在之前的博文中，我們介紹了由美國國家標(biāo)準(zhǔn)與技術(shù)研究院 (NIST) 主導(dǎo)的后量子密碼學(xué) (PQC) 標(biāo)準(zhǔn)化進(jìn)程，以及未來可能采用的部分PQC標(biāo)準(zhǔn)。在這篇博文中，我們探討PQC遷移過程中面臨的一些挑戰(zhàn)，研究應(yīng)對這些挑戰(zhàn)的策略。

已公布的PQC標(biāo)準(zhǔn)及其最近發(fā)布的草案讓我們距離廣泛部署PQC更近一步。PQC遷移過程將是迄今為止公鑰密碼學(xué)領(lǐng)域的一次重大變革，影響數(shù)十億設(shè)備和全球數(shù)字安全基礎(chǔ)設(shè)施。

向PQC遷移：充滿挑戰(zhàn)的道路

傳統(tǒng)的非對稱密碼學(xué)基于RSA或ECC方案，是現(xiàn)代數(shù)字基礎(chǔ)設(shè)施的重要支撐。向PQC遷移將面臨許多挑戰(zhàn)。

首先，需要考慮計劃和部署。這不僅包括密鑰、密文和簽名的大小，還包括內(nèi)存和效率的影響。其次，許多公鑰基礎(chǔ)設(shè)施需要升級。特別是，美國國家標(biāo)準(zhǔn)與技術(shù)研究院正在標(biāo)準(zhǔn)化的一些方案在功能上與基于RSA和ECC的方案不同，這意味著廣泛使用的協(xié)議需要做出相應(yīng)的調(diào)整。第三，要根據(jù)每個具體用例的風(fēng)險分析來確定遷移的時機。例如，影響力更大的基礎(chǔ)設(shè)施比為智能家居設(shè)計的物聯(lián)網(wǎng)設(shè)備更易成為惡意實體的攻擊目標(biāo)。前者應(yīng)該盡早制定遷移計劃，而后者可能根本不需要遷移。

除了遷移外，還要注意的是，正在標(biāo)準(zhǔn)化的PQC算法相比傳統(tǒng)的算法還不夠成熟，尤其是在物理安全方面。對于嵌入式設(shè)備，特別是部署在敵對環(huán)境中的設(shè)備，抵御物理攻擊者也面臨一系列挑戰(zhàn)。例如，我們討論了加固大多數(shù)PQC密鑰封裝機制 (KEM) 的困難，以及一些針對特定用例的非常規(guī)方法來防止攻擊。顯然，無論PQC部署在何處，依賴PQC的機制或協(xié)議的安全性都是至關(guān)重要的：我們需要創(chuàng)建一個既能保持傳統(tǒng)密碼學(xué)提供的當(dāng)前安全性，又能增強對量子攻擊者防御的系統(tǒng)。

恩智浦致力于與客戶共同應(yīng)對量子計算機帶來的挑戰(zhàn)。

混合PQC機制：一種規(guī)避風(fēng)險的解決方案

要實現(xiàn)傳統(tǒng)密碼學(xué)保護(hù)和后量子密碼學(xué)保護(hù)的雙重目標(biāo)，可以使用混合PQC，將傳統(tǒng)的非對稱密碼學(xué)方案和后量子密碼學(xué)方案結(jié)合起來。德國BSI和法國ANSSI等多個國家機構(gòu)都推薦使用混合方法。

在混合系統(tǒng)中，信息安全依賴于兩種或多種密碼學(xué)方案：僅僅破解其中一種方案并不能完全攻破系統(tǒng)。一般來說，與單獨使用PQC相比，同時使用傳統(tǒng)算法和PQC所帶來的通信或存儲開銷很小，因此這種規(guī)避風(fēng)險的做法代價相對較低。對于數(shù)字簽名，部署可以非常簡單，只需包含一個傳統(tǒng)簽名 (ECDSA或RSA) 和一個PQC簽名(ML-DSA、SLH-DSA、LMS或XMSS)，同時進(jìn)行驗證，且必須同時通過驗證。對于密鑰協(xié)商 (key establishment)，情況就比較復(fù)雜，因為要將一個KEM (如ML-KEM) 與ECDH (E) 結(jié)合起來需要考慮一些細(xì)節(jié)。另外，TLS握手的推薦方法與IKEv2的方法也有所不同。

混合機制的各種標(biāo)準(zhǔn)和指南還在制定，它們將有助于實現(xiàn)互操作性。例如，在密鑰交換階段，標(biāo)準(zhǔn)和指南確保通信雙方以正確的順序和格式將輸入送入密鑰派生函數(shù)，從而得到相同的會話密鑰，并可靠地進(jìn)行后續(xù)安全通信。這些標(biāo)準(zhǔn)和指南也將幫助產(chǎn)品和系統(tǒng)避免使用較弱的機制。

密碼學(xué)敏捷性：一個遠(yuǎn)大的目標(biāo)

