NIST 发布后量子密码学第一份标准草案

 

NIST 于 8 月 24 日发布了 标准机构 去年选择的四种算法中的三种：Crystals-Kyber、Crystals-Dilithium 和 Sphynx+。NIST 透露，标准草案的正式名称将分别为 ML-KEM、ML-DSA 和 SLH-DSA。由于第四种算法 Falcon 需要更加复杂的计算，NIST 计划于明年初发布该标准草案，并将其命名为 NL-DSA。

NIST 第一个后量子密码 (PQC) 草案标准的发布标志着 NIST 于 2016 年启动的努力的一个重要里程碑，该努力旨在解决量子计算机破解现有 RSA 加密和椭圆曲线密码 (ECC) 的潜力。

NIST 数学家、负责 PQC 标准化项目的达斯汀·穆迪 (Dustin Moody) 表示，该标准草案的发布将在 90 天后征求公众意见。“希望在那之后的几个月内，我们能够做出任何更改并发布标准的最终版本，”穆迪说。

DigiCert 的行业和技术标准策略师 Tim Hollebeek 补充道，草案的发布为互联网工程任务组 (IETF) 专注于互操作性奠定了基础。IETF 联合主席 Hollebeek 表示：“人们现在可以看到我们想要用于密钥交换和密钥封装的内容，即 Kyber，而且我们现在知道 Dilithium 将成为我们将使用的主要签名算法。” PKIX 和 SMIME (LAMPS) 工作组的有限附加机制。

PQC 实施测试开始

Hollebeek 强调，随着标准草案的发布，工程师现在可以开始研究各种功能的原型，例如安全电子邮件和 TLS 的实施在未来如何发挥作用。“非对称加密技术的重要一点是整个用例都是围绕两个人试图安全地相互通信，”他说。

NIST 的国家网络安全卓越中心 (NCCoE) 上周在马里兰州罗克维尔举行了现场研讨会，这是自疫情大流行以来的首次现场聚会。Hollebeek 参加了有关互操作性的小组讨论，他强调说：“我们需要知道每个人对协议的实现都能与其他人对协议的实现正确地协同工作。”

各利益相关者将于 11 月在布拉格举行下一次 IETF 会议之前聚集在一起参加黑客马拉松 ，他们将在会上测试彼此对 PQC 草案标准的实施情况。

“我们正在与一些竞争对手和一些朋友合作，确保我们对标准的解读与他们对标准的解读一致，”霍勒贝克说。“很多时候，当人们发现这些实现不能相互操作时，它所做的就是指出标准中的含糊之处——人们没有正确指定的东西。”

PKI 提供商 Keyfactor 是与 DigiCert 和 Entrust 等供应商合作的公司之一，其联合创始人兼首席技术官 Ted Shorter 表示，确保互操作性非常复杂。“所有这些算法都有不同的参数、密钥长度和指数大小，以及所有这些不同的东西，你可以将其用作加密算法的一部分，”肖特说。“并且必须考虑不同的参数集。”

Shorter 表示，NIST 选择的四种算法现在在其赞助的开源项目 Bouncy Castle中得到支持，该项目包括一组用于 Java 和 C# 的轻量级加密 API，以及 Java 加密扩展 (JCE)、Java 加密的提供程序体系结构 (JCA) 和 Java 安全套接字扩展 (JSSE)。

呼吁更多签名算法

基于将成为第一个 PQC 标准的四种算法，NIST 于 2022 年 9 月呼吁 提供更多数字签名提案，特别是那些不基于结构点阵的提案。具体来说，NIST 要求具有短签名的算法，以便能够快速验证证书透明度等应用程序。

NIST 强调，任何基于结构化格子的签名提案都必须大幅优于 Dilithium 和 Falcon。穆迪表示，NIST 收到了 50 份意见书，其中 40 份符合考虑标准。

1994 年，当麻省理工学院教授 Peter Shor 描述了量子计算机如何轻松破解加密时，人们开始担心量子计算机可能会破解当前的加密。与处理 1 和 0 来执行计算的传统计算机不同，量子计算机使用量子位，被描述为亚原子粒子，如电子或光子。

只有少数公司声称拥有开发量子计算机的资源；近年来，一些研究取得了进展。已经展示量子计算能力的公司包括 IBM、谷歌、微软和霍尼韦尔旗下的 Quantinuum 公司。

一段时间以来，计算、网络安全和物理学领域的专家一直在争论能够运行所谓的肖尔算法的量子计算机是否可以破解当前的加密。没有人知道商业上可行的量子计算机何时会出现，因为它需要尚未实现的物理学突破。

尽管如此，许多专家预测量子计算能力可能会在未来十年内浮出水面。有人说这可能会更快发生，而另一些人则认为没有时间表。也许最著名的怀疑论者是著名的密码学家阿迪·沙米尔。

在  今年 RSA 大会的密码学家小组会议上，Shamir 发表了他承认的严厉观点。他说：“我必须说，已经交付的主要内容是更多的承诺，到目前为止，没有任何一个实际问题可以被证明可以通过可用的量子计算机比经典计算机更快地解决。”

尽管 Shamir 并未暗示量子计算机永远不会对密码学构成威胁，但他表示可用的系统可能需要 30 年或更长时间才能实现。尽管如此，Shamir 也承认，“使用 RSA 或椭圆曲线等旧算法将来可能会变得可解密。”

然而，许多人认为，可以破解现有加密的量子系统可能会在未来十年内出现。国家安全局 (NSA) 也有同样的担忧。2022 年 9 月，NSA 宣布了  当前商业国家安全算法 (CNSA) Suite 1.0 的迁移路径，其中包括 256 位高级加密标准 (AES)、椭圆曲线 Diffie-Hellman 和椭圆曲线数字签名算法。

美国总统乔·拜登将《量子计算网络安全准备法案》签署 为法律，指示管理和预算办公室 (OMB) 实施 NIST 批准的加密算法，这让这场辩论变得更加紧迫 。

2022 年 9 月，美国国家安全局 (NSA) 发布命令，要求政府机构确保其所有系统在 2035 年之前迁移到 NIST 选择的抗量子算法。

虽然这可能是一个雄心勃勃的目标，但 NIST 的穆迪认为这是一条合理的道路。“我们正在努力帮助尽快实现这种过渡迁移，”穆迪说。“加密货币的过渡总是比我们预期或希望的时间要长得多。我们很高兴他们正在努力确保各机构尽可能快地进行。”