3月11日,谷歌安全研究人员在博客文章中写道:“如果我们现在不使用量子安全算法加密我们的数据,那么能够存储当前通信的攻击者最快十年内就能解密它。”
他们引用了全球风险研究所的研究,该研究认为量子计算机能够在24小时内破解RSA-2048的概率为17%-31%。
2022年,美国国家标准与技术研究院 (NIST) 宣布将四种候选算法标准化为推荐的公钥后量子密码 (PQC) 算法。建议使用这些算法来取代基于椭圆曲线和素因数分解的非对称密码系统,这些系统理论上容易受到量子计算机的攻击,因为这些设备可以有效地同时猜测大量可能性。
组织现在开始使用防量子替代方案替换或增强易受攻击的系统,但这并不总是那么简单。
对于谷歌来说,现在采用PQC的主要动机是防止“立即存储-稍后解密”攻击,即攻击者现在存储加密数据,并在量子计算机可用时对其进行解密。
它根据攻击的可行性、先存储后解密的风险级别、需要长期公钥的用例以及重新设计PQC系统的研究需求,优先考虑减轻量子威胁。
先存储后解密攻击最紧迫的威胁是使用TLS和SSH等易受攻击的算法保护传输中的数据。谷歌研究人员表示,固件签名和软件签名也需要很快转移到PQC。
由于密钥和签名大小较大,公钥基础设施 (PKI) 和令牌(例如JSON Web令牌)面临PQC的性能挑战,研究人员尚未找到将PQC集成到这些方法中的合适方法,这些都需要更多的研究。
在大多数情况下,Google目前将使用NIST推荐的量子安全算法与经典算法混合模式进行密钥协商(例如CRYSTALS-Kyber)和数字签名(例如Dilithium、SPHINCS+)。
需要升级的系统和协议包括TLS、SSH、Signal、Google的身份验证协议ALTS、固件签名、硬件安全模块、用于无状态身份验证的令牌以及其他使用非对称加密的产品,例如PGP S/MIME 和HPKE 。
谷歌表示,国家级行为体是最有可能首先开发与密码相关的量子计算机的威胁行为者。
“他们很可能会尝试以可否认的方式部署量子计算机,以避免向对手泄露其能力。民族国家最有可能针对其他民族国家客户的云部署,并可能针对政治异见人士和其他人监视目标。”
以下为安全博客原文:
如果我们现在不使用量子安全算法加密我们的数据,那么能够存储当前通信的攻击者最快十年内就能解密它。这种先存储后解密的攻击是当前采用后量子密码学 (PQC) 背后的主要动机,但其他未来的量子计算威胁也需要一个深思熟虑的计划,将我们当前的经典密码算法迁移到PQC。
这是Bug Hunters博客中专门讨论PQC主题的一系列博客文章中的第一篇,我们Google密码学团队在其中分享了我们关于PQC迁移的最新想法和原因,从我们正在使用的威胁模型开始。
鉴于时间线很长,我们的立场可能会随着时间的推移而变化,这篇博文反映了我们在2024年初的理解。
我们将在本文中更深入地探讨优先考虑量子威胁的主要考虑因素是:
·所讨论的量子攻击的可行性。
·存在先存储后解密攻击。
·需要具有数十年使用寿命的固定公钥的用例。
·需要对可能需要大量重新设计才能与后量子算法配合使用的系统进行探索性研究,特别是在需要更广泛的行业协作的情况下。
量子计算机主要通过两种算法威胁密码学:用于分解整数和求解离散对数的Shor算法和可以反转黑盒函数的Grover搜索算法。
如前所述,确定优先级的一个主要考虑因素是,如果对手将来能够访问量子计算机,那么当前的系统是否已经面临风险。现在存储密文并稍后解密是一个典型的例子,需要在量子计算机出现之前就部署PQC。
(1)——非对称加密和密钥协商,使用私钥/公钥对建立可用于对称加密的密钥。受Shor算法影响,容易受到“先存储后解密”攻击。
(2)——数字签名,使用私钥/公钥对来验证数据并提供不可否认性。受Shor算法影响,但不容易受到“先存储后解密”攻击。
(3)——“Fancy”密码学:此类别取决于特定算法和用例,但许多隐私保护技术(例如盲签名、 ORPF等)将受到Shor算法的影响,并且部分容易受到“立即存储-稍后解密”的影响。其中许多技术需要进一步研究。我们建议仔细评估量子威胁对这些计划的影响。
(4)对称密码术,使用单个密钥来加密和验证数据:根据我们目前的理解,对称密码术不会在所有实际用途上受到量子计算机的影响。格罗弗的算法可以用作此处的攻击,但目前认为即使对于中期量子计算机也是不可行的。
