雖然一些后量子密碼（PQC）算法已被破解，但后量子密碼必然是保護(hù)未來(lái)信息安全的重要手段。除了不斷修復(fù)漏洞外，后量子密碼的另一個(gè)挑戰(zhàn)是如何向新的密碼系統(tǒng)遷移。針對(duì)這一問題，最近，來(lái)自量子初創(chuàng)公司SandboxAQ和谷歌的科學(xué)家在《自然》期刊上發(fā)表了一篇綜述——《推動(dòng)組織過渡到后量子密碼》。

有了Shor算法，量子計(jì)算機(jī)有望打破現(xiàn)代公鑰密碼系統(tǒng)。因此，這些密碼系統(tǒng)需要被抗量子算法——也叫后量子密碼（PQC）算法所取代。

在過去的二十年里，PQC研究領(lǐng)域蓬勃發(fā)展，產(chǎn)生了一大批有望抵抗量子攻擊的算法，這些PQC算法也正在被一些標(biāo)準(zhǔn)化機(jī)構(gòu)選擇和標(biāo)準(zhǔn)化。然而，即使有了這些重要工作的指導(dǎo)，危險(xiǎn)并沒有消失：有數(shù)十億的新舊設(shè)備需要過渡到PQC算法，這需要一個(gè)長(zhǎng)達(dá)數(shù)十年的過渡過程——必須考慮到安全、算法性能、安全實(shí)施的便利性、合規(guī)性等方面。

在這篇綜述中，研究人員從組織（包括企業(yè)和政府機(jī)構(gòu)）的角度介紹了PQC的過渡：討論了過渡的時(shí)間表、保護(hù)系統(tǒng)免受量子攻擊的策略，以及將前量子密碼(pre-quantum cryptography)與PQC結(jié)合起來(lái)以減少過渡風(fēng)險(xiǎn)的方法。最后，文章提出了現(xiàn)在就開始實(shí)驗(yàn)、“以應(yīng)用為中心”的標(biāo)準(zhǔn)，并提供了一系列建議幫助組織能夠順利、及時(shí)地向PQC過渡。

01

為什么后量子密碼如此重要？

一般來(lái)說(shuō)，密碼學(xué)是對(duì)數(shù)學(xué)技術(shù)進(jìn)行研究，以執(zhí)行信息政策。這些政策廣泛規(guī)定誰(shuí)可以發(fā)送、閱讀和編輯數(shù)字信息。常見的用途包括防止竊聽者的安全、執(zhí)行對(duì)數(shù)據(jù)的讀寫訪問，以及信息驗(yàn)證。所有這些技術(shù)都有一個(gè)共同點(diǎn)：它們依賴于某些數(shù)學(xué)問題的不可控性。為了確保一個(gè)密碼系統(tǒng)是安全的，需要證明破解這樣一個(gè)密碼系統(tǒng)的難度至少與解決一些被認(rèn)為是難以解決的數(shù)學(xué)問題一樣，而這些數(shù)學(xué)問題對(duì)于不掌握某些秘密信息的人來(lái)說(shuō)是難以解決的，因此被稱為“密鑰”。撇開實(shí)施錯(cuò)誤不談，問題的難度是密碼系統(tǒng)的核心安全保證，如果其容易被密碼分析技術(shù)所駁倒，那么這個(gè)密碼系統(tǒng)就認(rèn)為被破解了。

