NIST最新报告:向后量子密码迁移
光子盒研究院出品
6月7日至9日,美国国家标准与技术研究院(NIST)第三次后量子密码(PQC)标准化会议正在召开。NIST将对入选第三轮的7个候选算法和8个替补算法进行评估。根据NIST计划,将在2022-2024年完成PQC标准化工作。
然而,制定标准只是向后量子密码迁移的第一步。一个月前,NIST国家网络安全卓越中心(NCCoE)发布了白皮书《为后量子密码做好准备:探索采用后量子密码算法的挑战》的最终版本,提出了从公钥密码基础设施向后量子密码迁移的诸多挑战。
但白皮书并未给出向后量子密码迁移的具体措施。而本周,NIST国家网络安全卓越中心(NCCoE)发布了名为《向后量子密码迁移》的最新报告,给出了不同场景下如何实现后量子密码算法对当前的公钥密码算法的替代。
光子盒全文翻译了这份最新报告,公众号后台回复“向后量子密码迁移”即可获取完整版。
目的
正如美国国家标准与技术研究院 (NIST)机构间或内部报告 (NISTIR) 8105《后量子密码报告》[1] 和 NISTIR 8309《NIST 后量子密码标准化过程第二轮状态报告》[2]中所反映的那样,抗量子公钥密码标准的制定工作正在进行中,算法的选择过程也尽在掌握,预计算法的选择将在未来一到两年内完成。
https://csrc.nist.gov/projects/post-quantum-cryptography
为了完善现有的工作,国家网络安全卓越中心(NCCoE)发起了以提高人们对向后量子算法迁移所涉及问题的认识的活动,其中包括开发白皮书、战略手册和概念验证实施。NIST已经发布了一份网络安全白皮书《为后量子密码学做好准备[3]》。
此外,NCCoE正在与NIST后量子密码标准化团队和国土安全部(DHS)网络安全和基础设施安全局(CISA)团队协作组建一个密码应用社区。该社区主要负责制定解决上述挑战,并为顺利的加密算法迁移提供推荐做法。
最后,NCCoE 对于该项目描述适用于相关技术和工具的实际演示。这些技术和工具将帮助有关社区在由传统的加密方法向量子加密技术的迁移的过程中取得先机。
范围
目前,还没有明确的条文可用于指导各种标准、指南、法规、硬件、固件、操作系统、通信协议、密码库,以及需要使用该技术的应用程序的更新。作为快速发现需要更新抗量子密码学的起点,NIST 正计划:
•发现来自国际标准化组织/国际电工委员会 (ISO/IEC)、电气和电子工程师协会 (IEEE)、可信计算组织等行业组织以及其他标准制定组织的哪些标准需要更新或更换;
•现需要更新或替换的互联网工程任务组 (IETF) 征求意见 (RFC) 和其他网络协议标准。
量子安全算法的实现需要识别企业当前使用的硬件和软件模块、库和嵌入式代码,以支持加密保护信息和访问管理过程安全背后的加密密钥建立和管理,并在静止、传输和使用中提供数据的源和内容完整性。
本项目的初始探讨范围是展示开发工具,这些工具可以提供自动化帮助,以确定在硬件、固件、操作系统、通信协议、加密库中使用公钥加密的位置和方式,以及在本地或云中的数据中心以及分布式计算、存储和网络基础设施中使用的应用程序。推荐的项目将使业界参与演示自动发现工具的使用,以识别在示例网络基础设施的计算机和通信硬件、操作系统、应用程序、通信协议、关键基础设施和访问控制机制中使用的所有公钥算法实例。对于每个受影响的基础设施组件,将确定所采用的算法及其用途。
一旦确定了企业中的公钥加密组件和相关资产,项目范围的下一个要素就是使用“Mosca定理”和其他推荐实践提供的风险管理方法,优先考虑那些需要在迁移中首先考虑的组件。
最后,该项目将为跨不同类型的资产从易受攻击的算法迁移到抗量子算法提供系统的方法和底层支持技术。 例如:
•每个生产、支持或使用公钥密码的企业需要列一个清单,以确定哪些系统和组件使用了公钥密码,以及如何使用密码来保护正在交换、存储或使用的信息的机密性或完整性,或用于控制流程(信息技术和运营技术流程)。示例包括代码签名平台、公钥基础设施和数据安全系统。
•同时,在企业内部以及与客户和合作伙伴之间存储和/或交换的易受量子攻击的信息可以根据重要性、披露敏感性以及未经授权和未检测到的修改的后果进行分类。
