压力来了！美国政府或从 7 月起强制实施抗量子加密

对于任何一项革命性技术来说，机遇越大，威胁就越大。

展望未来，量子计算作为一项颠覆性技术，在处理复杂问题、模拟物理现象、优化大规模系统等方面，将远超经典计算机，可能为科学研究和技术创新提供强大动力。但另一方面，这把双刃剑也将带来巨大威胁——它能在瞬息之间破解现今大多数加密技术。

因此，全球信息安全社区正加紧开展研究和实施能够抵御后量子时代的安全威胁的加密技术，抗量子加密(PQC)也被提上议程。各国政府与公司早已开始未雨绸缪，加速出台相关政策与技术加持。

根据彭博社最新消息，美国政府或从7月起强制实施抗量子加密。而后量子加密标准一旦确定，将逐步成为政府承包商的强制性标准。

应对量子威胁：
美国或从7月起强制实施抗量子加密

2024年5月22日，美国商务部下属的国家标准与技术研究所（NIST）对外发布消息，该机构将于今年7月发布其认为足以保护数据免受量子计算机攻击的加密算法（CRYSTALS-Khyber、CRYSTALSDilithium和SPHINCX+），制定一项国际公认的标准，旨在帮助各个机构组织应对不断演变的网络安全威胁。

白宫副国家安全顾问 Anne Aubergine

这些算法标志着美国及NIST向“后量子密码学（PQC）”迈出了关键一步，将为包括国家保密机构到金融在线交易的一切组织建立一项新的国际标准。白宫副国家安全顾问AnneAubergine表示：“破解加密系统不仅对国家安全形成威胁，还对我们的护互联网、在线支付和银行交易的方式形成极大威胁。这些标准的推出将开启向下一代加密技术的过渡进程。”

早在2016年2月，美国国家标准与技术研究院（NIST）在日本福冈举行的第七届后量子密码国际会议（PQCrypto2016）上公布PQC标准化工作时间表。

同年4月，NIST发布一项跨部门报告（NISTInteragencyReport8105，名为ReportonPost-QuantumCryptography），这份报告旨在获得更广的人士对这件事的评论。报告介绍了PQC发展现状、量子计算硬件发展现状，以及未来开展标准化工作的初步计划。

随后，在2016年12月，NIST发布了PQC算法征集提案，正式启动PQC标准化项目。从2017年第一轮PQC算法征集至2022年第四轮候选人公布，经过四轮严格筛选，最终于2023年8月公布三种算法的标准草案，经过公众审查后预计于2024年正式批准三种算法草案。

在这三种算法中，CRYSTALS-Khyber算法是恩智浦半导体公司（NXPSemiconductors）的技术总监兼密码学家约佩·博斯（JoppeBos）主持撰写的。

Joppe Bos, technical director and cryptographer at NXP Semiconductors

JoppeBos讨论了即将到来的标准化的重要性和全球影响，以及它将如何影响嵌入式解决方案。JoppeBos指出，NIST的标准将对国际社会产生重要影响，欧洲正在遵循美国NIST的安全标准，并寻求扩展算法列表。德国和瑞典政府正在推动国际标准化组织（ISO）认可的国际标准。亚洲也是一个重要的参与者，中国和韩国预计也将推出自己的后量子标准。

值得注意的是，PQC对物联网和嵌入式系统尤为重要。新的解决方案需要嵌入到硬件中的时间要长得多，特别是数字签名算法的迁移。如果数字签名可以被破解，那么更新推送到现场的嵌入式设备或汽车中的安全启动就存在安全隐患。因此，半导体公司和其他销售嵌入式设备的公司更关注迁移数字签名，以便在该领域部署设备。

JoppeBos提到，汽车、物联网和工业物联网或工业4.0是客户正在实施迁移工作的三个主要领域。虽然有些公司迁移速度较快，有些较慢，但如果他们想在未来几年在美国或欧洲做生意，他们需要现在就开始迁移。

NIST的标准预计将于2024年7月开始实施，寻求或持有联邦合同的公司必须在2035年之前遵守这些标准，在最敏感领域工作的公司可能需要更早采用这些标准。

在此之前，2023年，美国国家安全局（NSA）、网络安全和基础设施安全局（CISA）以及NIST联合发布报告，建议各组织制定量子准备路线图，为未来实施PQC标准做好准备。