值得庆幸的是,NIST一直致力于标准化新的量子安全算法,以解决非对称加密和密钥协议以及数字签名问题。作为快速概述,对于我们选择的安全级别,算法如下所示:
NIST计划发布更多密钥协议和签名标准,以便制定基于更广泛的数学假设的方案,并允许在公钥大小和密文/签名大小之间进行不同的权衡。请注意,任何此类未来标准都将需要多年时间才能最终确定。
虽然目前提出的PQC算法在过去十年中已经接受了大量的密码分析,但它们仍然比经典密码学成熟一些,我们的建议是以混合方式使用它们,这要求攻击者同时破解经典密码学和密码学密码学。后量子算法。关于这个主题有一些注意事项,我们将在以后的博客文章中探讨。
经典密码学广泛应用于现代软件和基础设施中。后量子密码学将影响许多现有的部署。考虑到上面背景部分的信息,以下用例是主要关注点,并且每个用例都有其自身的困难。虽然我们针对不同的用例给出了建议,但请注意,标准仍在制定中,并将成为使用哪种算法的更明确的指导。
传输中的加密主要包括TLS、SSH、安全消息传递(如RCS和 MLS中使用的 Signal )以及 Google 的ALTS。这里的主要威胁是现在存储稍后解密。因此,部署像Kyber(ML-KEM、FIPS 203)这样的PQC密钥封装方案迫在眉睫。为了减轻这种威胁,我们只需要在初始密钥协议中添加一个临时PQC密钥即可。长期PQC密钥(例如公共或私有CA)属于公共密钥基础设施,并且需要社区达成共识才能进行有意义的部署。
传输中加密的好消息是堆栈数量有限。如上所述,Google最相关的是TLS、 SSH、 Signal和ALTS,在撰写本文时,它们都已开始推出PQC算法。传输中加密所需的密钥的短暂性进一步对我们有利,使得这个用例虽然最紧迫,但出于技术和社会原因也是相对最简单的。
我们当前对传输中加密的建议是使用Kyber768 与X25519或P256混合进行密钥协商。
固件签名用于保护安全启动信任链的根。这些签名的公钥通常必须被刻录到硅中,或者以其他方式防止被更改和篡改。这使得在大多数情况下无法更改此用例的签名方案。对于寿命长达十年或更长的设备,我们最终会遇到与“立即存储-稍后解密”攻击类似的情况,我们现在需要实施量子安全算法,因为我们无法随时更改它们稍后的日期。由于加密算法的硬件实现通常涉及较长的生产时间,这使得情况变得更加复杂。
我们当前对固件签名的建议是使用基于无状态哈希的签名方案SPHINCS+(FIPS 205、SLH-DSA)。
软件签名与固件签名类似,需要保证安全启动并使部署能够防止二进制文件和源代码被篡改。与固件签名不同,软件签名的公钥通常可以更新,并依赖较低级别的签名来确保真实性。最重要的是,二进制文件和源代码通常都相当大,并且签名和验证都不是特别受资源限制。这为该用例提供了最大的灵活性和相对宽松的时间表。
该用例正在经历大量开发,尽管时间表相对宽松,但将PQ签名包含在当前正在编写的标准中可能是有意义的。
对于此用例,我们当前的建议是使用 Dilithium3(FIPS 204、ML-DSA)与 ECDSA/EdDSA/RSA混合,或使用SPHINCS+(FIPS 205、SLH-DSA)。
公钥基础设施是用于为传输中的加密提供真实性以及机器和人员的可靠身份的基础设施。
PKI通常依赖于证书链,即带有附加签名的公钥,该签名可由链中较高级别的密钥验证。这使得当前形式的PKI极易受到后量子方案规模增加的影响。单个Dilithium3签名+公钥大于5kB,使得任何带有中介的PKI部署都非常昂贵。
特别是对于Web PKI,我们知道当数据包增长超过10 - 30kB时,某些设备就会开始出现故障。这个问题可能是可以解决的,但无论如何都会造成严重的性能损失。
有几种替代方法可以简单地用量子安全签名替换经典签名,这可以解决PKI的性能问题。我们目前正在寻求在这个领域进行试验,以收集数据以提供更可靠的建议,我们将在未来的博客文章中分享这些建议。
数字签名的另一个广泛使用是无状态非对称令牌,例如JSON Web令牌(JWT)。使用对称加密技术或使用状态技术作为纵深防御措施的代币不会受到量子威胁的影响。
