本文來自微信公眾號(hào)“GoUpSec”。
量子計(jì)算機(jī)攻破現(xiàn)有密碼算法的那一天被稱為“Q-Day”。一些安全專家認(rèn)為,Q-Day將在未來十年內(nèi)發(fā)生,但考慮到人工智能和量子計(jì)算能力的突飛猛進(jìn),后量子時(shí)代很有可能會(huì)提前到來。一些研究人員預(yù)測(cè)量子計(jì)算機(jī)可在2030年(甚至更早)破解主流公鑰算法。
現(xiàn)有數(shù)字加密技術(shù)(例如公鑰算法)都將面臨量子計(jì)算機(jī)的威脅,一旦成熟的量子計(jì)算機(jī)成為現(xiàn)實(shí),那么受到威脅的不僅是未來的機(jī)密數(shù)據(jù),大量受公鑰算法保護(hù)的歷史信息(如果事先被收集)也將被解密。
因此,全球信息安全社區(qū)正加緊開展研究和實(shí)施能夠抵御后量子時(shí)代的安全威脅的加密技術(shù),抗量子加密(PQC)也被提上議程。
博思艾倫量子科學(xué)團(tuán)隊(duì)的首席科學(xué)家Dylan Ruddy指出:“向后量子加密遷移同時(shí)還意味著網(wǎng)絡(luò)安全市場(chǎng)的一次大洗牌。通過將新的抗量子加密算法集成到零信任架構(gòu)中,網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施可被重新設(shè)計(jì)成加密敏捷框架,應(yīng)對(duì)新興技術(shù)產(chǎn)生的新威脅。”
以下是2023年最值得關(guān)注的10個(gè)與抗量子加密遷移有關(guān)的重要舉措、計(jì)劃、標(biāo)準(zhǔn)和資源:
01
IETF成立工作組協(xié)調(diào)抗量子密碼協(xié)議
1月份,互聯(lián)網(wǎng)工程任務(wù)組(IETF)成立了后量子使用協(xié)議(PQUIP)工作組,以協(xié)調(diào)能抵御大型量子計(jì)算機(jī)攻擊的加密協(xié)議的使用。PQUI聯(lián)合主席Sofia Celi表示:“PQUIP將是討論抗量子加密運(yùn)營(yíng)和工程的常設(shè)場(chǎng)所,該工作組也是IETF唯一與抗量子加密相關(guān)的工作組。”
IESG表示,該工作組是試驗(yàn)性質(zhì)的,打算在兩年內(nèi)對(duì)其進(jìn)行審查,以決定是否繼續(xù)存在。八月,該小組發(fā)表了《工程師的后量子密碼學(xué)》論文,概述了當(dāng)前的威脅形勢(shì)以及預(yù)防這些威脅的相關(guān)算法。
02
英國(guó)發(fā)布國(guó)家量子戰(zhàn)略以指導(dǎo)技術(shù)標(biāo)準(zhǔn)
今年3月,英國(guó)政府發(fā)布了新的國(guó)家量子戰(zhàn)略,詳細(xì)介紹了領(lǐng)導(dǎo)量子經(jīng)濟(jì)的十年計(jì)劃,強(qiáng)調(diào)了量子技術(shù)對(duì)英國(guó)安全的重要性。
該戰(zhàn)略認(rèn)為英國(guó)將與全球相關(guān)機(jī)構(gòu)合作,確保全球量子技術(shù)標(biāo)準(zhǔn)能夠促進(jìn)英國(guó)的繁榮和安全利益,包括加速量子技術(shù)的商業(yè)化并支持英國(guó)本土的相關(guān)行業(yè)。
該戰(zhàn)略寫道:“全球范圍內(nèi)正在開展許多早期量子標(biāo)準(zhǔn)化活動(dòng),重點(diǎn)關(guān)注量子安全密碼學(xué)和量子密鑰分發(fā)(QKD),英國(guó)在這些領(lǐng)域處于領(lǐng)先地位。”
03
QuSecure開創(chuàng)太空實(shí)時(shí)衛(wèi)星量子彈性加密通信鏈路
