NIST后量子密码学标准
NIST 正式发布了第一份 量子安全加密标准 防范量子计算机未来带来的风险。这些标准——FIPS 203 (Kyber)、FIPS 204 (Dilithium) 和 FIPS 205 (SPHINCS+)——旨在取代 RSA 和 ECC 等易受攻击的加密方法。预计未来十年内问世的量子计算机可能会突破现有的加密系统,因此立即采用这些标准至关重要。
关键要点:
- FIPS 203(Kyber): 确保密钥交换和数据加密。
- FIPS 204(双锂离子): 保护数字签名并确保数据真实性。
- FIPS 205(SPHINCS+): 提供基于无状态哈希的签名以增加灵活性。
- 紧急程度: 立即开始迁移以保护敏感数据免受未来量子威胁。
- 时间线: NIST 建议在 2035 年之前完成过渡。
标准快速比较:
| 标准 | 目的 | 方法 | 用例 |
|---|---|---|---|
| FIPS 203 | 密钥交换、加密 | 基于 Lattice(Kyber) | 传输中和静止的数据 |
| FIPS 204 | 数字签名 | 晶格基(双锂) | 软件和文档完整性 |
| FIPS 205 | 数字签名 | 基于哈希(SPHINCS+) | 无状态环境 |
为什么这很重要: 量子计算机可能会使现有加密技术失效,从而泄露敏感信息。NIST 标准提供了将抗量子加密技术集成到现有系统中的路线图。立即做好准备,保护您的数据,以备将来之需。
NIST后量子密码学更新
为什么需要后量子密码学
由于NIST在量子安全标准制定方面处于领先地位,了解量子计算对现有加密系统构成的潜在威胁至关重要。一旦量子计算机充分发挥其潜力,我们用于网上银行、私人消息传递以及无数其他数字交互的加密技术可能会失效。为了把握这一紧迫性,我们需要研究量子计算如何重塑网络安全格局。
量子计算机如何破解现有加密技术
量子计算机利用量子比特和叠加态进行运算,使其能够同时处理多种可能性。这种能力使它们能够以比传统计算机更快的速度解决某些问题,例如大整数因式分解。我们今天使用的加密系统,例如 RSA,建立在这样一个假设之上:这些问题几乎不可能用传统计算来解决。例如,RSA 所依赖的大数因式分解可能需要传统计算机耗费数千年的时间。然而,量子计算机颠覆了这一假设。
量子计算能够比传统计算机更快地解决底层数学问题,从而取代 RSA 和 ECC 等现有加密方法,从而威胁网络安全。——Palo Alto Networks
虽然用传统计算破解 AES 加密可能需要耗费数年时间,但量子计算机只需数小时甚至数分钟即可破解 RSA 和 ECC 加密。这种伪造数字签名和解密 HTTPS 和 VPN 等安全协议的能力,将暴露从金融交易到私人通信的敏感数据。这将彻底改变游戏规则,使当今许多公钥加密技术失效。
NIST PQC 计划的起源
NIST 的后量子密码学项目正是对日益增多的量子计算威胁数字安全证据的直接回应。专家预测,未来十年内,与密码学相关的量子计算机有望被开发出来。
“破解加密的量子计算机的出现(可能最快在十年内)将破坏现代网络安全的加密基础。”——美国政府咨询
为了应对这一挑战,NIST 评估了来自 25 个国家的专家提交的 82 种算法。这项全球合作旨在创建能够抵御经典攻击和量子攻击的解决方案。其中的一个重点是解决 “现在收获,稍后解密” 令人担忧的是,对手今天收集加密数据,打算在量子技术可用时对其进行解密。
IBM 量子应用与业务发展副总裁 Scott Crowder 表示:“美国政府担心的是,有人能够收集当今互联网上的所有数据,然后等待数年,直到量子计算机问世,然后他们就能破解所有加密技术并解密所有信息。”
风险巨大。资产价值估计 $3.5万亿 这些网络与易受量子攻击的过时加密系统息息相关。其中包括金融网络和关键基础设施,它们都依赖于安全通信。
