NIST Cybersecurity White Paper 2021

原文标题《Getting Ready for Post-Quantum Cryptography: Exploring Challenges Associated with Adopting and Using Post-Quantum Cryptographic Algorithms》
原文链接 https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04282021.pdf

摘要：

加密技术在整个政府和行业中都被用于验证来源，并保护我们通信和存储的信息的机密性和完整性。本文描述了量子计算技术对经典密码学的影响，特别是对公钥密码系统的影响。本文还介绍了标准化过程完成后与后量子密码学相关的采用挑战。讨论了迁移到后量子密码学的规划要求。本文最后介绍了NIST帮助向后量子密码学迁移的下一步步骤。

加密技术

加密技术在整个政府和行业中都被用于验证来源，并保护我们通信和存储的信息的机密性和完整性。加密技术包括广泛的协议、方案和基础设施，但它们依赖于相对较小的加密算法集合。密码算法是这些加密技术核心的信息转换引擎。

加密算法是转换数据的数学函数，通常使用一个称为密钥的变量来保护信息。这些关键变量的保护对受保护的数据的持续安全至关重要。在对称加密算法的情况下，加密保护信息的发起者和接收者都使用相同的密钥。对称密钥必须保持秘密以保持保密性；任何具有该密钥的人都可以恢复未受保护的数据。不对称算法要求发起者使用一个密钥，而收件人使用不同但相关的密钥。其中一个非对称密钥（私钥）必须保密，但另一个密钥（公钥）可以在不降低加密进程安全性的情况下公开。这些非对称算法通常被称为公钥算法。

对称算法提供了保密性和完整性的高效处理，但密钥管理（即建立和维护只有通信各方已知的秘密）构成了一个挑战.对称算法提供了较弱的起源证明，因为交换的任何一方都可以计算变换。非对称算法通常需要更多的处理操作和时间，而不是提供超过非常少量的数据的保密保护。然而，这些算法对于加密密钥的建立和数字签名过程都是实用的。在公钥密码学的情况下，一对中的一个密钥可以被公开，并且不需要分发私钥。不对称密钥算法可以用于建立成对密钥，并对多对多通信中验证实体和/或数据源，而不需要密钥分发的秘密通道。因此，大多数加密实体或数据源身份验证和密钥建立功能都使用公钥加密。

量子计算技术对经典密码学的影响

不时地，发现密码学的弱点，依赖技术所施加的限制，或支持密码分析的技术的进步，使得有必要进行替换传统的加密算法。我们所依赖的大多数算法在世界各地许多不同的通信、处理和存储系统的组件中使用。

许多信息系统缺乏加密货币的敏捷性——也就是说，它们的目的不是支持在不进行系统的基础设施重大改变的情况下，快速适应新的密码原语和算法。因此，一个组织可能无法完全控制其加密机制和流程（完全控制它就可以对它们进行准确的修改，而不需要密集的手工努力）。

当一些系统的一些组件往往会被相对频繁的改进的组件所取代（如，手机），其他预计零部件将持续工作10年或更长时间（如，发电配电系统的部件）。通信互操作性和记录归档需求对系统组件引入了额外的限制。一般来说，在系统的所有组件都准备好处理替换之前，加密算法不能被替换。在引入新的加密算法时，通常必须实现对协议、方案和基础设施的更新。因此，算法替换可能具有极大的破坏性，通常需要几十年才能完成。

量子计算发展的持续进展预示着一个特别具有破坏性的密码转变。所有广泛使用的公钥密码算法理论上都容易受到基于Shor算法的攻击，但该算法依赖于只能通过大规模量子计算机实现操作。当实用的量子计算网络对手时，几乎所有现代公钥密码系统的安全性都将被打破。

因此，所有现在使用当前公钥算法保护的秘密对称密钥和私钥非对称密钥，以及这些密钥下保护的信息，都将被暴露。这包括受这些公钥算法保护的所有记录的通信和其他存储信息。任何仍然被认为是私人的或其他敏感的信息都将容易受到暴露和未被发现的修改。

一旦利用Shor的算法成为现实，保护存储的密钥和数据将需要使用抗量子算法重新加密它们，并删除或物理保护“旧的” 副本（如，备份）。完整性和信息源将变得不可靠，除非它们被使用一种不易受量子计算（攻击）影响的机制处理或封装（例如，重新签名或加盖时间戳）。无法采取任何措施来保护以前由对手存储的加密材料的机密性。

