【導(dǎo)讀】后量子密碼,簡稱PQC,如今已是眾多科技公司公開討論的熱門話題。但是,在半導(dǎo)體行業(yè),仍有很多人難以弄懂后量子密碼的復(fù)雜原理,而真正明白為何如今亟需轉(zhuǎn)向后量子密碼的人更是寥寥無幾。不妨在這里探討一下,我們應(yīng)該如何思考這個問題,探討其當(dāng)下對決策者來說究竟意味著什么。想要理性探討后量子密碼,就必須先儲備些許有關(guān)量子計算的基礎(chǔ)原理的知識,了解量子力學(xué)知識,哪怕只是淺顯了解,也是必不可少的。后量子密碼學(xué)內(nèi)容龐雜,涉及面非常廣泛,一篇博文根本無法深入探討這個專題。故此,本文僅梳理幾項最核心的基礎(chǔ)原理,力求揭開后量子密碼的神秘面紗。
基礎(chǔ)原理
什么是量子計算?
傳統(tǒng)計算機(jī)依靠電信號存儲和處理信息,電信號僅有高低電壓兩種基礎(chǔ)狀態(tài),因此,我們用由 0 和 1 組成的二進(jìn)制語言來表示這兩種狀態(tài)。無論是運(yùn)行程序,還是顯示圖片和視頻,傳統(tǒng)計算機(jī)所做的事情,歸根結(jié)底都是一長串 0 和 1 的組成的數(shù)據(jù)。量子計算機(jī)的運(yùn)算基礎(chǔ)同樣是物理系統(tǒng),但它并不用傳統(tǒng)的電信號,而是采用電子、光子等量子,量子的運(yùn)動遵循量子力學(xué)定律。
19 世紀(jì)初托馬斯?楊完成的雙縫干涉實驗是一個著名的解釋量子運(yùn)動規(guī)律的例子。光線穿過兩條狹縫時,會形成干涉條紋,仿佛是光波同時穿過了兩道縫隙。可一旦借助測量設(shè)備觀測光線具體穿過哪條狹縫,干涉條紋便會立刻消失,此時,光線又呈現(xiàn)出粒子形態(tài),這便是量子力學(xué)中的波粒二象性。多年來,科研人員利用各類光子或物質(zhì)多次再現(xiàn)這一特性,它也是量子計算學(xué)的核心理論依據(jù)之一。
什么是量子比特?
一臺量子計算機(jī)的近距離特寫照片
雙縫干涉實驗與量子計算機(jī)有何關(guān)聯(lián)?簡單來說,量子計算機(jī)用量子態(tài)表示量子計算機(jī)的核心基礎(chǔ)信息。傳統(tǒng)計算機(jī)用比特,而量子計算機(jī)則用量子比特,又稱Qubit。比特代表電壓范圍,量子比特則可表示光子偏振態(tài)或電子自旋狀態(tài)。無論是傳統(tǒng)計算機(jī)還是量子計算機(jī),都需要通過測量來確定比特或量子比特的數(shù)值,而雙縫干涉實驗證實,量子在測量前后的表現(xiàn)截然不同,這與傳統(tǒng)力學(xué)規(guī)律完全相悖。
傳統(tǒng)計算機(jī)的比特采用二進(jìn)制計數(shù),只用0和1兩個數(shù)字,0或1 代表一個比特;量子計算機(jī)同樣設(shè)定量子比特有兩種基礎(chǔ)狀態(tài),例如,兩種能級、兩種角動量等。量子比特與傳統(tǒng)比特不同之處是,傳統(tǒng)比特的兩種狀態(tài)是互斥的,也就是說,比特不是 0,就是1,而量子比特可以處于兩種狀態(tài)的疊加態(tài),如同光波能同時穿過兩條狹縫一般,兼具比特的 0 和1 兩種狀態(tài)。因此,量子比特里的 0 態(tài)和 1 態(tài)以概率幅形式存在,概率幅決定了測量結(jié)果是 0 還是 1 的概率。