NIST 的战略重点关注基于数学问题的算法,这些问题对经典计算机和量子计算机都具有挑战性。这些标准旨在立即实施,确保各组织能够在量子威胁完全实现之前保护其系统。该计划优先保护公钥系统,因为这些系统特别容易受到量子攻击。
为什么公钥系统最危险
公钥密码学(又称非对称密码学)尤其容易受到量子计算的影响,因为它依赖于诸如大数分解和离散对数求解之类的数学问题。量子计算机利用肖尔算法,能够以前所未有的效率解决这些问题。
“RSA 和其他非对称算法的安全性取决于大数分解的难度。” – TechTarget
这种漏洞影响深远。量子计算机无需私钥即可解密数据,彻底破坏了保障数字签名、身份验证系统和在线安全通信的信任模型。
例如,暴力破解RSA加密算法可能需要传统计算机耗费数年时间,而Shor算法却能让量子计算机在极短的时间内实现同样的结果。这不仅是一种更快的方法,更是一次根本性的变革,打破了现有公钥加密体系的僵局。
其影响深远。公钥加密技术保障着关键互联网协议的安全,包括证书颁发机构、安全密钥交换以及验证软件完整性的数字签名。如果量子计算机能够攻破这些系统,那么对商业、通信和贸易至关重要的整个数字信任框架将面临崩溃。
对于管理敏感数据的组织,例如使用以下托管服务的组织: 服务器量子威胁亟待关注。风险不仅仅在于未来的通信。今天截获的任何加密数据都可能在未来被解密。过渡到抗量子标准对于保护当前和未来的数据至关重要。
NIST 的最终 PQC 标准
NIST 正式发布了第一套后量子密码学 (PQC) 标准,为组织机构提供了现在可以采用的解决方案,以防范未来的量子计算威胁。
FIPS 203、FIPS 204 和 FIPS 205 标准
最终标准在三份联邦信息处理标准 (FIPS) 文件中概述,每份文件都涉及对安全通信和数据保护至关重要的基本加密功能:
- FIPS 203 重点关注 基于模块格的密钥封装机制标准,通常称为 Kyber该标准旨在实现通用加密和安全密钥交换,为 RSA 等过时的系统提供强大的替代方案。它确保加密密钥能够安全共享,成为保护传输中和静态数据的基石。
- FIPS 204 定义了 基于模块格的数字签名标准,也称为 双锂该标准确保数字文档、软件更新和通信的真实性和完整性。通过使用 Dilithium,即使面对量子计算能力,组织也能防范伪造和篡改。
- FIPS 205 介绍了 无状态基于哈希的数字签名标准,称为 狮身人面像+与 Kyber 和 Dilithium 中基于格的方法不同,SPHINCS+ 依赖于哈希函数。其无状态设计使其成为维护状态信息不切实际的环境的理想选择。
| 标准 | 描述 | 通用名称 |
|---|---|---|
| FIPS 203 | 基于模块格的密钥封装机制标准 | Kyber |
| FIPS 204 | 基于模块格的数字签名标准 | 双锂 |
| FIPS 205 | 无状态基于哈希的数字签名标准 | 狮身人面像+ |
为了补充 Kyber,NIST 还选择了 HQC(汉明准循环) 作为备用选项。HQC 使用纠错码代替格数学,为组织提供了一种安全密钥交换的替代方法。
PQC 算法背后的数学
这些新标准的数学基础与当前的加密方法截然不同。RSA 和椭圆曲线密码学等传统系统依赖于整数分解和离散对数等问题,而这些问题有望被量子计算机有效解决。相比之下,后量子算法建立在即使对于量子系统而言也依然困难的数学挑战之上。
- 基于格的密码学作为 FIPS 203 和 FIPS 204 的骨干,它依赖于诸如“带错学习”(LWE)之类的问题。这种方法涉及求解噪声线性方程,这在计算上具有挑战性。IBM 密码学研究员、CRYSTALS 算法套件联合开发者 Vadim Lyubashevsky 表示:
基于格的算法如果设计得当,实际上比目前使用的算法更高效。虽然它们可能比经典密码学更大,但它们的运行时间比基于离散、更大的RSA或椭圆曲线的经典算法更快。
