深度好文：向后量子密碼學(xué)遷移，我們應該怎么做？

在這篇博文中，我們探討PQC遷移過(guò)程中面臨的一些挑戰，研究應對這些挑戰的策略。

已公布的PQC標準及其最近發(fā)布的草案讓我們距離廣泛部署PQC更近一步。PQC遷移過(guò)程將是迄今為止公鑰密碼學(xué)領(lǐng)域的一次重大變革，影響數十億設備和全球數字安全基礎設施。

向PQC遷移：充滿(mǎn)挑戰的道路

傳統的非對稱(chēng)密碼學(xué)基于RSA或ECC方案，是現代數字基礎設施的重要支撐。向PQC遷移將面臨許多挑戰。

首先，需要考慮計劃和部署。這不僅包括密鑰、密文和簽名的大小，還包括內存和效率的影響。其次，許多公鑰基礎設施需要升級。特別是，美國國家標準與技術(shù)研究院正在標準化的一些方案在功能上與基于RSA和ECC的方案不同，這意味著(zhù)廣泛使用的協(xié)議需要做出相應的調整。第三，要根據每個(gè)具體用例的風(fēng)險分析來(lái)確定遷移的時(shí)機。例如，影響力更大的基礎設施比為智能家居設計的物聯(lián)網(wǎng)設備更易成為惡意實(shí)體的攻擊目標。前者應該盡早制定遷移計劃，而后者可能根本不需要遷移。

除了遷移外，還要注意的是，正在標準化的PQC算法相比傳統的算法還不夠成熟，尤其是在物理安全方面。對于嵌入式設備，特別是部署在敵對環(huán)境中的設備，抵御物理攻擊者也面臨一系列挑戰。例如，我們討論了加固大多數PQC密鑰封裝機制 (KEM) 的困難，以及一些針對特定用例的非常規方法來(lái)防止攻擊。顯然，無(wú)論PQC部署在何處，依賴(lài)PQC的機制或協(xié)議的安全性都是至關(guān)重要的：我們需要創(chuàng )建一個(gè)既能保持傳統密碼學(xué)提供的當前安全性，又能增強對量子攻擊者防御的系統。

混合PQC機制：一種規避風(fēng)險的解決方案

要實(shí)現傳統密碼學(xué)保護和后量子密碼學(xué)保護的雙重目標，可以使用混合PQC，將傳統的非對稱(chēng)密碼學(xué)方案和后量子密碼學(xué)方案結合起來(lái)。德國B(niǎo)SI和法國ANSSI等多個(gè)國家機構都推薦使用混合方法。

在混合系統中，信息安全依賴(lài)于兩種或多種密碼學(xué)方案：僅僅破解其中一種方案并不能完全攻破系統。一般來(lái)說(shuō)，與單獨使用PQC相比，同時(shí)使用傳統算法和PQC所帶來(lái)的通信或存儲開(kāi)銷(xiāo)很小，因此這種規避風(fēng)險的做法代價(jià)相對較低。對于數字簽名，部署可以非常簡(jiǎn)單，只需包含一個(gè)傳統簽名 (ECDSA或RSA) 和一個(gè)PQC簽名(ML-DSA、SLH-DSA、LMS或XMSS)，同時(shí)進(jìn)行驗證，且必須同時(shí)通過(guò)驗證。對于密鑰協(xié)商 (key establishment)，情況就比較復雜，因為要將一個(gè)KEM (如ML-KEM) 與ECDH (E) 結合起來(lái)需要考慮一些細節。另外，TLS握手的推薦方法與IKEv2的方法也有所不同。

混合機制的各種標準和指南還在制定，它們將有助于實(shí)現互操作性。例如，在密鑰交換階段，標準和指南確保通信雙方以正確的順序和格式將輸入送入密鑰派生函數，從而得到相同的會(huì )話(huà)密鑰，并可靠地進(jìn)行后續安全通信。這些標準和指南也將幫助產(chǎn)品和系統避免使用較弱的機制。

密碼學(xué)敏捷性：一個(gè)遠大的目標

為了減輕未來(lái)潛在必要更新的影響 (無(wú)論是為了適應未來(lái)的PQC標準，還是為了及時(shí)應對密碼分析的新進(jìn)展)，都可以通過(guò)提高密碼學(xué)的敏捷性來(lái)實(shí)現。密碼學(xué)敏捷性可以定義為一個(gè)系統在遇到新的安全或法規要求時(shí)能夠輕松進(jìn)行調整的能力。它不僅包括從一種算法遷移到另一種算法，還包括采用其他方法，例如在實(shí)現或安全參數方面具有一般靈活性。