系統(tǒng)一旦執(zhí)行測量操作,量子比特的疊加態(tài)就會坍縮為 0 或 1,量子計算就此結(jié)束,這和前文雙縫干涉實驗中觀測光線通過哪條狹縫的原理一致。為此,量子算法利用精心設(shè)計的運(yùn)算來調(diào)整量子比特的概率幅。簡單來說,量子算法就是調(diào)控概率幅,以提高正確結(jié)果概率,抑制錯誤結(jié)果的概率,確保測量一次,結(jié)果正確一次。量子計算背后掩藏著繁雜深奧的數(shù)學(xué)理論,一篇博文難以詳盡講解。不過,上面簡要的介紹有助于我們明白為何量子計算是一個難題。
相較于傳統(tǒng)計算機(jī),量子計算機(jī)潛在的核心優(yōu)勢是,能夠利用疊加態(tài)并行推演大量可能情況,而傳統(tǒng)計算機(jī)只能逐步依次演算。對于特定問題,量子計算機(jī)可借助量子特性減少運(yùn)算次數(shù),實現(xiàn)算力大幅提升,不過,這并非適用于所有情況。過去,量子計算機(jī)僅在執(zhí)行特定類型任務(wù)時遠(yuǎn)超傳統(tǒng)計算機(jī),例如,優(yōu)化運(yùn)算、量子系統(tǒng)仿真,以及部分密碼和搜索類應(yīng)用場景。
量子威脅
邁向后量子密碼時代:量子比特電路特寫實拍
什么是密碼相關(guān)量子計算機(jī)(CRQC)?
目前全球各大實驗室雖已研制出量子計算機(jī),但無一能夠?qū)鹘y(tǒng)密碼算法構(gòu)成實際威脅。業(yè)內(nèi)將這類設(shè)備定義為“非密碼相關(guān)”量子計算機(jī),意思是這類計算機(jī)不具備密碼攻擊能力。不過,我們顯然正在邁向密碼相關(guān)量子計算機(jī)CRQC時代,這類未來量子計算機(jī)利用容錯量子算法和海量的量子比特,能夠破解公鑰密碼加密體系。有業(yè)內(nèi)預(yù)估,此類設(shè)備還需 10 至 15 年才能問世,但目前很難做出精準(zhǔn)可靠的預(yù)判。究其原因,一臺量子計算機(jī)要想具備密碼攻擊能力,必須能夠處理海量的量子比特,還必須滿足多項額外硬性技術(shù)條件。
今天的量子計算機(jī)難以識別并修正運(yùn)算錯誤與損壞的數(shù)據(jù),而密碼相關(guān)量子計算機(jī)CRQC必須能夠?qū)崟r檢錯和糾錯。今天的量子計算機(jī)生成的邏輯量子比特極易出錯,而想要具備破解密碼的能力,量子計算機(jī)必須支持處理數(shù)百個邏輯量子比特。邏輯量子比特是大量的物理量子比特通過編碼組合而成,以防止量子比特出錯,類似于 ECC 內(nèi)存中的糾錯碼。2024 年,谷歌已研發(fā)出由 105 個物理量子比特組成的邏輯量子比特。最后,密碼相關(guān)量子計算機(jī)還需完成數(shù)百萬次量子門運(yùn)算,并穩(wěn)定運(yùn)行至少數(shù)小時。不滿足以上全部條件,一臺量子計算機(jī)算不上真正具備密碼攻擊能力。
量子威脅是什么?
