作者：是德科技創新總監Durga Ramachandran

為了應對量子計算的最終問世，數字基礎設施必須完成向后量子密碼學（PQC）的過渡，這是一項至關重要的準備工作。美國國家標準與技術研究院（NIST）已選定CRYSTALS-Kyber、CRYSTALS-Dilithium等算法推進標準化，這些算法均建立在研究充分、數學層面穩健的基礎上。然而，僅有強大的算法設計還遠遠不夠，如果部署過程存在安全隱患，密碼系統仍將面臨風險——算法安全性并不等同于部署安全性。

縱觀密碼學的歷史，許多系統遭到破壞，并非因為算法本身存在缺陷，而是因為其實際部署過程中存在漏洞。此篇是德科技文章將對其中的緣由和歷史教訓進行一一剖析，并針對實際挑戰給出解決方案。

部署漏洞：RSA帶來的教訓

在密碼系統因實際部署缺陷而被攻破方面，RSA堪稱典型案例。自1977年問世以來，盡管RSA的數學安全性無明顯爭議，但各類側信道攻擊與故障注入攻擊仍屢屢對其部署方案發起進攻，并成功突破其防御。

從20世紀90年代末開始，諸如時序分析、簡單功耗分析（SPA）、差分功耗分析（DPA）、相關功耗分析（CPA）等攻擊手段，以及Bellcore CRT攻擊（1996年）等故障注入技術，均揭示了部署層面缺陷的利用方式。近年來，機器學習輔助的側信道攻擊，進一步暴露了原本安全的密碼部署中的弱點。

安全實現PQC的挑戰

在實際系統中部署PQC算法將面臨多重技術挑戰。像嵌入式系統、物聯網平臺及移動硬件這類設備，往往受限于內存容量、處理器速度和能源供應等資源約束。開發者為滿足性能要求，常會采用各類優化技術，卻可能在無意中引入安全缺陷。

相較于RSA或ECC等傳統算法，PQC算法通常涉及更大的密鑰長度、更復雜的數學運算及更高的計算成本。因此，這類算法本身就更難實現安全部署，在資源受限的環境中尤其如此。而這些復雜性可能會增加側信道泄露風險，或引發操作不一致問題，為攻擊者提供可乘之機。

PQC部署的成熟度與復雜性

PQC標準相對較新，其部署生態系統仍在逐步完善中。相較于AES和RSA等經過數十年廣泛研究與部署的傳統密碼原語，PQC在實際場景中的使用經驗仍較為有限。

此外，許多PQC方案（尤其是基于格和基于碼的設計）引入了新型數學構造，增加了部署復雜度。例如，涉及多項式乘法、矩陣運算、拒絕采樣的操作必須精確處理，以防止意外的信息泄露。內存訪問模式或控制流的細微變化都可能導致敏感數據暴露。

當下的部署風險

盡管PQC部署的誕生時間尚短，但它們已顯露出對傳統攻擊技術的脆弱性，包括：
·側信道攻擊（SCA）：利用時序波動、功耗變化或電磁輻射差異提取密碼機密。
·故障注入（FI）攻擊：通過電壓毛刺、時鐘操控或激光脈沖等手段誘發故障，以此影響計算過程并推斷出機密數據。
·模板與基于機器學習的攻擊：利用統計模型或基于訓練的方法，識別并利用部署行為漏洞。

安全的壽命與“先存儲，后解密”模式

行業正在加速PQC的采用，以應對“先存儲，后解密”（SNDL）的威脅，即攻擊者現在竊取加密數據，以圖在量子能力成熟后，再利用該能力解密數據。盡管這種主動防御措施十分必要，但它并不能消除部署漏洞帶來的風險。

密碼產品生命周期常長達十年以上。部署后的一個漏洞，也可能危及多年的數據保密性。隨著攻擊方式的演進，若未能針對各類威脅做好充分加固，即使是最初是安全的部署方案，也可能會被利用。

安全PQC部署的最佳實踐

為確保PQC部署的長期安全性，以下措施值得推薦：
·恒定時間執行：消除數據依賴型時序行為，防范基于時序的攻擊。
·掩碼與盲化技術：通過引入隨機性，保護中間計算過程免受側信道分析攻擊。
·故障檢測與冗余：設計系統以實現對運行過程中注入故障的檢測、容忍或排除。
·形式化驗證：借助專用工具與自動化分析，對部署的安全性進行驗證。
·持續評估：定期對實現方案進行測試、密碼分析和審查，以識別并修復新出現的漏洞。

行業協作與遵循開放標準（如NIST和ISO制定的標準）對在不同平臺間實現安全且可互操作的部署至關重要。

如需深入了解相關標準與實施挑戰，請參見白皮書《嵌入式系統后量子密碼學安全部署》。

結語

PQC可助力應對量子計算帶來的日益嚴峻的威脅，但向PQC的過渡必須伴隨對安全部署的嚴格關注。PQC算法的復雜性，加之其部署實踐尚不成熟，帶來了不容忽視的現實風險。

密碼領域從經驗中認識到：強大算法的安全性取決于其最薄弱的部署環節。為了充分發揮PQC的價值，研究人員與從業者都必須將部署安全性視為基礎設計目標，以確保當下部署的系統在未來仍能抵御各類威脅。