•企业还可以与政府和行业合作,确定新兴的抗量子加密标准和产品及技术和操作特性,以及它们替换易受量子攻击的系统和组件的预期可用性时间表。
•企业可以与公共和私营部门的专家和供应商合作,将抗量子加密算法实施到协议和技术中。
• 然后,企业可以与公共和私营部门的专家和供应商合作,以确定其加密相关系统对替换系统和组件施加的任何技术限制,并解决任何不兼容性。
•此外,企业还应与服务供应商、合作伙伴和客户合作,协调采用必要的技术解决方案以保持互操作性,并满足有关信息内容安全性和信息分发连续性的现有协议。
•企业可能能够与其技术供应商合作,建立符合企业优先事项和计划的采购程序。
假设与挑战
新的密码漏洞的发现和密码分析技术的突破往往会导致之前的密码算法被淘汰。量子计算技术的出现将危及当前许多密码算法,尤其是广泛用于保护数字信息的公钥密码算法。 我们所依赖的大多数算法都被广泛用于不同的通信、处理和存储系统组件中。
许多信息系统缺乏加密灵活性。也就是说,在不对系统基础设施进行重大更改的情况下,它们的设计不是为了鼓励对新的加密原语和算法的快速适应提供支持。因此,用户可能无法完全控制其加密机制和流程,无法实现在不涉及大量人力工作的情况下对其进行准确更改。
算法的替换一般需要以下几步:
•识别原有的算法
•了解密码库的数据格式和应用程序编程接口,以支持必要的更改和替换
•发现能实现或加速算法性能的硬件
•确定使用该算法的操作系统和应用程序代码
•识别所有具有易受攻击协议的通信设备
•识别加密协议对算法特性的依赖
一旦企业用户确定其使用公钥密码的使用场景和用法,就可以判断使用的密钥的特性,例如:
•当前密钥大小和对未来密钥大小和签名大小的硬件/软件限制
•延迟和吞吐量阈值
•用于加密协商的进程和协议
•当前的密钥建立握手协议
•每个加密过程在堆栈中发生的位置
•如何调用每个加密进程(例如,通过调用加密库、使用嵌入在操作系统中的进程、调用应用程序、使用加密作为服务)
•工具是否支持加密灵活性的概念
•是否可以通过软件更新实现
•每种加密硬件/软件/流程的供应商和所有者
•密钥和证书的来源
•供应商强加的合同和法律条件
•工具使用是否需要在加密模块验证程序下进行验证
•工具的生命周期或预期使用时限,如果供应商有说明
•移民对知识产权的影响
•受保护信息的敏感性
考虑到密钥大小、签名大小、错误处理属性、执行算法所需的执行步骤、密钥建立过程复杂性等方面的差异,新算法可能并不具有传统算法的性能或可靠性。因而,新算法可能不会直接实现替代。
一旦选择了替代算法,其他加快用户群采用和实施的操作注意事项包括:
•将安全要求、业务运营和任务影响考虑在内,开发一种基于风险的方法。
•开发实施验证工具
•识别在迁移过程中需要过渡(例如,混合算法)实现以保持互操作性的情况。
•更新开发人员、实施者和用户的流程和程序
•制定既可在组织内部使用又可与外部客户和合作伙伴使用的沟通计划
•确定迁移时间表和必要的资源
•更新或替换安全标准、程序和推荐的实践文档
•详细说明获取量子安全技术的采购要求
•提供安装、配置和管理文档
•测试和验证新的流程和程序
背景
加密技术被政府和相关行业用以验证信息来源并保护信息交流和存储的机密性和完整性。 加密技术包括广泛的协议、方案和基础框架,但它们依赖于数量有限的密码算法。
密码算法是转换数据的数学函数,通常使用变量或密钥来保护信息。 这些关键变量的保护对于受保护数据的安全的持续性至关重要。在对称加密算法的情况下,加密保护信息的发起者和接收者都使用相同的密钥。对称密钥必须保密,否则保密机制将失效;任何拥有密钥的人都可以恢复未受保护的数据。非对称算法要求发起者使用一个密钥,而接收者使用不同但相关的密钥。其中一个非对称密钥(私钥)必须保密,但另一个密钥(公钥)公开并且不会降低加密过程的安全性。这些非对称算法通常称为公钥算法。
对称算法为机密性和完整性提供了高效的处理,但密钥的管理(建立和维护只有通信方知道的秘密)是一个挑战。因为交易的任何一方都可以计算转换,所以对称算法提供的来源证明很弱。非对称算法通常需要更多的处理操作和时间,并不适用于为非常小的数据量提供机密性保护。然而,这些算法的使用对于加密密钥建立和数字签名过程是可行的。在公钥密码的情况下,一对密钥中的一个可以公开,不需要分发私钥。非对称密钥算法可用于在多对多通信中建立成对密钥并验证实体和/或数据源,而无需密钥分发的秘密通道。因此,大多数加密实体或数据源身份验证和密钥建立功能都使用公钥加密。