支撐今天密碼系統(tǒng)的關(guān)鍵數(shù)學(xué)技術(shù)密切相關(guān)，它們都基于整數(shù)分解問題和離散對(duì)數(shù)問題。密碼系統(tǒng)的安全性依賴于解決這些問題的難度。1994年，數(shù)學(xué)家Peter Shor設(shè)計(jì)了一種量子算法，承諾在因式分解整數(shù)和求離散對(duì)數(shù)方面比非量子算法有指數(shù)級(jí)的加速，這在理論上允許量子計(jì)算機(jī)破解目前使用的大多數(shù)公鑰密碼系統(tǒng)。也就是說(shuō)，當(dāng)足夠大、容錯(cuò)（LFT）的量子計(jì)算機(jī)建成后，我們目前的許多密碼系統(tǒng)將被破解。量子計(jì)算機(jī)今天已經(jīng)存在，但它們是高度初級(jí)和不完善的機(jī)器，需要大量的技術(shù)演進(jìn)才能實(shí)現(xiàn)廣泛應(yīng)用。量子計(jì)算的困難主要在于創(chuàng)建高精度的硬件：即使是能夠以0.1%的錯(cuò)誤率執(zhí)行基本操作的量子比特，在整個(gè)系統(tǒng)中，這些錯(cuò)誤也會(huì)以指數(shù)形式傳播和增長(zhǎng)，從而限制了有用的量子計(jì)算機(jī)的規(guī)模。每一個(gè)額外的量子比特都會(huì)使量子計(jì)算機(jī)的功率增加一倍，因此，當(dāng)谷歌A在2019年底宣布“量子計(jì)算優(yōu)越性”時(shí)，他們的實(shí)驗(yàn)是在一個(gè)只有53個(gè)量子比特的處理器上進(jìn)行的。但是，破解RSA-2048（其中RSA是一種密碼系統(tǒng)，2048是最常用的參數(shù)集）所需的噪聲量子比特?cái)?shù)量估計(jì)約為2000萬(wàn)。

那么，為什么盡管這一發(fā)展意味著工程上的挑戰(zhàn)，但仍要緊急采取行動(dòng)呢？

在面對(duì)量子威脅時(shí)，需要新的密碼原語(yǔ)（cryptographic primitives）來(lái)維持通信和信息存儲(chǔ)的安全。這些密碼算法被稱為后量子密碼，并且基于被認(rèn)為是抗量子的數(shù)學(xué)問題。盡管已經(jīng)存在基于量子的加密技術(shù)可以安全地對(duì)抗量子計(jì)算機(jī)，但與其他方案相比，PQC的一個(gè)實(shí)質(zhì)性優(yōu)勢(shì)是：它可以嵌入任何常規(guī)通信基礎(chǔ)設(shè)施或當(dāng)代設(shè)備中。

02

向PQC過渡，組織該如何規(guī)劃？

后量子密碼時(shí)間線。這三條時(shí)間線可以被認(rèn)為是：對(duì)密碼系統(tǒng)的威脅（上），組織在遷移過程中應(yīng)該經(jīng)過的步驟（中），以及由多國(guó)標(biāo)準(zhǔn)機(jī)構(gòu)主導(dǎo)的標(biāo)準(zhǔn)化過程（下）。

上圖就PQC過渡的過程和時(shí)間表向各組織提出了一系列建議，總結(jié)了該領(lǐng)域的情況、描繪出了相應(yīng)發(fā)展時(shí)間表，并為利益相關(guān)者匯編了資源清單。

最上面的紅色時(shí)間線描述了兩個(gè)最重要的“量子威脅”，以及它們將在何時(shí)變得至關(guān)重要。第一種威脅被稱為“現(xiàn)存現(xiàn)解型”（SNDL）攻擊，它目前已經(jīng)是一個(gè)活躍的威脅。SNDL意味著對(duì)手現(xiàn)在就捕獲有價(jià)值的加密信息，將其存儲(chǔ)起來(lái)，一旦有了量子計(jì)算機(jī)再將其解密：假定這些信息在未來(lái)仍然有價(jià)值。第二種量子威脅是指對(duì)RSA和橢圓曲線密碼（ECC）的破解——這是目前最普遍的兩種用于加密信息的公鑰算法，可以用肖爾算法破解。這將使對(duì)手能夠偽造RSA和ECC數(shù)字簽名，并對(duì)依賴它們的系統(tǒng)構(gòu)成風(fēng)險(xiǎn)：如安全網(wǎng)絡(luò)瀏覽、零信任架構(gòu)和加密貨幣。

