后量子密码学与NIST标准化

后量子密码学与NIST标准化背景

我们目前所做的一切——

漫长旅程的第一步2012年——NIST启动PQC项目研究和组建NIST团队2015年4月–第一届NISTPQC研讨会2016年2月–NIST关于PQC的报告（NISTIR8105）2016年2月——美国国家标准与技术研究院（NIST）初步公布标准化计划2016年8月——发布征求意见稿及评估标准草案，征求公众意见。2016年9月——意见征询期结束2016年12月——公布最终要求和标准（联邦公报通知）NISTPQC团队——最初阶段最重要的环节由10位NIST研究人员组成，他们研究领域包括密码学、量子信息和量子算法。每两周举办一次研讨会（内部讲师和特邀讲师）。PQcrypto及其他期刊/会议上发表研究成果与研究界互动（演讲和讨论论坛）与行业和标准组织（ETSI、IETF、ISO/IECSC27）合作联系政府机构，提高他们对即将到来的密码学转型的认识。马里兰大学量子信息与计算机科学联合中心(QuiCS)合作后量子密码学——标准和研究都有哪些内容？PQC方案的主要类别基于格的算法（例如NTRUencrypt、NewHope）基于哈希的签名（例如XMSS和SPHINCS）基于代码（例如McEliece）多变量（例如Rainbow）其他（例如超奇异椭圆曲线上的同源关系SIDH）过去五年，研究进展迅速。提出了许多方案并进行了分析。有些在经典攻击下会被破解。业界一直在向抗量子攻击的密码系统发展。一些标准组织已经考虑了具体的方案（例如IETF、基于哈希的签名），一些专家组（例如欧盟PQcrypto）也提出了建议。后量子密码标准化——现在是否为时尚早？关于现在是否应该开始研究产品质量控制标准化问题，研究人员和从业人员之间一直存在着长期的争论。“到2026年，某种基础公钥加密技术被量子技术破解的概率为七分之一；到2031年，这一概率将上升到二分之一。”——米歇尔·莫斯卡经验表明，我们需要至少数年时间来制定和部署产品质量控制标准，即y≥10年。如果我们要求五年回溯保密，那么我们当然需要开始标准化工作。是xz如果x+y>z，我们就该担心了！y是制定和部署PQC标准所需的时间x是“反向保密”的时机z是量子计算机问世之前的时间。后量子密码标准化——向前迈进的一项重大决定考虑到制定/部署PQC标准所需的时间以及信息保密性要求，现在是时候考虑标准化了。NIST认为自身的作用是以透明和及时的方式管理达成社区共识的过程。2016年PQCrypto大会上公布了制定PQC标准的初步计划。该公告得到了研究界的强烈支持。美国国家标准与技术研究院(NIST)于2016年8月发布了提案征集草案。范围–公钥签名、加密、密钥交换各项功能的基本要求评估标准安全：安全模型、目标安全优势——经典型和量子型性能：关键尺寸、计算效率和灵活性评估过程计划PQC标准化计划2017年11月30日提交截止日期2018年4月研讨会——投稿人展示3-5年分析阶段——NIST发布研究结果报告，并举办更多研讨会/会议。两年后标准草案现已公布，供公众评议。NIST将公布“完整且符合要求”的提交内容。NISTPQC标准化会议（与PQCrypto合作，2018年4月）初步评估阶段（12-18个月）内部和公开审查不允许任何修改筛选后的候选池将进行第二轮筛选（12-18个月）。第二届会议即将召开允许进行小幅改动如有需要，可能进行第三轮评估。美国国家标准与技术研究院（NIST）将发布有关进展和选择理由的报告。每个阶段的实际持续时间可能会有所变化遴选标准可抵御经典攻击和量子攻击性能——在各种“传统”平台上进行测量其他属性即插即用型替代方案-与现有协议和网络兼容完美前向保密抵抗侧信道攻击简洁性和灵活性抗滥用能力，以及更多的产品质量控制标准化的复杂性范围更广——三种加密原语经典攻击和量子攻击评估安全性的理论和实践两个方面多重权衡因素迁移到新的和现有的应用程序许多我们在以往的标准中没有遇到的挑战。