量子密码竞赛产生下一代标准算法：NIST应对量子计算机攻击的里程碑

工程21（2023）6新闻亮点量子密码学竞赛产生下一代标准算法克里斯·帕尔默高级技术作家从现在起，在短短的十年内，量子计算机可能能够破解目前保护从智能手机银行应用程序到电子邮件软件的所有东西的加密密钥2022年7月，美国商务部国家标准与技术研究院（NIST）预计到这一威胁，这些工具包括一个通用的加密算法，用于保护在公共网络上交换的信息，以及三个算法，用于管理数字签名，提供身份认证。NIST将把这四种选定的加密算法纳入其后量子密码标准，预计将在大约两年内完成[1]。这一宣布标志着竞赛的一个重要里程碑，NIST呼吁世界各地的密码学家设计出能够抵御未来量子计算机攻击的后量子加密方法，这些方法比今天可用的有限量子计算机强大得多。来自学术界和工业界的团队，成员来自六大洲近50个国家，提交了82个算法;其中69个算法经过了全球专家的全面测试[1]。传统计算机，甚至是世界上最强大的超级计算机，都难以快速分解大量的数字。目前的公钥加密系统利用这一困难来保护在线银行交易和其他敏感信息（图1）。 虽然生成可以加密和解密数据的可共享密钥很容易，但对于邪恶的个人来说，几乎不可能获得使其工作的数字。1994年，AT T贝尔实验室的研究员Peter Shor指出，未来的量子计算机将发现这样的计算很简单[5]。到2001年，科学家们已经证明他们可以运行Shor虽然量子计算技术自那时以来取得了显着的进步[3，4]，但运行Shor的算法来分解保护世界数据的大量密钥仍然有很长的路要无论如何，这是一个时候，“人们想知道为什么我们现在在量子计算机还不存在的情况下将其标准化。你已经可以NIST计算机安全部门的数学家DustinMoody说：“今天，我们面临着所谓的‘现在收获，以后解密’的威胁。”这种威胁源于这样一种想法，即加密数据现在可以从互联网上复制，并保留到量子计算机强大到足以解密它。这当然是一个真正的问题，穆迪说，NIST选择的后量子加密算法是根据其对当前经典攻击的安全级别、对量子攻击的预期安全级别以及效率（包括速度和紧凑性）来判断的‘‘There对于一般加密，NIST选择了代数格加密套件（CRYSTALS）-Kyber算法。该算法Fig. 1.未来的量子计算机可能会强大到足以破解目前保护在线数据和通信的加密密钥。为了为未来做好准备，美国商务部国家标准与技术研究所最近选择了一些可以在未来几年内实施的工具，以防止基于量子计算机的Credit：Pixabay（CC0）.https://doi.org/10.1016/j.eng.2022.12.0022095-8099/©2023 THE CONDITOR.由爱思唯尔有限公司代表中国工程院和高等教育出版社有限公司出版这是一篇基于CC BY-NC-ND许可证的开放获取文章（http://creativecommons.org/licenses/by-nc-nd/4.0/）。可在ScienceDirect上获得目录列表工程杂志首页：www.elsevier.com/locate/engC. 帕尔默工程21（2023）67选择它是因为它的整体速度和相对较小的加密密钥，可以被双方轻松地交换数据[7]。对于数字签名，NIST选择了CRYSTALS-Dilithium、基于数论研究单元的快速傅立叶格的紧凑签名（Fast-Fourier Lattice-based Compact Signatures over Number Theory Research Unit，缩写为FSTCON）和基于无状态实用哈希的不可思议的好碰撞弹性签名（Stateless Practical HashNIST认可CRYSTALS-Dilithium作为主要的数字签名算法。尽管穆迪说，在需要比Dilithium提供的签名更少的签名的应用中，执行起来要困难得多虽然SPHINCS+比其他两种数字签名算法都大且慢这是因为，虽然其他选定的算法，包括通用加密算法，都是基于一系列称为结构化网格（将数据映射到任意维度矩阵内的向量的函数）的数学问题，但SPHINCS+使用了基于哈希函数（将任意大小的数据映射到固定大小的值的函数）的完全不同的数学结构。格子是有吸引力的，因为它们是非常好的全能表演者。它们非常快，甚至比我们今天用于加密的速度快一点，而且当你实现它们时效率很高，”穆迪说。“后一个特征很重要，因为我们希望在任何地方实施这些加密系统。NIST现在将开始制定部署算法的标准。该研究所预计在明年从密码学社区获得更多反馈后，将于2024年发布其官方与此同时，穆迪说，一个名为互联网工程任务组（Fremont，CA，USA）的国际志愿者互联网协议标准机构将决定如何将算法构建到实际应用中。