2024 年真实世界密码学会议

今年的真实世界密码学会议最近在加拿大多伦多举行。与往常一样，由IACR组织的这次会议在为期三天的演讲中展示了当前密码学主题的最新学术成果和行业观点。会议前后还举办了许多同期活动，包括 FHE.org 会议、真实世界后量子密码学 (RWPQC) 研讨会和高可信加密软件 (HACS) 研讨会。

今年，NCC Group 的密码服务团队的许多成员都参加了会议和几场研讨会。本文总结了我们最喜欢的一些演讲和要点。

后量子密码学

在今年的真实世界密码学会议上，后量子密码学得到了大力推广。在主会议期间举办了两场 PQC 会议，在主会议之前的周日还举办了同地 RWPQC 活动，在我们前往多伦多的旅途中，看到 PQC 方面有如此多的参与真是令人兴奋！

根据去年活动的蓝图，RWPQC 研讨会以 NIST PQC 竞赛的最新进展开场，重申了 NIST PQC 竞赛的现状，以及 NIST 在未来几个月内制定 NIST FIPS 203 和 204 草案最终标准的目标，随后制定名为 FN-DSA 的 Falcon 规范初稿。随后，包括 ETSI、BSI、NSCS 和 IETF 在内的其他标准化机构也发布了最新进展，这些机构都在努力为各自影响的领域提供 PQC 指导，最终的 FIPS 草案预计很快发布。MITRE 和 Linux Foundation PQC 迁移联盟也在研讨会期间发布了最新进展。作为这些讨论的一部分，许多标准机构讨论了他们的迁移方法，以及他们是否计划强制使用混合算法，方法各不相同，从强制混合到不那么严格的强制要求。此外，许多演讲指出，虽然使用混合算法可能在短期内有所帮助，但社区应该开始考虑最终计划在混合后迁移到单一算法集，因为人们担心随着新算法在未来的引入，算法的复杂性或组合扩展会增加。

作为标准化机构演讲的补充，RWPQC 计划包括各公司（包括 Signal、Amazon、Google、Meta 和 evolutionQ）PQC 迁移进展的真实更新。所有演讲都提供了宝贵的见解，介绍了在各自环境中迁移到 PQC 所面临的挑战（包括已经克服的挑战和尚未克服的挑战）。最后，该计划还进行了几次关于格密码分析和实施脚枪的学术演讲。我们将对一些我们最喜欢的演讲进行更深入的探讨！

格密码分析讲座

Martin Albrecht 和 John Schanck 就格密码分析中的主题进行了两次互补的讨论。在第一次演讲中，Martin Albrecht 深入分析了目前最著名的格密码系统攻击，即对偶攻击。他首先简要介绍了原始攻击和对偶攻击的历史，并指出最近的一些研究对一些常见启发式算法的准确性提出了质疑，从而改进了对这些对偶算法的分析。Martin 还指出，似乎没有明确的理由说明为什么对偶攻击的表现优于原始攻击，并指出“对偶攻击会击败原始攻击似乎在道德上是错误的”，因为它在直接方法上引入了额外的变换。最后，演讲以讨论最近利用机器学习模型的格密码系统结束，并指出在他看来，目前没有理由相信机器学习会威胁格密码系统。

John Schanck 的后续演讲重点关注了最著名攻击的“实际成本”。NIST 安全级别 I、III 和 V 旨在指导协议设计者选择参数，这些参数可提供与最著名攻击 AES-128、192 和 256 的成本相匹配的安全保证。然而，与对 AES 的攻击不同，双格攻击有一个非常昂贵且占用大量内存的筛选步骤。为了对 Kyber 和相关方案进行攻击，必须先进行大量计算，然后才能减少密钥空间（与攻击 AES 相比，您可以立即开始猜测密钥）。演讲进行了有趣的比较——需要月球重量的硅来制造足够的内存以进行简单的双攻击——并真正展示了当攻击本身在算法层面上结构如此不同时，对齐攻击不同加密协议的实际成本是多么困难。 Schanck 演讲的要点是，当考虑到内存成本时，Kyber 768 应该足以满足每个人的需求。

后量子密码学的实施指南

Nadia Heninger 就她预见到的后量子实现中可能存在的缺陷进行了非常详细的讨论，这主要基于她在经典密码学实现方面的经验。她指出，经典密码学中许多常见的实现缺陷仍然适用于 PQC 设置，包括 RNG 问题、采样或分布均匀性