严格来说，这算不上是一场比赛——既是，又不是。安全概念签名针对自适应选择消息攻击（EUF-CMA）而言，存在性不可伪造假设攻击者最多只能访问2^64个选定消息的签名。加密语义上安全，可抵御自适应选择密文攻击（IND-CCA2）假设攻击者最多只能获得2^64种针对特定密文的解密结果。这些定义明确规定了针对使用经典（而非量子）查询的攻击的安全性量子安全——如何评估其强度？目前，NIST密码学标准规定了112位、128位、192位和256位经典安全级别的参数。为了实现产品质量控制标准化，需要明确具体的参数及其安全性评估。这导致了征求建议书草案中关于量子安全要求的具体内容。目前对于衡量量子攻击的最佳方法尚无明确共识不确定性发现新的量子算法的可能性，可能导致新的攻击未来量子计算机的性能特征，例如成本、速度和内存容量量子安全强度类别计算资源应使用多种指标进行衡量。经典基本操作的数量、量子电路的规模等等……考虑电路深度的实际限制（例如2^40到2^80个逻辑门）还可以考虑量子门和经典门的预期相对成本。据了解，这些只是初步估计。安全描述我至少和AES128一样难破解（穷举密钥搜索）二至少和SHA256（碰撞搜索）一样难破解三至少和AES192一样难破解（穷举密钥搜索）第四至少和SHA384一样难破解（碰撞搜索）V至少和AES256一样难破解（穷举密钥搜索）挑战量子安全强度评估只是目标之一，而首要目标是经典安全。大多数PQC方案都比较新。理解他们的古典安全机制需要数年时间。我们需要应对以前从未考虑过的新情况，例如解密失败公钥加密和密钥交换问题公钥加密IND-CCA2临时密钥交换（不允许密钥对重用，考虑被动攻击、IND-CPA）辅助函数/算法，例如高斯模拟我们必须摒弃许多在现有方案中习以为常的做法。成本与性能标准化的后量子密码技术将在“经典”平台上实现。多样化的应用需要不同的特性从处理能力极度受限的设备到通信带宽有限的设备为了适应不同的应用环境，可能需要为每个功能标准化多个算法。允许并行执行以提高效率无疑是一大优势。直接替换我们正在寻找能够抵御量子攻击、直接替代现有应用程序的方案，例如互联网密钥交换（IKE）和传输层安全协议（TLS）。关键机构理想情况下，我们希望找到一种可以替代Diffie-Hellman密钥交换的方法。实际上，我们必须研究一些方案，例如使用一次性公钥的加密，这些方案并不能完全替代现有的方案。签名我们希望签名具有合理的公钥长度、签名长度以及快速的签名验证能力。实际上，我们将做好准备，处理可能更大的公钥和/或更大的签名。我们需要对现有应用中量子抗性对应物所能达到的水平保持务实态度。过渡与迁移当PQC标准发布后，NIST将更新指南。SP800-57第一部分规定，到2030年，“经典”安全强度级别128位、192位和256位均可接受。即使即将迎来PQC过渡，仍然需要摒弃弱算法/弱密钥长度：任何“传统”安全强度低于112位的加密方式都不应该再使用了。混合模式混合模式已被提议作为向PQC密码学过渡/迁移的步骤。通过两项计划建立关键机构：目前已批准的获取S1和S2的后量子方案材料源自S1和S2。签名：消息M被签名为Sig1(M)和Sig2(M)，且M上的签名有效当且仅当Sig1(M)和Sig2(M)都有效。Sig1()是目前标准化的算法，例如RSA，信号2

（）是PQC算法，例如XMSS。目前的FIPS140验证仅验证已批准的组件。PQC标准化仅考虑后量子分量与标准组织的互动我们了解到，许多国际/行业标准组织和专家组正在制定或计划制定后量子密码学标准/建议。IETF正在采取行动，制定有状态的基于哈希的签名规范。ETSI发布量子安全密码学报告欧盟专家组PQCrypto和SafeCrypto提出了建议并发布了报告。ISO/IECJTC1SC27已经针对抗量子密码技术进行了为期三到六个月的研究。美国国家标准与技术研究院（NIST）正与这些组织和团体进行互动与合作。