立即为新的后量子密码学标准做准备

由 NXP Semiconductors 共同编写的安全算法已被美国商务部国家标准与技术研究院 (NIST)选中，成为全球后量子密码学(PQC) 标准的一部分，以防止来自量子计算机的攻击。由 NXP 与 IBM、Arm 和学术合作伙伴合作提交的基于CRYSTALS-Kyber晶格的密码算法被选为后量子公钥标准。

CRYSTALs-Kyber 算法是 NIST 选择的前四种加密算法之一，经过六年的努力开发加密方法以防止来自量子计算机的威胁。其他三种算法是CRYSTALS Dilithium、  FALCON和 SPHINCS+。这些算法基于结构化格和散列函数。

NIST 正在考虑另外四种算法，包括由 NXP 合着的 Classic McEliece，该算法正在进入第四轮也是最后一轮进行进一步分析。

NIST PQC 标准的范围。。（来源：恩智浦半导体）

NIST 在全球范围内收到了 69 份新安全标准的提交，经过了几轮决赛。这些加密算法有两个主要工作：保护通过公共网络交换的信息的通用加密和用于识别的数字签名。

新的 PQC 算法将用于开发新的公钥加密标准，该标准可用于传统计算机和量子计算机，使公司能够在量子威胁之前过渡到新的安全系统。标准草案预计在 2024 年发布。

新的密钥交换标准将加入当今的标准，包括 NIST SP 800-56A Rev. 3，该标准指定了过渡阶段的 Diffie-Hellman 或椭圆曲线变体密钥交换。业界预计，在某些时候，这两种当前方法将不再安全，所有行业产品都必须迁移到新的后量子安全密钥交换标准。

为什么需要新标准

NXP 表示，网络安全专家认为，大规模量子计算机一旦实现，将能够“在很短的时间内”破解当今的公钥加密系统，从而使数据、数字签名和设备易受攻击。

量子计算机使计算速度提高了许多倍，并“开辟了一个全新的计算领域”，其应用范围广泛，包括医疗保健、材料、可持续性、金融交易和大数据，以及其他复杂的问题和NXP 的高级首席密码学家 Joppe Bos 说。

他说：“量子计算能力的兴起不仅带来机遇，而且肯定也存在一些风险。”

Bos 说，如果有一台具有足够数量的量子比特的大型量子计算机，但目前尚不可用，那么它可以立即破解所有当前使用的公钥加密——RSA 和椭圆曲线加密（ECC）。他补充说，这对今天存储的数据有各种影响，因为它可以在未来被追溯解密。

引用的一些数据可能受到损害的示例包括具有安全影响的车辆无线更新、金融交易、审计跟踪以及区块链和加密货币交易。“正如我们今天所知，所有这些严重基于公钥加密的应用程序都将变得不安全，”他补充道。

Bos 说，这个问题很早就被认识到了，并决定寻找一种新的公钥标准，该标准不仅可以抵御来自经典计算机的攻击，还可以抵御使用量子计算机的攻击，从而产生后量子加密。

他明确表示，后量子密码学不需要量子计算机来运行算法。它们可以在传统的硬件平台和 CPU 上运行。该术语指的是后量子时代的安全性，也称为量子安全。

Bos 表示，随着 NIST 的宣布，公司将开始为即将到来的新标准准备他们的产品路线图。恩智浦处于一个非常特殊的市场，以高保证实施为目标，“我们需要为这些新型算法找到所有这些对策，这很重要……”以确保所有产品——软件和硬件——都是安全的对抗高级攻击。

“我们需要确保未来的产品，更重要的是，现在推出的产品可以在未来使用这种新的公钥标准无缝升级到后量子加密，”他说。

他将此称为“加密敏捷性”，其中有一种定义的方式可以无缝转换或升级您的加密库，以便在后量子世界中保护数据。

“我们需要确保这些新算法得到安全实施，并且可以在我们现有的和新的平台上运行，所以这是我们目前非常忙的事情，”Bos 说。

“最大的好处是它对量子计算机是安全的，但与现在运行的算法相比，它有很大的缺点，”他说。

他补充说，密钥更大，通常更慢，需要更多内存才能运行。

那么，您如何帮助 OEM 客户为新标准做好准备？Bos 说，这主要与设定要求有关，并帮助他们进行影响评估。

尽管新算法可以在今天的计算机上运行，但在某些平台上运行可能并不可行。Bos 说，特别是对于智能卡等资源受限的平台，它根本不适合，并补充说它们无法满足运行更大、更慢的算法的性能要求。

这就是恩智浦去年开始开发新硬件设计以确保公司能够为即将推出的产品加速后量子加密的原因之一。

但对于从移动到工业物联网的所有行业来说，这是一个巨大的挑战，Bos 说。在接下来的几十年中，使用某种形式的安全性的每个细分市场都需要升级到这个新标准。

Bos 说，最初，许多政府正在推出带有迁移期的路线图，该路线图需要同时遵守后量子密码学和当前的加密标准，以“安全起见”。“当对这种新的后量子加密标准有足够的信任时，我们将完全放弃 RSA 和 ECC。”

审核编辑 黄昊宇