准备后量子密码学的下一步

近日，英国国家网络安全中心发布白皮书，准备后量子密码学的下一步，帮助商业企业、公共部门组织和关键国家基础设施提供商的系统和风险所有者思考如何为向后量子密码学的迁移做好最佳准备。在2020年的白皮书《为量子安全密码学做准备》中，阐述了量子计算机对当前密码学构成的威胁，以及美国国家标准与技术研究所（NIST）和欧洲电信标准研究所（ETSI）等组织为应对这一威胁所做的工作。量子计算机利用量子力学的特性，以与今天的数字“经典”计算机根本不同的方式进行计算。从理论上讲，它们能够执行某些经典计算机不可行的计算。尽管量子计算技术不断进步，但今天的量子计算机仍然受到限制，并且在每次操作中都会出现相对较高的错误率。在未来，错误率有可能降低，这样就可以存在一台大型通用量子计算机。然而，由于必须首先克服许多工程和物理挑战，因此无法预测何时会发生这种情况。如果这样的计算机在未来存在，那么目前使用的大多数传统公钥密码（PKC）算法都很容易受到它的攻击。能够运行这些攻击的量子计算机被称为密码相关量子计算机（CRQC）。这些传统的PKC算法包括：·基于整数分解的算法，如RSA；·基于离散对数问题的算法，如有限域Diffie-Hellman、ECDH、DSA、ECDSA、EdDSA。这些算法主要用于密钥建立（用于商定用于安全通信的共享密码密钥）和数字签名（用于支持网络上的身份和信任证明）。对于密钥建立和加密，攻击者现在收集和存储数据，并在未来某个时候对其进行解密，这是有风险的。考虑到几十年来存储大量旧数据的成本，这种攻击只可能对非常高价值的信息有价值。这意味着，对于需要为非常高价值的数据提供长期密码保护的组织来说，未来CRQC的可能性现在是一个相关的威胁。数字签名面临的威胁是，拥有CRQC的对手可能会伪造签名以冒充合法私钥所有者，或篡改其真实性受数字签名保护的信息。在CRQC存在之前，应考虑这种攻击，特别是在为具有长操作寿命的高价值信任锚部署密钥时。与PKC相比，对称密码学的安全性不受量子计算机的显著影响，并且可以继续使用具有至少128位密钥的现有对称算法（如AES）。SHA-256等散列函数的安全性也没有受到显著影响，安全散列函数也可以继续使用。NCSC的建议仍然是，针对量子计算机对传统PKC的威胁，最好的缓解措施是后量子密码学（PQC），也称为量子安全密码学或量子抵抗密码学。PQC算法将取代目前用于密钥建立和数字签名的易受攻击的PKC算法。PQC算法的安全性是基于数学问题的，这些问题被认为是经典计算机和量子计算机都难以解决的。这些算法不一定是协议或系统中当前PKC算法的替代品，因此系统所有者应该开始计划迁移到PQC。