傳統(tǒng)算法
量子計算機(jī)將如何破解傳統(tǒng)密碼算法?最常被提及的破解方法便是肖爾算法,該算法以數(shù)學(xué)家彼得?肖爾命名。想要弄清它的原理,首先要明白:當(dāng)下眾多主流密碼算法都依靠一個事實:在傳統(tǒng)計算機(jī)上進(jìn)行大整數(shù)因數(shù)分解難度高,耗時長。我們都知道,兩個數(shù)字相乘既簡單又快捷,可要反向找出這個大數(shù)是哪幾個質(zhì)數(shù)相乘的結(jié)果則需要很長時間,使得這種運(yùn)算幾乎沒有可行性。
這本質(zhì)上就是RSA這類加密算法的核心原理。這個大數(shù)就是加密后的數(shù)據(jù),兩個質(zhì)數(shù)分別對應(yīng)公鑰與私鑰。如果同時持有兩組質(zhì)數(shù)密鑰,解密過程就會十分簡便迅速;若僅有公鑰,靠暴力枚舉破解私鑰幾乎無從實現(xiàn)。舉例來說,用傳統(tǒng)計算機(jī)破解采用2048 位整數(shù)的 RSA 加密,大約需要300 萬億年。據(jù)一篇2021 年發(fā)表的熱門論文,如果同一破解運(yùn)算在量子計算機(jī)上執(zhí)行,只需8 個小時和2000 萬個有噪量子比特就能破解密碼。
肖爾算法與格羅弗算法
量子計算背后隱藏的無數(shù)個復(fù)雜深奧的數(shù)學(xué)原理可以解釋,密碼相關(guān)量子計算機(jī)如何快速破解 RSA 加密算法。本文不深入探討數(shù)論與模運(yùn)算相關(guān)知識,但可以介紹兩個關(guān)注度較高的連主流刊物都引用的熱門算法:肖爾算法與格羅弗算法。本質(zhì)而言,這兩種均為量子算法,能讓量子計算機(jī)在某些情況下運(yùn)算速度遠(yuǎn)超傳統(tǒng)計算機(jī)。因此,當(dāng)各行各業(yè)談及量子計算機(jī)對現(xiàn)行密碼標(biāo)準(zhǔn)構(gòu)成威脅時,部分原因正是這些算法已從數(shù)學(xué)層面證實了這種破解的可行性。
簡單來說,彼得?肖爾于 1994 年提出了肖爾算法,證實了量子計算機(jī)能夠以驚人速度完成階數(shù)求解及其他復(fù)雜運(yùn)算。深究其原理,我們不難發(fā)現(xiàn),量子計算機(jī)可操控多個量子比特執(zhí)行模運(yùn)算和其他運(yùn)算,運(yùn)算速度遠(yuǎn)超傳統(tǒng)計算機(jī)。因此,肖爾算法能用很少的運(yùn)算步驟完成大整數(shù)因式分解運(yùn)算,以更快的速度破解 RSA 加密,極大動搖了這類加密算法的安全根基。
1996 年,洛夫?格羅弗同樣提出了一種量子算法,這個量子搜索算法可用于暴力破解對稱密鑰,適用于 AES 這類分組密碼,以及 HMAC-SHA-256 等帶密鑰的哈希結(jié)構(gòu)算法。傳統(tǒng)暴力破解幾乎需要演算所有可能密鑰。以常用的 128 位密鑰為例,演算全部密鑰需要底層密碼算法執(zhí)行2128 次運(yùn)算,說白了,理論上,我們必須試遍所有的密鑰值。相反,格羅弗算法利用量子計算機(jī)的特性,每一次運(yùn)算都會提升正確密鑰的概率幅,經(jīng)過約264 次運(yùn)算后,就能以極高概率測出正確密鑰。
AES-192和AES-256
雖然量子計算機(jī)可一次性處理海量信息,運(yùn)算能力遠(yuǎn)超傳統(tǒng)計算機(jī),對部分加密算法構(gòu)成安全隱患,但美國商務(wù)部國家標(biāo)準(zhǔn)與技術(shù)研究院公開表示,并非現(xiàn)行所有加密算法都會失效。例如,該機(jī)構(gòu)明確指出:192 位和 256 位高級加密標(biāo)準(zhǔn)(AES)在未來很長一段時間內(nèi)依舊安全無虞。原因在于格羅弗算法在實現(xiàn)上受到限制,嚴(yán)重限制了其對此類加密方式的暴力破解能力。除了需要大量的量子計算外,它難以實現(xiàn)高效并行運(yùn)算,進(jìn)一步制約了其實用優(yōu)勢。
前瞻布局,應(yīng)對未來
我們既不能夸大當(dāng)前密碼相關(guān)量子計算機(jī)帶來的風(fēng)險,也絕不能低估其潛在威脅。隨著量子計算機(jī)技術(shù)越來越成熟,現(xiàn)在尚好的加密體系,未來將不堪一擊。這對于許多需要長期穩(wěn)定運(yùn)行數(shù)十年甚至更久的數(shù)字簽名與認(rèn)證技術(shù)而言,無疑是一大隱患。同理,即便當(dāng)前基于傳統(tǒng)公鑰密碼體系的區(qū)塊鏈能滿足所有安全標(biāo)準(zhǔn),若無法抵御二十年后的量子計算機(jī)攻擊,最終也將徹底失去使用價值。如今,攻擊者還普遍采用先盜后破的策略:提前囤積大量的涉密數(shù)據(jù),待量子算力足以破解密鑰后,再行破解之事。
