h1_key

  過去十年中，量子計(jì)算已經(jīng)從以理論研究為主轉(zhuǎn)向初步實(shí)際應(yīng)用，如今已有許多組織推出了低計(jì)算密度的系統(tǒng)。隨著這些系統(tǒng)能力的提升，用于保護(hù)數(shù)字系統(tǒng)的最常用加密算法將隨著時間的推移，變得不堪一擊。面對這一威脅，企業(yè)界、學(xué)術(shù)界和標(biāo)準(zhǔn)制定機(jī)構(gòu)正在開發(fā)后量子密碼(PQC)概念。

  2016年，美國國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)啟動了一項(xiàng)為期多年的、為PQC建立一個框架和標(biāo)準(zhǔn)的計(jì)劃。這項(xiàng)計(jì)劃預(yù)計(jì)最早于2020年6月進(jìn)入第三階段技術(shù)評估，目標(biāo)是在2022 - 2024年期間發(fā)布標(biāo)準(zhǔn)草案。本文概述了NIST計(jì)劃迄今為止的進(jìn)展，以及英飛凌為了開發(fā)基于芯片的PQC技術(shù)所付出的努力。

  量子算法開發(fā)

  自20世紀(jì)90年代中期，大家就開始認(rèn)識到數(shù)字安全系統(tǒng)最常用的非對稱算法將無法抵御量子計(jì)算機(jī)的密碼攻擊。Peter Shor在1994年提出的一種量子因數(shù)分解算法，已被證明在使用足夠強(qiáng)大的量子計(jì)算機(jī)時，能夠破解基于RSA和ECC的密碼系統(tǒng)。該理論方法旨在將非對稱密碼所用的公鑰進(jìn)行分解，這些非對稱密碼用在保護(hù)智能卡、智能手機(jī)、計(jì)算機(jī)和服務(wù)器、工業(yè)控制系統(tǒng)和新興物聯(lián)網(wǎng)的數(shù)字簽名和公鑰加密(PKI)中。

  1996年由Lov Grover開展的另一項(xiàng)工作，發(fā)現(xiàn)了一種可以用來加速暴力破解的算法，這導(dǎo)致對稱加密中使用的密鑰長度增加了一倍——從AES-128上升至AES-256。

  如今的挑戰(zhàn)是，如何在量子計(jì)算能力發(fā)展到基于Shor算法或其他先進(jìn)方法的攻擊成為現(xiàn)實(shí)之前，改進(jìn)非對稱加密算法。

  在Shor的研究成果首次發(fā)布時，利用量子力學(xué)現(xiàn)象來加速處理還是個相當(dāng)新穎的想法。雖然目前應(yīng)用于量子計(jì)算機(jī)的計(jì)算單元或量子位數(shù)仍在100以下，但它已然能在幾分鐘內(nèi)完成傳統(tǒng)計(jì)算機(jī)可能需要數(shù)千年才能完成的計(jì)算。

  必須現(xiàn)在就開發(fā)難以攻破的加密算法來作為保護(hù)數(shù)字交易和通信安全的新標(biāo)準(zhǔn)。

  據(jù)估計(jì)，破解像RSA-2048這種密鑰長度很長的密碼所需的算力，需要大約4,098個可靠的容錯量子位。[1] 雖然達(dá)到所需的穩(wěn)定算力是一項(xiàng)可能需要耗費(fèi)至少十年的任務(wù)，但這意味著，必須現(xiàn)在就開發(fā)難以攻破的加密算法來作為保護(hù)數(shù)字交易和通信安全的新標(biāo)準(zhǔn)。

  企業(yè)正在擁抱開源。但對于安全保護(hù)，熱情并沒有那么高!

  NIST保護(hù)量子安全的計(jì)劃

  NIST在2016年發(fā)起的提案征集中，共收到來自六大洲25個國家的278名個人提交的提案。研究人員提交了采取基于點(diǎn)陣、代碼和同源的機(jī)制的密鑰交換算法。還提交了基于多變量對稱加密方法的簽名算法。2017年12月，NIST公布了69個它認(rèn)為“完整且恰當(dāng)”的算法，并面向研究界公開征詢意見。15個月后，2018年4月“第一次后量子密碼標(biāo)準(zhǔn)會議”在佛羅里達(dá)州勞德代爾堡召開。超過350名與會者出席了本次會議;到第一輪評選結(jié)束時，PQC論壇社區(qū)共收到1000多條帖子，其中包括300條官方評論。