灰色的時(shí)間線描述了各組織在向PQC過渡時(shí)需要采取的兩項(xiàng)行動(dòng)。第一個(gè)行動(dòng)是戰(zhàn)略計(jì)劃和技術(shù)實(shí)驗(yàn)，第二個(gè)行動(dòng)是在生產(chǎn)系統(tǒng)中有效地采用PQC。文章強(qiáng)調(diào)，戰(zhàn)略規(guī)劃階段必須在LFT量子計(jì)算機(jī)能夠有效地攻擊RSA和ECC之前完成（也就是說(shuō)，這個(gè)過程不應(yīng)該被推遲）。

最后，最下面的藍(lán)色時(shí)間線涉及到由相關(guān)政府和行業(yè)組織的標(biāo)準(zhǔn)制定過程，特別是美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）的PQC標(biāo)準(zhǔn)化進(jìn)程。

鑒于其成本低、易于集成到當(dāng)前的基礎(chǔ)設(shè)施、加密功能齊全，標(biāo)準(zhǔn)化機(jī)構(gòu)和組織已經(jīng)自然而然地趨向于使用PQC。因此，文章建議對(duì)保護(hù)他們的系統(tǒng)和用戶免受量子攻擊的組織應(yīng)該采用PQC作為他們的主要量子保護(hù)策略；對(duì)于那些還沒有開始在系統(tǒng)中整合PQC、甚至沒有計(jì)劃的組織，強(qiáng)烈建議他們現(xiàn)在就開始努力。如今，SNDL攻擊已經(jīng)是可行的了，還沒有相關(guān)行動(dòng)的組織已經(jīng)晚了，今后面臨的量子威脅風(fēng)險(xiǎn)也將越來(lái)越大。

不過，盡管有來(lái)自工業(yè)界的壓力，標(biāo)準(zhǔn)化制定機(jī)構(gòu)（如NIST）也應(yīng)該明確重點(diǎn)，以安全第一的思想來(lái)創(chuàng)建標(biāo)準(zhǔn)。建議各組織應(yīng)明確表達(dá)他們對(duì)PQC標(biāo)準(zhǔn)的興趣，以促使標(biāo)準(zhǔn)化機(jī)構(gòu)為這項(xiàng)工作分配資源。

03

什么時(shí)候開始向PQC過渡呢？

現(xiàn)在！

鑒于LFT量子計(jì)算機(jī)還沒有出現(xiàn)，下文中提供了一些論據(jù)，以強(qiáng)調(diào)為什么現(xiàn)在開始向PQC過渡是重要的。

1）先存儲(chǔ)后解密

SNDL攻擊對(duì)現(xiàn)在使用量子易損密碼技術(shù)加密的信息構(gòu)成了威脅。這樣的加密數(shù)據(jù)通常是在公共互聯(lián)網(wǎng)基礎(chǔ)設(shè)施上傳輸，可以被收集、無(wú)限期地存儲(chǔ)；未來(lái)，一旦對(duì)手接觸到LFT量子計(jì)算機(jī)，就會(huì)被解密。在某些情況下，這并不是一個(gè)潛在隱患。然而，一些重要的商業(yè)機(jī)密、醫(yī)療記錄、國(guó)家安全文件等，它們有數(shù)十年的保質(zhì)期，必須在很長(zhǎng)一段時(shí)間內(nèi)保持機(jī)密。出于這個(gè)原因，SNDL攻擊是不再推遲開始過渡的最重要的論據(jù)之一。

2）遠(yuǎn)期（Far-horizon）項(xiàng)目

PQC具有直接重要性的另一個(gè)原因是，現(xiàn)在正在設(shè)計(jì)和計(jì)劃的項(xiàng)目壽命很長(zhǎng)（例如，幾十年）。例如，現(xiàn)在正在生產(chǎn)的許多汽車、飛機(jī)、火車和輪船，預(yù)計(jì)將在20年甚至30年后投入使用。某些情況下，它們會(huì)包含一些模塊，其中一個(gè)密碼系統(tǒng)可以被替換成另一個(gè)，但并不是所有模塊都是如此。當(dāng)特定應(yīng)用的硬件被用來(lái)實(shí)現(xiàn)密碼學(xué)并在產(chǎn)品生命周期內(nèi)保持不變時(shí)，情況尤其如此。