因此,不難理解,即便密碼相關(guān)量子計算機(jī)尚未問世,部分現(xiàn)有加密算法在量子計算機(jī)問世之前還有很長的生命力,眾多企業(yè)已然在做后量子密碼技術(shù)升級,以抵御破解能力很強(qiáng)的量子計算機(jī)的攻擊。知名內(nèi)容分發(fā)網(wǎng)絡(luò)服務(wù)商云帆去年就推出了后量子密碼相關(guān)計劃,谷歌也剛剛宣布更新了Chrome 瀏覽器和云服務(wù),新增一個量子安全加密工具。無獨(dú)有偶,蘋果也表示已在 iMessage 應(yīng)用中采用了后量子密碼算法,以此防范未來來自量子計算機(jī)的安全威脅。
CRQC 何時能夠問世?
各國監(jiān)管機(jī)構(gòu)相繼出臺了后量子密碼部署路線圖。像美國國家安全局(NSA)一樣,很多機(jī)構(gòu)坦言,目前無法確定密碼相關(guān)量子計算機(jī)(CRQC)具體問世時間。但各方早已啟動相關(guān)規(guī)劃,因為從正式標(biāo)準(zhǔn)化到全系統(tǒng)集成,整個遷移過程往往需要十年甚至更久。簡言之,抗量子破解算法技術(shù)遷移已然啟動,行業(yè)正全面向后量子密碼轉(zhuǎn)型。各國政府機(jī)構(gòu)也已公布后量子密碼遷移建議時間表,提前布局應(yīng)對量子危機(jī)日(Q-day),迎接密碼相關(guān)量子計算機(jī)正式問世。
歐盟
2024 年 6 月,歐盟委員會要求各成員國在歐盟后量子密碼建議發(fā)布起兩年后制定出后量子密碼實施路線圖,截止時間定為2026 年底。歐盟在官方路線圖中明確:高風(fēng)險應(yīng)用場景需盡快完成后量子密碼遷移,最晚不遲于 2030 年底;到2035 年,盡可能完成絕大多數(shù)系統(tǒng)的遷移改造。歐盟網(wǎng)絡(luò)安全局(簡稱 ENISA)已發(fā)布遷移白皮書與集成研究報告,幫助各國達(dá)成上述目標(biāo)。
美國國家標(biāo)準(zhǔn)與技術(shù)研究院
同樣,美國國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)在 2025 年的一份研究報告中提出,計劃在2030 年前逐步淘汰易受量子攻擊的加密算法,并于2035 年全面禁用此類算法。美國商務(wù)部表示,在后量子密碼遷移過渡期內(nèi),經(jīng)由 NIST 認(rèn)證的128 位安全強(qiáng)度的傳統(tǒng)對稱密碼基礎(chǔ)算法依舊可以正常使用,各機(jī)構(gòu)也可繼續(xù)使用 112 位安全等級的公鑰算法。不過,NIST 清楚,全面切換至抗量子攻擊算法是一項龐大的工程,需要升級基礎(chǔ)設(shè)施,開發(fā)新的軟硬件、密碼庫等多項工作。因此,該機(jī)構(gòu)早在數(shù)年前就啟動了相關(guān)標(biāo)準(zhǔn)化工作,全力推動行業(yè)盡早完成向后量子密碼體系的轉(zhuǎn)型。
NSA美國國家安全局
與此同時,美國國家安全局(NSA)表示,力爭所有國家安全系統(tǒng)(NSS)在 2035 年前全部完成抗抗量子攻擊升級改造。為達(dá)成該目標(biāo),該局已制定商用國家安全算法套件 2.0 版(CNSA 2.0),明確列出可應(yīng)用于國家安全系統(tǒng)的各類抗量子攻擊算法。美國國家安全局指出:所有在國家安全系統(tǒng)中采用通用標(biāo)準(zhǔn)算法的產(chǎn)品,都必須使用 CNSA 2.0 規(guī)定的算法。自2027 年 1 月 1 日起,國家安全系統(tǒng)所有新采購設(shè)備均需符合 CNSA 2.0 標(biāo)準(zhǔn);到2030 年 12 月 31 日,除特殊說明外,所有無法兼容 CNSA 2.0 的軟硬件設(shè)備與服務(wù)必須逐步淘汰;至2031 年 12 月 31 日,相關(guān)系統(tǒng)將強(qiáng)制統(tǒng)一啟用 CNSA 2.0 系列算法。
PQC時代的到來
哪里需要部署PQC?