CBDC发出警告：
量子网络攻击可带来严重经济损失

量子计算对现有加密系统的破坏性威胁对于社会的影响是多方面的。一旦量子计算机的计算能力突破临界值，大量存储在互联网上的数据和通信可能面临被轻易解密的风险。这不仅威胁到个人隐私，更可能对国家安全、金融系统、商业机密等产生严重影响。甚至，有研究人员预测量子计算机可在2030年（甚至更早）破解主流公钥算法。需要注意的是，量子计算机的发展速度超出了许多人的预期，这意味着量子威胁可能比预想的来得更早。

2024年5月22日，世界经济论坛（WEF）在其最新报告中对中央银行数字货币（CBDC）面临的量子计算威胁发出警告。

报告中提到，全球超过98%的中央银行正在探索CBDC以改善跨境支付系统。量子计算机虽然在解决复杂问题上具有革命性潜力，但也可能破坏保护金融数据的加密机制，使CBDC系统极易受到网络攻击。这对于旨在改善跨境支付并增强金融包容性的CBDC来说尤其令人担忧。

为了应对量子威胁，CBDC系统需要建立抗量子金融体系。这包括采用加密敏捷性，即能够根据实时威胁轻松编排和轮换加密算法的能力。例如，当前使用的非对称加密算法（如RSA和ECC）需要通过NIST候选的基于格的算法进行增强。此外，密钥封装机制（KEM）和数字签名算法（DSA）的实施对于保护CBDC系统至关重要。

国际社会正在积极寻求保护下一代国家支付系统的方法。世界经济论坛成立了量子经济网络，为金融部门制定全球监管方法的指南。国际清算银行（BIS）通过“飞跃计划”和“陀飞轮计划”推动金融系统的量子安全密码学研究。

在设计和构建CBDC系统时，中央银行和金融机构应采取抗量子策略，包括进行量子安全风险分析、编目加密物料清单（CBOM）、实施网络弹性措施、封装网络和应用程序级别的流量，以及在软件开发生命周期中嵌入安全和敏捷的库。

可以说，随着量子计算技术的快速发展，CBDC系统和关键基础设施面临着前所未有的安全挑战。公共和私营部门需要深入合作，建立网络弹性，确保金融基础设施免受量子网络攻击的威胁。加密敏捷性必须成为保护金融基础设施的核心方法，以避免潜在的重大经济损失。

2024年3月，谷歌最近发布了关于量子计算机带来的威胁的详细报告，特别指出了量子计算机对RSA和ECC等广泛使用的加密系统的潜在破坏能力。这引用了全球风险研究所（GlobalRiskInstitute）的研究，该研究估计量子计算机在一天内破解RSA-2048加密的可能性介于17%至31%之间。

谷歌的安全专家强调：“如果我们不立即开始使用量子安全加密算法保护数据，那么那些现在存储通信数据的攻击者可能在未来十年内能够解密这些信息。”目前，各种组织正在努力使用抵御量子攻击的替代方法来加固或替换易受攻击的系统，但这个过程并非一蹴而就。

那么，我们该如何应对量子威胁呢？

大厂先行：PQC的研发与应用

尽管大型量子计算机尚未成为现实，但有一个与量子相关的直接威胁需要解决：“现在存储，稍后解密”(SNDL)攻击，攻击者今天拦截并存储加密数据，目的是解密稍后当足够强大的量子计算机可用时。这使得向抗量子密码学的过渡成为当务之急。

为了应对这一挑战，密码学界一直在研究一种称为后量子密码学(PQC)的新型密码系统，这种密码系统有望抵御量子攻击，但效率可能低于传统密码系统（尤其是通信带宽方面）。

从PQC应用方面看，美国Apple、IBM、Microsoft、Google等科技巨头已将公司业务拓展至PQC领域。

2024年5月22日，Meta公司发表报告，称公司正致力于一项复杂的多年计划，将其庞大的基础设施和用户应用程序迁移到后量子密码学（PQC）上来，以应对量子计算带来的潜在威胁。这一过程不仅涉及到保护数十亿用户的数据隐私和安全，还要确保Meta能够抵御未来量子计算机可能发动的攻击。

为了降低迁移风险，Meta采取了渐进式的策略，通过使用混合密钥交换技术，将现有的经典加密算法与PQC算法相结合。这种混合方法允许Meta在抵御现有攻击的同时，准备应对未来的量子威胁。在部署上，Meta选择了Kyber和X25519的混合设置，Kyber是NIST选中的密钥封装机制之一。