另一個(gè)例子是國(guó)家關(guān)鍵基礎(chǔ)設(shè)施項(xiàng)目，它們具有高可用性：有些應(yīng)用需要99.999%的可用性，或每年僅6分鐘的停機(jī)時(shí)間，而升級(jí)密碼學(xué)軟件/硬件需要不可接受的成本。

3）密碼系統(tǒng)過渡需要時(shí)間

歷史經(jīng)驗(yàn)表明，密碼系統(tǒng)的過渡需要相當(dāng)長(zhǎng)的時(shí)間。

ECC早在20世紀(jì)80年代就被提出，盡管比RSA更有效（空間和速度方面，取決于參數(shù)），但它花了20多年才獲得廣泛的采用。哈希函數(shù)是另一例加密工具，從其誕生到應(yīng)用花了很長(zhǎng)時(shí)間。例如，NIST的SHA-3密碼早在2007年就宣布了，但到2021年仍然沒有得到廣泛采用。因此，密碼系統(tǒng)的過渡（即使是比PQC簡(jiǎn)單得多的過渡）通常需要幾年，甚至幾十年。PQC的過渡更為復(fù)雜，因?yàn)樵S多方法都是相對(duì)較新的，而且許多候選算法的性能比目前的算法要差很多。

4）采用PQC標(biāo)準(zhǔn)的路徑更加清晰

第四個(gè)原因是關(guān)于PQC標(biāo)準(zhǔn)化的一系列宣布。

2019年，NIST發(fā)布了基于狀態(tài)哈希的簽名標(biāo)準(zhǔn)，2020年宣布了他們的PQC競(jìng)賽的第三輪決賽（和備選賽道）結(jié)果。因此，密碼學(xué)界現(xiàn)在有了一個(gè)更明確的方向，即哪些原語(yǔ)有可能成為PQC標(biāo)準(zhǔn)化密碼系統(tǒng)套件的主干。盡早行動(dòng)可以為消除錯(cuò)誤、培訓(xùn)勞動(dòng)力和為未來(lái)的漫長(zhǎng)過程留出充分的準(zhǔn)備時(shí)間。

5）NIST的PQC項(xiàng)目

在相當(dāng)長(zhǎng)的一段時(shí)間里，NIST一直非常積極地塑造網(wǎng)絡(luò)安全的最佳實(shí)踐。例如，廣泛使用的高級(jí)加密標(biāo)準(zhǔn)（AES）算法和最近的SHA-3算法。2016年，隨著量子威脅逼近，NIST啟動(dòng)了相關(guān)進(jìn)程來(lái)規(guī)范公鑰PQC算法。

NIST后量子密碼進(jìn)程時(shí)間表。顯示了NIST PQC標(biāo)準(zhǔn)化過程中的標(biāo)志性事件，從2016年開始到現(xiàn)在。這個(gè)過程是迄今為止對(duì)PQC進(jìn)行的時(shí)間最長(zhǎng)、最全面的研究。

從這個(gè)過程開始，NIST就承認(rèn)PQC的過程將比AES和SHA-325的過程復(fù)雜得多。其中一個(gè)原因是，公鑰密碼學(xué)和數(shù)字簽名的要求比對(duì)稱密碼學(xué)更復(fù)雜；另一個(gè)原因是研究提供的解決方案的廣泛性。比較這些不同的方法帶來(lái)了獨(dú)特的挑戰(zhàn)：如權(quán)衡安全性、密鑰大小、延遲、帶寬和安全實(shí)施的難易程度。

