ACM的通讯

安全

前方的长路转换到后量子密码学

由Brian Lamacchia
ACM的通讯，1月2022，Vol。65号，第28-30页
10.1145 / 3498706
评论

当我们通过公共通信通道发送加密信息时，我们的安全模型必须承担对手正在录制该信息，希望能够最终打破加密并利用底层明文。由于数量理论，新的加密协议技术，甚至新的计算方法，因此，据信安全的加密算法可能不再是未来的未来。这是最后一个风险，特别是潜在未来的大规模发展的风险，目前是国际加密研究社区的大部分焦点，由全球开放竞争选择和标准化新的Quantum（A.K.A.量子抗议）公钥加密算法。当我们接近该竞争中的第一个输出里程碑时，我们行业中的每个人都会意识到即将到来的算法转型至关重要，它对现有和未来系统的影响以及研究和工程工作仍然需要制造转换到后量子密码（PQC）可能。

从移动通信到网上银行到个人数据隐私，从字面上依赖密码学时每天依赖密码，以确保私人通信和数据保持私密。实际上，公开互联网和电子商务的出现和增长是通过公开密码密码学的发明实现的。公钥加密提供的关键优势是它允许以前从未通过非专用网络（即互联网）建立安全，私密，通信渠道的两方。公钥加密也是为实现数字签名的技术，这些技术被广泛用于保护软件和应用程序更新，在线合同和电子身份凭据。

自1994年以来，当AT＆T Bell Labories的Peter Shor开发了现在承担他姓名的多项式量子分解算法，我们已知我们的所有广泛部署的公钥加密算法可以借助加密相关的借助有效地攻击（这是，“足够大”）量子电脑。是否甚至可以建造这样的量子计算机，仍然是纯粹的理论问题。然而，虽然今天的量子计算机不够大或足够稳定以威胁我们的当前算法，但它们指出了可以的未来设备。此外，虽然多年或更长时间可能无法实现加密相关的量子计算机，但由于能够在现在录制内容的能力以供稍后剥削，它的未来存在是对我们发送和接收的信息的安全性的威胁。威胁现在纪录，稍后剥削意味着我们需要在加密相关量子计算机的可用性之前良好地过渡到使用量子抗性的公钥算法。

美国国家安全局（NSA）首次向公众向公众向公众向公众转向2015年8月，2017年，2017年8月，美国国家标准与技术研究所（NIST）（NIST）推出了其PQC标准化活动，以选择新的耐量公钥算法。与其先前的算法竞争导致AES阻止密码和SHA-3哈希函数标准，NIST征求PQC算法的提案和来自世界各地的密码分析。所选算法赢得了标准化的“奖品”，以标准化为美国。联邦信息处理标准（FIPS），然后用作替换算法，以便在任何地方使用公共密钥加密。

回到顶部

波浪，瀑布和长尾

当您在1月2022年1月期间阅读本专栏时通讯，NIST可能已宣布其第一个用于标准化的PQC算法选择。^一种这些将是通过开放，竞争的过程标准化的第一个量子抗性公钥算法，但他们将只是NIST宣布的至少三波的“获奖者”中的第一个。当NIST于2017年11月开始PQC选择过程时，它收到了世界各地的行业和学术研究人员的70次提交，现在已经过了七名决赛者和八个替代品。^B.现在的选择来自决赛选手类别;我们预计将根据2023年中期的交替的替代人第二波获奖者。此外，明年NIST将重新打开竞争的数字签名部分以新的提案;来自这个的赢家“2ⁿ提出提案“可能不会宣布，直到2026年。

---

即使我们等待更新的算法和协议标准，也可以从现在需要完成的大量后续转换工作。

---

选择描述其操作和安全参数的标准文档的算法和发布是迁移到它的第一步。在Microsoft的24 + -Year职业生涯中，我已经在四个主要加密算法转换期间：MD5到SHA-1和SHA-1到SHA-2哈希函数迁移，从1024位RSA移动到2048位RSA以及从RSA到椭圆曲线密码（ECC）的迁移。这些过渡中的所有四个过渡都是更简单的，通过比较从RSA或ECC转移到PQC方案，我们过去迁移的经验是为一个行业聚集在一起，更新具有新算法的标准需要相当大的时间和精力然后部署它们。甚至显然简单的替代方案都需要很大的时间;从SHA-1哈希函数（2011年推翻）迁移到其替换SHA-2仍然正在进行，我们向ECC公共密钥加密的过渡（我们最接近的模型，我们为PQC的复杂性），是仍在努力在某些地区获得牵引力。转换到新算法需要更多时间，更复杂，并且影响比预期更多的功能和特征。每个协议迁移都有自己的标准化社区和更新是定制的过程。现有系统的长期支持要求也会减缓退役旧算法的过程。

