後量子密碼學(PQC)標準在8月13日正式發布,成為全球矚目的焦點,因為這次推出的3項新標準是為未來而準備,也就是為日後量子破密威脅所設計,如今美國國家標準暨技術研究院(NIST)首度宣布推出的是FIPS 203、FIPS 204、FIPS 205,接下來還有第4個標準將在年底出爐。
回顧PQC標準的制定,總共歷經8年時間,最早從2016年美國NIST就開始舉行PQC密碼學競賽,當時收到來自25個國家的82個提交算法,之後進行了3輪淘汰賽,直到2022年先選出4個候選算法,也就是CRYSTALS-Kyber、CRYSTALS-Dilithium 、 FALCON、SPHINCS 。目的就是選出可抵禦量子破密威脅的數學問題,以保護現在與未來的安全。
不過,首批候選算法在進入標準化程序後,有學者發布論文質疑一項數學方法,還好後來相關問題釐清。在今年初,一篇由中國清華大學陳一鐳撰寫的論文發表在ArXiv網站,聲稱基於網格密碼學(Lattice-based)的算法實際上並無法對抗量子破密,由於首批4個候選算法中,就有3個是基於網格密碼學,因此引起PQC學者相當大的關注,之後一周內有人發現其論文中的論點有一個缺陷,才消除這方面的疑慮。這也顯示,很多人持續在試圖破解這些算法,但只要越經得起考驗,也就越會安全。
歷經多年的發展,這些PQC加密方案終於在本周完成標準化程序,並且有3項PQC標準正式出爐,NIST也公開了更多關於新標準的細節。
NIST表示,雖然自草案版本以來,這些標準沒有實質上的改變,但NIST現在更改了這些算法的名稱,以指定最終標準使用的版本。具體而言,這次公布的聯邦數據處理標準(FIPS)包括:
●FIPS-203 (ML-KEM)
●FIPS-204 (ML-DSA)
●FIPS-205 (SLH-DSA)
基本上,這些加密新標準可分成兩大應用面,一是通用加密(General encryption),用於保護在公共網路上交換的資訊,一是保護數字簽名(Protecting digital signatures),用於身份認證。
在通用加密方面,以FIPS 203為主要標準,這項標準是基於CRYSTALS-Kyber算法而來,現已重命名為ML-KEM,代表Module-Lattice-Based的密鑰封裝機制(Key-Encapsulation Mechanism)。這項標準的優勢在於屬於相對小型的加密密鑰,可方便交換且執行快速。
在數字簽名方面,以FIPS 204為主要標準,此標準使用CRYSTALS-Dilithium算法,現已更名為ML-DSA,代表Module-Lattice-Based的數字簽名算法。
此外,FIPS 205也是為數字簽名設計的標準,這項標準使用Sphincs 算法,現已更名為SLH-DSA,代表Stateless Hash-Based的數字簽名算法。由於這項標準使用了與ML-DSA不同的數學方法,若是ML-DSA被發現有漏洞時,將可作為備用方法使用。
後續還有哪些重要發展?NIST表示,他們還有FIPS 206會在稍晚發布,估計是2024年底,此項標準是使用FALCON算法,並會更名為FN-DSA。
而且,PQC標準的評選也尚未結束,NIST還在繼續評估其他兩組算法,希望這些算法能成為備用的標準,以持續確保我們的安全。
其中一組是通用加密類型,將選出不同於ML-KEM的數學方法,預計從3個算法中選出1到2個。
另一組是數字簽名類型,主要是NIST希望促進數字簽名組合多樣化,因此在2022年再次公開徵求額外的算法,並已開始對其進行評估,預計將從15個算法選出下一輪的名單,繼續進行測試、評估與分析。
不過,在關注PQC標準發展之餘,NIST提醒大家,沒有必要等待未來的標準,現在就可以開始使用這3項新標準,立即為應對量子破密的潛在威脅做好準備。
NIST強調,隨著量子運算技術的快速進步,一些專家已經預測,能夠破解當前加密方法的設備可能在十年內問世,這將對個人、組織,甚至整個國家的安全與隱私構成威脅。
因此,負責PQC標準化項目的NIST數學家Dustin Moody表示,NIST鼓勵各界儘早開始轉換至這些新標準,並將其集成到現有系統中,因為全面轉換的過程將需要一定的時間。
美國商務部標準暨技術副部長兼NIST院長Laurie E. Locascio也指出,量子運算技術有潛力幫助解決許多社會難題,而這些新標準則展示了NIST在推動技術進步的同時,致力於維護我們安全的承諾。
事實上,自PQC密碼學標準化競賽舉辦以來,台灣也很重視這方面的發展,例如3個月前有新的行動,當時台灣後量子安全產業聯盟宣布成立,不僅希望加速後量子安全產業的發展,更重要是要確保台灣具有後量子密碼準備能力。
但還需要有更多企業組織意識到,公鑰密碼系統的全面升級與轉換已成為不可避免的趨勢。因為過去NIST與PQC專家就曾指出,目前網際網路上傳輸的所有數據,包括銀行交易、醫療記錄以及加密通信,都是通過RSA等加密算法來保護。儘管如今的超級電腦幾乎無法破解這些算法,但隨著量子電腦的快速發展,現有的RSA公鑰加密系統將面臨嚴重威脅,因此我們必須儘早做好準備。
如今,隨著新一代PQC標準的問世,儘快開始過渡到新標準將是重點。而在NIST提供的資源中,也說明可參考國家網路安全卓越中心(NCCoE)之前就針對PQC遷徙所設立的專門頁面,其中已經提供相關資源與指引。
