不要等到抗量子密码学标准开发。
托马斯•Poeppelmann和马丁Schlaeffer
由于他们特殊的特性,量子计算机有破坏性的潜力取代现有传统计算机在许多应用程序中。举例来说,他们可以计算模拟的复杂分子化学和制药行业,汽车和航空工业执行复杂的优化,或创建新发现的分析复杂的财务数据。同时,量子计算机也提高许多安全问题,而今天他们没有真实世界的应用程序,他们的能力将显著增长,未来10年。根据米歇尔·莫斯卡,只有14%的几率RSA2048将在2026年被打破,但增长到2031年的50%。安全社区已经注意到了,已经准备量子攻击。
面临的挑战是我们还不知道它将成为标准,但由于莫斯卡定理现在,我们知道我们需要开始准备。根据莫斯卡,当X + Y > Z(其中X是数据的保质期;Y是时间把你的数据;Z是数年,直到稳定的量子计算机可用),是时候担心。换句话说,10年期跑道我们认为实际上是大大减少。
另外一个挑战是,我们还不了解强大的量子计算机将后代。这使得它不可能完全确定如果一个特定的方法将工作或会持续多久。将加密敏捷性的关键。
莫斯卡定理了,有很多数据集存在的今天,由于公司数据保留政策或监管要求,需要保密,防止操纵过去的时间我们希望量子攻击威胁。数据,这是不可能的等待抗量子密码学标准开发。
国家标准与技术研究所(NIST)开始后量子密码学(PQC)标准化过程在2016年准备抗量子加密算法。因为大多数对称元素相对容易修改的方式让他们抗量子,努力专注于公开密匙加密,即数字签名和密钥封装机制。现在六年多到流程,有讨论有关数字签名过程是否应该再次打开或需要更多的时间。
对于某些应用程序,基于散列签名,准备和已经标准化可以是一个很好的解决方案。他们被认为是非常安全的和量子的,由于他们的单向函数,可用于实现长期数据的完整性和真实性。由于这个属性,密钥保护得比较好,获得公共密钥的密钥需要打破现代加密哈希函数——一个很好的理解和非常困难的问题。基于散列签名算法由大哈希树和哈希链,使它们适合许多应用,如固件更新。它是构建一个哈希树计算昂贵,每一个关键(称为叶)分配密钥,每个非叶节点标签的密码散列标签的子节点。此外,由于每片叶子是一个独特的私钥为每个符号操作,它只能被使用一次。因此,所需的密钥数量越大,越大的树。这直接和重大影响需要多长时间来生成所需数量的键,增加了计算费用,甚至可以影响网络性能。说,一旦建进行签名,它提供了一个有效的算法会导致快速验证时间。
对于不适合的应用程序基于散列算法,目前还没有标准化的算法,可以用的。公司必须继续开发设备和需要包括密码学作为安全的一部分。这些公司面临的问题是他们应该选择什么算法,目前尚不清楚:
我们今天创造任何post-quantum加密(PQC)算法最终可能会变得过时。我们已经见过它发生。一个例子发生在2017年谷歌和证照,宣布了一项公共碰撞sha - 1算法——最受欢迎的一次性散列算法的致命的打击。虽然加密是可怕的本身的破坏,研究人员通常有一个不错的主意,当我们接近打破它,发展一个更强的替代。更相关的是,加密算法是深深融入系统,它可以很难转移到一个新的方案——这一事实可能会让系统变得脆弱。
这个场景在2004年MD5算法被打破了。它花了四年,直到研究人员演示了一个实际的攻击,四年之前,在实践中进行了大规模的攻击。然而,两年后,据报道,一些公司迫使他们的客户在几个月内过渡。总共花了十多年的时间MD5首次广为人知容易将它从使用因为过渡的疼痛迫使函数才让它发生。
这就是加密敏捷获得利益。它本质上是可以删除旧的破碎的算法和插入新的更强的版本。
努力实现后量子安全将依靠目前抗量子的解决方案,基于散列签名等固件更新,以及新技术。当我们展望未来的量子计算机世界,开始准备,这将是更重要的是接受加密的敏捷性。会有遗留系统运行一个特定的non-quantum安全算法。在未来,将会有新的算法,需要整合。系统生存迁移,需要设计一种加密敏捷,加密功能独立的模块,它们可以交换。没有加密的灵活性,我们将面对一个现实,系统本质上必须一次性——每次加密算法是打破,我们扔掉或从不更新他们。这不是一个现实的选择对于复杂和昂贵的系统。
与生活中的大多数事情一样,post-quantum世界会是什么样子充满了不确定性。不确定性对PQC标准。不确定性在量子计算机将会多么强大。和不确定性的新发现将解锁。一件事是肯定的——安全必须保持最新,以满足续传先进的攻击,唯一的方法就是通过接受加密的敏捷性。这是前卫的半导体和计算机设备制造业-谁认真对待安全投资关键技术,这将使他们的客户解决莫斯卡定理和量子技术的挑战。
托马斯Poeppelmann英飞凌科技首席工程师。
马丁Schlaeffer英飞凌科技公司首席工程师。
|
|
|
|
|
|
|
|
留下一个回复