有时,发现密码漏洞、相关技术强加的限制或支持密码分析的技术的进步,都需要替换旧的密码算法。我们所依赖的大多数算法广泛用于许多不同通信、处理和存储系统的组件中。虽然某些系统的某些组件往往会相对频繁地更新换代(例如手机),但其他组件预计将保留十年或更长时间(例如发电和配电系统中的组件)。通信互操作性和记录归档要求对系统组件引入了额外的限制。一般来说,在系统的所有组件都准备好处理替换之前,不能替换加密算法。在引入新的加密算法时,必须经常对协议、方案和基础框架进行更新。因此,算法替换可能颠覆现有的系统,通常需要数十年才能完成。
量子计算是一种支持使用Shor算法进行密码分析的技术,其持续的发展预示着一种特别颠覆性的密码过渡。所有广泛使用的公钥密码算法都容易受到基于Shor算法的攻击,但该算法所依赖的操作只有大型量子计算机才能实现。当网络攻击可以使用实际量子计算时,它将破坏几乎所有现代公钥密码系统的安全性。
因此,受现有公钥加密算法保护的信息都将暴露在风险之下。 这包括所有产生记录的通信和其他存储的信息。任何仍被认为是私人的或敏感的信息都容易泄漏。对于未检测到的信息修改也是如此。
一旦 Shor算法变得可行,将需要使用抗量子算法重新加密存储的密钥和数据,并删除或物理保护“旧”副本(例如备份)。 除非它们使用一种不易受到基于量子计算的攻击的机制进行处理或封装(例如,重新签名或加时间戳)。若攻击者在算法替换之前存储了加密材料,没有任何方法可以保护该材料的机密性。
我们将易受量子计算机制攻击的算法称为易受量子攻击(quantum-vulnerable)算法。
量子安全密码项目将展示用于发现易受量子攻击的代码或对多个实现场景的此类代码的依赖性的工具。每个场景都涉及发现易受量子攻击的密码或对易受量子攻击的密码的依赖。每个场景还解决了替换易受量子攻击的密码或消除对易受量子攻击的密码的依赖性的优先级排序的某些方面。 最后,这些场景解决了基于对易受量子攻击的密码的安全控制依赖性的补救缺陷的各个方面。
场景1:FIPS-140验证的硬件和软件模块,使用易受量子攻击的公钥加密
•第一步涉及发现企业中使用易受量子攻击公钥加密的FIPS-140验证硬件和软件模块。
•此步骤之后将确定每个模块的用途(例如,对称密钥封装、数字签名)。
•当模块用于保护特定的数据集或流程时,则应对受保护信息或流程的重要性进行评估。根据模块使用的目的及其保护的内容,确定要更换的模块的优先级。
•由于可用性、验证状态或其他考虑因素,并非所有模块都能够在同一时间内被替换,因此将制定可适应分阶段或多步骤更换过程的更换可用性计划。但并非所有替换都必须使用新的公钥算法进行。例如,在某些情况下,使用键控散列(keyed hash)就可以在适用和可用的模块中实现相同的目的。在其他情况下,高优先级组件将不会在近期替换,或者替换可能具有与系统要求相冲突的接口或性能特征。在这种情况下,可以考虑补偿控制。
•结果,将确定一组易受量子攻击组件,根据记录的风险评估确定替换优先级,以及确定每个组件的迁移/补偿策略(以及预计时间表)。
场景 2:包含易受量子攻击的公钥密码的密码库
•此场景的第一步是确定一组常用于密码软件开发的密码库。
•然后,将审查这组具有代表性的库,以确定是否存在对与易受量子攻击的公钥算法相关联的例程的调用。
•对这些库进行审查,以确定它们是否还包括NIST后量子密码标准化过程中选择的用于标准化的量子抗算法或支持组件。
•如果库不包括对 NIST 选定算法的支持,则该库将被标识为此类,并且将提出关于包含一种或多种 NIST 选定算法的建议,以实现库中包含的易受量子攻击的例程的一项或多项功能。
•如果库确实包含对 NIST 选定算法的支持,则建议确定算法或算法元素是否支持NIST选定算法的正确实现。
•根据合作者的输入,将尝试确定最常调用的库。
•最终的结果将是识别仅支持易受量子攻击算法的常用密码库,识别支持一种或多种 NIST 选定算法的密码库,以及识别所选算法/模式的注释,与正确支持相关的问题抗量子算法,并标记那些具有已知恶意软件或其他与安全相关的编码缺陷的库。
场景 3:加密应用和加密支持应用,包括或侧重于易受量子攻击的公钥加密
