查看原文
其他

美国国家安全局发布《量子计算和后量子密码》

光子盒研究院 光子盒 2021-12-15
光子盒研究院出品


量子计算和后量子密码学越来越成为密码学讨论的主流,特别是在与国防有关的领域。最近,美国国家安全局(NSA)发布了一份关于量子计算和后量子密码的常见问题文档。
 
这份8页的文档概述了量子计算及其与密码学的关系、商业国家安全算法套件、涉密项目商业解决方案(CSfC)和国家信息保障合作伙伴关系(NIAP)以及未来的算法和密码学。NSA还表达了对量子密钥分发(QKD)的悲观看法,但这一看法不是对QKD理论的质疑,而是对目前的QKD硬件/软件缺乏信心。


 
问:什么是量子计算机,它与我们今天使用的计算机有何不同?
 
答:原则上,量子计算机执行某些数学算法的速度可以以指数速度超过经典的计算机。量子计算机使用“量子比特” ,其行为和相互作用根据量子力学定律,代替了当今计算机使用的经典比特。这种基于量子物理学的行为将使足够大的量子计算机能够执行特定的数学计算,而这对于任何传统计算机都是不可行的。
 
问:什么是“加密相关量子计算机”(CRQC)?
 
答:目前已经构建出了小型的、实验室规模的量子计算机原型。还提出了一些较大的系统,可以处理某些类型的计算,但可能不适合分析密码算法。CRQC是专门用来描述能够攻击真实世界密码系统的量子计算机,而普通计算机无法攻击这些系统。
 
问:如果开发了CRQC,会有什么威胁?
 
答:如果CRQC可以实现,它将能够破坏广泛部署的用于非对称密钥交换和数字签名的公钥算法。保存着机密或其他敏感的军事或情报信息的国家安全系统(NSS)就使用公钥加密作为保护国家安全信息的机密性、完整性和真实性的关键组件。如果没有有效的缓解措施,使用量子计算机的对手可能会对NSS和整个国家造成毁灭性的影响,特别是在此类信息需要被保护几十年的情况下。
 
问:我可以使用预共享密钥来缓解量子威胁吗?
 
答:许多商业协议都允许可以减轻量子威胁的预共享密钥选项,有些协议允许在同一协商中组合使用预共享密钥和非对称密钥。然而,这个问题可能很复杂。希望探索此选项的客户应联系NSA或涉密项目商业解决方案(CSfC)计划提供的指导。
 
问:什么是“抗量子”或“后量子”密码学?
 
答:抗量子、量子安全和后量子密码都是用于描述在标准加密/解密设备上运行的密码算法的术语,专家们广泛认为这些算法可以抵抗来自经典计算机和量子计算机的密码分析攻击。尽管使用经典计算机的密码分析几十年来一直是一个备受关注的主题,但涉及(潜在)量子计算机的密码分析的科学研究仍然相对较新。一些被认为可以对抗有朝一日可能拥有CRQC的对手的算法,被称为“抗量子”或“量子安全”。通常预计任何“抗量子”或“量子安全”的算法标准都将是安全的,可以抵御所有预想和可理解的量子计算能力。而“后量子”是一个中性术语,通常用来单纯地表示这些算法的设计考虑到了量子威胁。注意,后量子并不意味着这些算法只能在构建了 CRQC之后使用。
 
问:量子计算机会影响非公钥(即对称)算法吗?
 
答:这一领域的专家普遍认为,量子计算技术在攻击对称算法方面远不如攻击广泛使用的公钥算法有效。相比公钥密码需要改变基本设计,对称算法只需要使用足够大的密钥大小就被认为是安全的。即使在开发了CRQC情况下,选择商业国家安全算法(CNSA)套件的对称密钥算法可以确保NSS使用安全。
 
问:由于存在CRQC,NSA是否担心潜在的量子计算机构成的威胁?
 
答:NSA不知道何时甚至是否会存在具有足够大小和能力来破解公钥密码学的量子计算机(CRQC)。
 
问:为什么今天NSA关心量子计算?量子计算不是很远吗?
 
答:NSA生产、认证和支持的密码系统通常有很长的生命周期。NSA今天必须为未来几十年使用的系统提出要求,而这些系统保护的数据在这些解决方案被取代后仍然需要加密保护几十年。量子计算领域的研究日益增多,全球对量子计算的兴趣促使NSA鼓励发展后量子密码标准,并计划最终向其过渡,以确保对NSS的持久保护。
 
问:NSS中部署新算法、使用设备和国家安全信息情报价值的时间框架是什么?
 