一旦这项工作完成，互联网公司可以开始将算法集成到Web浏览器中，技术提供商可以在定期软件更新期间开始部署算法。在过去的几年里，Cloudflare和互联网巨头Google（MountainView，CA，USA）经常协同工作，一直在对一些后量子算法进行实际测试，将它们包含在Google Chrome Web浏览器的选定测试版和选定服务器软件中测试是至关重要的，因为要使互联网通信顺利进行，仅仅有完全兼容的服务器和浏览器是不够的。为了连接这些部分，数据还必须通过网络设备运行，这些设备可能会阻止使用不熟悉的加密协议的流量。谷歌过渡可能更难以实现的是大量连接的物联网（IoT）设备，例如汽车，安全摄像头和没有中央组织监督执行情况。然而，NIST提供了在线工具来验证已批准的加密算法的实现是否虽然这些验证测试是免费的，但完整的互联网范围内的实现并不便宜。沙利文说：“当然，升级是有成本的，但这些传统上是建立在在线产品的生命周期中的，特别是软件即服务技术。”尽管成本，沙利文说，现在开始是至关重要的，特别是如果Q日在5-10年内到达在这段时间内升级一整套技术，特别是在处理目前无法利用的技术时。即使有最好的意图，或者在某些情况下政府强制执行的命令，一些公司和组织可能会抵制更新其信息技术，而不管其明显的好处[12]。业界已经看到的更广泛的加密技术升级之一，从散列函数安全散列算法-1（SHA-1）切换到SHA-2[13]，为实现后量子加密提供了有用的哈希函数接受任意长度的数据串，并产生一个固定长度的哈希值或数字指纹。SHA-1由美国国家安全局（NSA）创建，并于1995年由NIST作为标准发布。NSA的软件工程师知道它总有一天会被攻破，于是在2002年开始开发更强大的SHA-2新的哈希函数从2015年开始广泛实施，比SHA-1被成功破解早了两年[14]。SHA-2‘‘It tookthe 这是一个非常积极和实际的攻击算法，在新算法出现之前，后量子和当前的加密方法最终可能会一起运行十年左右是专门使用的。沙利文说：“有些人认为混合运营将永远有用。”其他人认为，一旦这些后量子算法已经存在足够长的时间，它们将像传统算法一样经过战斗考验，混合使用将不再是必要的。最终，这取决于我们对新算法的信心无论世界密码学专家对NIST的选择有多有信心中国在历史上使用了与世界其他地区不同的加密算法，在2018年和2019年举办了自己的后量子加密竞赛，并在2020年宣布了一些获奖者，这些获奖者也是基于结构化晶格[15]。 我们有一个非常漫长和严格的选拔过程，因为你不能回去。如果一个算法在性能上很弱，那么在实现后改变它是非常困难的， 总有一天，后量子加密的概念可能会随着量子互联网的出现而过时，在量子互联网中，量子物理学的原理可以使信息交换基本上防黑客[16，17]。尽管如此，考虑到NIST的加密算法半决赛选手之一，超奇异同构密钥封装（SIKE），最近使用简单的经典计算机相对容易地被打破[18]，Moody说NIST目前正在评估四个额外的后加密算法，而不是基于网格作为其当前选择的备份。NIST还发起了一项新的竞赛，以确定数字签名的其他备份算法[19]。迅速转向，引用[1] 卡斯泰尔韦基湾这些“量子证明”算法可以防止未来的网络攻击。伦敦：自然; 2022年 7 月 11 日 ; [ 引 用 2022 年 10 月 30 日 ] 。 可 从 以 下 网 址 获 得 ：https://www.nature.com/articles/d41586-022-01879-6[2] 布廷角NIST要求公众帮助未来的电子信息[互联网]。Gaithersburg：NIST; 2016年12月20日[引用日期：2022年10月30日]。可用C. 帕尔默工程21（2023）68来 自 ： https://www.nist.gov/news-events/news/2016/12/nist-asks-public-help-future-proof-electronic-information。[3] 帕尔默角谷歌向量子计算迈出了一大步。工程2020;6（4）：381-3.[4] 帕尔默角量子计算迅速获得了第二个至高无上的地位。工程2021;7（9）：1199[5] Shor PW.量子计算的演算法：离散型演算法与因子分解。在：第35届计算机科学基础年度研讨会论文集; 1994年11月20日至22日;圣达菲，NM，美国。New York：IEEE; 1994. p. 124比34[6] 范德斯彭LMK，斯特芬M，Breyta G，Yannoni CS，舍伍德MH，庄IL. 