新思科技如何应对量子计算机的威胁

随着技术发展的突飞猛进，量子计算机的威胁日益凸显。尽管量子计算机有望在天气预报、药物研发和基础物理学等领域带来革命性的变革，但它也对现行加密体系构成了显著威胁。这种威胁并非仅限于未来；如今截获的任何敏感数据都有可能被储存起来，待量子计算机具备足够能力后解密。这种“先收集后解密”的策略严重威胁着我们的数字通信保密性、医疗记录、金融交易以及国家安全。

量子算法：格罗弗(Grover)算法与肖尔(Shor)算法

量子计算机借助量子力学原理，能够以空前的速度执行特定类型的计算任务。其中，两种量子算法对现行密码体系构成了直接威胁：格罗弗算法和肖尔算法。

格罗弗算法：此算法能够在未排序数据库中进行搜索，其速度相较于任何经典算法均快四倍。尽管它并未直接攻破密码系统，但显著削弱了诸如AES（高级加密标准）和SHA-2（安全散列算法2）等对称密钥算法的安全性，从而需要更长的密钥以确保安全。

肖尔算法：该算法能够以指数级速度分解大整数，远胜于经典计算机上运行的现有最优算法。这对于依赖大数分解或离散对数问题难度的非对称加密算法（例如RSA、ECC（椭圆曲线密码学）及DSA（数字签名算法））而言，尤为危险。一旦拥有足够强大的量子计算机运行肖尔算法，这些密码体系将被破解，进而失效。

美国国家标准与技术研究院（NIST）后量子密码学标准

为应对迫切需求，美国商务部下属的国家标准与技术研究院（NIST）始终走在推动后量子密码学（PQC）标准发展的前列。为此，NIST组织了一场竞赛，以选拔最优的PQC算法。2024年8月13日，NIST宣布了首批旨在抵御量子计算机网络攻击的算法定稿。这一里程碑事件标志着八年努力的结晶，并汇聚了全球密码学领域的力量，共同开发和评估能够捍卫我们数字未来安全的算法。

NIST最终确定的标凈涵盖三种核心算法，分别针对密钥封装和数字签名等特定应用领域。这些算法包括：

ML-KEM（FIPS 203，即原CRYSTALS-Kyber）：该算法基于格问题构建，格问题被认为具有抵抗量子攻击的特性。ML-KEM在安全性、效率及实施便捷性方面表现均衡，适用于一般加密场景。其密钥尺寸小且封装/解封装速度快，特别适合资源受限的环境。

ML-DSA（FIPS 204，即原CRYSTALS-Dilithium）：与ML-KEM相似，ML-DSA同样基于格问题设计，但专为数字签名而优化。它提供了强大的安全保障及高效的运算性能，非常适合需要身份验证和数据完整性的应用场景。

SLH-DSA（FIPS 205，即原SPHINCS+）：该算法采用无状态哈希技术，提供了与传统基于格的方法不同的安全特性。SLH-DSA以其简洁性和对各类攻击的强鲁棒性而备受推崇。

在这三类算法中，ML-KEM和ML-DSA预计将被广泛部署。NIST还有望于2024年年末发布基于Falcon算法的FN-DSA（FIPS 206）草案标准。该数字签名算法运用了结构化格。

回溯至2020年，NIST还发布了SP 800-208标准，其中引用了抗量子的有状态哈希基签名方案──莱顿·米利奇签名（LMS）系统以及扩展默克尔签名方案（XMSS）。LMS和XMSS均依托于默克尔树结构，该结构为管理和验证众多签名提供了一种安全且高效的方式。LMS系统采用基础的默克尔树，而XMSS则融入了更多额外特性。这使得这些系统的性能因使用场景的不同而存在差异，最终决定了哪个系统更适宜于特定的应用情形。

展望未来：NIST第四轮量子防护标准制定

NIST不断评估新增算法，旨在确保密码学领域具备多样性与安全性。目前，NIST已经开启了第四轮标准化努力，其中一组额外的密钥封装算法正接受评估，目的是寻找更多算法以补充现有的已标准化算法集合。预计第四轮将筛选出一至两种算法，并计划在2025年发布相应的公共草案。参与第四轮评估的密钥封装算法包括Classic McEliece、BIKE和HQC。

