SIKE后量子密码被破解后续：NIST第四轮筛选可能将其剔除

2022年7月，NIST率先公布了其后量子密码标准化项目第三轮筛选的结果：CRYSTALS-Kyber、CRYSTALS-Dilithium、Falcon、SPHINCS+被选中并成为标准化算法；同时，NIST也提出了四种额外的算法——BIKE、Classic McEliece、HQC、SIKE，进一步探讨是否将其标准化，希望其中一种或多种算法也可以成为后量子世界中合适的替代加密方案。

然而，短短一个月以来，后量子密钥交换算法SIKE（超奇异同源密钥封装）已经被破解了两次，并且是两种不同的方法（后者甚至仅利用经典计算机就实现加密破解）；这显示出了标准化下一代加密算法所涉及的风险[1]。近日，NIST数学家、后量子密码学（PQC）项目负责人Dustin Moody公开表示，SIKE在第四轮中“不太可能”存活下来[2]。

Dustin Moody

Moody在国家网络安全卓越中心（NCCoE）网络研讨会上发表了讲话，解释了NIST从SIKE的快速破解中学到的东西。“所有这些密码系统，我们邀请人们看看它们并开始他们的攻击周期......这显示了评估并测试它们的价值。这就是我们希望在这个过程中看到的事情。”

然而，他补充说：“另一方面，虽然SIKE进入了第四轮意味着它通过了三轮，我们开始对它产生一些信心；但是，NIST将其放在第四轮而不是更早地选择它或标准化的一个原因是该技术来自一个较新的研究领域，我们觉得它仍然需要更多的时间。所以从这个意义上说，这个算法被破解并不奇怪。这是一个非常好的研究结果，但在这些论文破解它之前，我们没有看到SIKE防御中的任何缺陷。”

与业内猜测相同，Moody还表示，SIKE在第四轮中“不太可能”存活下来，但目前还没有计划在第四轮中增加新的加密候选者来取代它。

“NIST正在寻求向新的数字签名候选人开放标准化流程，但任何新进入者都可能面临多年的评估。”即使是7月已经标准化的加密方案和数字签名模型，在2024年最终确定之前，仍然可能面临两年更严格的评估、测试甚至调整。升级到PQC的紧迫感越来越强烈，但Moody强调，组织不应该在这条路上走得太远。“我们真诚建议，在标准发布之前，不要对它们进行硬编码（hard-code）或使用它们；因为在标准发布之前，现在的规范版本可能会继续略有变化。”

Moody建议，目前的重点应该是评估正在使用的加密方法，以及最终需要升级的设备和系统的数量、类别，花时间仔细制定PQC迁移计划。

“我们目前正在起草标准：正在编写文档，告诉业界如何实施它们；我们预计最终版本将在2024年之前发布。在此之前，我们将发布版本以征询公众意见，以便我们可以获得反馈和建议，并解决我们需要的任何问题。”

最后，Moody表示，将在10月下旬、纽约市举行的“IQT量子网络安全活动”上发表题为《PQC的未来》的演讲，将对SIKE发表更多看法。

参考链接：

[1]https://arstechnica.com/information-technology/2022/08/sike-once-a-post-quantum-encryption-contender-is-koed-in-nist-smackdown/

[2]https://www.insidequantumtechnology.com/news-archive/moody-discrediting-of-sike-shows-pqc-evaluation-process-is-working/