利用核磁共振实验实现Shor量子因子分解算法。Nature2001;414（6866）：883-7.[7] O’Shea NIST选择了最初的后量子安全标准。纽约：Fiorium Electronics; 2022年 7 月 7 日 [ 引 用 2022 年 10 月 30 日 ] 。 可 从 ： https ：//www.example.comwww.fierceelectronics.com/electronics/nist-picks-initial-post-quantum-security-标准。[8] Venables P.谷歌如何为后量子世界做准备山景城：谷歌; 2022年7月6日[引用2022年10月30日]。可从以下网站获得：https://cloud.google.com/blog/products/identity-security/how-google-is-preparing-for-a-post-quantum-world。[9] 史密斯。数据容易受到尚不存在的量子计算机的攻击。纽约：IEEE Spectrum;[引用2022年10月30日]。可从以下网址获得：https://spectrum.ieee.org/post-quantum-cryptography[10] Westerbaan B，Rubin CD.防御未来威胁：Cloudflare进入后量子时代[互联网]。旧 金山 ： Cloudflare; 2022 年10 月 3 日[ 引 自2022 年10 月 30日 ] 。 可 查阅 ：https://blog.cloudflare.com/post-quantum-for-all/。[11] 卡尔森新标准发布为5G未来奠定了基础。工程2021;7（3）：275-6。[12] 莱斯利·M遗留的信息技术加剧了流行病带来的痛苦。工程2021;7（4）：415[13] 格里姆斯岭所有你需要知道的关于从SHA-1到SHA-2加密的转移[互联网]。Needham ：CSO; 2017 年 7月 6日[ 引 用日 期： 2022 年10 月 30 日]。 可查 阅：https://www.csoonline.com/article/2879073/all-you-need-to-know-about-the-move-from-sha1-to-sha2-prediction.html。[14] 洛马斯河安全研究人员宣布旧金山：TechCrunch; 2017年2月23日[引用2022年10月 30 日 ] 。 可 从 ： https://techcrunch.com/2017/02/23/security-researchers-announce-first-practical-sha-1-collision-attack/获得。[15] 刘宁中国，俄罗斯将采用与美国“略有不同”的PQC标准。丹佛：SDX Central;2022Oct19[cited2022Oct30].可从以下网站获取：https://www.sdxcentral.com/articles/analysis/china-russia-to-adopt-slightly-different-pqc-standards-from-us/2022/10/。[16] Whalen J.芝加哥的科学家们正在他们的地下室壁橱里测试一个不可破解的量子互联网。华盛顿特区：华盛顿邮报; 2022年10月[2022年10月30日]。可从以下网站获取：https://www.washingtonpost.com/technology/2022/10/09/quantum-internet-chicago-argonne/。[17] 莱斯利·M 通过卫星进行量子加密 工程2019;5（3）：353-434。[18] 罗佩克湖超级量子加密破解基本屁股PC [互联网]。纽约：Gizmodo; 2022年8月2日[引用2022年11月13日]。可从以下网址获得：https://gizmodo.com/quantum-encryption-algorithm-nist-broken-single-core-pc-1849360898。[19] 后量子密码学：数字签名方案。Gaithersburg：NIST; 2022年8月29日[引用于2022 年 11 月 16 日 ] 。 可 查 阅 ： https://csrc.nist.gov/Projects/pqc-dig-sig/standardization。