為了減輕未來潛在必要更新的影響 (無論是為了適應(yīng)未來的PQC標(biāo)準(zhǔn)，還是為了及時應(yīng)對密碼分析的新進(jìn)展)，都可以通過提高密碼學(xué)的敏捷性來實現(xiàn)。密碼學(xué)敏捷性可以定義為一個系統(tǒng)在遇到新的安全或法規(guī)要求時能夠輕松進(jìn)行調(diào)整的能力。它不僅包括從一種算法遷移到另一種算法，還包括采用其他方法，例如在實現(xiàn)或安全參數(shù)方面具有一般靈活性。

對于資源受限的嵌入式設(shè)備，實現(xiàn)任何形式的密碼學(xué)敏捷性都需要付出很高代價。通過風(fēng)險分析，評估收益成本比，以及評估基礎(chǔ)設(shè)施是否能夠適應(yīng)替代的模式，是非常重要的。例如，一種保守的方法是從基于PKI的密鑰協(xié)商退回到預(yù)共享的對稱密鑰，這些密鑰可以用來安全地更換密碼系統(tǒng)，即使用于常規(guī)更新的基于PKI的密鑰協(xié)商被攻破了。

然而，對于許多用例來說，這并不可行，無論是因為增加了密鑰存儲的需求和攻擊面，還是因為難以預(yù)測未來哪些設(shè)備可能會進(jìn)行配對。遺憾的是，提高敏捷性有可能帶來額外的復(fù)雜性和漏洞。必須確保對系統(tǒng)的任何修改或調(diào)整只能由經(jīng)過認(rèn)證的來源發(fā)起，并且不能影響安全性。

在前量子世界，恩智浦利用其在Edgelock安全區(qū)域和Edgelock安全芯片中的信任根等來實現(xiàn)這一點。

這些問題以及其他問題都是PQC風(fēng)險評估的重要內(nèi)容。對于那些在近期將使用 (混合) PQC的設(shè)備，有必要評估它們過渡到新算法并支持新算法的能力，以便盡可能縮短全系統(tǒng)遷移所需的時間。

為了確保順利遷移，還需要在應(yīng)用研究、工程和標(biāo)準(zhǔn)化方面付出巨大努力。毫無疑問，我們迫切需要制定、評估和標(biāo)準(zhǔn)化遷移方案和策略，確保安全性和互操作性。目前，密碼資產(chǎn)的提供者應(yīng)該意識到需要建立全面的密碼庫，以便能夠迅速推出敏捷的解決方案。這種新的混合方式 (PQC的未來) 凸顯了密碼學(xué)敏捷性的重要性和相關(guān)性，是未來多年預(yù)測和應(yīng)對密碼威脅的使能因素。

本文作者

Melissa Azouaoui是恩智浦半導(dǎo)體公司CTO機構(gòu)的密碼與安全能力中心(CCC&S)的資深譯碼員。她于2021年獲得比利時魯汶天主教大學(xué)(UCLouvain in Belgium)博士學(xué)位，在恩智浦德國公司工作，專注于對稱密碼學(xué)和非對稱密碼學(xué)的旁路攻擊防護(hù)及評估。Melissa是后量子密碼學(xué)團隊的成員，在恩智浦的工作包括旁路攻擊和故障注入攻擊及防護(hù)，特別關(guān)注基于晶格和基于哈希的密碼學(xué)。

本文作者

Joppe W. Bos是恩智浦半導(dǎo)體公司技術(shù)總監(jiān)兼CTO機構(gòu)的密碼與安全能力中心(CCC&S)的譯碼員。他常駐比利時，是后量子密碼學(xué)團隊的技術(shù)負(fù)責(zé)人，擁有20多項專利，發(fā)表過50篇學(xué)術(shù)論文。他是IACR Cryptoology ePrint Archive的聯(lián)合編輯。

本文作者

Christine Cloostermans是恩智浦半導(dǎo)體公司CTO機構(gòu)的密碼與安全能力中心 (CCC&S) 的資深譯碼員。她在圖埃因霍溫大學(xué) (TU Eindhoven) 獲得了基于晶格的密碼學(xué)相關(guān)的博士學(xué)位。Christine參與發(fā)布過10多篇科學(xué)文章，并發(fā)表過多場后量子密碼學(xué)領(lǐng)域的公開演講。除了PQC，她還積極參與多項標(biāo)準(zhǔn)化工作，包括工業(yè)領(lǐng)域的IEC62443、移動駕駛執(zhí)照的ISO18013以及連接標(biāo)準(zhǔn)聯(lián)盟的訪問控制工作組。

本文作者

Gareth T. Davies是恩智浦半導(dǎo)體公司CTO機構(gòu)的密碼與安全能力中心(CCC&S)的資深譯碼員。他是后量子密碼學(xué)團隊成員，從事包括協(xié)議分析、認(rèn)證方案和標(biāo)準(zhǔn)化等多個主題的研究工作。

本文作者

Sarah Esmann是NFC和物聯(lián)網(wǎng)安全領(lǐng)域資深產(chǎn)品經(jīng)理兼產(chǎn)品管理主管，恩智浦安全連接邊緣業(yè)務(wù)部。Sarah與后量子密碼學(xué)團隊保持緊密的商業(yè)合作關(guān)系，參與了多個項目的推進(jìn)。