2021年9月17日,,美國(guó)國(guó)土安全部(DHS)發(fā)布“應(yīng)對(duì)后量子密碼學(xué)”的備忘錄,。緊接著在10月4日,,美國(guó)國(guó)土安全部(DHS)與國(guó)家標(biāo)準(zhǔn)技術(shù)研究所(NIST)又合作發(fā)布了應(yīng)對(duì)量子技術(shù)風(fēng)險(xiǎn)的路線圖(post-quantum_cryptography_infographic),,旨在幫助企業(yè)保護(hù)其數(shù)據(jù)和系統(tǒng),,降低量子技術(shù)發(fā)展相關(guān)的風(fēng)險(xiǎn),。
本文介紹了“后量子密碼過(guò)渡”時(shí)期的風(fēng)險(xiǎn),、路線圖的具體步驟,,反映了美國(guó)通信安全方面的重要進(jìn)展,,值得關(guān)注與借鑒。
美國(guó)國(guó)土安全部:后量子密碼過(guò)渡路線圖
編譯:學(xué)術(shù)plus高級(jí)觀察員 張濤
本文主要內(nèi)容及關(guān)鍵詞
1.背景:加密技術(shù)與通信安全,,“后量子加密算法”過(guò)渡風(fēng)險(xiǎn)及應(yīng)對(duì)
2.應(yīng)對(duì)量子技術(shù)風(fēng)險(xiǎn)的路線圖:過(guò)渡時(shí)間與風(fēng)險(xiǎn)的不確定性,,路線圖的七個(gè)具體步驟,過(guò)渡時(shí)期的兩大關(guān)鍵
1.背景
1.1 加密技術(shù)與通信安全
國(guó)土安全部使用加密技術(shù)來(lái)進(jìn)行認(rèn)證和保護(hù)通信和存儲(chǔ)的信息的機(jī)密性和完整性,。密碼學(xué)被用來(lái)確保與法律實(shí)施,、移民、邊境安全,、貿(mào)易管理,、關(guān)鍵基礎(chǔ)設(shè)施安全、應(yīng)急響應(yīng),、研發(fā)和其他關(guān)鍵人物相關(guān)的信息安全,。
國(guó)土安全部使用對(duì)稱和非對(duì)稱加密算法來(lái)確保敏感數(shù)據(jù)的通信的安全。隨著密碼技術(shù)的應(yīng)用,國(guó)土安全部有責(zé)任監(jiān)控這些系統(tǒng)的弱點(diǎn),、依賴技術(shù)施加的限制,、支持加密算法分析技術(shù)的進(jìn)步,以確定何時(shí)需要對(duì)這些加密算法進(jìn)行更換,。
1.2 “后量子加密算法”過(guò)渡風(fēng)險(xiǎn)及應(yīng)對(duì)
量子信息科學(xué)技術(shù)的進(jìn)步對(duì)當(dāng)前加密分析能力帶來(lái)了極大的提高,,如果對(duì)手實(shí)現(xiàn)了實(shí)用的量子計(jì)算機(jī),就會(huì)對(duì)政府和私營(yíng)部門使用的傳統(tǒng)公鑰密碼系統(tǒng)帶來(lái)巨大的威脅,。
隨著對(duì)稱密碼在不同和互聯(lián)系統(tǒng)中的廣泛使用,,當(dāng)前使用的加密技術(shù)到后量子加密算法的過(guò)渡時(shí)間較長(zhǎng),需要數(shù)年才能完成,,并且向新的加密標(biāo)準(zhǔn)的過(guò)渡會(huì)也可能會(huì)產(chǎn)生新的漏洞,。因此,國(guó)土安全部現(xiàn)在開(kāi)始采取措施和理解基于量子信息科學(xué)的加密分析技術(shù)的風(fēng)險(xiǎn),,以應(yīng)對(duì)后量子加密是非常重要的,。
RSA、ECC和DF(迪菲-赫爾曼)密鑰交換等加密系統(tǒng)的公鑰最終會(huì)被量子計(jì)算機(jī)破解,。對(duì)稱加密算法,、128位的AES系統(tǒng)也會(huì)在量子計(jì)算技術(shù)的幫助下變得不安全。使用更長(zhǎng)的秘鑰可以部分緩解這一問(wèn)題,,但也與量子計(jì)算技術(shù)的發(fā)展速率和成本有關(guān),。因此,部分系統(tǒng)組件需要替換為具有“抗量子”功能的產(chǎn)品,。
2.路線圖
10月4日,,美國(guó)國(guó)土安全部與國(guó)家標(biāo)準(zhǔn)技術(shù)研究所(NIST)合作發(fā)布了應(yīng)對(duì)量子技術(shù)風(fēng)險(xiǎn)的路線圖,以幫助企業(yè)保護(hù)其數(shù)據(jù)和系統(tǒng),,降低量子技術(shù)發(fā)展帶來(lái)的風(fēng)險(xiǎn),。
2.1 路線圖時(shí)間與風(fēng)險(xiǎn)的不確定性