2024年5月，Zoom Video Communications公司宣布，后量子端到端加密（E2EE）现已面向全球推出，适用于Zoom Workplace。目前，Zoom已将该功能加入ZoomMeetings，稍后将扩展至Zoom Phone和Zoom Rooms。随着这一安全增强功能的推出，Zoom成为首家为视频会议提供后量子E2EE解决方案的统一通信即服务（UCaaS）公司。此外，为了防御“先窃取，后解密”的攻击，Zoom的后量子E2E加密使用Kyber768，这是一种由美国国家标准与技术研究院（NIST）标准化的算法，作为FIPS203中基于模块格的密钥封装机制（ML-KEM）。

2024年，谷歌发表报告称采用后量子密码学（PQC），其主要原因是防范“先窃后破”（HarvestNow，DecryptLater，HNDL）攻击，即攻击者在当前存储加密数据，待未来量子计算机问世后再进行解密。在确定对抗量子威胁的优先顺序时，谷歌考虑了多种因素，包括攻击的可能性、即时解密攻击的风险程度、长期公钥使用案例的需求，以及重新设计PQC系统的研究需求。

谷歌量子计算 图片来源：谷歌

谷歌认为，当前最紧急的威胁是针对使用TLS和SSH等脆弱算法保护的数据传输的即时解密攻击。此外，固件和软件签名系统也迫切需要转向PQC。在PQC的实施过程中，公钥基础设施（PKI）和令牌（如JSONWeb令牌）面临的密钥和签名尺寸较大的性能挑战需要进一步研究。

谷歌计划在大多数情况下使用NIST推荐的量子安全算法，包括CRYSTALS-Kyber用于密钥协议，以及Dilithium和SPHINCS+用于数字签名，并暂时采用与传统算法的混合模式。需要升级的系统和协议包括TLS、SSH、Signal、谷歌的ALTS认证协议、固件签名、硬件安全模块、用于无状态认证的令牌，以及其他使用非对称加密技术的产品，如PGP、S/MIME和HPKE。

其他公司，如拥有超过1000万用户的德国公司TutaMail，以及像Signal和苹果公司的iMessage，都已选择混合模式方法。

其中，2024年2月21日，苹果公司宣布对其iMessage通讯平台进行升级，以抵抗未来可能出现的加密破解技术。“这是iMessage历史上最重要的加密安全升级。苹果公司表示新的PQ3协议预计将在今年（2024年）内完全替代所有现有支持的对话协议。
该公司介绍说，PQ3的更新引入了一种新型的抗量子加密密钥，这种密钥是作为使用iMessage服务的设备（无论是手机还是电脑）创建的公钥的一部分，并被发送到苹果的服务器。

此外，苹果采用了Kyber算法来生成这些密钥，从而确保从发送的第一条消息开始就实现密钥的生成，即便消息接收者不在线也能如此。苹果强调，其系统在创建加密密钥和进行消息交换的过程中，提供了抗量子级别的保护措施——即使在用户的加密密钥被攻击者获取的情况下也是如此。进一步，苹果还指出，抗量子保护技术是对现有加密技术的一种增强。它采取了一种混合设计策略，结合了目前的椭圆曲线加密技术（ECC）和新的后量子保护技术。苹果表示，要想破解PQ3的安全性，攻击者必须同时克服传统的ECC加密技术和新的抗量子技术挑战。

TautMail最近推出了Cryptic，这是一种结合了CRYSTALS-Khyber（后量子密钥封装技术）和X25519（用于椭圆曲线-差分-赫尔曼密钥交换的技术）的系统。

可以说，近两年，PQC发展速度加快。美国更加关注PQC技术的发展与迁移，而中国和欧盟则将更多资源放到QKD技术，实施基础设施建设。未来这两大技术谁将占据主导地位，或者是相互支持、融合，当前还是未知的。

后量子密码（PQC）是缓解量子威胁的最重要手段。目前，后量子算法的研究重点是构造解决公钥加密（密钥建立）和签名问题的非对称算法，主要包括基于格、编码、多变量多项式以及Hash函数等相关困难问题构造的密码算法。这些问题已在传统密码学领域发展多年，其抵抗量子攻击的复杂度假设是支撑后量子算法安全的基础。