2022年9月，NIST还启动了另一轮针对额外后量子密码学（PQC）数字签名方案的标准化工作。在此轮工作中，NIST主要关注非基于结构化格的通用算法，同时对使用短签名和快速验证的算法表现出浓厚兴趣。任何基于格的签名算法需显著超越ML-DSA和FN-DSA的性能，并/或确保提供额外的安全特性。近期，NIST已经选定14种新型数字签名算法进入标准化的第二轮流程，这些算法包括：CROSS、FAEST、HAWK、LESS、MAYO、Mirath、MQOM、PERK、QR-UOV、RYDE、SDitH、SNOVA、SQIsign和UOV。预计第二阶段的评估将持续12至18个月。

CNSA v2.0：推进美国国家安全量子防护密码学

2022年9月，国家安全局（NSA）发布了商业国家安全算法（CNSA）套件2.0版本，并于2024年4月更新了其常见问题解答（FAQ）。CNSA是一套由NSA推荐的加密算法集，用于保护美国政府国家安全系统（NSS）及信息。量子计算对密码算法构成的威胁在2.0版本中首次得到应对。因此，2.0版本推荐的所有算法均符合NIST标准且具备量子抗性（QR），涵盖AES、SHA、LMS、XMSS，以及近期发布的PQC标准ML-KEM和ML-DSA。

NSA还借助CNSA推动NSS采纳PQC的时间进程。NSA对此事项的重视程度从CNSA v2.0的以下表述中可见一斑：“NSA预期至2035年，NSS向量子抗性算法的转换将依照国家安全备忘录NSM-10完成。NSA敦促供应商以及NSS的所有者和运营方竭尽全力达成该截止日期。在过渡期内，NSS的所有者和运营方在配置系统时需优先选用CNSA 2.0算法。在恰当的情形下，CNSA 2.0算法在NSS的商业产品类别中的运用将是强制性的，同时保留允许在特定用例中使用其他算法的选择权。”

后量子密码学产品

显然，为了保护当今的数据和系统在未来不受量子计算威胁，对量子抗性密码解决方案的需求日益迫切。

新思科技拥有一系列广泛的安全IP产品组合，从密码核心、PUF IP到预构建的嵌入式硬件安全模块（带有信任根）。其真随机数生成器（TRNGs）、PUF IPs、对称和哈希核心已经具备量子抗性。针对公钥基础设施安全所需的非对称IP，新思科技推出了新的Agile PQC公钥加速器（PKAs），符合NIST批准的PQC算法ML-KEM、ML-DSA、SLH-DSA、LMS、XMSS，并旨在抵御从边缘到云的各种应用中的量子计算威胁。

新思科技量子抗性PKAs的最重要特性之一是其可适应性，结合了硬件和嵌入式固件以实现性能和算法更新的灵活性。这一点至关重要，因为PQC标准将持续发展。因此，现场部署的系统必须能够处理更新和补丁，以确保它们随时间保持量子抗性。

除PQC外，PKAs还支持传统的ECC和RSA算法，确保当下及未来广泛的密码学覆盖范围，包括混合模式支持。由于其高度可配置和可扩展，该IP能够针对性能、面积、功耗和延迟进行优化。

新思科技Agile PQC PKAs支持完整的PQC数字签名、密钥封装和生成功能，并提供FIPS 140-3认证支持、安全密钥接口，以及可选的针对旁路和故障注入攻击的对策。借助新思科技Agile PQC PKAs，设计人员能够保护敏感数据和系统免受未来量子威胁，确保政府、企业和消费者的长期安全。

做好应对量子计算威胁的准备

量子威胁并非遥远的假设，而是逐渐逼近的现实。各组织必须即刻行动起来，以保护它们的敏感数据和确保数字未来的安全性。鉴于NIST最终确定的后量子密码学标准已经可供立即使用，因此刻不容缓。

量子计算的出现既带来了巨大的机遇，也带来了严峻的挑战。尽管其解决复杂问题的潜力是巨大的，但对现行密码系统的威胁却不容忽视。NIST最终确定的PQC标准标志着守护我们数字未来的关键一步，新思科技在此助您顺利完成过渡。立即采取行动以保护您的数据，并确保您的组织在量子时代的安全未来。

若想了解更多关于如何将后量子密码学集成至您系统中的信息，请即刻与我们取得联系。我们的专家随时准备助力您应对PQC的繁杂事宜，并确保您的数据在量子时代得以安全存续。