美国发布“后量子密码过渡”路线图

Original 学术plus观察员学术plus 2022-07-29

收录于合集

2019学术大礼包丨加入学术plus丨2018学术大礼包丨 2017不可以错过的重磅报告们

2021年9月17日，美国国土安全部（DHS）发布“应对后量子密码学”的备忘录。紧接着在10月4日，美国国土安全部（DHS）与国家标准技术研究所（NIST）又合作发布了应对量子技术风险的路线图（post-quantum_cryptography_infographic），旨在帮助企业保护其数据和系统，降低量子技术发展相关的风险。

本文介绍了“后量子密码过渡”时期的风险、路线图的具体步骤，反映了美国通信安全方面的重要进展，值得关注与借鉴。

美国国土安全部：后量子密码过渡路线图

编译：学术plus高级观察员张涛

本文主要内容及关键词1.背景：加密技术与通信安全，“后量子加密算法”过渡风险及应对
2.应对量子技术风险的路线图：过渡时间与风险的不确定性，路线图的七个具体步骤，过渡时期的两大关键

内容主要整理自外文网站相关资料

仅供学习参考，欢迎交流指正！

文章观点不代表本机构立场

*****

阅读英文原文/完整报告

请点击文末：阅读原文

1.背景

1.1 加密技术与通信安全国土安全部使用加密技术来进行认证和保护通信和存储的信息的机密性和完整性。密码学被用来确保与法律实施、移民、边境安全、贸易管理、关键基础设施安全、应急响应、研发和其他关键人物相关的信息安全。

国土安全部使用对称和非对称加密算法来确保敏感数据的通信的安全。随着密码技术的应用，国土安全部有责任监控这些系统的弱点、依赖技术施加的限制、支持加密算法分析技术的进步，以确定何时需要对这些加密算法进行更换。

1.2 “后量子加密算法”过渡风险及应对量子信息科学技术的进步对当前加密分析能力带来了极大的提高，如果对手实现了实用的量子计算机，就会对政府和私营部门使用的传统公钥密码系统带来巨大的威胁。

随着对称密码在不同和互联系统中的广泛使用，当前使用的加密技术到后量子加密算法的过渡时间较长，需要数年才能完成，并且向新的加密标准的过渡会也可能会产生新的漏洞。因此，国土安全部现在开始采取措施和理解基于量子信息科学的加密分析技术的风险，以应对后量子加密是非常重要的。

RSA、ECC和DF（迪菲-赫尔曼）密钥交换等加密系统的公钥最终会被量子计算机破解。对称加密算法、128位的AES系统也会在量子计算技术的帮助下变得不安全。使用更长的秘钥可以部分缓解这一问题，但也与量子计算技术的发展速率和成本有关。因此，部分系统组件需要替换为具有“抗量子”功能的产品。

2.路线图

10月4日，美国国土安全部与国家标准技术研究所（NIST）合作发布了应对量子技术风险的路线图，以帮助企业保护其数据和系统，降低量子技术发展带来的风险。

2.1 路线图时间与风险的不确定性

通常情况下，过渡到新的加密标准需要5-15年才能完成。当前量子信息科学技术的进展加上对量子信息科学的理解不完全，可能导致新的加密分析工具在新的后量子标准出现前产生。

使用高级密码分析算法的量子计算机出现的时间线还不确定，引发风险的重要程度也难以确定，这对国土安全部密码设备库造成一定的风险。但在国土安全部内建立量子弹性是一项关键需求，为此需要积极的规划与筹备。因此需要应对相关威胁，并根据任务需求，使用以下路线图制定解决方案，以保证未来几十年国土安全部及整个国家的安全。

2.2路线图的七个具体步骤

（1）参与标准组织：各组织应指导其首席信息官加强对标准制定的参与，了解与算法和相关协议修改等必要信息相关的最新发展。（2）制定关键数据目录：各组织应该列出在较长时间内需要进行保护的敏感和关键数据集。这些信息可以帮助分析哪些数据可能会在现在被盗，然后等到量子计算机问世后再被解密。（3）制定加密技术目录：各组织应该给出所有使用加密技术的系统的目录。（4）识别内部标准：DHS CISO要识别需要更新以反映后量子需求的采购、网络安全和数据标准。（5）公钥加密识别：各部门应从目录中识别出什么地方、处于什么目的使用了公钥密码学，并将这些系统标记为易被量子计算机攻击的。（6）识别系统替换优先级：系统的加密算法过渡也需要给出优先级，而优先级与部门和任务需求是强相关的。具体来说，在考虑是否易被量子计算机攻击时应当考虑以下因素：