答:新的加密技术可能需要20年或更长时间才能完全部署到所有国家安全系统。NSS设备通常在部署后使用数十年。国家安全信息情报价值因分类、敏感性和主题而异,但可能需要数十年的保护。
 
问:如何过渡到抗量子系统?
 
答:CNSA套件代表了对于商业空间过渡到抗量子公钥时的临时战略。遵循CNSA指南和未来的NSA加密套件公告将提供最快捷的途径来安全地减轻针对NSS的量子威胁。虽然计划和准备过渡的预期工作正在进行中,但部署应等待NSA的授权。
 
问:什么是量子密钥分发(QKD)和量子密码?
 
答:量子密码领域涉及利用量子力学(而不是使用算法密码学中的数学)来保护机密的专用硬件。今天最常见的例子是使用量子物理来分发用于传统对称算法的密钥,因此被称为量子密钥分发。这项技术今天已经存在,与有一天可能被用来攻击基于数学的密码算法的量子计算技术不同。QKD的唯一功能是在用户之间分发密钥,因此它只是密码系统的一部分。
 
问:QKD系统是无条件安全的吗?
 
答:没有。虽然理论上QKD协议有安全证明,但实际QKD硬件/软件实现没有安全证明。没有测试QKD硬件的标准方法,也没有建立这些设备的互操作性、实施或认证标准。这导致特定系统的实际安全性难以量化,这会在某些情况下导致漏洞。
 
问:我应该使用QKD系统来保护我的NSS免受量子计算机的攻击吗?
 
答:不可以。尽管QKD涉及的技术具有重大的科学意义,但它仅解决了一些安全威胁,并且需要对NSS通信系统进行重大工程修改。NSA认为QKD不是保护国家安全信息的实用安全解决方案。未经咨询NSA,NSS所有者此时不应使用或研究QKD。对于具体问题,NSS所有者可以联系NSA。
 
问:什么是量子随机数发生器(QRNG)?
 
答:量子随机数发生器是使用特定的量子效应来生成非确定性随机性的随机数生成器硬件,是目前可用的商业技术。有多种非量子随机数发生器已经过适当验证或认证,可用于NSS或其他政府应用程序。即使建立了CRQC,它们也将保持安全。在特定场景中适合使用哪种随机数发生器的决定取决于许多因素,如果在该批准的限制内得到适当的认证/批准和实施,任何随机数发生器都应该是可以接受的。
 

问:什么是CNSA套件?
 
答:CNSA套件是美国国家安全系统委员会政策15(CNSSP-15)中确定的一套算法,用于保护NSS,包括机密信息。CNSA套件包括:


问:什么是CNSSP-15?
 
答:CNSSP-15规定了用于保护NSS的商业加密算法,以及其他美国国家安全系统委员会(CNSS)和NSA记录的过程。最初是政策文件规定了“NSA套件B”,现在它描述了商业国家安全算法套件。
 
问:当前的CNSSP-15与之前的版本有何不同?
 
答:2016年10月对CNSSP-15进行了三项重大更改:

●它取代了之前将系统转换为套件B标准的要求,指定了更多算法选择(CNSA套件),以便在后量子标准开发时扩展现有解决方案的使用。
●它将套件B的两个安全级别合并为一组用于所有级别的要求。
●先前的CNSS政策明确针对机密信息,但更新后的政策适用于所有NSS(包括机密和非机密信息)。
 
问:NSA如何确定要使用的RSA 和Diffie-Hellman的大小?
 
答:在《CNSS咨询备忘录02-15》中,NSA将这些算法的状态从“遗留”更改为“支持”,以允许它们的扩展使用,直到抗量子密码可用——这在CNSSP-15 中继续。为RSA和Diffie-Hellman选择3072位密钥大小是在考虑了需要使用这些算法的NSS的预期寿命以及其中一些系统的实际技术限制后做出的。RSA和Diffie-Hellman的较大尺寸是可以接受的,如指南中所述。如果需要,NSA可以为供应商和NSS开发人员、运营商和用户提供额外的指导,了解他们特定应用的适当密钥大小。
 
问:CNSSP-15与CNSSI-1253、NIST SP 800-53和RMF流程有何关联?
 
