隨著技術(shù)發(fā)展的突飛猛進，量子計算機的威脅日益凸顯。盡管量子計算機有望在天氣預(yù)報、藥物研發(fā)和基礎(chǔ)物理學(xué)等領(lǐng)域帶來革命性的變革，但它也對現(xiàn)行加密體系構(gòu)成了顯著威脅。這種威脅并非僅限于未來；如今截獲的任何敏感數(shù)據(jù)都有可能被儲存起來，待量子計算機具備足夠能力后解密。這種“先收集后解密”的策略嚴重威脅著我們的數(shù)字通信保密性、醫(yī)療記錄、金融交易以及國家安全。

量子算法：格羅弗(Grover)算法與肖爾(Shor)算法

量子計算機借助量子力學(xué)原理，能夠以空前的速度執(zhí)行特定類型的計算任務(wù)。其中，兩種量子算法對現(xiàn)行密碼體系構(gòu)成了直接威脅：格羅弗算法和肖爾算法。

格羅弗算法：此算法能夠在未排序數(shù)據(jù)庫中進行搜索，其速度相較于任何經(jīng)典算法均快四倍。盡管它并未直接攻破密碼系統(tǒng)，但顯著削弱了諸如AES（高級加密標準）和SHA-2（安全散列算法2）等對稱密鑰算法的安全性，從而需要更長的密鑰以確保安全。

肖爾算法：該算法能夠以指數(shù)級速度分解大整數(shù)，遠勝于經(jīng)典計算機上運行的現(xiàn)有最優(yōu)算法。這對于依賴大數(shù)分解或離散對數(shù)問題難度的非對稱加密算法（例如RSA、ECC（橢圓曲線密碼學(xué)）及DSA（數(shù)字簽名算法））而言，尤為危險。一旦擁有足夠強大的量子計算機運行肖爾算法，這些密碼體系將被破解，進而失效。

美國國家標準與技術(shù)研究院（NIST）后量子密碼學(xué)標準

為應(yīng)對迫切需求，美國商務(wù)部下屬的國家標準與技術(shù)研究院（NIST）始終走在推動后量子密碼學(xué)（PQC）標準發(fā)展的前列。為此，NIST組織了一場競賽，以選拔最優(yōu)的PQC算法。2024年8月13日，NIST宣布了首批旨在抵御量子計算機網(wǎng)絡(luò)攻擊的算法定稿。這一里程碑事件標志著八年努力的結(jié)晶，并匯聚了全球密碼學(xué)領(lǐng)域的力量，共同開發(fā)和評估能夠捍衛(wèi)我們數(shù)字未來安全的算法。

NIST最終確定的標凈涵蓋三種核心算法，分別針對密鑰封裝和數(shù)字簽名等特定應(yīng)用領(lǐng)域。這些算法包括：

ML-KEM（FIPS 203，即原CRYSTALS-Kyber）：該算法基于格問題構(gòu)建，格問題被認為具有抵抗量子攻擊的特性。ML-KEM在安全性、效率及實施便捷性方面表現(xiàn)均衡，適用于一般加密場景。其密鑰尺寸小且封裝/解封裝速度快，特別適合資源受限的環(huán)境。

ML-DSA（FIPS 204，即原CRYSTALS-Dilithium）：與ML-KEM相似，ML-DSA同樣基于格問題設(shè)計，但專為數(shù)字簽名而優(yōu)化。它提供了強大的安全保障及高效的運算性能，非常適合需要身份驗證和數(shù)據(jù)完整性的應(yīng)用場景。

SLH-DSA（FIPS 205，即原SPHINCS+）：該算法采用無狀態(tài)哈希技術(shù)，提供了與傳統(tǒng)基于格的方法不同的安全特性。SLH-DSA以其簡潔性和對各類攻擊的強魯棒性而備受推崇。

在這三類算法中，ML-KEM和ML-DSA預(yù)計將被廣泛部署。NIST還有望于2024年年末發(fā)布基于Falcon算法的FN-DSA（FIPS 206）草案標準。該數(shù)字簽名算法運用了結(jié)構(gòu)化格。

回溯至2020年，NIST還發(fā)布了SP 800-208標準，其中引用了抗量子的有狀態(tài)哈希基簽名方案──萊頓·米利奇簽名（LMS）系統(tǒng)以及擴展默克爾簽名方案（XMSS）。LMS和XMSS均依托于默克爾樹結(jié)構(gòu)，該結(jié)構(gòu)為管理和驗證眾多簽名提供了一種安全且高效的方式。LMS系統(tǒng)采用基礎(chǔ)的默克爾樹，而XMSS則融入了更多額外特性。這使得這些系統(tǒng)的性能因使用場景的不同而存在差異，最終決定了哪個系統(tǒng)更適宜于特定的應(yīng)用情形。

展望未來：NIST第四輪量子防護標準制定

NIST不斷評估新增算法，旨在確保密碼學(xué)領(lǐng)域具備多樣性與安全性。目前，NIST已經(jīng)開啟了第四輪標準化努力，其中一組額外的密鑰封裝算法正接受評估，目的是尋找更多算法以補充現(xiàn)有的已標準化算法集合。預(yù)計第四輪將篩選出一至兩種算法，并計劃在2025年發(fā)布相應(yīng)的公共草案。參與第四輪評估的密鑰封裝算法包括Classic McEliece、BIKE和HQC。

