交易和通信安全的新標(biāo)準(zhǔn)。

  企業(yè)正在擁抱開(kāi)源。但對(duì)于安全保護(hù)，熱情并沒(méi)有那么高!

  NIST保護(hù)量子安全的計(jì)劃

  NIST在2016年發(fā)起的提案征集中，共收到來(lái)自六大洲25個(gè)國(guó)家的278名個(gè)人提交的提案。研究人員提交了采取基于點(diǎn)陣、代碼和同源的機(jī)制的密鑰交換算法。還提交了基于多變量對(duì)稱加密方法的簽名算法。2017年12月，NIST公布了69個(gè)它認(rèn)為“完整且恰當(dāng)”的算法，并面向研究界公開(kāi)征詢意見(jiàn)。15個(gè)月后，2018年4月“第一次后量子密碼標(biāo)準(zhǔn)會(huì)議”在佛羅里達(dá)州勞德代爾堡召開(kāi)。超過(guò)350名與會(huì)者出席了本次會(huì)議;到第一輪評(píng)選結(jié)束時(shí)，PQC論壇社區(qū)共收到1000多條帖子，其中包括300條官方評(píng)論。

  2019年1月，NIST公布了從最初的69個(gè)算法中挑選出的26個(gè)最具潛力的算法[2]，由此開(kāi)始了第二輪評(píng)選。NIST邀請(qǐng)這些作者在2019年4月開(kāi)始的下一輪評(píng)價(jià)和評(píng)估開(kāi)始之前，對(duì)他們的提案進(jìn)行改進(jìn)和/或合并。NIST指出，雖然主要評(píng)選標(biāo)準(zhǔn)是密碼強(qiáng)度，但也考慮了可能的成本、性能及實(shí)現(xiàn)的復(fù)雜性(或者更理想的“簡(jiǎn)易性”)。相應(yīng)的PQC硬件論壇在同一時(shí)期內(nèi)開(kāi)放，NIST提出了對(duì)通用CPUS、基于ARM? Cortex-M4的微控制器和Artix-7 FPGA進(jìn)行性能評(píng)估的建議。

  在進(jìn)入第二輪的26個(gè)算法中，9個(gè)是簽名算法，17個(gè)是密鑰封裝算法，如表1和表2所示。公布第二輪算法后的2019年8月，“第二次后量子密碼標(biāo)準(zhǔn)會(huì)議”在加州圣巴巴拉召開(kāi)，吸引了超過(guò)250名與會(huì)者參會(huì)。除了專家演講，還舉辦了行業(yè)專題討論會(huì)，著重探討了將PQC引入產(chǎn)品中所需的政策和時(shí)間表問(wèn)題，以及實(shí)現(xiàn)應(yīng)用所面臨的障礙和知識(shí)產(chǎn)權(quán)問(wèn)題。

  表1

  表2

  在第二次會(huì)議上探討的重大技術(shù)問(wèn)題包括，針對(duì)不同原語(yǔ)和數(shù)學(xué)方法置信度的持續(xù)研究，以及實(shí)現(xiàn)密鑰封裝機(jī)制標(biāo)準(zhǔn)化的最佳方法。密鑰封裝機(jī)制一般遵循“選擇明文攻擊”(CPA)或“選擇密文攻擊”(CCA)模型。前者通常僅在不重復(fù)使用密鑰對(duì)時(shí)提供安全保護(hù)。遵循CPA模型的機(jī)制通常最穩(wěn)健，但所付出的代價(jià)是復(fù)雜性更高。一個(gè)沒(méi)有專門提到的問(wèn)題是如何實(shí)現(xiàn)混合算法，雖然普遍認(rèn)為PQC可能會(huì)在現(xiàn)有密碼標(biāo)準(zhǔn)的基礎(chǔ)之上推出。

  英飛凌的行動(dòng)

  英飛凌一直積極支持抗量子密碼算法的開(kāi)發(fā)。SPHINCS+的開(kāi)發(fā)是在一個(gè)歐洲大學(xué)團(tuán)隊(duì)主導(dǎo)并且業(yè)界專家參與下進(jìn)行的。它最初于2015年以SPHINCS為名發(fā)布，在NIST第一輪提交之前結(jié)合反饋意見(jiàn)進(jìn)行了更新。不斷的改進(jìn)已使處于1級(jí)NIST安全等級(jí)的非優(yōu)化形式的簽名長(zhǎng)度縮短至8 kb，使達(dá)到最高5級(jí)NIST安全等級(jí)所需的簽名長(zhǎng)度縮短至約30 kb。為了實(shí)現(xiàn)在不同參數(shù)中的靈活性，提供了三個(gè)版本的SPHINCS+，它們?cè)试S通過(guò)使用不同的哈希機(jī)制來(lái)達(dá)到不同處理速度下的5級(jí)NIST安全等級(jí)。它們分別是：

  ●SPHINCS+-SHA3(使用SHAKE256)

  ●SPHINCS+-SHA2(使用SHA2)

  ●SPHINCS+-Haraka(使用Haraka短輸入哈希功能)

  英飛凌也加入了兩個(gè)由德國(guó)政府資助部分經(jīng)費(fèi)的PQC相關(guān)項(xiàng)目的研究團(tuán)隊(duì)。Aquorypt [3] 聯(lián)盟由主要研究工業(yè)嵌入式系統(tǒng)和智能卡安全性的高校和企業(yè)研究人員組成。PQC4MED [4] 專注于醫(yī)療產(chǎn)品中的嵌入式系統(tǒng)安全保護(hù)，且正在研究應(yīng)對(duì)量子計(jì)算機(jī)等威脅的硬件和軟件需求實(shí)現(xiàn)。

  保護(hù)物聯(lián)網(wǎng)通信OPTIGA?TPM在Raspberry pi上的演示

  為了應(yīng)對(duì)量子計(jì)算帶來(lái)的網(wǎng)絡(luò)安全和加密數(shù)據(jù)威脅，英飛凌推出了全新的OPTIGA?TPMSLB9672。該TPM芯片選擇基于后量子加密技術(shù)的固件更新機(jī)制，是一種前瞻性的安全解決方案。

  OPTIGA?TPM該系列包括各種安全控制器，可以保護(hù)嵌入式設(shè)備和系統(tǒng)的完整性和可靠性。借助安全密鑰存儲(chǔ)和各種加密技術(shù)的支持，OPTIGA?TPM由于其豐富的功能給關(guān)鍵數(shù)據(jù)和過(guò)程帶來(lái)了強(qiáng)大的保護(hù)。