各類基礎(chǔ)設(shè)施受量子計算機(jī)的影響程度不盡相同,各類算力設(shè)備也無需以統(tǒng)一節(jié)奏向后量子密碼遷移。但不能片面認(rèn)為,只有存儲國家機(jī)密的超級計算機(jī)才需要優(yōu)先完成PQC遷移。實際上,決定設(shè)備是否優(yōu)先PQC遷移的核心因素,往往不在于設(shè)備用途,而是實際使用年限。即便是普通工業(yè)設(shè)備,一旦設(shè)計周期長達(dá)數(shù)十年,也會成為高敏感設(shè)備。倘若其安全啟動、遠(yuǎn)程空中升級機(jī)制不具備抗量子攻擊能力,整套系統(tǒng)就會淪為企業(yè)整體網(wǎng)絡(luò)的安全漏洞。
正因如此,全球移動通信系統(tǒng)協(xié)會(GSMA)在 2024 年發(fā)布指引,明確電信運(yùn)營商向后量子密碼體系過渡的實施辦法。美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局也向全部運(yùn)營技術(shù)(OT)類業(yè)主和企業(yè)發(fā)布了相似指引,提醒相關(guān)主體絕不能等到密碼實用型量子計算機(jī)問世后,才著手制定和落地應(yīng)對方案。該局指出,認(rèn)為僅有信息技術(shù)(IT)體系會遭受量子威脅的想法實屬誤區(qū)。文件中說明,一旦密碼相關(guān)量子計算機(jī)成型,攻擊者可在所有運(yùn)營技術(shù)系統(tǒng)中偽裝成可信主體,悄無聲息篡改數(shù)據(jù),或是破解保護(hù)通信鏈路的加密信息。
因此,一些看似毫不起眼、用途普通的小型設(shè)備反而面臨最大安全風(fēng)險,可信平臺模塊(TPM) 便是典型代表。
這類微型安全芯片是信任根的核心載體,負(fù)責(zé)固件簽名和密鑰生成管理,以及設(shè)備啟動流程的安全防護(hù)。倘若設(shè)備的信任根遭到攻破,全世界保護(hù)網(wǎng)絡(luò)安全的抗量子攻擊TLS證書將毫無意義,形同虛設(shè)。同理,各國政府、企業(yè)及機(jī)構(gòu)普遍采用安全身份憑證與各類安全組件存儲個人信息。這類身份憑證使用周期極長,常被用于文件簽署與身份核驗。一旦這類憑證存在量子安全漏洞,將會引發(fā)災(zāi)難性后果。
全新的后量子密碼標(biāo)準(zhǔn)有哪些?它們與傳統(tǒng)加密算法存在哪些差異?
