過去十年中,量子計算已經從以理論研究為主轉向初步實際應用,如今已有許多組織推出了低計算密度的系統(tǒng)。隨著這些系統(tǒng)能力的提升,用于保護數字系統(tǒng)的最常用加密算法將隨著時間的推移,變得不堪一擊。面對這一威脅,企業(yè)界、學術界和標準制定機構正在開發(fā)后量子密碼(PQC)概念。
2016年,美國國家標準與技術研究院(NIST)啟動了一項為期多年的、為PQC建立一個框架和標準的計劃。這項計劃預計最早于2020年6月進入第三階段技術評估,目標是在2022 - 2024年期間發(fā)布標準草案。本文概述了NIST計劃迄今為止的進展,以及英飛凌為了開發(fā)基于芯片的PQC技術所付出的努力。
量子算法開發(fā)
自20世紀90年代中期,大家就開始認識到數字安全系統(tǒng)最常用的非對稱算法將無法抵御量子計算機的密碼攻擊。Peter Shor在1994年提出的一種量子因數分解算法,已被證明在使用足夠強大的量子計算機時,能夠破解基于RSA和ECC的密碼系統(tǒng)。該理論方法旨在將非對稱密碼所用的公鑰進行分解,這些非對稱密碼用在保護智能卡、智能手機、計算機和服務器、工業(yè)控制系統(tǒng)和新興物聯(lián)網的數字簽名和公鑰加密(PKI)中。
1996年由Lov Grover開展的另一項工作,發(fā)現了一種可以用來加速暴力破解的算法,這導致對稱加密中使用的密鑰長度增加了一倍——從AES-128上升至AES-256。
如今的挑戰(zhàn)是,如何在量子計算能力發(fā)展到基于Shor算法或其他先進方法的攻擊成為現實之前,改進非對稱加密算法。
在Shor的研究成果首次發(fā)布時,利用量子力學現象來加速處理還是個相當新穎的想法。雖然目前應用于量子計算機的計算單元或量子位數仍在100以下,但它已然能在幾分鐘內完成傳統(tǒng)計算機可能需要數千年才能完成的計算。
必須現在就開發(fā)難以攻破的加密算法來作為保護數字交易和通信安全的新標準。
據估計,破解像RSA-2048這種密鑰長度很長的密碼所需的算力,需要大約4,098個可靠的容錯量子位。[1] 雖然達到所需的穩(wěn)定算力是一項可能需要耗費至少十年的任務,但這意味著,必須現在就開發(fā)難以攻破的加密算法來作為保護數字交易和通信安全的新標準。
企業(yè)正在擁抱開源。但對于安全保護,熱情并沒有那么高!
NIST保護量子安全的計劃
NIST在2016年發(fā)起的提案征集中,共收到來自六大洲25個國家的278名個人提交的提案。研究人員提交了采取基于點陣、代碼和同源的機制的密鑰交換算法。還提交了基于多變量對稱加密方法的簽名算法。2017年12月,NIST公布了69個它認為“完整且恰當”的算法,并面向研究界公開征詢意見。15個月后,2018年4月“第一次后量子密碼標準會議”在佛羅里達州勞德代爾堡召開。超過350名與會者出席了本次會議;到第一輪評選結束時,PQC論壇社區(qū)共收到1000多條帖子,其中包括300條官方評論。
2019年1月,NIST公布了從最初的69個算法中挑選出的26個最具潛力的算法[2],由此開始了第二輪評選。NIST邀請這些作者在2019年4月開始的下一輪評價和評估開始之前,對他們的提案進行改進和/或合并。NIST指出,雖然主要評選標準是密碼強度,但也考慮了可能的成本、性能及實現的復雜性(或者更理想的“簡易性”)。相應的PQC硬件論壇在同一時期內開放,NIST提出了對通用CPUS、基于ARM? Cortex-M4的微控制器和Artix-7 FPGA進行性能評估的建議。
在進入第二輪的26個算法中,9個是簽名算法,17個是密鑰封裝算法,如表1和表2所示。公布第二輪算法后的2019年8月,“第二次后量子密碼標準會議”在加州圣巴巴拉召開,吸引了超過250名與會者參會。除了專家演講,還舉辦了行業(yè)專題討論會,著重探討了將PQC引入產品中所需的政策和時間表問題,以及實現應用所面臨的障礙和知識產權問題。
表1
表2
在第二次會議上探討的重大技術問題包括,針對不同原語和數學方法置信度的持續(xù)研究,以及實現密鑰封裝機制標準化的最佳方法。密鑰封裝機制一般遵循“選擇明文攻擊”(CPA)或“選擇密文攻擊”(CCA)模型。前者通常僅在不重復使用密鑰對時提供安全保護。遵循CPA模型的機制通常最穩(wěn)健,但所付出的代價是復雜性更高。一個沒有專門提到的問題是如何實現混合算法,雖然普遍認為PQC可能會在現有密碼標準的基礎之上推出。
英飛凌的行動
英飛凌一直積極支持抗量子密碼算法的開發(fā)。SPHINCS+的開發(fā)是在一個歐洲大學團隊主導并且業(yè)界專家參與下進行的。它最初于2015年以SPHINCS為名發(fā)布,在NIST第一輪提交之前結合反饋意見進行了更新。不斷的改進已使處于1級NIST安全等級的非優(yōu)化形式的簽名長度縮短至8 kb,使達到最高5級NIST安全等級所需的簽名長度縮短至約30 kb。為了實現在不同參數中的靈活性,提供了三個版本的SPHINCS+,它們允許通過使用不同的哈希機制來達到不同處理速度下的5級NIST安全等級。它們分別是:
●SPHINCS+-SHA3(使用SHAKE256)
●SPHINCS+-SHA2(使用SHA2)
●SPHINCS+-Haraka(使用Haraka短輸入哈希功能)
英飛凌也加入了兩個由德國政府資助部分經費的PQC相關項目的研究團隊。Aquorypt [3] 聯(lián)盟由主要研究工業(yè)嵌入式系統(tǒng)和智能卡安全性的高校和企業(yè)研究人員組成。PQC4MED [4] 專注于醫(yī)療產品中的嵌入式系統(tǒng)安全保護,且正在研究應對量子計算機等威脅的硬件和軟件需求實現。
保護物聯(lián)網通信OPTIGA?TPM在Raspberry pi上的演示
為了應對量子計算帶來的網絡安全和加密數據威脅,英飛凌推出了全新的OPTIGA?TPMSLB9672。該TPM芯片選擇基于后量子加密技術的固件更新機制,是一種前瞻性的安全解決方案。
OPTIGA?TPM該系列包括各種安全控制器,可以保護嵌入式設備和系統(tǒng)的完整性和可靠性。借助安全密鑰存儲和各種加密技術的支持,OPTIGA?TPM由于其豐富的功能給關鍵數據和過程帶來了強大的保護。