- 基于哈希的加密FIPS 205 中使用的哈希函数利用了加密哈希函数的单向特性。这些函数易于单向计算,但几乎不可能逆向计算,从而确保了其能够抵御经典攻击和量子攻击。
- 基于代码的加密正如 HQC 所见,它建立在纠错码的基础上。在不知道错误模式的情况下解码随机线性码的难度构成了其安全性的基础。
这种多样化的数学方法确保了加密框架更具弹性。即使一种方法被发现存在漏洞,仍有其他方法可以维护系统安全。
如何实施这些标准
随着标准的最终确定,重点将转向实施。随着量子威胁的日益增长以及现有系统面临潜在漏洞,向后量子密码学的过渡至关重要。NIST 数学家达斯汀·穆迪强调了这一紧迫性:
“我们鼓励系统管理员立即开始将它们集成到他们的系统中,因为完全集成需要时间。”
实施过程始于对加密资产进行全面清点。组织需要确定当前在哪些系统(无论是在数据库连接、电子邮件安全还是其他系统中)使用了 RSA 或 ECC 等易受攻击的算法,并制定相应的替换计划。
一个 混合部署 该方法迈出了切实可行的第一步。通过同时运行经典算法和后量子算法,组织机构可以在保持持续安全性的同时测试新标准。
密钥大小是实现过程中的另一个关键考虑因素。后量子算法通常需要比传统方法更大的密钥。例如:
| 公钥大小(字节) | 私钥大小(字节) | 密文大小(字节) | |
|---|---|---|---|
| Kyber512 | 800 | 1,632 | 768 |
| Kyber768 | 1,184 | 2,400 | 1,088 |
| Kyber1024 | 1,568 | 3,168 | 1,568 |
尽管密钥较大,但后量子算法通常比经典算法更有效地执行计算。
与供应商的协作对于升级基础设施至关重要。组织应该与 Serverion 等提供商合作,以确保其系统已准备好适应这些新标准。虽然时间表会因规模和复杂程度而异,但现在就开始行动至关重要。密码学专家 Whitfield Diffie 强调了这一点:
“实施延迟的主要原因之一是不确定具体需要实施什么。现在,NIST 已经公布了确切的标准,各组织都有动力满怀信心地继续推进。”
对于处理敏感或长期数据的行业来说,风险甚至更高。“先收集,后解密”的威胁意味着,一旦量子计算机变得足够强大,如今使用易受攻击算法加密的数据就可能被泄露。优先考虑关键资产的后量子加密已不再是可有可无的,而是势在必行的。
对数据安全和业务存储的影响
随着NIST最终确定后量子密码学(PQC)标准,企业现在面临着解决其数据存储和安全系统中漏洞的挑战。这些标准促使企业重新思考其加密策略,尤其是在量子计算机(预计到2029年将突破现有的加密方法)对敏感数据构成重大风险的情况下。
保护存储和传输的数据
新的 PQC 标准旨在保护静态和传输中的数据。与传统加密方法不同,这些算法解决了量子计算机可能利用的漏洞。 “现在收获,稍后解密” 必须立即采取行动。网络犯罪分子已经在收集加密数据,等待量子技术的进步来解密。如果没有抗量子加密的保护,财务记录、客户信息、知识产权和通信都将面临风险。
当前的加密状况令人担忧。统计数据显示, 56% 的网络流量仍未加密, 尽管 加密流量的 80% 包含可被利用的漏洞。 此外, 87% 的加密主机到主机连接仍然依赖于过时的 TLS 1.2 协议,凸显了转向更安全系统的迫切需要。
NIST 数学家达斯汀·穆迪强调了紧迫性:
这些最终确定的标准包括将其整合到产品和加密系统中的说明。我们鼓励系统管理员立即开始将它们集成到他们的系统中,因为完全集成需要时间。
这种紧迫性强调了现在开始向量子安全加密过渡的重要性,如下一节所述。
企业如何实现转变
向后量子密码学过渡并非易事——它需要分阶段的战略性方法,可能需要数年时间。虽然NIST建议在2035年之前完成迁移,但企业应该立即启动,以确保充足的准备和实施时间。
这个过程始于 发现和评估这包括对加密使用情况进行分类、映射数据流以及对系统进行彻底的审计。对于大型组织而言,仅此一步就可能需要 2-3年.