答:CNSS指令1253(CNSSI-1253)要求使用美国国家标准与技术研究院(NIST)特别出版物(SP)800-39和800-53中记录的风险管理框架(RMF)来管理国家安全信息系统。SP 800-53包括与加密相关的安全控制。对于NSS,需要选择“NSA Approved”。除非NSA另有说明,否则“NSA Approved”密码选择应理解为包括CNSA算法要求以及NSA关于产品验证和操作的所有其他相关指南。
 
问:CNSA套件中的公钥算法是都容易受到量子攻击吗?
 
答:公钥算法(RSA、Diffie-Hellman、ECDH和ECDSA)都可能容易受到CRQC的攻击。制定临时战略的目的是在近期内为客户和供应商提供更大的灵活性,以节省成本,同时加密社区正在开发和全面评估稳健的抗量子标准。
 
问:CNSA套件中的对称算法如何?
 
答:CNSA套件要求对称算法具有足够的强度来抵御预期的量子计算威胁。其目的是仅使用抗量子组件更新套件的公钥组件。
 
问:套件B怎么样?
 
答:“套件B”一词已与一组特定的固定算法相关联,而不是与使用选定的公共算法来保护机密信息相关联。为避免混淆,不再使用“套件B”一词。
 
问:互联网工程任务组(IETF)发布的套件B征求意见(RFC)怎么样?
 
答:套件B RFC不再适合使用,并且在RFC 8423中被归类为历史。描述如何在常见IETF协议中实施CNSA套件算法的新指南将作为信息RFC和NSA版本提供。这应该适用于整个NSS空间。请注意,协议特定指南可能仅包括一些CNSA套件算法,可能要求特定模式和选项,和/或可能允许酌情包含非CNSA套件算法。这些例外情况基于所涉及技术的特定技术细节和/或市场可用性是CNSSP-15允许的,但可能会随着CNSA支持的可用而改变。
 
问:更广泛的政府社区应该如何理解CNSSP-15的要求?
 
答:NSA制定了NSS的要求。通常,这些系统存储和/或传输需要长期保护的信息,以防经验丰富且资源充足的对手在潜在战时环境中进行有针对性的攻击。一般政府用户可能有也可能没有这样严格的要求。NIST有责任为其他政府系统建立加密标准。NSA希望继续为这些应用中使用的商业产品维护高安全标准,这些产品将从通用NIST加密标准中选择。如果不确定特定系统是否符合NSS要求,NIST和NSA可以帮助解决这个问题。
 
问:鉴于可供选择的算法选项和大小范围,哪个最好?
 
答:2016年10月版本的CNSSP-15提醒NSS的开发人员和运营商需要在未来过渡到抗量子算法,并允许在算法选择方面比之前的指南中所允许的具有更大的灵活性。这种灵活性旨在最大限度地降低使现有系统升级其设备以满足临时标准的风险,然后才要求它们再次升级以使用后量子解决方案。在这个框架内,开发者、运营商和用户可以选择最具成本效益的路径来遵守政策,同时规划其向未来后量子非对称密码的迁移路径。需要额外指导的NSS开发人员、运营商或用户应联系NSA。
 
问:NSS应该使用哪些具体的算法参数?
 
答:NSS用户应选择NIST认可的标准中指定的、符合最低要求大小的完善且经过验证的参数集。对于许多最常见的协议,NSA正在制定选择可接受的协议的具体指南。对于IETF协议,特定的征求意见已经将要发布和提供。

对于其他应用,一些可接受的具体示例包括:
 
●椭圆曲线Diffie-Hellman(ECDH)和椭圆曲线DSA(ECDSA)必须使用NIST P-384参数。
●RSA应使用最小为3072位的模数(不包括指出的PKI例外),并且应根据所有相关的NIST标准和指南生成密钥。
●Diffie-Hellman应使用已建立标准中规定的至少3072位的质数模数。典型示例包括IETF RFC 3526 (Groups 15-18)或RFC 7919 (groups ffdhe3072及更大)。
 
问:我已经在NSS中使用的许多设备上配置了RSA 4096证书。我应该改用RSA 3072证书吗?
 
答:不一定。具有4096模数大小的RSA超过了3072最低模数大小,可以使用。由于RSA的性质,互操作性问题不像椭圆曲线系统那样有明确的答案。如果NSS客户有问题,他们应该联系NSA。
 
问:对于基于RSA和Diffie-Hellman的解决方案,CNSA套件仅包含最小尺寸。我可以在NSS上使用NIST P-521曲线进行ECDH或ECDSA吗?
 