今年3月,量子安全供應(yīng)商QuSecure聲稱已經(jīng)完成了首個(gè)已知的實(shí)時(shí)、端到端量子彈性加密通信衛(wèi)星太空鏈路。該公司表示,這標(biāo)志著美國(guó)衛(wèi)星數(shù)據(jù)傳輸首次使用抗量子加密,可免受經(jīng)典和量子解密攻擊。QuSecure的太空和空地量子安全通信是與系統(tǒng)集成商和安全提供商(GSI)合作,通過星鏈衛(wèi)星進(jìn)行的。
衛(wèi)星通信的抗量子加密能力意義重大,因?yàn)樾l(wèi)星和地面站之間共享的數(shù)據(jù)通過空中傳播,傳統(tǒng)上很容易泄密,這使得衛(wèi)星通信比互聯(lián)網(wǎng)通信更容易被截獲。
3月晚些時(shí)候,QuSecure宣布與埃森哲合作,成功完成了首次由抗量子加密保護(hù)的多軌道數(shù)據(jù)通信測(cè)試。QuSecure表示,這表明成功轉(zhuǎn)向抗量子加密算法并實(shí)現(xiàn)加密敏捷性是真實(shí)且可能的。
此前,來自多軌道(包括低軌道和同步軌道)衛(wèi)星的數(shù)據(jù)可以通過經(jīng)典方法和或強(qiáng)大的量子計(jì)算機(jī)來收集和破解。
04
美國(guó)國(guó)家網(wǎng)絡(luò)安全卓越委員會(huì)推動(dòng)抗量子加密遷移
4月,美國(guó)國(guó)家網(wǎng)絡(luò)安全卓越委員會(huì)NCCoE(由來自公共和私營(yíng)部門的網(wǎng)絡(luò)安全專家組成)發(fā)布了一份出版物草案,討論了采用新抗量子加密算法的準(zhǔn)備工作。
NCCoE表示,它將與行業(yè)合作者、受監(jiān)管的行業(yè)部門和美國(guó)政府合作,提高人們對(duì)遷移到后量子算法所涉及問題的認(rèn)識(shí),并為加密技術(shù)社區(qū)的遷移做好準(zhǔn)備。
05
PQShield支持抗量子加密遷移、高級(jí)側(cè)通道安全實(shí)施
5月,抗量子加密標(biāo)準(zhǔn)公司PQShield與IT服務(wù)咨詢和業(yè)務(wù)解決方案提供商Tata Consultancy Services(TCS)簽署了諒解備忘錄,幫助其客戶過渡到量子安全解決方案。它還宣布與側(cè)通道分析和測(cè)試工具提供商eShard合作,進(jìn)一步加速抗量子加密的高級(jí)側(cè)通道安全實(shí)施,這對(duì)于跨行業(yè)的高安全標(biāo)準(zhǔn)至關(guān)重要。
PQShield首席執(zhí)行官兼創(chuàng)始人Ali El Kaafarani表示:“鑒于大型組織的加密基礎(chǔ)設(shè)施規(guī)模龐大且高度依賴安全通信,量子計(jì)算機(jī)對(duì)大型組織構(gòu)成了特殊的威脅。隨著越來越多的企業(yè)意識(shí)到問題的緊迫性并尋求解決方案,我們看到商業(yè)格局發(fā)生了重大轉(zhuǎn)變。”
06
X9宣布倡議創(chuàng)建抗量子加密評(píng)估指南
6月,認(rèn)可標(biāo)準(zhǔn)委員會(huì)X9 Inc.(X9)宣布了一項(xiàng)新舉措:制訂抗量子加密評(píng)估指南,作為抗量子加密過渡的路線圖。X9表示,該指南可被組織用于自我評(píng)估、對(duì)第三方服務(wù)提供商的非正式評(píng)估,或由合格的信息安全專業(yè)人員進(jìn)行獨(dú)立評(píng)估。安全審計(jì)師或監(jiān)管機(jī)構(gòu)也可參考該評(píng)估指南,同時(shí)該指南也將為加密敏捷的標(biāo)準(zhǔn)化奠定基礎(chǔ)。
07
谷歌通過抗量子加密幫助Chrome抵御未來攻擊
今年8月,谷歌宣布將在Chrome中添加對(duì)抗量子加密的支持,從而確保網(wǎng)絡(luò)瀏覽免受后量子安全威脅。