NIST對(duì)最初收到的82個(gè)提交文件的范圍進(jìn)行了安全評(píng)估、外部安全分析，以及NIST內(nèi)部研究人員進(jìn)行的密碼分析。經(jīng)過一年多時(shí)間，NIST宣布26種算法將進(jìn)入第二輪程序。

2020年7月，NIST宣布了將進(jìn)入第三輪的15種候選算法。其中，有7個(gè)被列為“入圍”：4個(gè)非對(duì)稱加密或密鑰封裝機(jī)制（KEM）和3個(gè)簽名方案；8個(gè)被列為“備選”：5個(gè)非對(duì)稱加密或KEM和3個(gè)簽名方案。

2022年7月，NIST公布了第三輪評(píng)估結(jié)果。將進(jìn)行標(biāo)準(zhǔn)化的算法包括：CRYSTALS-Kyber、CRYSTALS-Dilithium、Falcon和SPHINCS+，其中主要是格密碼，另有4個(gè)算法進(jìn)入第四輪的進(jìn)一步評(píng)估：BIKE、Classic McEliece、HQC和SIKE。到2024年，完成整個(gè)標(biāo)準(zhǔn)化過程。

NIST后量子密碼算法性能。上圖顯示了密鑰交換算法的密碼文本和公共密鑰的大小，其中類似的算法按顏色分組。底部的圖顯示了密碼文本和公共密鑰的大小與所需的計(jì)算量。密鑰生成器（Keygen）用于生成公鑰和私鑰，封裝（Enc）使用公鑰對(duì)秘密進(jìn)行加密，解封裝（Dec）使用私鑰對(duì)秘密進(jìn)行解密，然后秘密被安全地共享。

對(duì)于小的公共許可證密鑰和密碼文本，同源算法的空間效率極高，但速度性能較差；非結(jié)構(gòu)格被認(rèn)為是最保守的方法，并且在安全性方面比結(jié)構(gòu)化的變體更受密碼界的信任；同樣，McEliece系統(tǒng)也被認(rèn)為比其它系統(tǒng)更加保守；相比之下，結(jié)構(gòu)格在所有指標(biāo)上都表現(xiàn)得更好，但至少要付出一個(gè)額外的安全性假設(shè)。總之，這兩類代表了安全和效率之間的權(quán)衡。

6）其他與PQC有關(guān)的標(biāo)準(zhǔn)化工作

美國(guó)互聯(lián)網(wǎng)工程任務(wù)組（IETF）負(fù)責(zé)制定傳輸層安全（TLS）協(xié)議，該協(xié)議被廣泛用于安全的網(wǎng)絡(luò)瀏覽。如今，IETF正在進(jìn)行一些努力，將后量子原語(yǔ)整合到不同的協(xié)議中，例如在TLS31和互聯(lián)網(wǎng)密鑰交換（IKE）標(biāo)準(zhǔn)。其目的是將基于RSA和ECC的方案與PQC方案結(jié)合起來(lái)，而不用面對(duì)新密碼技術(shù)所固有的漏洞。第三代伙伴關(guān)系項(xiàng)目（3GPP）已經(jīng)開始了關(guān)于該主題的初步討論，但可能會(huì)等待NIST公布標(biāo)準(zhǔn)后再提出新的無(wú)線加密協(xié)議。

歐洲電信標(biāo)準(zhǔn)協(xié)會(huì)（ETSI）是另一個(gè)在后量子通信技術(shù)方面發(fā)揮積極作用的組織，它有關(guān)于量子密鑰分發(fā)（QKD）和PQC的工作組，后者已經(jīng)發(fā)布了量子安全密鑰交換的標(biāo)準(zhǔn)。2015年，ETSI發(fā)布了一份白皮書，分析了一些最有前途的后量子密碼算法，并討論了這種過渡的主要挑戰(zhàn)。

