後量子密碼學(Post-Quantum Cryptography, PQC)標準化進程由美國國家標準與技術研究院(NIST)主導,本文將探討PQC演變遷移過程中面臨的一些挑戰,並研究應對這些挑戰的策略。
已公布的PQC標準及其最近發布的草案[1],讓我們距離廣泛部署PQC更近一步。PQC遷移過程將是迄今為止公開金鑰密碼學領域的一次重大變革,影響數十億裝置和全球數位安全基礎設施。
向PQC遷移:充滿挑戰的道路
傳統的非對稱密碼學基於RSA或ECC方案,是現代數位基礎設施的重要支撐,向PQC遷移將面臨許多挑戰。首先,需要考慮方案和實現方面的問題。這不僅包括金鑰(Key)、密文(Ciphertext)和簽名(Signature)的大小,還包括記憶體和效率的影響。其次,許多公開金鑰基礎設施需要升級。尤其美國國家標準與技術研究院正在標準化的一些方案在功能上與基於RSA和ECC的方案不同,代表廣泛使用的協定需要做出相應的調整。第三,要根據每個具體使用場景的風險分析來確定遷移的時機。例如,高影響力的基礎設施比起為智慧家庭設計的物聯網裝置更容易成為惡意實體的攻擊目標,前者應該儘早制定遷移計畫,而後者可能根本不需要遷移。
除了遷移,另外需要注意的是,正在標準化的PQC演算法相較於傳統的演算法來說,還不夠成熟,尤其是在物理安全(Physical Security)方面。對於嵌入式裝置,特別是部署在敵對環境中的裝置,在抵禦物理攻擊者部分將面臨一系列挑戰。例如,大多數的PQC金鑰封裝機制(Key Encapsulation Mechanism, KEM)在強化方面遭遇困難,以及在特定使用場景須考慮以非常規的方法來防止攻擊。顯然,無論PQC部署在何處,依賴PQC的機制或協定的安全性皆十分重要:我們需要創建一個既能保持傳統密碼學所提供的當前安全性,又能增強防禦量子攻擊者的系統。
混合PQC機制有助規避風險
要實現傳統密碼學保護和後量子密碼學保護的雙重目標,可以使用混合PQC,將傳統的非對稱密碼學方案和後量子密碼學方案進行結合,德國BSI[2]和法國ANSSI[3]等多個國家機構都推薦使用混合方法。在混合系統中,資訊安全有賴於兩種或多種密碼學方案,僅僅破解其中一種方案並不能完全攻破系統。
一般來說,與單獨使用PQC相比,同時使用傳統演算法和PQC所帶來的通訊或儲存開銷很小,因此這種規避風險的做法代價相對較低。以數位簽名為例,部署可以非常簡單,只需要包含一個傳統簽名(ECDSA或RSA)和一個PQC簽名(ML-DSA、SLH-DSA、LMS或XMSS),並同時進行驗證,確認兩者皆通過驗證即可;對於金鑰協商(Key Establishment)來說,情況就更為複雜,要將一個KEM(如ML-KEM)與ECDH(E)結合起來需要考慮一些細節。另外,TLS handshake[4]的推薦方法與IKEv2[5]的方法也有所不同。
混合機制的各種標準和指南正在制定中,將有助於實現互通性。例如,在金鑰交換階段,標準和指南可確保通訊雙方以正確的順序和格式將輸入(Input)送入金鑰派生函數(KDF),進而得到相同的工作階段金鑰(Session Key),並可靠地進行後續的安全通訊。這些標準和指南也將協助確保產品和系統避免使用較弱的機制。
密碼學敏捷性為長期目標
提高密碼學敏捷性(Cryptographic Agility)可減輕未來潛在必要更新的影響,無論是為了適應未來的PQC標準,還是為了及時應對密碼分析的新進展。密碼學敏捷性可以定義為一個系統在遇到新的安全或法規要求時,能夠輕鬆進行調整的能力,除了從一種演算法遷移至另一種演算法,也包括採用其他方法,例如在實作或安全參數方面具有一般靈活性。
對於資源受限的嵌入式裝置,實現任何形式的密碼學敏捷性都需要付出很高代價。因此,進行風險分析、評估收益成本比,以及基礎設施是否能夠適應替代模式將十分重要。舉例來說,一種保守的方法是從基於PKI的金鑰協商退回到預共用(Pre-shared)的對稱金鑰,這些金鑰可以用來安全地更換密碼系統,即使用於常規更新的基於PKI的金鑰協商被攻破了。然而,對於許多使用場景來說,可能會因為增加了金鑰儲存的需求和攻擊面,或是因為難以預測未來哪些裝置可能會進行配對,而導致這樣的作法並不可行。遺憾的是,提高敏捷性有可能帶來額外的複雜性和漏洞,因此必須確保對系統所做出的任何修改或調整皆只能由經過認證的來源發起,並且不能影響安全性。例如,在前量子世界,恩智浦(NXP)便利用其在Edgelock安全區域和Edgelock安全晶片中的信任根等來實現這一點。
上述問題及其他問題都是PQC風險評估的重要內容。對於那些在近期將使用(混合)PQC的裝置,有必要評估它們過渡到新演算法並支援新演算法的能力,以便盡可能縮短全系統遷移所需的時間。
為了確保順利遷移,還需要在應用研究、工程和標準化方面付出巨大努力。毫無疑問,我們迫切需要制定、評估和標準化遷移的方案和策略,以確保安全性及互通性。目前,密碼資產的供應者應該意識到需求趨勢,建立全面的密碼庫,以便能夠迅速推出敏捷的解決方案。這種新的混合方式(PQC的未來)凸顯了密碼學敏捷性的重要性和相關性,是未來多年預測和應對密碼威脅的重要因素。
(本文作者皆任職於恩智浦)
參考資料
[1] https://csrc.nist.gov/News/2023/three-draft-fips-for-post-quantum-cryptography
[2] BSI-Technical Guideline: Cryptographic Mechanisms: Recommendations and Key Lengths (BSI TR-02102-1)
[3] https://cyber.gouv.fr/en/publications/anssi-views-post-quantum-cryptography-transition
[4] https://datatracker.ietf.org/doc/draft-ietf-tls-hybrid-design/
[5] https://datatracker.ietf.org/doc/rfc9370/