目前还未出现兼顾安全性和效率的PQC算法，但是由于形式上PQC的部署主要涉及算法模块的替换，相比QKD技术更为简单实用，这种解决方案目前承载着更多期望。不过，PQC的局限性也很突出。例如，PQC算法模块仍不可避免地存在侧信道泄露问题；其次，由于无法排除未来出现的量子攻击算法能进一步削弱基础数学问题的困难性，导致PQC无法实现长期安全目标，不便用于特殊的保密场合。这点对对称算法仍然适用。通常认为根据Grover算法的搜索复杂性将密钥长度增加一倍即可抵抗量子攻击，但这种理解不一定正确。

尽管理论上不存在超越平方加速的非结构化搜索算法，但不排除后续仍会出现更好的根据对称算法结构性缺陷的量子破解算法。因此，增大密钥长度实现分组算法安全性的做法只能是权宜之计。在实际应用中选择结合后量子算法和QKD技术来实现长期安全目标的做法比较可取，这点与欧洲标准组织ETSI的策略一致。

应对量子威胁，我们需要加快行动

由于量子攻击对完善加密系统的紧迫性，各国纷纷出台策略专门针对识别使用中的加密系统的漏洞，并探索量子安全技术的使用，特别是后量子加密和量子密钥分配。

主导PQC标准化的NIST机构位于美国，基于此优势，美国多个科研机构孵化出PQC初创公司，转型商业化。此外，欧盟、英国、加拿大、日本等国家也有较多PQC科研机构。中国参与PQC领域的科研机构较多，但实现商业化转型的机构仍然有限。

另外，全球范围内已有超过30个国家正在部署或已经实施QKD基础设施建设，包括中国、欧盟成员国、加拿大、英国、韩国、新加坡等。在这些国家的推动下，QKD在地面和空间的基建工作和应用场景均有不同程度拓展。

2022年，欧洲网络和信息安全局（ENISA）发表了一项后量子密码学的合作研究，欧盟委员会为后量子密码学加密的研究拨款1100万欧元。但欧盟委员会的呼吁预计到2026年才会有结果，也就是美国预计标准化的两年后。欧洲网络和信息安全局的论文是关于在数字系统上实施后量子密码学加密的挑战，但却是一篇姗姗来迟的研究论文。

2022年，美国国家安全局（NSA）发出呼吁，要求各种规模的组织在2035年之前进行量子安全加密的迁移。与此同时，美国还加快出台旨在保护敏感信息免受量子网络攻击的相关政策。同年，美国通过了《量子网络安全预备法案》，该法案制定了将政府信息迁移到后量子加密技术的路线图。此外，白宫发布了一系列备忘录，敦促联邦机构报告一份加密系统清单，并开始向后量子加密过渡。

2023年，美国国内安全局（CISA）、NSA和NIST再次发布了一份新的资源，其中包含了抗量子加密技术迁移的指导原则。

2023年，新的美国国家网络安全战略将防止量子网络攻击作为一项战略目标。这一优先级包括使用后量子加密技术。最重要的是，美国国会正在审议一项新法律，该法律将创建公私沙盒（public-privatesandbox），为量子技术的应用赋能。

英国国家网络安全中心（NCSC）也于2023年发布白皮书，帮助商业企业、公共部门组织和关键国家基础设施提供商的系统和风险所有者思考如何为向PQC迁移做好准备。

2023年12月，中国抗量子密码战略与政策法律工作组成立与专家聘任仪式在第十三届中国信息安全法律大会主论坛上举行。工作组将对抗量子密码技术、产业、业务的现状和相关国内外政策、法律法规进行研究，以公开或定向方式发表抗量子密码相关蓝皮书、专题研究报告等成果，推动形成中国抗量子密码共识和行动方案。

总体来看，目前PQC技术及其相关的抗量子密码技术仍处于研发和标准化阶段，离大规模商业化还有一段距离，但密码技术作为网络安全技术的基石，承担抵御量子时代信息安全的重任，有望在国家政策的大力扶持下快速发展。

无论何种策略，对国家与企业来说，现在是采取行动的时候。网络安全公司Group-B的服务部门负责人维塔利·特里福诺夫（VitalTrifocals）建议道。“等待抗量子加密标准和规范的确立可能会使企业处于劣势。立即迎接量子时代的到来，对于保护敏感数据和自信地利用其优势至关重要。”

参考链接

[1]https://www.bnnbloomberg.ca/us-government-urges-federal-contractors-to-strengthen-encryption-1.2075655

[2]https://www.weforum.org/agenda/2024/05/safeguarding-central-bank-digital-currency-systems-post-quantum-age/

[3]https://engineering.fb.com/2024/05/22/security/post-quantum-readiness-tls-pqr-meta/