2022年9月，NIST還啟動了另一輪針對額外后量子密碼學(xué)（PQC）數(shù)字簽名方案的標準化工作。在此輪工作中，NIST主要關(guān)注非基于結(jié)構(gòu)化格的通用算法，同時對使用短簽名和快速驗證的算法表現(xiàn)出濃厚興趣。任何基于格的簽名算法需顯著超越ML-DSA和FN-DSA的性能，并/或確保提供額外的安全特性。近期，NIST已經(jīng)選定14種新型數(shù)字簽名算法進入標準化的第二輪流程，這些算法包括：CROSS、FAEST、HAWK、LESS、MAYO、Mirath、MQOM、PERK、QR-UOV、RYDE、SDitH、SNOVA、SQIsign和UOV。預(yù)計第二階段的評估將持續(xù)12至18個月。

CNSA v2.0：推進美國國家安全量子防護密碼學(xué)

2022年9月，國家安全局（NSA）發(fā)布了商業(yè)國家安全算法（CNSA）套件2.0版本，并于2024年4月更新了其常見問題解答（FAQ）。CNSA是一套由NSA推薦的加密算法集，用于保護美國政府國家安全系統(tǒng)（NSS）及信息。量子計算對密碼算法構(gòu)成的威脅在2.0版本中首次得到應(yīng)對。因此，2.0版本推薦的所有算法均符合NIST標準且具備量子抗性（QR），涵蓋AES、SHA、LMS、XMSS，以及近期發(fā)布的PQC標準ML-KEM和ML-DSA。

NSA還借助CNSA推動NSS采納PQC的時間進程。NSA對此事項的重視程度從CNSA v2.0的以下表述中可見一斑：“NSA預(yù)期至2035年，NSS向量子抗性算法的轉(zhuǎn)換將依照國家安全備忘錄NSM-10完成。NSA敦促供應(yīng)商以及NSS的所有者和運營方竭盡全力達成該截止日期。在過渡期內(nèi)，NSS的所有者和運營方在配置系統(tǒng)時需優(yōu)先選用CNSA 2.0算法。在恰當(dāng)?shù)那樾蜗拢珻NSA 2.0算法在NSS的商業(yè)產(chǎn)品類別中的運用將是強制性的，同時保留允許在特定用例中使用其他算法的選擇權(quán)。”

后量子密碼學(xué)產(chǎn)品

顯然，為了保護當(dāng)今的數(shù)據(jù)和系統(tǒng)在未來不受量子計算威脅，對量子抗性密碼解決方案的需求日益迫切。

新思科技擁有一系列廣泛的安全IP產(chǎn)品組合，從密碼核心、PUF IP到預(yù)構(gòu)建的嵌入式硬件安全模塊（帶有信任根）。其真隨機數(shù)生成器（TRNGs）、PUF IPs、對稱和哈希核心已經(jīng)具備量子抗性。針對公鑰基礎(chǔ)設(shè)施安全所需的非對稱IP，新思科技推出了新的Agile PQC公鑰加速器（PKAs），符合NIST批準的PQC算法ML-KEM、ML-DSA、SLH-DSA、LMS、XMSS，并旨在抵御從邊緣到云的各種應(yīng)用中的量子計算威脅。

新思科技量子抗性PKAs的最重要特性之一是其可適應(yīng)性，結(jié)合了硬件和嵌入式固件以實現(xiàn)性能和算法更新的靈活性。這一點至關(guān)重要，因為PQC標準將持續(xù)發(fā)展。因此，現(xiàn)場部署的系統(tǒng)必須能夠處理更新和補丁，以確保它們隨時間保持量子抗性。

除PQC外，PKAs還支持傳統(tǒng)的ECC和RSA算法，確保當(dāng)下及未來廣泛的密碼學(xué)覆蓋范圍，包括混合模式支持。由于其高度可配置和可擴展，該IP能夠針對性能、面積、功耗和延遲進行優(yōu)化。

新思科技Agile PQC PKAs支持完整的PQC數(shù)字簽名、密鑰封裝和生成功能，并提供FIPS 140-3認證支持、安全密鑰接口，以及可選的針對旁路和故障注入攻擊的對策。借助新思科技Agile PQC PKAs，設(shè)計人員能夠保護敏感數(shù)據(jù)和系統(tǒng)免受未來量子威脅，確保政府、企業(yè)和消費者的長期安全。

做好應(yīng)對量子計算威脅的準備

量子威脅并非遙遠的假設(shè)，而是逐漸逼近的現(xiàn)實。各組織必須即刻行動起來，以保護它們的敏感數(shù)據(jù)和確保數(shù)字未來的安全性。鑒于NIST最終確定的后量子密碼學(xué)標準已經(jīng)可供立即使用，因此刻不容緩。

量子計算的出現(xiàn)既帶來了巨大的機遇，也帶來了嚴峻的挑戰(zhàn)。盡管其解決復(fù)雜問題的潛力是巨大的，但對現(xiàn)行密碼系統(tǒng)的威脅卻不容忽視。NIST最終確定的PQC標準標志著守護我們數(shù)字未來的關(guān)鍵一步，新思科技在此助您順利完成過渡。立即采取行動以保護您的數(shù)據(jù)，并確保您的組織在量子時代的安全未來。

若想了解更多關(guān)于如何將后量子密碼學(xué)集成至您系統(tǒng)中的信息，請即刻與我們?nèi)〉寐?lián)系。我們的專家隨時準備助力您應(yīng)對PQC的繁雜事宜，并確保您的數(shù)據(jù)在量子時代得以安全存續(xù)。