许多密码学研究人员已经为算法的发展做出了贡献，这些算法的安全性不会被Shor的算法或其他已知的量子计算算法所降低。这些算法有时被称为量子抵抗，但我们对量子计算能力的理解几乎肯定是不完整的。本文介绍了一个为存在实际量子计算的世界设计的加密算法——后量子算法。

后量子密码学

反映在NIST’s 2016 Report on Post-Quantum Cryptography和2020 Status Report on the Second Round of the NIST Post-Quantum Cryptography Standardization Process，后量子公钥密码标准的开发工作正在进行中，而算法的选择过程也尽在掌握。算法的选择预计将在未来一两年完成，关于标准和实施准则的工作将迅速进行。然而，经验表明，在最好的情况下，在密码标准发布后将需要5到15年或更长时间，才能全面实施这些标准。不幸的是，后量子公钥标准的实现可能比引入新的经典密码算法更有问题。在缺乏重要的实施规划的情况下，社区可能需要几十年才能取代目前正在使用的大多数脆弱的公钥系统。

目前需要公钥密码学的最关键的功能是密钥建立（即密钥的安全生成、获取和管理）和数字签名应用程序。理想的方法是用“插入”替换量子脆弱算法(如RSA和Diffie-helhelman)。后量子密码学有多个候选类。不幸的是，每个类都至少有一个安全实现的要求使得插入替换不合适。

例如，一些候选对象具有过大的签名大小，涉及过度的处理，需要非常大的公钥和/或私钥，需要在发送方和接收方之间进行不对称的操作以及要求应答者根据发起者的公共价值生成消息，以及/或涉及与计算结果相关的其他不确定性。根据算法和使用该算法的操作，即使在所有参数实现正确的情况下，安全实现可能需要解决诸如公钥验证、公钥重用、解密失败等问题，需要选择新的辅助功能（如哈希函数与公钥算法一起使用的数字签名）。即使在可能进行安全操作的情况下，性能和可伸缩性问题也可能需要对协议和基础设施进行重大修改。

与后量子密码学相关的挑战

正如在 Lidong Chen 的文章中所讨论的那样，由于不同的实现约束，未来的后量子密码学标准很可能会为不同的应用程序指定多种算法（如，对大签名大小或大密钥的敏感性）。例如，签名或密钥大小对于某些应用程序可能不是问题，但在其他应用程序中是不可接受的。在这种情况下，NIST标准可以认识到对不同的应用程序来部署不同的算法的需求。另一方面，现有的协议可能需要进行修改，以处理更大的签名或密钥大小（如，使用消息分割）。新的应用程序的实现将需要适应后量子密码学的需求，并允许新的方案能够适应它们。事实上，后量子密码学的需求实际上可能会塑造一些未来的应用标准。

算法的替换通常需要更改或替换密码库、实现验证工具、实现或加速算法性能的硬件、依赖的操作系统和应用程序代码、通信设备和协议，以及用户和管理程序。需要更改或更换安全标准、程序和最佳实践文档，安装、配置和管理文档也是如此。当你决定替换一个算法时，有必要开发一本考虑到所有这些因素的剧本。剧本中的一些元素取决于被替换的算法和替换算法的特征。开发详细的迁移剧本所需的其他元素可以在选择替换算法并记录下来之前进行确定——例如，系统的发现和文档化，应用程序、协议以及使用或依赖于被替换的算法的其他基础设施和使用元素。

从当前的一套公钥算法迁移到后量子算法的先决条件是确定公钥密码学用在哪里以及用于什么目的。公钥密码学已经集成到现有的计算机和通信硬件、操作系统、应用程序、通信协议、关键基础设施和公司中访问控制机制。公钥密码学使用的示例包括：

用于提供源身份验证和完整性身份验证，以及支持不否定消息、文档或存储数据的数字签名。
用于建立经过身份验证的通信会话或为执行特定操作所提供的授权的身份验证过程。
对称密钥（例如，密钥包装、数据加密和消息认证密钥）和其他密钥材料（例如，初始化向量）的密钥传输。
权限授权流程

许多信息技术(IT)和操作技术(OT)系统依赖于公钥密码学，但许多组织没有关于该密码学使用地点的清单。这使得很难确定后量子算法需要在哪里以及使用什么优先级来取代当前的公钥系统。迫切需要工具来促进发现在现有技术基础设施中使用公钥密码学。

同样，网络安全标准和指导方针以及由此产生的操作指令和命令一般会规定或假定使用公共密钥密码学。目前还没有这些清单可以指导更新标准、指南和法规，以适应向后量子密码学的迁移。