在中國(guó)，中國(guó)密碼學(xué)會(huì)在2019年舉辦了一個(gè)為期數(shù)月的短期競(jìng)賽，以快速確定少數(shù)算法的標(biāo)準(zhǔn)化。一等獎(jiǎng)授予了密鑰交換類別中的輕量級(jí)認(rèn)證加密密碼（LAC）方案，這個(gè)密碼系統(tǒng)進(jìn)入了NIST程序的第二輪，但沒有進(jìn)入第三輪，原因是發(fā)生了一些連續(xù)攻擊。

7）對(duì)各組織PQC標(biāo)準(zhǔn)化的建議

基于同態(tài)的哈希簽名（HBS）是一種已經(jīng)被多個(gè)標(biāo)準(zhǔn)化機(jī)構(gòu)（例如NIST）標(biāo)準(zhǔn)化的技術(shù)。盡管需要實(shí)施一個(gè)強(qiáng)大的狀態(tài)管理機(jī)制，這項(xiàng)技術(shù)有一個(gè)突出的優(yōu)點(diǎn)：它的安全保證基于最小的假設(shè)。因此，那些需要在適合狀態(tài)管理的應(yīng)用中過渡到PQC的組織應(yīng)該考慮把HBS作為一個(gè)潛在的解決方案。

NIST的PQC項(xiàng)目所選算法的標(biāo)準(zhǔn)預(yù)計(jì)將不晚于2024年發(fā)布。因此，文章建議監(jiān)測(cè)這一過程的組織現(xiàn)在就應(yīng)該開始對(duì)入圍和替代的候選算法進(jìn)行試驗(yàn)，這對(duì)減少NIST PQC標(biāo)準(zhǔn)發(fā)布后的過渡時(shí)間很重要。

04

通用性建議

乍一看，加密算法的過渡可能看起來(lái)是一項(xiàng)簡(jiǎn)單的任務(wù)，與任何其他算法的替換相似：老一代的（易受攻擊的）算法被新一代的（后量子）算法所取代。不幸的是，鑒于對(duì)手可以（而且會(huì)）在任何時(shí)候利用不安全的節(jié)點(diǎn)來(lái)觸發(fā)破壞性攻擊，這項(xiàng)任務(wù)并不簡(jiǎn)單。為了補(bǔ)充本展望中的具體建議，作者提供了一套通用建議，以進(jìn)一步幫助各組織以最小的安全風(fēng)險(xiǎn)、較短的過渡時(shí)間和優(yōu)化成本過渡到PQC。

1）加密靈活性

面對(duì)量子化后的遷移，為了制定一個(gè)整體、安全的方法，組織必須采取措施實(shí)現(xiàn)加密的靈活性。因?yàn)楦淖兗用芩惴ǎ驅(qū)⑵渑c現(xiàn)有的加密算法分層，需要的不僅僅是直接工作本身。在密鑰大小、加密文件大小和簽名長(zhǎng)度方面也存在差異。調(diào)整基礎(chǔ)設(shè)施以適應(yīng)這些考慮，將是遷移工作中的一個(gè)重要部分。此外，盡管新的算法作者和評(píng)估者做出了最大的努力，但在算法、操作模式或具體參數(shù)方面，仍有可能出現(xiàn)某種程度的持續(xù)變化，從而影響到更廣泛的系統(tǒng)配置。

在準(zhǔn)備實(shí)施這些變化時(shí)，組織應(yīng)計(jì)劃加密的靈活性，特別是在集中管理的工具包和服務(wù)上采用抽象層，以盡量減少任何后續(xù)的變化。同樣，這種工具的實(shí)施也應(yīng)該包括這種工具的應(yīng)用程序或基礎(chǔ)設(shè)施用戶的能力，以應(yīng)對(duì)調(diào)整后的數(shù)據(jù)格式和大小。明確地說(shuō)，在啟動(dòng)一個(gè)加密敏捷性計(jì)劃時(shí)，各組織應(yīng)實(shí)施一套集中提供的加密庫(kù)和服務(wù)，從應(yīng)用和基礎(chǔ)設(shè)施團(tuán)隊(duì)中抽象出正在使用的算法；確定數(shù)據(jù)字段和大小的依賴性，并調(diào)整數(shù)據(jù)庫(kù)、數(shù)據(jù)存儲(chǔ)、協(xié)議和其他假設(shè)當(dāng)前固定字段大小的軟件。