迁移策略分为五个主要阶段:
- 设定明确的目标:了解采用 PQC 主要是为了减轻网络安全风险。
- 发现和评估:识别关键系统、服务和数据保护方法。
- 选择迁移策略:决定是否进行就地迁移、重新平台、退出服务或接受某些风险。
- 制定迁移计划:创建详细的时间表并确定活动的优先顺序。
- 执行计划:从高优先级系统开始,并根据需要完善计划。
NIST 还为各组织制定了具体的里程碑:
| 年 | 里程碑 |
|---|---|
| 2028 | 完成发现阶段并创建以高优先级活动为重点的初步迁移计划。 |
| 2031 | 完成高优先级迁移并准备基础设施以提供全面的 PQC 支持。 |
| 2035 | 完成向 PQC 的过渡并建立有弹性的网络安全框架。 |
一个 混合部署 提供了一个切实可行的起点。通过同时运行传统算法和量子安全算法,企业可以在保持现有安全水平的同时测试新技术。最初,企业应该专注于 传输中加密, 采纳 TLS 1.3,并实现混合后量子密钥协议。
托管服务提供商如何支持 PQC 的采用
托管服务提供商在简化企业 PQC 迁移流程方面发挥着关键作用。像 Serverion 这样的公司凭借其全球基础设施,在指导企业完成这一过渡方面拥有独特的优势。
他们提供的一个关键策略是 加密敏捷性允许企业在不中断运营的情况下调整加密协议、密钥和算法。这种灵活性确保系统能够与新兴的PQC标准同步发展。
硬件安全模块 (HSM) 是另一个关键工具。这些设备使用抗量子算法来保护加密密钥,为PQC的采用奠定了坚实的基础。托管服务提供商可以将HSM集成到他们的服务中,确保使用HSM的企业的密钥安全。 专用服务器 或主机托管解决方案。
此外,托管服务提供商还提供 专业评估服务 评估密码库,评估 PQC 的准备情况,并规划新算法的集成。他们的 托管安全服务 处理更大密钥大小和计算要求的复杂性,确保企业在整个过渡期间受到保护。
对于依赖 云托管、VPS 或专用服务器托管服务提供商可以实施保持向后兼容性的量子安全架构。这使得企业能够专注于自身运营,而托管环境则负责处理加密转换。
最后, 全天候支持和监控 托管服务提供商提供的服务至关重要。当企业测试和部署新的加密方法时,获得专家的协助可以确保快速解决问题,同时又不损害安全性或连续性。
对于中小企业 (SME) 来说,迁移路径可能略有不同。许多企业依赖标准的 IT 解决方案,这些解决方案会随着时间的推移由供应商进行更新。托管服务提供商可以确保这些更新无缝进行,这使得他们在中小企业转型过程中的作用更加重要。
sbb-itb-59e1987
存储系统中的当前加密与后量子加密
随着 NIST 后量子密码 (PQC) 标准的出台,存储系统密码安全格局正在发生重大转变。这种转变要求企业重新思考如何保护存储数据,确保其在量子计算技术进步的背景下依然安全可靠。
后量子密码学依赖于对经典计算机和量子计算机都具有挑战性的数学问题。NIST 标准化算法,例如 水晶-凯伯 (ML-KEM) 用于密钥交换和 晶体-二锂 (ML-DSA) 数字签名采用基于格的加密技术。这些算法在高维数学空间中运行,为存储系统提供增强的保护。让我们仔细看看当前的加密方法与后量子加密方法的比较。
比较:当前密码学与后量子密码学
PQC 的一个显著进步是使用了 AVX2 优化,这显著提升了性能。例如, Kyber 使用 AVX2 实现了 5.98 倍的平均加速, 尽管 Dilithium 的速度提高了 4.8 倍。这些改进凸显了 PQC 相对于 RSA 和 ECDSA 等传统方法的计算优势。
| 算法 | 安全级别 | 总时间(毫秒) | 抗量子 |
|---|---|---|---|
| 后量子算法 | |||
| Kyber-512 | 128位 | 0.128 | ✓ |
| Kyber-768 | 192位 | 0.204 | ✓ |
| Kyber-1024 | 256位 | 0.295 | ✓ |