對于資源受限的嵌入式設備，實(shí)現任何形式的密碼學(xué)敏捷性都需要付出很高代價(jià)。通過(guò)風(fēng)險分析，評估收益成本比，以及評估基礎設施是否能夠適應替代的模式，是非常重要的。例如，一種保守的方法是從基于PKI的密鑰協(xié)商退回到預共享的對稱(chēng)密鑰，這些密鑰可以用來(lái)安全地更換密碼系統，即使用于常規更新的基于PKI的密鑰協(xié)商被攻破了。

然而，對于許多用例來(lái)說(shuō)，這并不可行，無(wú)論是因為增加了密鑰存儲的需求和攻擊面，還是因為難以預測未來(lái)哪些設備可能會(huì )進(jìn)行配對。遺憾的是，提高敏捷性有可能帶來(lái)額外的復雜性和漏洞。必須確保對系統的任何修改或調整只能由經(jīng)過(guò)認證的來(lái)源發(fā)起，并且不能影響安全性。

在前量子世界，恩智浦利用其在Edgelock安全區域和Edgelock安全芯片中的信任根等來(lái)實(shí)現這一點(diǎn)。

這些問(wèn)題以及其他問(wèn)題都是PQC風(fēng)險評估的重要內容。對于那些在近期將使用 (混合) PQC的設備，有必要評估它們過(guò)渡到新算法并支持新算法的能力，以便盡可能縮短全系統遷移所需的時(shí)間。

為了確保順利遷移，還需要在應用研究、工程和標準化方面付出巨大努力。毫無(wú)疑問(wèn)，我們迫切需要制定、評估和標準化遷移方案和策略，確保安全性和互操作性。目前，密碼資產(chǎn)的提供者應該意識到需要建立全面的密碼庫，以便能夠迅速推出敏捷的解決方案。這種新的混合方式 (PQC的未來(lái)) 凸顯了密碼學(xué)敏捷性的重要性和相關(guān)性，是未來(lái)多年預測和應對密碼威脅的使能因素。

本文作者

● Melissa Azouaoui是恩智浦半導體公司CTO機構的密碼與安全能力中心(CCC&S)的資深譯碼員。她于2021年獲得比利時(shí)魯汶天主教大學(xué)(UCLouvain in Belgium)博士學(xué)位，在恩智浦德國公司工作，專(zhuān)注于對稱(chēng)密碼學(xué)和非對稱(chēng)密碼學(xué)的旁路攻擊防護及評估。Melissa是后量子密碼學(xué)團隊的成員，在恩智浦的工作包括旁路攻擊和故障注入攻擊及防護，特別關(guān)注基于晶格和基于哈希的密碼學(xué)。

● Joppe W. Bos是恩智浦半導體公司技術(shù)總監兼CTO機構的密碼與安全能力中心(CCC&S)的譯碼員。他常駐比利時(shí)，是后量子密碼學(xué)團隊的技術(shù)負責人，擁有20多項專(zhuān)利，發(fā)表過(guò)50篇學(xué)術(shù)論文。他是IACR Cryptoology ePrint Archive的聯(lián)合編輯。

● Christine Cloostermans是恩智浦半導體公司CTO機構的密碼與安全能力中心 (CCC&S) 的資深譯碼員。她在圖埃因霍溫大學(xué) (TU Eindhoven) 獲得了基于晶格的密碼學(xué)相關(guān)的博士學(xué)位。Christine參與發(fā)布過(guò)10多篇科學(xué)文章，并發(fā)表過(guò)多場(chǎng)后量子密碼學(xué)領(lǐng)域的公開(kāi)演講。除了PQC，她還積極參與多項標準化工作，包括工業(yè)領(lǐng)域的IEC62443、移動(dòng)駕駛執照的ISO18013以及連接標準聯(lián)盟的訪(fǎng)問(wèn)控制工作組。

● Gareth T. Davies是恩智浦半導體公司CTO機構的密碼與安全能力中心(CCC&S)的資深譯碼員。他是后量子密碼學(xué)團隊成員，從事包括協(xié)議分析、認證方案和標準化等多個(gè)主題的研究工作。

● Sarah Esmann是NFC和物聯(lián)網(wǎng)安全領(lǐng)域資深產(chǎn)品經(jīng)理兼產(chǎn)品管理主管，恩智浦安全連接邊緣業(yè)務(wù)部。Sarah與后量子密碼學(xué)團隊保持緊密的商業(yè)合作關(guān)系，參與了多個(gè)項目的推進(jìn)。