•此场景的第一步是识别和选择示例加密应用程序和加密支持应用程序,这些应用程序和加密支持应用程序包括或专注于易受量子攻击的公钥加密。将包括支持信息交换协议(例如传输层安全性(TLS))的应用程序,以及支持关键操作系统和基础设施流程(包括金融系统和基础设施控制系统)的应用程序。
•其次,团队将在每个密码应用程序和密码支持应用程序(例如,密钥协商、密钥包装、数字签名、身份验证)中识别出易受量子攻击算法支持的一个或多个密码函数。根据每个加密应用程序和加密支持应用程序的可用性标记系统安全性依赖(例如,主题识别、访问授权、传输和/或静止数据的机密性)。
•第三步是识别依赖于每个被检查的加密应用程序和加密支持应用程序的任何信息交换和处理协议。
•第四,团队将确定每个加密应用程序和加密支持应用程序所使用的信息技术或操作技术环境,并对与应用程序故障或不可用相关的FIPS 199[4]风险进行分类。团队将确定可能用于提供所需控制以代替不可用或无功能应用程序的任何补偿控制。
•团队接下来将确定每个加密或加密支持应用程序所需或限制的算法特征(例如,密钥大小、块大小、支持的操作模式、容错性、延迟、吞吐量)。
•然后,团队将根据NIST后量子标准化过程中仍在考虑的算法,确定哪些候选算法(如果有)满足每个应用程序的算法特性要求,并标记那些候选算法无法满足的应用程序要求。
•最后,场景的结果将是按风险类别、功能关键性以及相关系统和流程的数量/范围划分优先级的应用程序列表。对于每个应用程序,将确定候选替换算法和/或补偿控制。那些无法确定合适算法或补偿控制的情况将被标记。
场景4:计算平台中嵌入的易受量子攻击的加密代码
•此场景中的第一步将是识别一个或多个操作系统环境(例如,Microsoft Windows、Red Hat Enterprise Linux、macOS、iOS、Android),在这些环境中,易受量子攻击的密码将嵌入在操作系统代码、访问控制实用程序代码、加密完整性应用程序和机制,以及身份和访问管理系统和应用程序的代码中。
•对于每个操作系统环境,确定并记录它的使用范围,并给出相关企业和基础设施的示例。
•对于确定的每个操作系统环境,团队将采用自动化工具来确定易受量子攻击的密码。
•对于每个确定的实例,团队将评估代码对于系统运行能力的重要性(例如,是否存在不需要代码实例的设置,不调用代码的安全后果是什么)。
•对于每个易受量子攻击的密码实例,团队将确定代码所需或受限的算法特征(密钥大小、块大小、支持的操作模式、容错、延迟、吞吐量等)。
•然后,团队将根据 NIST 后量子算法标准化过程仍在考虑的算法,确定哪些候选算法(如果有)满足每个代码实例的算法特性要求,并标记那些没有候选算法可以满足要求的实例。
•此场景的结果将是确定所有易受量子攻击公钥密码的列表,并对于每个密码实例,提供以下信息:
o确定适合替换易受量子攻击密码的候选NIST 算法以及替换对预期系统功能性能的预期影响(包括替换的特征,例如轮次、密钥大小、块大小等)
o删除密码的后果以及可能推荐的缓解办法
o推荐替换或其他缓解措施的优先级
o标记替换或删除都不可行的情况,如果不这样做将损害操作系统功能和/或安全性。
场景5:利用易受量子攻击的加密算法在不同行业广泛部署的通信协议
•团队将搜索美国服务提供商和金融、医疗、能源、交通和其他行业代表性企业使用的通信和网络标准中的易受量子攻击的公钥算法。实例将被记录在案。
•团队将描述协议的使用有多广泛及其支持的应用程序。
•对于每个记录在案的参考,团队将确定有关密钥大小、块大小或延迟/吞吐量约束的任何限制或规范。
•对于每个记录在案的参考,团队将根据NIST 后量子标准化过程仍在考虑的算法,确定哪些候选算法(如果有)满足限制和规范,并标记那些候选算法无法满足的实例要求。
•最终的结果将是一个协议列表。该列表将显示其应用的广泛程度(用户的大致数量、规模和影响)。对于每个协议,将提供以下信息:
o协议识别
o负责维护协议的组织
o协议应用空间(由谁使用,用于什么目的)
o协议引用的易受量子攻击算法
•将确定潜在适合替换引用的易受量子攻击算法的 NIST 抗量子算法候选算法。
•标记没有 NIST 抗量子候选算法可能适合替换引用的易受量子攻击算法。