| 双锂-2 | 128位 | 0.644 | ✓ |
| 双锂-3 | 192位 | 0.994 | ✓ |
| 双锂-5 | 256位 | 1.361 | ✓ |
| 传统算法 | |||
| RSA-2048 | 112位 | 0.324 | ✗ |
| RSA-3072 | 128位 | 0.884 | ✗ |
| 椭圆曲线数字签名算法 (P-256) | 128位 | 0.801 | ✗ |
| 椭圆曲线数字签名算法 (P-384) | 192位 | 1.702 | ✗ |
| 椭圆曲线数字签名算法 (P-512) | 256位 | 2.398 | ✗ |
| ECDH(P-256) | 128位 | 0.102 | ✗ |
| ECDH(P-384) | 192位 | 0.903 | ✗ |
| ECDH(P-521) | 256位 | 0.299 | ✗ |
虽然 PQC 的性能增强是显而易见的,但它的采用也带来了挑战。 PQC 算法通常需要更大的密钥并消耗更多的计算资源 与传统方法相比,这意味着现有的存储系统必须适应这些需求。过渡到 PQC 并不像更换算法那么简单。Arqit 首席技术官、前美国国家安全局密码学家 Roberta Faux 阐述了其中的复杂性:
我们仍处于这个快速发展的行业的早期阶段,遗憾的是,即使是安全实施这些标准也将是一个艰难的过程。这些并非“即插即用”的解决方案。在系统迁移过程中,我们会发现各种互操作性问题,以及系统复杂化带来的大量漏洞和停机时间。这是一个充满不确定性的长期项目。
传统密码学得益于数十年的优化和广泛的硬件支持,使其能够深度集成到当前的存储系统中。而 PQC 则需要更新的基础设施和周密的规划,以确保平稳过渡。不过,PQC 的优势之一在于其适应性。 PQC 解决方案可以通过软件更新实现这意味着它们不一定需要彻底的硬件改造。像 Serverion 这样的提供商已经开始更新其基础设施,以支持其所有服务(包括 VPS、专用服务器和主机托管)的抗量子加密。
Gartner 的预测强调了采用 PQC 的紧迫性,该公司估计 到 2029 年,量子计算的进步将使非对称加密变得不安全,到 2034 年,它将完全被破解。这个时间表使得向后量子算法的转变对于在不影响性能的情况下维护安全性至关重要。
对于存储系统而言,“先收集后解密”的威胁尤其令人担忧。如今使用传统方法加密的数据,在未来量子计算机强大到足以破解这些算法时,可能会变得脆弱不堪。PQC 确保现在加密的数据能够抵御此类未来威胁。
PQC 日益增长的重要性体现在市场趋势中。 PQC 市场预计将从 2024 年的 $3.025 亿增长到 2029 年的 $1.88 亿,复合年增长率(CAGR)为44.2%。如此快速的增长凸显了各行各业对量子对抗解决方案需求的广泛认可。
结论
NIST 的后量子密码标准标志着数据安全发展的关键时刻。随着量子计算机的出现,以及其能够破解现有加密协议的能力,企业必须立即采取行动。这些最终确定的标准为保护敏感信息免受未来量子威胁奠定了基础。
企业关键要点
过渡到后量子密码学已不再是可有可无的选择,而是确保长期数据保护的必要条件。NIST 已设定了明确的时间表:到 2030 年逐步淘汰 RSA/ECC 加密,到 2035 年全面实现后量子密码学的实施。这种分阶段实施的方法凸显了企业立即采取行动以避免落后的紧迫性。
“我们鼓励系统管理员立即开始将它们集成到他们的系统中,因为完全集成需要时间。”——达斯汀·穆迪,NIST 数学家
为了做好准备,企业应该首先对其加密资产进行分类,并制定详细的过渡路线图。混合加密将现有方法与抗量子技术相结合,是切实可行的第一步。应特别注意保护需要多年保密的数据,因为这类数据最容易受到未来的量子攻击。
IBM 副总裁兼研究员 Ray Harishankar 强调了周密计划方法的重要性:
人们最初面临的最大问题是,他们认为有一个简单的解决方案。沟通战略至关重要。你必须现在就开始,并在未来四五年内以非常审慎的方式实施。——Ray Harishankar,IBM
加密敏捷性是另一个重要的考虑因素。此功能使系统无需彻底改造即可适应新的加密标准。例如,像 Serverion 这样的托管服务提供商已经在更新其系统以支持抗量子加密,这展示了早期准备如何实现更平稳的过渡。
紧跟密码学的进步
随着量子计算技术的发展,密码学领域也随之发展。NIST 正在积极审查其他算法,将其作为潜在的备用标准,以应对各种用例和漏洞。及时了解这些更新对于维护强大的安全措施至关重要。
无需等待未来的标准。立即开始使用这三个标准吧。我们需要做好准备,以防攻击攻破这三个标准中的算法,并且我们会继续制定备用方案,确保数据安全。但对于大多数应用而言,这些新标准才是重中之重。——NIST 数学家 Dustin Moody
各组织应密切关注NIST的更新,并根据需要调整其策略。有效的实施需要IT团队、网络安全专家和业务领导者之间的协作。联邦机构已通过其后量子密码学计划开辟了道路,为私营企业树立了榜样。
美国商务部副部长唐·格雷夫斯强调了量子计算的更广泛影响:“量子计算的进步在重申美国作为全球技术强国的地位和推动我们未来的经济安全方面发挥着至关重要的作用。”
量子时代即将到来。企业如果今天果断采取行动,充分利用现有的工具和标准,就能在未来几十年内保护好自己的数据。成功的关键在于及早规划、稳步执行,确保在快速变化的数字环境中确保数据安全。
常见问题解答
FIPS 203、FIPS 204 和 FIPS 205 之间的主要区别是什么?它们如何增强后量子时代的数据安全性?
FIPS 203、204 和 205:加强量子时代的数据安全
随着量子计算的不断发展,保护敏感数据变得比以往任何时候都更加重要。因此 FIPS 203, FIPS 204, 和 FIPS 205 由 NIST 制定的标准开始发挥作用。这些标准分别针对数据安全的特定方面,确保对新兴的量子威胁进行强有力的防御。
- FIPS 203:该标准专注于安全密钥建立,利用基于格的算法来保护密钥交换。通过运用这些先进技术,即使面对量子攻击,也能确保加密密钥的安全。
- FIPS 204:该标准专为处理数字签名而设计,在速度和安全性之间取得了平衡。它能够高效地验证数据,同时维护敏感信息的完整性,使其成为现代系统的可靠选择。
- FIPS 205:对于需要最高安全级别的场景,FIPS 205 提供了一项数字签名标准,该标准优先考虑抵御量子威胁的能力。虽然它需要更高的计算能力,但它能为关键数据提供无与伦比的保护。
这些标准共同创建了一种多层次的安全方法,解决了从密钥交换到数据认证的所有问题,并确保了量子驱动世界中的长期保护。
为什么现在采用后量子密码学很重要,等待会带来什么风险?
采用 后量子密码学(PQC) 至关重要,因为成熟发展的量子计算机将有能力破解当今许多加密方法。这将对隐私、金融系统和国家安全构成严重风险。拖延行动只会增加敏感数据被拦截的风险,并在量子技术成熟后再解密——这种策略通常被称为“先收集,后解密”。
立即采取措施,帮助组织机构有效应对这些威胁,确保长期数据安全,并避免代价高昂的法律或财务损失。在瞬息万变的数字世界中,采用抗量子加密技术是一项保护关键信息的前瞻性举措。
企业如何在不影响日常运营的情况下过渡到 NIST 的后量子密码标准?
为了准备转向 NIST 的后量子密码 (PQC) 标准,企业应该采取 分阶段方法首先确定依赖于现有加密方法的关键系统和敏感数据。在此基础上,制定一个结构合理的迁移计划,优先考虑高价值资产,并与 NIST 的时间表保持一致,目标是在 2035 年全面实施。
重点应放在实现 加密敏捷性 – 能够在算法之间无缝切换。从规模较小、不太重要的更新开始,测试 PQC 对您的系统的影响。这种方法可以降低风险,并允许您在进行更大规模、更复杂的升级之前微调流程。通过循序渐进的实施,企业可以安全高效地过渡,避免对日常运营造成重大干扰。