通常情況下,過(guò)渡到新的加密標(biāo)準(zhǔn)需要5-15年才能完成,。當(dāng)前量子信息科學(xué)技術(shù)的進(jìn)展加上對(duì)量子信息科學(xué)的理解不完全,,可能導(dǎo)致新的加密分析工具在新的后量子標(biāo)準(zhǔn)出現(xiàn)前產(chǎn)生。
使用高級(jí)密碼分析算法的量子計(jì)算機(jī)出現(xiàn)的時(shí)間線還不確定,,引發(fā)風(fēng)險(xiǎn)的重要程度也難以確定,,這對(duì)國(guó)土安全部密碼設(shè)備庫(kù)造成一定的風(fēng)險(xiǎn)。但在國(guó)土安全部?jī)?nèi)建立量子彈性是一項(xiàng)關(guān)鍵需求,,為此需要積極的規(guī)劃與籌備,。因此需要應(yīng)對(duì)相關(guān)威脅,并根據(jù)任務(wù)需求,,使用以下路線圖制定解決方案,,以保證未來(lái)幾十年國(guó)土安全部及整個(gè)國(guó)家的安全,。
2.2路線圖的七個(gè)具體步驟
(1)參與標(biāo)準(zhǔn)組織:各組織應(yīng)指導(dǎo)其首席信息官加強(qiáng)對(duì)標(biāo)準(zhǔn)制定的參與,,了解與算法和相關(guān)協(xié)議修改等必要信息相關(guān)的最新發(fā)展,。
(2)制定關(guān)鍵數(shù)據(jù)目錄:各組織應(yīng)該列出在較長(zhǎng)時(shí)間內(nèi)需要進(jìn)行保護(hù)的敏感和關(guān)鍵數(shù)據(jù)集,。這些信息可以幫助分析哪些數(shù)據(jù)可能會(huì)在現(xiàn)在被盜,,然后等到量子計(jì)算機(jī)問(wèn)世后再被解密。
?。?)制定加密技術(shù)目錄:各組織應(yīng)該給出所有使用加密技術(shù)的系統(tǒng)的目錄,。
(4)識(shí)別內(nèi)部標(biāo)準(zhǔn):DHS CISO要識(shí)別需要更新以反映后量子需求的采購(gòu),、網(wǎng)絡(luò)安全和數(shù)據(jù)標(biāo)準(zhǔn),。
(5)公鑰加密識(shí)別:各部門應(yīng)從目錄中識(shí)別出什么地方,、處于什么目的使用了公鑰密碼學(xué),,并將這些系統(tǒng)標(biāo)記為易被量子計(jì)算機(jī)攻擊的。
?。?)識(shí)別系統(tǒng)替換優(yōu)先級(jí):系統(tǒng)的加密算法過(guò)渡也需要給出優(yōu)先級(jí),,而優(yōu)先級(jí)與部門和任務(wù)需求是強(qiáng)相關(guān)的。具體來(lái)說(shuō),,在考慮是否易被量子計(jì)算機(jī)攻擊時(shí)應(yīng)當(dāng)考慮以下因素:
系統(tǒng)是否是高價(jià)值資產(chǎn),,是否高價(jià)值根據(jù)任務(wù)需求來(lái)判斷;
系統(tǒng)在保護(hù)什么,?比如密碼,、根密鑰,、簽名密鑰,、個(gè)人可識(shí)別信息、敏感的個(gè)人可識(shí)別信息,;
該系統(tǒng)與其他哪些系統(tǒng)在進(jìn)行通信,?
該系統(tǒng)與其他聯(lián)邦機(jī)構(gòu)共享了信息?
該系統(tǒng)與其他私營(yíng)機(jī)構(gòu)共享了信息,?
該系統(tǒng)是否支持關(guān)鍵基礎(chǔ)設(shè)施,?
數(shù)據(jù)需要被保護(hù)的時(shí)間是多長(zhǎng)?
?。?)制定過(guò)渡計(jì)劃:根據(jù)目錄和優(yōu)先信息,,各部門應(yīng)當(dāng)在新的后量子加密標(biāo)準(zhǔn)發(fā)布后根據(jù)任務(wù)需求建立系統(tǒng)過(guò)渡計(jì)劃。DHS CISO將為過(guò)渡計(jì)劃提供指導(dǎo),。
2.3 后量子密碼過(guò)渡時(shí)期的兩大關(guān)鍵
嚴(yán)控采購(gòu):在NIST完成具有批準(zhǔn)算法的替換產(chǎn)品的標(biāo)準(zhǔn)化,、實(shí)施和測(cè)試之前,各部門不得采購(gòu)任何后量子密碼行業(yè)產(chǎn)品。
關(guān)鍵要素:過(guò)渡計(jì)劃和密碼技術(shù)清單是國(guó)土安全部進(jìn)行量子準(zhǔn)備工作的關(guān)鍵要素,。國(guó)土安全部首席信息安全官(CISO)將在22財(cái)年第三季度之前為加密技術(shù)組件清單提供指導(dǎo),,并在23財(cái)年第一季度之前制定過(guò)渡計(jì)劃。提交清單和過(guò)渡計(jì)劃后,,DHS CISO將為各部門提供額外指導(dǎo),,以符合NIST制定的標(biāo)準(zhǔn)。