更難解的數(shù)學(xué)題
在準(zhǔn)備向后量子密碼遷移的過程中,很多人想知道怎樣才能具備抗量子攻擊能力。雖然底層數(shù)學(xué)原理十分復(fù)雜,但是,核心思路是采用比大數(shù)分解運(yùn)算量更大的加密算法,格基密碼便是典型代表。簡單來說,格基密碼使用一組坐標(biāo),可以粗略理解為二維平面上的點(diǎn),求解高維結(jié)構(gòu)化代數(shù)等數(shù)學(xué)難題。這類算法還會運(yùn)用數(shù)論變換等復(fù)雜數(shù)學(xué)手段進(jìn)一步提升運(yùn)算量,以此強(qiáng)化自身的抗量子破解能力。
資源消耗更高
此外,后量子密碼還采用一些直觀卻十分有效的方式提升安全強(qiáng)度,增大密鑰長度便是其中之一。正如高級加密標(biāo)準(zhǔn)(AES)所體現(xiàn)的,即便其底層加密原理在理論上可被量子計算機(jī)破解,只要密鑰長度足夠大,攻擊者破解所需耗費(fèi)的時間與資源就會達(dá)到難以實現(xiàn)的程度。除此之外,部分抗量子算法將會啟用狀態(tài)值,原理類似隨機(jī)數(shù)值,每次生成簽名時,計數(shù)器都會生成對應(yīng)的狀態(tài)值,系統(tǒng)通過核驗該值來確認(rèn)消息來源是否可靠、數(shù)據(jù)是否遭到劫持篡改。RSA、橢圓曲線數(shù)字簽名算法(ECDSA)等傳統(tǒng)傳統(tǒng)算法均為無狀態(tài)值設(shè)計,而部分后量子密碼機(jī)制采用有狀態(tài)值設(shè)計,以此增添一重安全防護(hù),有效杜絕簽名被冒用的風(fēng)險。
PQC算法清單
2024 年,美國國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)正式發(fā)布三個后量子密碼標(biāo)準(zhǔn):ML-KEM(FIPS 203)、ML-DSA(FIPS 204)、SLH-DSA(FIPS 205)。ML 代表模格密碼;KEM 即密鑰封裝機(jī)制,用于在不安全通信信道中安全傳遞會話密鑰。后兩個標(biāo)準(zhǔn)屬于數(shù)字簽名算法,用于核驗數(shù)據(jù)真實性與合法性。SLH 指代無狀態(tài)哈希基密碼,依靠哈希運(yùn)算實現(xiàn)加密,而非格結(jié)構(gòu)數(shù)學(xué)難題。這三個標(biāo)準(zhǔn)算法為抗量子攻擊安全奠定了堅實的基礎(chǔ)。例如,蘋果已啟用 ML-KEM;谷歌選用了 ML-DSA 與 SLH-DSA,但是,谷歌云密鑰管理系統(tǒng)是三個標(biāo)準(zhǔn)全都支持。
業(yè)界仍在持續(xù)推進(jìn)新算法標(biāo)準(zhǔn)化工作,以適配各類特殊應(yīng)用場景。例如,美國國家標(biāo)準(zhǔn)與技術(shù)研究院已批準(zhǔn)另外兩種有狀態(tài)哈希簽名算法:LMS(萊頓 - 米卡利簽名算法)與XMSS(擴(kuò)展默克爾簽名方案);同時還在推進(jìn)另一款格基簽名算法 FN-DSA(FIPS 206)的標(biāo)準(zhǔn)化進(jìn)程。該算法融合格密碼與快速傅里葉變換技術(shù),既能縮減密鑰長度,又可保障抗量子攻擊能力。但是,這個算法依賴浮點(diǎn)運(yùn)算,實現(xiàn)難度較大,并不適用于主打抗側(cè)信道攻擊的產(chǎn)品場景。
向后量子密碼遷移面臨哪些挑戰(zhàn)?
