后量子密码学(PQC)标准在8月13日正式发布,成为全球瞩目的焦点,因为这次推出的3项新标准是为未来而准备,也就是为日后量子破密威胁所设计,如今美国国家标准暨技术研究院(NIST)首度宣布推出的是FIPS 203、FIPS 204、FIPS 205,接下来还有第4个标准将在年底出炉。

回顾PQC标准的制定,总共历经8年时间,最早从2016年美国NIST就开始举行PQC密码学竞赛,当时收到来自25个国家的82个提交算法,之后进行了3轮淘汰赛,直到2022年先选出4个候选算法,也就是CRYSTALS-Kyber、CRYSTALS-Dilithium 、 FALCON、SPHINCS+。目的就是选出可抵御量子破密威胁的数学问题,以保护现在与未来的安全。

不过,首批候选算法在进入标准化程序后,有学者发布论文质疑一项数学方法,还好后来相关问题厘清。在今年初,一篇由中国清华大学陈一镭撰写的论文发表在ArXiv网站,声称基于网格密码学(Lattice-based)的算法实际上并无法对抗量子破密,由于首批4个候选算法中,就有3个是基于网格密码学,因此引起PQC学者相当大的关注,之后一周内有人发现其论文中的论点有一个缺陷,才消除这方面的疑虑。这也显示,很多人持续在试图破解这些算法,但只要越经得起考验,也就越会安全。

历经多年的发展,这些PQC加密方案终于在本周完成标准化程序,并且有3项PQC标准正式出炉,NIST也公开了更多关于新标准的细节。

NIST表示,虽然自草案版本以来,这些标准没有实质上的改变,但NIST现在更改了这些算法的名称,以指定最终标准使用的版本。具体而言,这次公布的联邦数据处理标准(FIPS)包括:

●FIPS-203 (ML-KEM)

●FIPS-204 (ML-DSA)

●FIPS-205 (SLH-DSA)

基本上,这些加密新标准可分成两大应用面,一是通用加密(General encryption),用于保护在公共网络上交换的资讯,一是保护数字签名(Protecting digital signatures),用于身份认证。

在通用加密方面,以FIPS 203为主要标准,这项标准是基于CRYSTALS-Kyber算法而来,现已重命名为ML-KEM,代表Module-Lattice-Based的密钥封装机制(Key-Encapsulation Mechanism)。这项标准的优势在于属于相对小型的加密密钥,可方便交换且执行快速。

在数字签名方面,以FIPS 204为主要标准,此标准使用CRYSTALS-Dilithium算法,现已更名为ML-DSA,代表Module-Lattice-Based的数字签名算法。

此外,FIPS 205也是为数字签名设计的标准,这项标准使用Sphincs+算法,现已更名为SLH-DSA,代表Stateless Hash-Based的数字签名算法。由于这项标准使用了与ML-DSA不同的数学方法,若是ML-DSA被发现有漏洞时,将可作为备用方法使用。

后续还有哪些重要发展?NIST表示,他们还有FIPS 206会在稍晚发布,估计是2024年底,此项标准是使用FALCON算法,并会更名为FN-DSA。

而且,PQC标准的评选也尚未结束,NIST还在继续评估其他两组算法,希望这些算法能成为备用的标准,以持续确保我们的安全。

其中一组是通用加密类型,将选出不同于ML-KEM的数学方法,预计从3个算法中选出1到2个。

另一组是数字签名类型,主要是NIST希望促进数字签名组合多样化,因此在2022年再次公开征求额外的算法,并已开始对其进行评估,预计将从15个算法选出下一轮的名单,继续进行测试、评估与分析。

不过,在关注PQC标准发展之余,NIST提醒大家,没有必要等待未来的标准,现在就可以开始使用这3项新标准,立即为应对量子破密的潜在威胁做好准备。

NIST强调,随着量子运算技术的快速进步,一些专家已经预测,能够破解当前加密方法的设备可能在十年内问世,这将对个人、组织,甚至整个国家的安全与隐私构成威胁。

因此,负责PQC标准化项目的NIST数学家Dustin Moody表示,NIST鼓励各界尽早开始转换至这些新标准,并将其集成到现有系统中,因为全面转换的过程将需要一定的时间。

美国商务部标准暨技术副部长兼NIST院长Laurie E. Locascio也指出,量子运算技术有潜力帮助解决许多社会难题,而这些新标准则展示了NIST在推动技术进步的同时,致力于维护我们安全的承诺。

事实上,自PQC密码学标准化竞赛举办以来,台湾也很重视这方面的发展,例如3个月前有新的行动,当时台湾后量子安全产业联盟宣布成立,不仅希望加速后量子安全产业的发展,更重要是要确保台湾具有后量子密码准备能力。

但还需要有更多企业组织意识到,公钥密码系统的全面升级与转换已成为不可避免的趋势。因为过去NIST与PQC专家就曾指出,目前网际网络上传输的所有数据,包括银行交易、医疗记录以及加密通信,都是通过RSA等加密算法来保护。尽管如今的超级计算机几乎无法破解这些算法,但随着量子计算机的快速发展,现有的RSA公钥加密系统将面临严重威胁,因此我们必须尽早做好准备。

如今,随着新一代PQC标准的问世,尽快开始过渡到新标准将是重点。而在NIST提供的资源中,也说明可参考国家网络安全卓越中心(NCCoE)之前就针对PQC迁徙所设立的专门页面,其中已经提供相关资源与指引。