NIST宣布第一组PQC获奖者将成为更新使用公钥加密的安全协议的起始枪，并且由于我们的许多协议取决于其他标准和协议，更新单个协议可能需要更新到多个标准。鉴于通过相关过程更新任何标准所需的时间，即使我们最常用的安全协议也将扩展过渡时间。此外，具有小型实施者社区的安全协议很长的尾部;这些协议不会像PQC迁移到PQC一样快，如常用的协议，如TLS，SSH等，并且它们也可能更难以更新。将所有这些时间表和依赖关系在一起，它可能在2030年之前，在更新标准到PQC时，我们仍将处于“PQ-Messy”状态。

回到顶部

前方的路

即使我们等待更新的算法和协议标准，也可以开始必须完成的大量后续转换工作。组织的一个有用的起点是NIST管理的国家网络安全卓越中心迁移到昆腾密码术项目，^C哪个正在开发迁移账簿，推荐的实践和概念验证工具。组织还应注意与其活动有关的标准的生命周期以及这些标准群体已经做的工作​​，以准备PQC迁移。意识是关键 - 只是知道提出问题，“这个系统旨在适应PQC的过渡吗？”至关重要。

为PQC迁移制定系统所需的工程工作也可以开始，例如通过与候选PQC算法的实现或PQC启动协议的实现集成和测试。^D.确保新的或升级系统中的关键功能是加密敏捷，具有与不同加密算法重新配置系统，应用程序或协议的能力，包括在最初构建时尚未定义的算法。加密敏捷性不是一个新的安全设计原则，但它通常被完全忽略在加密 - 使用系统或故意推迟，因为它被视为没有立即收益的安全税。现在采取台面以确保开发的系统有足够的加密敏捷，将避免未来的痛苦。

这也是激励新研究的时间，以帮助利用与加密算法迁移和加密敏捷系统的建设相关的许多挑战。新工具和框架的研究是为了确保可以通过策略配置和控制的加密敏捷性的框架。对于大型基础架构（例如，私有数据中心和公共云）和分布式应用体系结构（例如，Web服务，分布式容器方案），间隙尤其显着。敏捷框架不仅必须启用策略驱动的配置，而且还必须免受对抗篡改和攻击的影响。敏捷性如何创建新的攻击表面以及如何保护这些攻击表面是另一个关键的研究领域。此外，需要研究过渡工具，人类因素和组织因素在安全编码中的可用性，以支持在此转型期间的安全劳动力。

NIST考虑的新算法将具有显着不同的参数（关键大小，密文大小，签名大小）和计算要求（内存，处理周期，网络延迟）以及一些新要求（例如，熵，故障处理）。因此，还需要研究来检查这些差异对各种加密使用域的影响，并理解性能挑战。一个特定的关注领域是新的PQC算法是否将足够的性能和节能地对具有有限计算资源和电池电量的受限IOT设备。

回到顶部

结论

Quantum Computers即将到来，即使我们今天不知道它们会达到缩放或变得普通，也是可访问的。虽然他们承诺启用与经典计算不可行的新计算工作负载，但它们也代表了我们广泛部署的加密算法和标准的存在威胁。由于我们加密和传输与今天的公钥加密的信息可以通过对手并存储潜在的剥削来记录，因此我们迫切需要努力对当今加密的未来量子计算的影响。我们越早使我们的系统加密敏捷并将其迁移到后量子加密算法，我们越快，我们可以搬到抵消这一未来的威胁。该算法迁移将更多地涉及并复杂于过去，因此提前了解，教育和规划是关键。我们今天可以做的越多，为这种中断做好准备，我们整体迁徙旅程更容易作为一个行业。

回到顶部

回到顶部

数字图书馆由Computing Machinery协会发布。版权所有©2022 ACM，Inc。

---

没有发现任何条目