恩智浦：向后量子密碼學遷移，我們應該怎么做？

在之前的博文中，我們介紹了由美國國家標準與技術研究院 (NIST) 主導的后量子密碼學 (PQC) 標準化進程，以及未來可能采用的部分PQC標準。在這篇博文中，我們探討PQC遷移過程中面臨的一些挑戰，研究應對這些挑戰的策略。

已公布的PQC標準及其最近發布的草案讓我們距離廣泛部署PQC更近一步。PQC遷移過程將是迄今為止公鑰密碼學領域的一次重大變革，影響數十億設備和全球數字安全基礎設施。

向PQC遷移：充滿挑戰的道路

傳統的非對稱密碼學基于RSA或ECC方案，是現代數字基礎設施的重要支撐。向PQC遷移將面臨許多挑戰。

首先，需要考慮計劃和部署。這不僅包括密鑰、密文和簽名的大小，還包括內存和效率的影響。其次，許多公鑰基礎設施需要升級。特別是，美國國家標準與技術研究院正在標準化的一些方案在功能上與基于RSA和ECC的方案不同，這意味著廣泛使用的協議需要做出相應的調整。第三，要根據每個具體用例的風險分析來確定遷移的時機。例如，影響力更大的基礎設施比為智能家居設計的物聯網設備更易成為惡意實體的攻擊目標。前者應該盡早制定遷移計劃，而后者可能根本不需要遷移。

除了遷移外，還要注意的是，正在標準化的PQC算法相比傳統的算法還不夠成熟，尤其是在物理安全方面。對于嵌入式設備，特別是部署在敵對環境中的設備，抵御物理攻擊者也面臨一系列挑戰。例如，我們討論了加固大多數PQC密鑰封裝機制 (KEM) 的困難，以及一些針對特定用例的非常規方法來防止攻擊。顯然，無論PQC部署在何處，依賴PQC的機制或協議的安全性都是至關重要的：我們需要創建一個既能保持傳統密碼學提供的當前安全性，又能增強對量子攻擊者防御的系統。

恩智浦致力于與客戶共同應對量子計算機帶來的挑戰。

混合PQC機制：一種規避風險的解決方案

要實現傳統密碼學保護和后量子密碼學保護的雙重目標，可以使用混合PQC，將傳統的非對稱密碼學方案和后量子密碼學方案結合起來。德國BSI和法國ANSSI等多個國家機構都推薦使用混合方法。

在混合系統中，信息安全依賴于兩種或多種密碼學方案：僅僅破解其中一種方案并不能完全攻破系統。一般來說，與單獨使用PQC相比，同時使用傳統算法和PQC所帶來的通信或存儲開銷很小，因此這種規避風險的做法代價相對較低。對于數字簽名，部署可以非常簡單，只需包含一個傳統簽名 (ECDSA或RSA) 和一個PQC簽名(ML-DSA、SLH-DSA、LMS或XMSS)，同時進行驗證，且必須同時通過驗證。對于密鑰協商 (key establishment)，情況就比較復雜，因為要將一個KEM (如ML-KEM) 與ECDH (E) 結合起來需要考慮一些細節。另外，TLS握手的推薦方法與IKEv2的方法也有所不同。

混合機制的各種標準和指南還在制定，它們將有助于實現互操作性。例如，在密鑰交換階段，標準和指南確保通信雙方以正確的順序和格式將輸入送入密鑰派生函數，從而得到相同的會話密鑰，并可靠地進行后續安全通信。這些標準和指南也將幫助產品和系統避免使用較弱的機制。

密碼學敏捷性：一個遠大的目標

為了減輕未來潛在必要更新的影響 (無論是為了適應未來的PQC標準，還是為了及時應對密碼分析的新進展)，都可以通過提高密碼學的敏捷性來實現。密碼學敏捷性可以定義為一個系統在遇到新的安全或法規要求時能夠輕松進行調整的能力。它不僅包括從一種算法遷移到另一種算法，還包括采用其他方法，例如在實現或安全參數方面具有一般靈活性。

對于資源受限的嵌入式設備，實現任何形式的密碼學敏捷性都需要付出很高代價。通過風險分析，評估收益成本比，以及評估基礎設施是否能夠適應替代的模式，是非常重要的。例如，一種保守的方法是從基于PKI的密鑰協商退回到預共享的對稱密鑰，這些密鑰可以用來安全地更換密碼系統，即使用于常規更新的基于PKI的密鑰協商被攻破了。

然而，對于許多用例來說，這并不可行，無論是因為增加了密鑰存儲的需求和攻擊面，還是因為難以預測未來哪些設備可能會進行配對。遺憾的是，提高敏捷性有可能帶來額外的復雜性和漏洞。必須確保對系統的任何修改或調整只能由經過認證的來源發起，并且不能影響安全性。

在前量子世界，恩智浦利用其在Edgelock安全區域和Edgelock安全芯片中的信任根等來實現這一點。

這些問題以及其他問題都是PQC風險評估的重要內容。對于那些在近期將使用 (混合) PQC的設備，有必要評估它們過渡到新算法并支持新算法的能力，以便盡可能縮短全系統遷移所需的時間。

為了確保順利遷移，還需要在應用研究、工程和標準化方面付出巨大努力。毫無疑問，我們迫切需要制定、評估和標準化遷移方案和策略，確保安全性和互操作性。目前，密碼資產的提供者應該意識到需要建立全面的密碼庫，以便能夠迅速推出敏捷的解決方案。這種新的混合方式 (PQC的未來) 凸顯了密碼學敏捷性的重要性和相關性，是未來多年預測和應對密碼威脅的使能因素。

本文作者

Melissa Azouaoui是恩智浦半導體公司CTO機構的密碼與安全能力中心(CCC&S)的資深譯碼員。她于2021年獲得比利時魯汶天主教大學(UCLouvain in Belgium)博士學位，在恩智浦德國公司工作，專注于對稱密碼學和非對稱密碼學的旁路攻擊防護及評估。Melissa是后量子密碼學團隊的成員，在恩智浦的工作包括旁路攻擊和故障注入攻擊及防護，特別關注基于晶格和基于哈希的密碼學。

本文作者

Joppe W. Bos是恩智浦半導體公司技術總監兼CTO機構的密碼與安全能力中心(CCC&S)的譯碼員。他常駐比利時，是后量子密碼學團隊的技術負責人，擁有20多項專利，發表過50篇學術論文。他是IACR Cryptoology ePrint Archive的聯合編輯。

本文作者

Christine Cloostermans是恩智浦半導體公司CTO機構的密碼與安全能力中心 (CCC&S) 的資深譯碼員。她在圖埃因霍溫大學 (TU Eindhoven) 獲得了基于晶格的密碼學相關的博士學位。Christine參與發布過10多篇科學文章，并發表過多場后量子密碼學領域的公開演講。除了PQC，她還積極參與多項標準化工作，包括工業領域的IEC62443、移動駕駛執照的ISO18013以及連接標準聯盟的訪問控制工作組。

本文作者

Gareth T. Davies是恩智浦半導體公司CTO機構的密碼與安全能力中心(CCC&S)的資深譯碼員。他是后量子密碼學團隊成員，從事包括協議分析、認證方案和標準化等多個主題的研究工作。

本文作者

Sarah Esmann是NFC和物聯網安全領域資深產品經理兼產品管理主管，恩智浦安全連接邊緣業務部。Sarah與后量子密碼學團隊保持緊密的商業合作關系，參與了多個項目的推進。