深度好文：向后量子密碼學遷移，我們應該怎么做？

在這篇博文中，我們探討PQC遷移過程中面臨的一些挑戰(zhàn)，研究應對這些挑戰(zhàn)的策略。

已公布的PQC標準及其最近發(fā)布的草案讓我們距離廣泛部署PQC更近一步。PQC遷移過程將是迄今為止公鑰密碼學領域的一次重大變革，影響數(shù)十億設備和全球數(shù)字安全基礎設施。

向PQC遷移：充滿挑戰(zhàn)的道路

傳統(tǒng)的非對稱密碼學基于RSA或ECC方案，是現(xiàn)代數(shù)字基礎設施的重要支撐。向PQC遷移將面臨許多挑戰(zhàn)。

首先，需要考慮計劃和部署。這不僅包括密鑰、密文和簽名的大小，還包括內(nèi)存和效率的影響。其次，許多公鑰基礎設施需要升級。特別是，美國國家標準與技術研究院正在標準化的一些方案在功能上與基于RSA和ECC的方案不同，這意味著廣泛使用的協(xié)議需要做出相應的調(diào)整。第三，要根據(jù)每個具體用例的風險分析來確定遷移的時機。例如，影響力更大的基礎設施比為智能家居設計的物聯(lián)網(wǎng)設備更易成為惡意實體的攻擊目標。前者應該盡早制定遷移計劃，而后者可能根本不需要遷移。

除了遷移外，還要注意的是，正在標準化的PQC算法相比傳統(tǒng)的算法還不夠成熟，尤其是在物理安全方面。對于嵌入式設備，特別是部署在敵對環(huán)境中的設備，抵御物理攻擊者也面臨一系列挑戰(zhàn)。例如，我們討論了加固大多數(shù)PQC密鑰封裝機制 (KEM) 的困難，以及一些針對特定用例的非常規(guī)方法來防止攻擊。顯然，無論PQC部署在何處，依賴PQC的機制或協(xié)議的安全性都是至關重要的：我們需要創(chuàng)建一個既能保持傳統(tǒng)密碼學提供的當前安全性，又能增強對量子攻擊者防御的系統(tǒng)。

混合PQC機制：一種規(guī)避風險的解決方案

要實現(xiàn)傳統(tǒng)密碼學保護和后量子密碼學保護的雙重目標，可以使用混合PQC，將傳統(tǒng)的非對稱密碼學方案和后量子密碼學方案結(jié)合起來。德國BSI和法國ANSSI等多個國家機構都推薦使用混合方法。

在混合系統(tǒng)中，信息安全依賴于兩種或多種密碼學方案：僅僅破解其中一種方案并不能完全攻破系統(tǒng)。一般來說，與單獨使用PQC相比，同時使用傳統(tǒng)算法和PQC所帶來的通信或存儲開銷很小，因此這種規(guī)避風險的做法代價相對較低。對于數(shù)字簽名，部署可以非常簡單，只需包含一個傳統(tǒng)簽名 (ECDSA或RSA) 和一個PQC簽名(ML-DSA、SLH-DSA、LMS或XMSS)，同時進行驗證，且必須同時通過驗證。對于密鑰協(xié)商 (key establishment)，情況就比較復雜，因為要將一個KEM (如ML-KEM) 與ECDH (E) 結(jié)合起來需要考慮一些細節(jié)。另外，TLS握手的推薦方法與IKEv2的方法也有所不同。

混合機制的各種標準和指南還在制定，它們將有助于實現(xiàn)互操作性。例如，在密鑰交換階段，標準和指南確保通信雙方以正確的順序和格式將輸入送入密鑰派生函數(shù)，從而得到相同的會話密鑰，并可靠地進行后續(xù)安全通信。這些標準和指南也將幫助產(chǎn)品和系統(tǒng)避免使用較弱的機制。

密碼學敏捷性：一個遠大的目標

為了減輕未來潛在必要更新的影響 (無論是為了適應未來的PQC標準，還是為了及時應對密碼分析的新進展)，都可以通過提高密碼學的敏捷性來實現(xiàn)。密碼學敏捷性可以定義為一個系統(tǒng)在遇到新的安全或法規(guī)要求時能夠輕松進行調(diào)整的能力。它不僅包括從一種算法遷移到另一種算法，還包括采用其他方法，例如在實現(xiàn)或安全參數(shù)方面具有一般靈活性。

