混合加密是否足以支撑后量子安全？

讨论到“混合加密”时，大部分争议都集中在对这一概念实际意义的解读上。一般来说，混合加密指的是公钥（非对称）加密与对称加密的结合使用。如今，混合使用多种算法的系统非常普遍，数学家们在结合不同算法以利用其优势的工作上已经下了一番功夫。举个例子，很多使用公钥的加密系统实际上就是利用公钥算法来对一个对称密钥进行加密，随后再用这个对称密钥来对数据进行加密。对称加密算法，尤其是像AES这样的算法通常要快得多，而混合加密策略也正是利用了这种速度上的优势。

当前，该议题受到广泛的关注主要是因为NIST（美国国家标准技术研究所）举办的PQC (post-quantum cryptography，后量子密码) 竞赛促进了后量子算法的开发和推广。许多人对这些新兴方法的可信度持怀疑态度，他们期望通过采用某种混合策略，来在过渡期内增强安全性的确信度。

采用多重层次防护来增强安全性并非新兴的策略。例如，Stuart Haber 和Scott Stornetta在创立Surety公司并设计其时间戳服务时，就同时采用了两种不同的哈希函数。此外，他们还预设了一种机制，允许未来引入更高效的哈希函数。在面临密码分析领域出人意料的算法突破时，他们探索了如何在广泛使用的认证系统中顺利更换哈希函数的方法，以避免完全依赖单一算法的风险。

另外，Google也正朝着采用混合算法的方向迈进。去年，Chrome及部分服务器采取了两种算法结合的方式来协商会话密钥：

• X25519 ——TLS常用的一种椭圆曲线加密方法
• Kyber-768 ——抗量子加密的密钥封装机制，NIST后量子密码学竞赛的最终获胜者。

在最近的一项声明中，Chrome安全技术项目经理Devon O’Brien表示，额外的Kyber封装密钥材料为每个TLS  ClientHello消息增加了大约1000字节的开销，这对于“绝大多数”用户来说并不是问题。

后量子技术的推广使得人们既兴奋又沮丧。NIST已多次延长截止日期，最终才确定了潜在的解决方案。此外，它还增加了新的轮次，以鼓励开发更多的方法，以应对未来更多的技术被证明是不安全的情况。对于那些寄希望于这场竞赛能够呈现出一个完美解决方案的人来说，最终结果是令人失望的。因为此次比赛所提出的疑问和挑战，与它所提供的解决方案一样多，并没有达到预期的一揽子解决效果。

使用带有缺陷的新算法的风险并非仅存在于理论层面。事实上，已有数个进入决赛阶段、初看有很大潜力的算法最终被证明是易于攻破的。例如，彩虹签名方案和超奇异同源Diffie-Hellman协议（SIDH）均已被破解。

混合解决方案可能并非理想选择，主要出于以下原因：

• 复杂性增加：至少需要两倍的代码量来编写、调试、审计和维护。

• 效率降低：对任何数据或会话密钥进行加密或解密时，至少需要两倍的计算开销。

• 结构不一致：这些算法彼此之间无法轻松替换。例如，某些签名算法的密钥是一次性使用的，而其他算法则不是。

单一标准的正确实现已经相当困难。同时采用两个标准必然会导致更多的实现错误或引发新型攻击手段的风险。而且，在许多场合下，性能依然是关键考虑要素，计算开销和数据负载的成倍增加通常是难以接受的。

近几年来，NSA（the National Security Agency ，美国国家安全局）对混合算法的推广持保留态度，所提及的理由包括之前讨论的众多问题。并且GCHQ（英国政府通信总部）也表达了相同的观点。

NSA在关于向后量子算法过渡的常见问题解答中写道：不要在NSS （national security system，国家安全系统）的任务系统上使用混合或其他非标准化的QR解决方案。采用非标准化方案可能会导致创建不相兼容解决方案的高风险。

NSA面临着一种双重使命。一方面，他们负责确保国家通信的安全。另一方面，他们还需要通过破译加密信息来进行情报搜集。这就引出了一个问题：NSA究竟更注重哪一方面。

然而，像法国的ANSSI（国家信息系统安全局）和德国的BSI（Federal Office for Information Security，联邦信息安全局）这样的其他国家密码机构却采取了不同的方案。他们鼓励使用多层次的保障措施。尤其是考虑到侧信道安全、实施错误风险、硬件中的安全实施，以及他们的经典密码分析，PQC机制的安全实施研究程度远不如基于RSA和ECC的密码机制。德国BSI总结道：“在生产系统中使用它们时，目前只建议与经典的基于ECC或RSA的密钥交换或密钥传输一起使用。”

NSA 在一些内部机密工作中，也会推荐使用多层加密。他们在机密环境中使用商业软件的指导方针中经常鼓励使用多个不同的加密工具来构建多层加密的安全措施。

* 本文为茉泠编译，图片均来源于网络。