資產(chǎn)梳理
企業(yè)團(tuán)隊往往只聚焦將要采用的抗量子攻擊算法,卻忽視了遷移過程中的其他各類難題。事實上,美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局發(fā)布量子安全就緒指南時,并未提及任何具體算法名稱,而是重點(diǎn)列出多項要求,指導(dǎo)企業(yè)梳理加密資產(chǎn)清單,此舉可幫助機(jī)構(gòu)評估安全風(fēng)險,甄別存在安全隱患的通信協(xié)議,明確認(rèn)證限制要求,同時摸清向后量子加密算法遷移會波及的所有關(guān)聯(lián)問題。舉例來說,不少企業(yè)一心著手升級云端基礎(chǔ)設(shè)施,卻徹底忽略員工訪問云端服務(wù)所用的智能卡、硬件安全模塊以及虛擬專用網(wǎng)絡(luò)等設(shè)備與工具。
密碼敏捷性
因此,行業(yè)定義了密碼敏捷性這一概念。美國國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)將其定義為:在保障安全與業(yè)務(wù)持續(xù)運(yùn)行的前提下,替換和調(diào)整協(xié)議、應(yīng)用程序、軟硬件、固件及基礎(chǔ)設(shè)施中的加密算法的能力。簡單來講,就是能夠在盡可能不影響日常業(yè)務(wù)運(yùn)轉(zhuǎn)的前提下,完成向后量子密碼的平穩(wěn)遷移。具體包含這些舉措:全面梳理有加密功能的產(chǎn)品目標(biāo);搭建可通過應(yīng)用程序接口(API)對算法進(jìn)行抽象封裝的底層架構(gòu);確保所有軟件均可便捷、安全地更新升級。同時,密碼敏捷性還是指機(jī)構(gòu)能否多算法并行使用,一旦發(fā)現(xiàn)現(xiàn)有算法存在安全漏洞,能否及時無縫切換至全新加密算法的能力。
密碼敏捷性是所有后量子密碼遷移工作的核心要求。它既能減少設(shè)備停機(jī)時長,降低業(yè)務(wù)損失,也能保障遷移過程安全可控。例如,若在遷移工作中舍棄密碼敏捷性原則,對證書規(guī)范、通信協(xié)議、密鑰容器等進(jìn)行硬編碼固定,企業(yè)不僅會因部署不當(dāng)承受更高安全風(fēng)險,后續(xù)安全方案的迭代更新也會變得極為困難,進(jìn)而引發(fā)更長時間的停機(jī)時間與更大的業(yè)務(wù)損失。
量子攻擊防護(hù)技術(shù)轉(zhuǎn)型帶給我們的啟示是:網(wǎng)絡(luò)信息安全技術(shù)始終在不斷發(fā)展演進(jìn),搭建具備密碼敏捷能力的企業(yè)架構(gòu),是順應(yīng)安全發(fā)展趨勢的最佳途徑。
互通性與混合部署
密碼敏捷性的另一大核心原則是互通兼容性,即確保各系統(tǒng)無論處于何種遷移階段,彼此之間都能正常通信。
倘若某套系統(tǒng)升級為抗量子攻擊算法后,無法與其余基礎(chǔ)設(shè)施正常通行,將會引發(fā)嚴(yán)重故障。正因如此,眾多企業(yè)開始采用混合部署模式,在同一系統(tǒng)內(nèi),傳統(tǒng)加密和后量子密碼兩種算法都用,兩者之間實時動態(tài)切換,以此保障設(shè)備互聯(lián)互通。混合部署雖會提升架構(gòu)復(fù)雜度,增加運(yùn)算資源開銷,但對于大型機(jī)構(gòu)而言,這往往是平穩(wěn)完成后量子密碼遷移的最優(yōu)方案。
資源受限型系統(tǒng)
工程師們清楚,在部分資源受限型系統(tǒng)上推進(jìn)后量子密碼遷移同樣困難重重。這類設(shè)備通常內(nèi)存配額緊張、帶寬偏小,搭載的微控制器算力也十分有限。即便部分設(shè)備自帶加密功能,也往往缺少可高效運(yùn)行抗量子攻擊算法所需的驅(qū)動程序、中間件以及應(yīng)用程序接口。因此,嵌入式系統(tǒng)研發(fā)人員必須提前做好后量子密碼適配規(guī)劃。部分已投入使用的產(chǎn)品尚可升級支持后量子密碼算法,但還有不少產(chǎn)品很難甚至無法完成改造,除非設(shè)計階段就提前預(yù)留了后量子密碼適配方案。
PQC對計算機(jī)系統(tǒng)有哪些影響?