新的抗量子加密技術(shù)被稱為X25519Kyber768,是一種混合機(jī)制,結(jié)合了兩種加密算法來加密TLS會(huì)話。分別是X25519(一種廣泛用于當(dāng)今TLS密鑰協(xié)商的橢圓曲線算法)和Kyber-768(一種抗量子密鑰封裝方法(KEM))。新的混合加密已在Chrome 116中提供。
Parekh Consulting首席分析師Parekh Jain表示:“谷歌保護(hù)Chrome加密密鑰免受后量子威脅的做法非常具有前瞻性。因?yàn)殡m然量子計(jì)算機(jī)的廣泛采用還需要數(shù)年時(shí)間,但當(dāng)下的網(wǎng)絡(luò)信息有被保存下來稍后解密的風(fēng)險(xiǎn)。”
08
NIST發(fā)布抗量子加密標(biāo)準(zhǔn)草案
8月,美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)發(fā)布了抗量子加密標(biāo)準(zhǔn)草案,希望將其打造成后量子加密的全球框架。這些標(biāo)準(zhǔn)基于NIST經(jīng)過七年流程篩選出來的抗量子加密算法。
NIST選擇的公鑰封裝機(jī)制是CRYSTALS-KYBER,以及三種數(shù)字簽名方案:CRYSTALS-Dilithium、FALCON和SPHINCS+。NIST表示,這些算法的目的是在可預(yù)見的未來,包括在量子計(jì)算機(jī)出現(xiàn)之后,能夠保護(hù)敏感的美國(guó)政府信息,并將其納入三個(gè)FIPS:FIPS 203、FIPS 204和FIPS 205。
09
CISA、NSA、NIST發(fā)布抗量子加密遷移資源
8月,美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)、國(guó)家安全局(NSA)和NIST發(fā)布了一份關(guān)于量子能力影響的情況說明書,敦促所有組織,特別是那些支持關(guān)鍵基礎(chǔ)設(shè)施的組織,通過制定自己的量子就緒路線圖,開始盡早規(guī)劃向抗量子加密標(biāo)準(zhǔn)的遷移。
說明書概要介紹了組織向抗量子加密遷移的各項(xiàng)準(zhǔn)備工作,包括:準(zhǔn)備密碼庫(kù)存、與技術(shù)供應(yīng)商合作以及評(píng)估其供應(yīng)鏈對(duì)系統(tǒng)和資產(chǎn)中的量子脆弱密碼的依賴。該情況說明書還為產(chǎn)品中使用量子脆弱加密技術(shù)的供應(yīng)商提供了建議。
美國(guó)國(guó)家安全局網(wǎng)絡(luò)安全總監(jiān)羅布·喬伊斯(Rob Joyce)表示:“向安全量子計(jì)算時(shí)代的過渡是一項(xiàng)長(zhǎng)期的、密集的社區(qū)努力,需要政府和行業(yè)之間的廣泛合作。關(guān)鍵是今天就踏上這一旅程,而不是等到最后一刻。”
10
安全技術(shù)社區(qū)發(fā)起抗量子加密聯(lián)盟
9月,由技術(shù)專家、研究人員和行業(yè)人士組成的技術(shù)社區(qū)發(fā)起了抗量子加密聯(lián)盟,以推動(dòng)公眾對(duì)抗量子加密算法的理解和采用。聯(lián)盟創(chuàng)始成員包括IBM、高通、微軟、MITRE、PQShield、SandboxAQ和滑鐵盧大學(xué)。
該聯(lián)盟最初將重點(diǎn)關(guān)注四個(gè)工作流程:
●推進(jìn)與抗量子加密遷移相關(guān)的標(biāo)準(zhǔn)。
●創(chuàng)建技術(shù)資料以支持相關(guān)領(lǐng)域的教育和人力資源發(fā)展。
●生成和驗(yàn)證開源、生產(chǎn)質(zhì)量的代碼,并為垂直行業(yè)實(shí)施抗側(cè)通道代碼。
●確保加密敏捷性。