對于資源受限的嵌入式設備，實現(xiàn)任何形式的密碼學敏捷性都需要付出很高代價。通過風險分析，評估收益成本比，以及評估基礎設施是否能夠適應替代的模式，是非常重要的。例如，一種保守的方法是從基于PKI的密鑰協(xié)商退回到預共享的對稱密鑰，這些密鑰可以用來安全地更換密碼系統(tǒng)，即使用于常規(guī)更新的基于PKI的密鑰協(xié)商被攻破了。

然而，對于許多用例來說，這并不可行，無論是因為增加了密鑰存儲的需求和攻擊面，還是因為難以預測未來哪些設備可能會進行配對。遺憾的是，提高敏捷性有可能帶來額外的復雜性和漏洞。必須確保對系統(tǒng)的任何修改或調(diào)整只能由經(jīng)過認證的來源發(fā)起，并且不能影響安全性。

在前量子世界，恩智浦利用其在Edgelock安全區(qū)域和Edgelock安全芯片中的信任根等來實現(xiàn)這一點。

這些問題以及其他問題都是PQC風險評估的重要內(nèi)容。對于那些在近期將使用 (混合) PQC的設備，有必要評估它們過渡到新算法并支持新算法的能力，以便盡可能縮短全系統(tǒng)遷移所需的時間。

為了確保順利遷移，還需要在應用研究、工程和標準化方面付出巨大努力。毫無疑問，我們迫切需要制定、評估和標準化遷移方案和策略，確保安全性和互操作性。目前，密碼資產(chǎn)的提供者應該意識到需要建立全面的密碼庫，以便能夠迅速推出敏捷的解決方案。這種新的混合方式 (PQC的未來) 凸顯了密碼學敏捷性的重要性和相關性，是未來多年預測和應對密碼威脅的使能因素。

本文作者

● Melissa Azouaoui是恩智浦半導體公司CTO機構的密碼與安全能力中心(CCC&S)的資深譯碼員。她于2021年獲得比利時魯汶天主教大學(UCLouvain in Belgium)博士學位，在恩智浦德國公司工作，專注于對稱密碼學和非對稱密碼學的旁路攻擊防護及評估。Melissa是后量子密碼學團隊的成員，在恩智浦的工作包括旁路攻擊和故障注入攻擊及防護，特別關注基于晶格和基于哈希的密碼學。

● Joppe W. Bos是恩智浦半導體公司技術總監(jiān)兼CTO機構的密碼與安全能力中心(CCC&S)的譯碼員。他常駐比利時，是后量子密碼學團隊的技術負責人，擁有20多項專利，發(fā)表過50篇學術論文。他是IACR Cryptoology ePrint Archive的聯(lián)合編輯。

● Christine Cloostermans是恩智浦半導體公司CTO機構的密碼與安全能力中心 (CCC&S) 的資深譯碼員。她在圖埃因霍溫大學 (TU Eindhoven) 獲得了基于晶格的密碼學相關的博士學位。Christine參與發(fā)布過10多篇科學文章，并發(fā)表過多場后量子密碼學領域的公開演講。除了PQC，她還積極參與多項標準化工作，包括工業(yè)領域的IEC62443、移動駕駛執(zhí)照的ISO18013以及連接標準聯(lián)盟的訪問控制工作組。

● Gareth T. Davies是恩智浦半導體公司CTO機構的密碼與安全能力中心(CCC&S)的資深譯碼員。他是后量子密碼學團隊成員，從事包括協(xié)議分析、認證方案和標準化等多個主題的研究工作。

● Sarah Esmann是NFC和物聯(lián)網(wǎng)安全領域資深產(chǎn)品經(jīng)理兼產(chǎn)品管理主管，恩智浦安全連接邊緣業(yè)務部。Sarah與后量子密碼學團隊保持緊密的商業(yè)合作關系，參與了多個項目的推進。