答:实现RSA和DH的密码库长期以来支持多种密钥大小,并且已在使用各种大小的密钥。为了节省成本,CNSA允许继续使用较大的密钥大小。对于椭圆曲线密码(ECC),必须对特定参数进行编程,P-384是该技术首次部署时在套件B中建立的通用参数集。为了增强系统的互操作性,NSA保留了在CNSA定义中仅使用NIST P-384的要求。希望使用官方指定的CNSA套件之外的算法的NSS运营商应咨询 NSA。然而,如果互操作性不是问题,P-521可能被认为是可以接受的。
 
问:新的椭圆曲线和相关算法怎么样?
 
答:考虑到大多数政府计划整合新密码所需的过渡时间;现有解决方案的庞大基础;希望保持与现有系统的互操作性;以及后量子算法的预期标准化,NSA预计不会在CNSA套件中包括额外的算法或参数选择。
 
问:我们可以使用替代的NIST标准化哈希函数吗?
 
答: 先前版本的CNSSP-15中包含了SHA-384支持,并被认为可以为NSS提供足够的安全性。出于互操作性的目的,在CNSA套件中保留了单个哈希函数的选择。NSA 预计在后量子算法过渡之前不会重新考虑这一决定。在有些应用中,截断的哈希值被适当使用,或者其他哈希函数可能是更好的选择。在需要不同长度散列输出和/或通常不支持SHA-384的特定场景中,可以发布协议特定指南,或者客户可以咨询NSA以获得说明。
 
问:什么是有状态的基于哈希的签名?
 
答:现在有针对有状态基于哈希的签名的公共标准,要求每次使用时更新内部“状态”以维护安全性。它们的数学安全性被广泛接受。然而,它们有一些特性使其不适合一般用途。这些算法可能适用于特定场景,例如固件签名。NIST SP 800-208对这些签名的使用进行标准化并提供指导。
 
问:我可以使用有状态的基于哈希的签名吗?
 
答:NSA建议在正确验证的加密模块上实施SP 800-208基于哈希的签名,以在标准中概述的特殊场景中保护NSS;例如,用于固件签名。我们首选的参数集是第4.2节,使用SHA-256/192的LMS。
 
问:我有长数据寿命问题,并希望采用CSfC解决方案。如何确保我的通信和数据在使用量子计算机的对手面前保持安全?
 
答:一些CSfC解决方案可以使用对称的、预共享的密钥来实施,以防止长期量子计算威胁。NSA 认为,以符合标准的方式使用预共享对称密钥,是比实施实验性后量子非对称算法更好的近期后量子解决方案,后者可能会或可能不会被证明是安全的并且与NIST标准不兼容。
 
问:我在特定NSS上的数据只需要短期保护。我真的需要遵守CNSSP-15增加的算法强度吗?
 
答:NSA强制要求NSS使用转换算法,以符合通用标准并确保互操作性。NSS开发人员和运营商应过渡到遵守NSA或就其特定场景中涉及的问题咨询NSA。
 
问:CNSA何时更新为抗量子算法?
 
答:更新 CNSA目的是删除易受量子攻击的算法,并用NIST在第三轮后量子标准化工作结束时选择的抗量子算法的子集替换它们——NIST将确定每个算法的时间表。
 
 
问:我可以在不通过NIAP/CSfC的情况下在我的NSS中使用任何支持CNSA的产品吗?
 
答:不可以。根据CNSSP-11和CNSSP-7规定。
 
问:我有一个为NSS构建的产品/解决方案,以满足NIAP保护配置文件和/或CSfC功能包。这对我有什么影响?
 
答:NIAP保护配置文件和CSfC功能包会定期更新以与CNSSP-15保持一致。注意,保护配置文件流程由商业市场上可用的技术驱动,旨在适应CSfC之外的广泛用例选择。因此,NIAP保护配置文件可能包括一系列广泛的算法,这些算法在CNSA或CSfC中找不到。CSfC功能包已更新以符合CNSA套件的要求,并描述如何在特定配置中使用商业加密分层来保护机密信息。NSA可能会根据具体情况批准替代算法选择作为CSfC流程的一部分,主要是当市场尚未提供足够的CNSA合规产品时。可以假定该批准意味着NSA也批准在NSS中使用相同技术在非机密级别运行的相同密码。独立于CSfC过程,NSA发布了其他特定于 NSS 中使用的产品或技术的指南。其中还可能包括非CNSA选择。但是,应当理解,如果存在对CNSA套件选择的市场支持,则表明批准非CNSA选择的功能包或其他NSA指南可能会发生变化。



问:CNSA中使用的抗量子公钥算法从何而来?
 