向后量子密碼(PQC)遷移將給計算機(jī)系統(tǒng)的設(shè)計、部署與運(yùn)維方式帶來深遠(yuǎn)影響。為應(yīng)對遷移過程中固有的各類難題,工程師需從硬件、軟件兩大層面多維度著手推進(jìn)。硬件層面,部分后量子加密方案需要更長的密鑰、簽名和密文,要求更高的運(yùn)算量,這就要求系統(tǒng)配備更大內(nèi)存和外存,以承載更長的密鑰和證書,以及更多的中間數(shù)據(jù);同時還需提升處理器性能,或搭載專用加密加速器,將處理延遲與功耗控制在合理范圍。此外,部分設(shè)備平臺還需更新系統(tǒng)架構(gòu)與安全模塊,適配全新的加密流程。
后量子密碼遷移絕非僅僅啟用新算法那么簡單,還需要強(qiáng)化針對物理攻擊與代碼實現(xiàn)層面攻擊的防護(hù)能力。即便選用安全性頂尖的抗量子攻擊算法,一旦攻擊者能夠利用其代碼實現(xiàn)中的漏洞發(fā)起攻擊,算法防護(hù)也會徹底失效。舉例來說,若缺乏完善防護(hù)手段,黑客可通過監(jiān)測設(shè)備功耗、電磁輻射、運(yùn)算時間差,或是向系統(tǒng)注入故障等方式,破解獲取私鑰與各類敏感數(shù)據(jù)。為抵御此類側(cè)信道攻擊,系統(tǒng)必須集成各類防護(hù)機(jī)制與硬件級防御手段,確保抗量子密碼算法不會因非量子類安全缺陷遭到攻破。換言之,如果一套高安全等級的后量子密碼算法代碼極易被普通設(shè)備攻破,那么它所帶來的安全防護(hù)也只是形同虛設(shè)。
ST如何應(yīng)對PQC帶來的各項挑戰(zhàn)?
The ST33KTPM
ST33KTPM 可信平臺模塊
意法半導(dǎo)體積極應(yīng)對后量子密碼時代帶來的各類挑戰(zhàn),為通用及安全微控制器提供全套的軟件庫與硬件IP模塊,為行業(yè)后量子密碼遷移賦能。代表性解決方案包括適配 STM32 系列的X-CUBE-PQC后量子密碼軟件包,以及ST33KTPM可信平臺模塊,該產(chǎn)品支持主流后量子密碼算法的核心功能。例如,該模塊的有狀態(tài)哈希簽名方案采用LMS 萊頓 - 米卡利簽名算法,保障固件身份真實可信;同時支持后量子密鑰封裝機(jī)制ML-KEM與后量子數(shù)字簽名算法ML-DSA。這個模塊還是意法半導(dǎo)體首款具備抗量子攻擊能力的TPM。
ST33KTPM 已通過FIPS 140-3 安全認(rèn)證,證明其滿足嚴(yán)苛的安全規(guī)范要求,也標(biāo)志著該產(chǎn)品已全面做好迎接后量子時代的準(zhǔn)備。作為一個TPM,ST33KTPM 可用作服務(wù)器、個人電腦、物聯(lián)網(wǎng)設(shè)備及各類嵌入式系統(tǒng)的硬件信任根。意法半導(dǎo)體將后量子密碼機(jī)制直接集成至這一核心安全基石中,確保各類系統(tǒng)核心的數(shù)據(jù)完整性、身份驗證和密鑰管理功能具備很強(qiáng)的防御韌性,甚至能夠抵御未來的量子計算機(jī)的攻擊。
實現(xiàn)密碼敏捷性與PQC就緒能力
除全新硬件產(chǎn)品外,意法半導(dǎo)體還持續(xù)投入研發(fā)各類軟件庫與開發(fā)工具,助力現(xiàn)有及新一代產(chǎn)品準(zhǔn)備好迎接后量子密碼時代的到來,實現(xiàn)密碼敏捷性是其中一個重要目標(biāo),即在不重新設(shè)計整體系統(tǒng)的前提下,逐漸靈活部署、整合或替換各類加密算法的能力。借助這類軟件庫,開發(fā)人員可整合后量子密碼算法與傳統(tǒng)加密算法,搭建混合加密方案,讓遷移過程更平穩(wěn)、更安全。隨著行業(yè)標(biāo)準(zhǔn)迭代,新型安全威脅出現(xiàn),技術(shù)團(tuán)隊還能通過系統(tǒng)更新靈活切換加密算法、調(diào)整密鑰長度。
即便在密碼相關(guān)量子計算機(jī)尚未大規(guī)模普及前,現(xiàn)有平臺提前做好準(zhǔn)備是防御量子計算機(jī)攻擊的最高效的方式之一。