所有场景都将针对企业数据中心环境,包括本地数据中心和由第三方数据中心或公共云提供商托管的混合云部署。
高级体系结构由一个典型的企业环境组成,将位于马里兰州罗克维尔的 NCCoE PQC 实验室通过互联网连接到由协作者托管的外部站点和云资源。 这将使合作者能够在 NCCoE 实验室中安装发现工具并通过虚拟专用网络远程操作它们。反之,它将使 NCCoE 实验室的工作人员能够使用实验室中安装的工具直接或使用云服务发现远程站点中存在易受量子攻击的软件。NCCoE 环境将能够承载物理、虚拟化和容器化的工作负载。 它将提供路由、命名等核心基础设施服务; 一组典型的应用服务,如目录、Web 服务器等; 以及防火墙等核心安全服务。 各种典型端点将可用于托管客户端操作系统、协议和应用程序。
组件清单
•通用 IT 组件:
o运行密码检测工具所需的计算、存储和网络资源
o云服务
•功能安全组件:
o数据安全组件
o端点安全组件
o身份和访问管理组件
o安全分析组件
•设备和网络基础设施组件:
o资产,包括设备/端点
o核心企业资源,例如应用程序/服务
o网络基础设施组件
•发现公钥密码组件的方法和工具:
o操作系统
o应用程序代码
o硬件实现、控制或加速加密功能
•发现算法迁移影响的方法和工具:
o通信和网络协议
o密钥管理协议、流程和程序
o网络管理协议、流程和程序
o业务流程和程序
所需的安全特性和属性
对易受量子攻击公钥算法的所有候选的抗量子替换都应具有至少相当于被替换的易受量子攻击算法所具有的安全强度,其中被替代算法的安全强度是在没有量子计算的情况下测量的。
任何用补偿控制替换易受量子攻击公钥算法的建议都应附有对补偿控制如何提供与当前在没有量子计算的情况下提供的相关机密性和完整性保护相称的解释。
任何因建议用 NIST 候选量子抗性算法替换易受量子攻击公钥算法而导致的预计性能下降都应在项目中加以描述。
以下是现有相关标准和指导文件的列表。
•Federal Information Processing Standard (FIPS) 140-3, Security Requirements for Cryptographic Modules,
https://doi.org/10.6028/NIST.FIPS.140-3
•FIPS 199, Standards for Security Categorization of Federal Information and Information Systems,
https://doi.org/10.6028/NIST.FIPS.199
•Framework For Improving Critical Infrastructure Cybersecurity, Version 1.1, https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf
•NIST Internal Report (NISTIR) 8105, Report on Post-Quantum Cryptography,
https://doi.org/10.6028/NIST.IR.8105
•NISTIR 8309, Status Report on the Second Round of the NIST Post-Quantum Cryptography Standardization Process, https://doi.org/10.6028/NIST.IR.8309
•NIST Privacy Framework: A Tool For Improving Privacy Through Enterprise Risk Management, Version 1.0, https://doi.org/10.6028/NIST.CSWP.01162020
•NIST Special Publication (SP) 800-53 Revision 5, Security and Privacy Controls for Information Systems and Organizations, https://doi.org/10.6028/NIST.SP.800-53r5