答:NIST正在其2016年开始的后量子标准化工作中标准化抗量子公钥。这项多年的工作正在分析各种各样的保密和认证算法,以便纳入未来的标准。NSA预计在第3轮结束时将NIST流程中的基于格的算法添加到CNSA——该时间表由NIST确定。
 
问:有没有一种抗量子的公钥算法是商业供应商今天应该采用的?
 
答:除了固件的有状态哈希签名外,还没有商业供应商应该采用的抗量子公钥算法。虽然NIST正在考虑许多有趣的抗量子公钥算法,但是目前还没有经过批准的、普遍可用的标准。NSA正在等待NIST流程完成并发布标准。当NIST 流程选择适合NSS使用的标准化算法时,NSA将为NSS的过渡制定路线图和时间表。供应商/购买者应该预计最终需要迁移到NIST后量子密码标准,并且他们应该开发/购买允许安全和不复杂升级到新算法的产品。一旦 NIST 后量子密码标准发布并建立了这些算法的认证程序,CNSSP-15将更新要求使用后量子算法的时间表,并淘汰当前CNSA算法套件中的易受量子部分。这个时间表将取决于所选择的标准和市场提供支持产品的能力。提醒NSS客户,NSA不建议且政策不允许实施或使用未经批准、非标准或实验性的加密算法。抗量子密码领域也不例外。
 
问:开发人员和程序可以为未来的抗量子算法套件做哪些准备?
 
答:CNSA中的AES-256和SHA-384算法被认为可以安全抵御大型量子计算机的攻击。开发人员可以部署这些算法。但是NSA不建议将非标准化算法添加到已部署的、经过认证的系统和产品中。NSA表示,它希望从NIST后量子工作最终入围者中选择一种基于格的算法。开发人员应该开始试验这些选择,并就发现的任何问题向NIST流程提供反馈。计划应该预见到,在NIST提供所需的标准之后,将会迅速向要求支持抗量子标准的方向发展。此外,作为正常更新过程的一部分,预计可升级软件设备也将迅速添加支持。虽然现阶段无法确定确切的过渡时间表,但谨慎的做法是,项目应结合使用这些候选算法进行试验的需求,并确保在时机成熟时能够及时升级。
 
问:抗量子密码标准何时可用?
 
答:这个问题最好由NIST解决。
 
问:NSA何时会选择NIST批准的算法?
 
答:NIST已经表示,它可能会对来自第3轮决赛入围者的多个安全级别的多个后量子算法进行标准化,以包括基于格的保密算法和基于格的签名。为了在NSS内实现互操作性,NSA预计使用这些基于格的标准,可能是在更高的安全级别之一。确切的选择将在NIST做出选择后公布。在NIST选择公告以及最终标准发布之间通常有一段很长的时间。NSA可能会在最终NIST标准发布之前宣布其选择,以帮助NSS社区计划实施。正式部署将在最终标准发布之前开始;认证和验证流程已经就绪;为后量子密码的获取、转换和互操作性制定了一个稳健的计划。在流程完成之前,商业供应商可能会提供一些支持。NSA对NIST后量子密码标准化过程充满信心。
 
NSA文档:
https://media.defense.gov/2021/Aug/04/2002821837/-1/-1/1/Quantum_FAQs_20210804.PDF
 
—End—

相关阅读:
NIST最新报告:向后量子密码迁移
NIST白皮书:后量子密码的挑战
里程碑!中国实现首个量子密钥分发和后量子密码融合可用性的现网验证
抵抗量子计算攻击的后量子密码,市场规模近百亿美元
世界上第一个抗量子网络加密解决方案问世

#光子盒社群招募中#

进入光子盒社群,与我们近距离互动,了解量子领域更多产业、商业、科技动态,领取量子技术产业报告。
 
现添加社群助手微信Hordcore即可进群 ,与我们一起展望未来!

你可能会错过:
: . Video Mini Program Like ,轻点两下取消赞 Wow ,轻点两下取消在看

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存