对于非对称代币来说,主要困难是它们经常带来的大小限制。例如,应该保存为cookie的令牌对于整个令牌可用的上限为4096字节。如果以二进制编码,Dilithium3签名将占用其中的3309个字节,而在采用Base64编码时,4412个字节将不符合此要求。
无状态代币具有独立的安全问题,转向有状态代币是谨慎的做法,只是为了确保系统更健壮。NIST竞赛的第二个入口中的一些方案具有非常小的签名,但是很大的公钥;这种方法可能是解决该用例的另一种工具。
我们的主要建议是尽可能使用有状态令牌,因为它们具有额外的安全优势。此外,我们希望在这个领域进行试验,收集数据以获得更可靠的建议。
还有一些其他用例不属于这些类别。例如,在某些情况下,文档必须进行非对称加密;与传输中的加密分开。该用例主要包括通过S/MIME加密和签名的电子邮件,但也包括使用HPKE或PGP的各种协议,或直接使用数字签名。
这些用例对密文大小不太敏感,因此将Kyber (FIPS 203/ML-KEM) 与ECDH/X25519混合使用应该不会带来太多挑战。特别是对于 S/MIME,多收件人设置可能会产生额外的困难。
与上面讨论的HSM相关但不等同的另一个用例是硬件信任根,例如安全密钥或TPM,它们在硬件限制方面面临着自己的困难。
隐私保护和其他更奇特的方案将需要额外的研究才能安全部署。我们计划在未来的博客文章中提供概述和号召性用语。
缺乏量子安全机密性和缺乏量子安全真实性都可能被威胁行为者利用。虽然对机密性的威胁更为直接,但对真实性的威胁往往影响范围更广,更具破坏性。
国家级行为体最有可能首先实现与密码相关的量子计算机。他们很可能会尝试以可否认的方式部署量子计算机,以避免向对手透露其能力。国家级行为体最有可能针对其他国家级行为体客户的云部署,并可能针对政治异见人士和其他监视目标。国家级行为体也可能出于军事或经济原因而针对谷歌或其他基础设施提供商。
虽然构建与密码相关的量子计算机很困难,但一旦机器建成,破解任何给定的公钥应该不会太昂贵。考虑到传输密钥加密的短暂性,最有可能的第一个目标将是PKI等所需的更多静态密钥,以及破坏被认为高度感兴趣的存储通信。随着量子计算机变得越来越便宜,它们可能会瞄准越来越多的受害者。
一些人担心国家级行为体可能会试图对NIST发布的算法进行后门或削弱,就像过去在Dual_EC_DRBG的情况下所做的那样。为了消除此类担忧,NIST标准是在公开竞赛中设计的。此外,如果大多数部署都是混合方式,那么在量子计算机问世之前,单独破解PQC算法将无济于事,这让公众有几年的时间来发现任何潜在的后门。
对于出于经济动机的威胁行为者来说,主要考虑因素是量子计算机的可用性。如果量子计算机的用例仍然有限,那么对于出于经济动机的威胁行为者来说,访问它们可能会太困难。如果它们可以直接或通过云部署以相对便宜的价格获得,我们很可能会看到它们通过利用尚未迁移到量子安全协议的领域来提取赎金或进行工业间谍活动。
PQC已成为美国多项行政命令的热门话题,要求美国政府努力部署量子安全密码技术。CNSA 2.0等监管框架要求在相当短的时间内使用PQC,FIPS等其他合规框架也将很快跟进。除美国之外, BSI和ANSSI也一直活跃在这一领域,并开始要求提供PQC路线图以进行长期部署。
全球风险研究所可以在这张图中总结出我们拥有的量子计算机风险的最佳总体时间线估计:
根据这个时间表,并得到谷歌量子计算团队Google Quantum AI的证实,与密码相关的量子计算机的主要风险是在10到15年的时间范围内。我们预计到2030年该领域将取得显着进步,这应该作为时间表的一个良好的中点检查。
尽管距离加密相关的量子计算机的普及还有很长的时间,我们希望这篇博文中给出的概述能够帮助您了解哪些领域面临最大的风险,以及您目前应该开始关注的地方。
https://bughunters.google.com/blog/5108747984306176/google-s-threat-model-for-post-quantum-cryptography
编辑:陈十九
审核:商密君
原文始发于微信公众号(商密君):后量子密码|谷歌发布后量子密码学计划,距离PQC更进一步
评论