上周,我们想知道早期报告是否表明NIST将宣布其后量子密码学竞赛的获胜者将很快取得成果。令人高兴的是,他们做到了。在2016年开始的提名评估过程中,NIST从数十个潜在的后量子(PQ)加密算法中筛选出7个决赛选手和8个候补选手,最终宣布哪些算法将推进标准化。请击鼓……

赢家是……

NIST的选择一种算法用于标准化加密/密钥建立,三种算法用于数字签名。这种加密算法被称为CRYSTALS-Kyber;三种数字签名算法分别是CRYSTALS-Dilithium、FALCON和SPHINCS+。CRYSTALS-Kyber、CRYSTALS-Dilithium和FALCON都是基于晶格的密码系统,这是一种基于在大量向量(称为晶格)中找到特定向量(通常是最小的)的难度的密码系统。基于晶格的密码系统自20世纪90年代末就已经出现了,尽管早期版本必须进行调整以跟上密码分析的步伐。

NIST指出,他们选择CRYSTALS-Kyber和CRYSTALS-Dilithium是出于安全和性能考虑,但FALCON较小的签名尺寸是一个好处——较小的签名对于轻量级和低功耗设备很有用。SPHINCS+是唯一选择的非晶格密码系统;NIST指出,他们选择SPHINCS+是为了“避免依赖于格子签名的安全性”。

但我们还没有完成

在他们的声明中,NIST还为a选择了四种算法第四回合:BIKE, Classic McEliece, HQC和SIKE。这四种算法都是类似CRYSTALS-Kyber的加密/密钥建立算法。在第四轮比赛中,参赛团队可以提交这些算法的更新规范,NIST将对其进行评估。NIST表示,它计划在第四轮结束时,将至少一种额外的加密/密钥建立算法标准化。这四种算法都与CRYSTALS-Kyber不同——它们都不依赖于基于晶格的密码学——但都有优缺点。有些算法性能很高,但数学家需要更多时间来评估安全性声明。其他被认为是高度安全的,但可能不够小或性能不足以解决核心用例。

此外,NIST还开始征集PQ数字签名算法的提案,特别是那些具有短签名和快速验证的算法。在声明中,NIST指出,“NIST主要是寻求其签名组合的多样化,因此不基于结构化格的签名方案是最大的兴趣。”

既然NIST已经标准化了三个数字签名方案,为什么还要要求更多的数字签名方案?速度和大小是问题,NIST可能正在积极寻找在内存、处理或功率有限的情况下性能更好的替代方案。还有晶格依赖性。到目前为止,基于晶格的方案在评估中被认为是最安全和性能最好的,但我们在Forrester推测,NIST可能正在对冲他们的赌注,并寻找替代方案,以防密码分析的进步威胁到晶格密码的可行性——要么通过标准密码分析,要么通过找到一个肖's-algorithm-like量子计算机可以执行的方法。

所有这些都证明了RSA公钥/私钥算法是多么令人印象深刻,并将继续如此:它适用于加密和签名,历经几十年的审查,,直到量子计算,可以通过增加响应更快的计算关键尺寸(即使量子计算机开始方法所需的力量打破RSA,不要惊讶,如果一些PQ落后者选择加倍RSA密钥大小买几年后当他们迁移到一个新的PQ算法——这不是理想的方法,因为它增加了另一个步骤最终迁移,但它是一个权宜之计)。

对保护资料的影响

组织需要为后量子时代做好准备并做出改变。一旦量子计算具有足够的处理能力来破解当前的加密算法,如果企业现在不开始为这种未来状态做计划,那么一些常见的做法和购买决策将会让他们面临未来的痛苦。考虑到:

  • 算法迁移将花费数年甚至数十年的时间。回到2020年,我们注意到“NIST在2011年弃用了SHA-1哈希算法,安全研究人员在2017年演示了针对SHA-1的攻击——但在2017年,21%的网站仍然使用SHA-1证书,直到2019年,微软才停止使用SHA-1为Windows更新签名。”与替换整个公钥密码系统相比,升级哈希算法是小菜一碟。密码学通常嵌入在代码和基础设施的内部,功能、性能和存储需求的差异使得这些交换特别具有挑战性。预计这需要一段时间,并记住您的公司所依赖的软件的上游效果。
  • 现在存储,以后解密的攻击意味着今天的互联网流量不是秘密的长期。目前还不存在足够强大的量子计算机,但精明的攻击者正在通过收集受公钥加密保护的加密数据(传输中或静止中)来为这一天的到来做准备。这些数据元素目前仍然保密,但攻击者押注于一旦量子计算取得足够的进展,就能够解密这些流量和数据。一旦发生这种情况,他们将获得个人电子邮件、法律或公司谈判细节以及银行账户号码等信息,他们可以利用这些信息进行金融欺诈、企图敲诈或使政府和公司难堪。那些认为他们的加密数据是安全的公司将有新的担忧的理由。
  • 数据安全实践需要重新审视。数据保留、迁移和存储实践的风险与收益计算,以及数据管理、企业协作和安全通信等技术的购买决策,现在必须考虑加密敏捷性和量子就绪性。依赖于撤销加密密钥的普通数据删除操作将不再足够,企业将需要审查数据安全计划。请注意,在后量子世界中,像AES这样的对称加密算法仍然是安全的,但是使用公钥加密保护的对称加密密钥有被暴露的风险,这反过来又会暴露加密的数据。

对于许多人来说,拥有多个标准化PQ算法听起来令人生畏。我们怎么选对呢?如果密码分析发现了一个漏洞怎么办?考虑到从RSA迁移的时间表和我们列举的数据保护问题,NIST现在需要推荐一些东西——不推荐任何东西比推荐可能被规避的东西更有问题。Cryptoagility和整个行业在PQ迁移方面的合作将提升多个行业,并有助于长期保护我们的数据。根据您的用例和性能需求试验各种标准化PQ算法,并为任何潜在的迁移问题确定和开发一个计划。