  2019年1月，NIST公布了從最初的69個算法中挑選出的26個最具潛力的算法[2]，由此開始了第二輪評選。NIST邀請這些作者在2019年4月開始的下一輪評價和評估開始之前，對他們的提案進(jìn)行改進(jìn)和/或合并。NIST指出，雖然主要評選標(biāo)準(zhǔn)是密碼強(qiáng)度，但也考慮了可能的成本、性能及實(shí)現(xiàn)的復(fù)雜性(或者更理想的“簡易性”)。相應(yīng)的PQC硬件論壇在同一時期內(nèi)開放，NIST提出了對通用CPUS、基于ARM? Cortex-M4的微控制器和Artix-7 FPGA進(jìn)行性能評估的建議。

  在進(jìn)入第二輪的26個算法中，9個是簽名算法，17個是密鑰封裝算法，如表1和表2所示。公布第二輪算法后的2019年8月，“第二次后量子密碼標(biāo)準(zhǔn)會議”在加州圣巴巴拉召開，吸引了超過250名與會者參會。除了專家演講，還舉辦了行業(yè)專題討論會，著重探討了將PQC引入產(chǎn)品中所需的政策和時間表問題，以及實(shí)現(xiàn)應(yīng)用所面臨的障礙和知識產(chǎn)權(quán)問題。

  表1

  表2

  在第二次會議上探討的重大技術(shù)問題包括，針對不同原語和數(shù)學(xué)方法置信度的持續(xù)研究，以及實(shí)現(xiàn)密鑰封裝機(jī)制標(biāo)準(zhǔn)化的最佳方法。密鑰封裝機(jī)制一般遵循“選擇明文攻擊”(CPA)或“選擇密文攻擊”(CCA)模型。前者通常僅在不重復(fù)使用密鑰對時提供安全保護(hù)。遵循CPA模型的機(jī)制通常最穩(wěn)健，但所付出的代價是復(fù)雜性更高。一個沒有專門提到的問題是如何實(shí)現(xiàn)混合算法，雖然普遍認(rèn)為PQC可能會在現(xiàn)有密碼標(biāo)準(zhǔn)的基礎(chǔ)之上推出。

  英飛凌的行動

  英飛凌一直積極支持抗量子密碼算法的開發(fā)。SPHINCS+的開發(fā)是在一個歐洲大學(xué)團(tuán)隊(duì)主導(dǎo)并且業(yè)界專家參與下進(jìn)行的。它最初于2015年以SPHINCS為名發(fā)布，在NIST第一輪提交之前結(jié)合反饋意見進(jìn)行了更新。不斷的改進(jìn)已使處于1級NIST安全等級的非優(yōu)化形式的簽名長度縮短至8 kb，使達(dá)到最高5級NIST安全等級所需的簽名長度縮短至約30 kb。為了實(shí)現(xiàn)在不同參數(shù)中的靈活性，提供了三個版本的SPHINCS+，它們允許通過使用不同的哈希機(jī)制來達(dá)到不同處理速度下的5級NIST安全等級。它們分別是：

  ●SPHINCS+-SHA3(使用SHAKE256)

  ●SPHINCS+-SHA2(使用SHA2)

  ●SPHINCS+-Haraka(使用Haraka短輸入哈希功能)

  英飛凌也加入了兩個由德國政府資助部分經(jīng)費(fèi)的PQC相關(guān)項(xiàng)目的研究團(tuán)隊(duì)。Aquorypt [3] 聯(lián)盟由主要研究工業(yè)嵌入式系統(tǒng)和智能卡安全性的高校和企業(yè)研究人員組成。PQC4MED [4] 專注于醫(yī)療產(chǎn)品中的嵌入式系統(tǒng)安全保護(hù)，且正在研究應(yīng)對量子計(jì)算機(jī)等威脅的硬件和軟件需求實(shí)現(xiàn)。

  保護(hù)物聯(lián)網(wǎng)通信OPTIGA?TPM在Raspberry pi上的演示

  為了應(yīng)對量子計(jì)算帶來的網(wǎng)絡(luò)安全和加密數(shù)據(jù)威脅，英飛凌推出了全新的OPTIGA?TPMSLB9672。該TPM芯片選擇基于后量子加密技術(shù)的固件更新機(jī)制，是一種前瞻性的安全解決方案。

  OPTIGA?TPM該系列包括各種安全控制器，可以保護(hù)嵌入式設(shè)備和系統(tǒng)的完整性和可靠性。借助安全密鑰存儲和各種加密技術(shù)的支持，OPTIGA?TPM由于其豐富的功能給關(guān)鍵數(shù)據(jù)和過程帶來了強(qiáng)大的保護(hù)。