關(guān)于標(biāo)準(zhǔn)機(jī)構(gòu)和監(jiān)管機(jī)構(gòu)，加密敏捷性應(yīng)嵌入目前正在開發(fā)的任何標(biāo)準(zhǔn)中，例如，6G必須是固有的加密敏捷性和PQC兼容；關(guān)鍵基礎(chǔ)設(shè)施部門的特定行業(yè)監(jiān)管機(jī)構(gòu)應(yīng)緊急開始規(guī)劃部門協(xié)調(diào)，以減少系統(tǒng)性風(fēng)險(xiǎn)。

2）優(yōu)先級(jí)戰(zhàn)略

為了確保過渡成功，組織需要注意的第一件事是確定優(yōu)先級(jí)：這指的是確定哪里需要首先進(jìn)行PQC過渡。這很重要，因?yàn)槟軌驁?zhí)行這項(xiàng)任務(wù)的勞動(dòng)力是高度專業(yè)化的、通常稀缺的。

關(guān)于這種工作的優(yōu)先次序，首先我們需要確定風(fēng)險(xiǎn)最高的加密方案。在急需保密的情況下，密鑰交換算法的風(fēng)險(xiǎn)最高：因?yàn)槊荑€交換程序的結(jié)果可以被捕獲，以便以后被破解（SNDL攻擊）。同時(shí)有些系統(tǒng)雖然很難更新，但并不絕對(duì)需要立即的后量子保密性，如車輛通信。在這些情況下，安全數(shù)字簽名應(yīng)該是第一步，然后可以在以后的日子里用來(lái)推動(dòng)密鑰交換算法的更新。

3）混合算法

科學(xué)界并沒有用研究相對(duì)較少的后量子算法來(lái)取代現(xiàn)有的算法，而是想出了一個(gè)簡(jiǎn)單而有效的方法：將傳統(tǒng)算法和后量子算法結(jié)合到同一個(gè)機(jī)制中。換句話說(shuō)，即使PQC算法隨后被確定為有缺陷，經(jīng)典方案所提供的安全性仍然可以得到保證：安全性在這種轉(zhuǎn)變中只有潛在的增加，而沒有減少。

為了結(jié)合密鑰交換算法，需要使用每種算法（一種PQC算法和一種經(jīng)典算法）來(lái)生成一個(gè)單一的共享秘密。這兩個(gè)秘密可以結(jié)合起來(lái)，產(chǎn)生一個(gè)單一的對(duì)稱密鑰。這樣一來(lái)，愿意攻擊該系統(tǒng)的對(duì)手就必然需要同時(shí)破解經(jīng)典和PQC方案。剩下的一個(gè)問題是如何結(jié)合這兩個(gè)共享秘密。主要的方法是：在通過密鑰推導(dǎo)函數(shù)（KDF）之前或之后，將共享秘密連接起來(lái)。

4）認(rèn)證要求

由于合規(guī)性，許多密碼學(xué)的用戶被要求遵守NIST定義的聯(lián)邦信息處理標(biāo)準(zhǔn)（FIPS）。如果將傳統(tǒng)的公鑰密碼系統(tǒng)換成后量子替代品意味著失去FIPS認(rèn)證，那將是一個(gè)問題。例如，聯(lián)邦機(jī)構(gòu)在購(gòu)買基于密碼學(xué)的安全系統(tǒng)時(shí)，必須確保有FIPS 140-2證書，否則就不符合條件。幸運(yùn)的是，這一點(diǎn)已經(jīng)有了規(guī)定，上面提到的“混合”方法允許從業(yè)者保持他們的FIPS 140-2等級(jí)，因?yàn)樗麄冎皇窃谠黾影踩?，而不是取代它?/p>