系统是否是高价值资产，是否高价值根据任务需求来判断；
系统在保护什么？比如密码、根密钥、签名密钥、个人可识别信息、敏感的个人可识别信息；
该系统与其他哪些系统在进行通信？
该系统与其他联邦机构共享了信息？
该系统与其他私营机构共享了信息？
该系统是否支持关键基础设施？
数据需要被保护的时间是多长？

（7）制定过渡计划：根据目录和优先信息，各部门应当在新的后量子加密标准发布后根据任务需求建立系统过渡计划。DHS CISO将为过渡计划提供指导。

2.3 后量子密码过渡时期的两大关键

严控采购：在NIST完成具有批准算法的替换产品的标准化、实施和测试之前，各部门不得采购任何后量子密码行业产品。
关键要素：过渡计划和密码技术清单是国土安全部进行量子准备工作的关键要素。国土安全部首席信息安全官（CISO）将在22财年第三季度之前为加密技术组件清单提供指导，并在23财年第一季度之前制定过渡计划。提交清单和过渡计划后，DHS CISO将为各部门提供额外指导，以符合NIST制定的标准。

（全文完）

全球量子科技战略与政策（2020最全版）

兰德60年，四大重点研究主题

作者专栏

张涛，学术plus高级观察员，专注研究人工智能产业技术与网络信息安全。

紧急！拜登whole of nation网络安全计划 | 美国防部2022财年预算：将中国作为首要挑战，网络安全与作战预算超百亿美元 | 美国防部报告《国防导航能力》研究PNT 技术以弥补 GPS 的不足 | 5年，10亿，12个研究中心！美国最新数字发展战略汇总丨白宫消息！美国未来5大重点研发领域（全文）丨【Gartner】人工智能成熟度模型丨令美国闻风丧胆的5G网络究竟有哪些威胁？最新最全的“5G威胁图谱”来了！丨人工智能在国防领域的七大应用丨美国最新发布《国防部人工智能原则》看懂了吗？这就是军用AI的前期部署啊！丨美国国防部2019年消费账单出炉，竟频频打脸！丨欧盟发布《5G网络安全风险评估报告》，并未将中国列入威胁丨美国最新《2019空军人工智能战略》解析丨 5G失利，美国想引领6G？丨美发布《5G市场份额和风险分析》简报丨【CNAS】美国战法转型丨欧盟AI发展不起来的原因丨我国的三艘航母丨特朗普签署《网络安全人才行政令》我国网络安全人才缺口超100万丨俄罗斯断网进行时，战斗种族也怕美国？丨欧盟最新《AI网络安全政策发展框架》丨中美AI竞赛，中国惜败？丨两会热点：人工智能立法丨美新一轮技术出口管制，或得不偿失丨美国国会发布《美国未来四大战略威胁》丨人工智能监管指南丨关于区块链你必须知道的：10个行业案例+核心问题与解决方案丨中美贸易战下，日本被这4个困境团团围住丨【Nature】如果AI可以预测和限制战争？丨【麦肯锡】政策制定者必读的AI报告：人工智能时代应解决这三件事丨美国发布《武器系统网络安全报告》丨欧盟发布国家网络安全战略评估工具，涵盖15个目标142个问题丨美国发布AI白皮书《机器崛起：人工智能及对美国政策不断增长的影响》丨网络战，没有规则！丨美国《国家网络安全应急措施》四大挑战与十项措施丨Deepfakes变脸术竟成为美国国家安全的新威胁丨【布鲁金斯】2020-2040年军事技术变化预测丨【五眼情报联盟】最新发布：加密数据三原则丨机器学习的偏见丨牛津大学在思考：如何让AI成为一个好人？丨无人驾驶，法律你准备好了吗？