5）PQC資源

過渡期計(jì)劃的一部分是對(duì)為這些新方案提供基礎(chǔ)理論教育，以及掌握軟件應(yīng)用，分析它們與公司網(wǎng)絡(luò)基礎(chǔ)設(shè)施的整合。好的理論資源包括A decade of lattice cryptography、Post-Quantum Cryptography等書，對(duì)該領(lǐng)域提供了廣泛的解釋。

有許多地方可以獲得NIST方案的軟件實(shí)現(xiàn)。其中最全面的資源庫(kù)是開放量子安全項(xiàng)目的Liboqs。其他資源包括BoringSSL和Tink，它們?cè)诨旌夏Ｊ较聦?shí)現(xiàn)了NTRU-HRSS和X25519（一起稱為CECPQ2）。對(duì)于高度標(biāo)準(zhǔn)化的實(shí)現(xiàn)，可以考慮SUPERCOP，它已經(jīng)成為PQC方案的事實(shí)上的基準(zhǔn)工具。用于PQC的加密硬件不太容易獲得，而且是一個(gè)似乎需要進(jìn)一步研究的領(lǐng)域。人們可以在一些重點(diǎn)和技術(shù)水平不同的會(huì)議上找到相關(guān)的最新材料。僅舉國(guó)際密碼學(xué)研究協(xié)會(huì)（IACR）日歷上的幾個(gè)會(huì)議，就有后量子密碼、真實(shí)世界密碼、公鑰密碼以及密碼硬件和嵌入式系統(tǒng)。

05

迫不及待：以最小的成本和時(shí)間過渡到PQC

2021年，超過一半的受訪專家認(rèn)為，LFT量子計(jì)算機(jī)在15年內(nèi)打破整數(shù)分解和基于離散對(duì)數(shù)的密碼的概率大于50%，因此幾乎沒有時(shí)間過渡到PQC。特別是由于SNDL攻擊，即使今天的私人數(shù)據(jù)也可能被明天的量子計(jì)算機(jī)所破壞，而且現(xiàn)在正在部署的密碼硬件預(yù)計(jì)將在該領(lǐng)域保持?jǐn)?shù)十年。

由于方案的多樣性，在攻擊成功的情況下需要立即從一種算法切換到另一種算法，以及對(duì)系統(tǒng)之間連接性的要求越來(lái)越高，在設(shè)計(jì)新的協(xié)議時(shí)必須考慮到加密的靈活性。

關(guān)于過渡的工作不必等待NIST的全面支持，因?yàn)榛旌厦艽a學(xué)允許從業(yè)者在不影響當(dāng)前安全水平的情況下安全地部署后量子方案。美國(guó)政府在2022年初發(fā)布了一份關(guān)于過渡到抗量子密碼協(xié)議的備忘錄，為全球公共和私人組織樹立了一個(gè)強(qiáng)有力的榜樣，表明應(yīng)盡快開始過渡的準(zhǔn)備工作。各組織現(xiàn)在可以采取的減輕量子計(jì)算威脅的措施包括：建立一個(gè)加密目錄，列出所有公鑰加密技術(shù)在其基礎(chǔ)設(shè)施和產(chǎn)品中的存在；一旦標(biāo)準(zhǔn)發(fā)布，就制定一個(gè)過渡路線圖；試驗(yàn)不同系列的PQC算法，以測(cè)量性能并研究不同的方法（例如混合），評(píng)估相互依賴性等；并確保系統(tǒng)是加密敏捷的。也就是說(shuō)，準(zhǔn)備以最小的成本和時(shí)間過渡到PQC。

這些任務(wù)都不是小事，而且都可以從現(xiàn)在開始，幫助組織、系統(tǒng)和用戶負(fù)責(zé)任地努力實(shí)現(xiàn)更安全的未來(lái)。

綜述原文：

https://www.nature.com/articles/s41586-022-04623-2