后量子加密（PQC）：為量子時(shí)代的未來(lái)保駕護(hù)航

作者：

萊迪思半導(dǎo)體公司安全、電信和數(shù)據(jù)中心戰(zhàn)略業(yè)務(wù)開(kāi)發(fā)部高級(jí)總監(jiān)Mamta Gupta
萊迪思半導(dǎo)體安全解決方案總監(jiān)Jordan Anderson
萊迪思半導(dǎo)體產(chǎn)品安全架構(gòu)師Temoc Chavez Corona
萊迪思半導(dǎo)體產(chǎn)品安全架構(gòu)師Mehryar Rahmatian

免責(zé)聲明

萊迪思不對(duì)本文檔所含信息的準(zhǔn)確性或其產(chǎn)品用于任何特定用途的適用性作出任何擔(dān)?；虮ＷC。本文件中的所有信息均按原樣提供，不保證無(wú)任何紕漏，所有相關(guān)風(fēng)險(xiǎn)完全由買(mǎi)方承擔(dān)。此處提供的信息僅供參考，可能包含技術(shù)上的不準(zhǔn)確或遺漏，也可能因多種原因而變得不準(zhǔn)確，萊迪思不承擔(dān)更新或以其它方式更正或修訂這些信息的義務(wù)。萊迪思銷售的產(chǎn)品已經(jīng)過(guò)有限的測(cè)試，買(mǎi)方有責(zé)任獨(dú)立確定其產(chǎn)品的適用性，并進(jìn)行測(cè)試和驗(yàn)證。萊迪思產(chǎn)品和服務(wù)的設(shè)計(jì)、制造或測(cè)試并非用于生命或安全關(guān)鍵系統(tǒng)、危險(xiǎn)環(huán)境或任何其他要求故障安全（fail-safe）性能的環(huán)境，包括產(chǎn)品或服務(wù)故障可能導(dǎo)致死亡、人身傷害、嚴(yán)重財(cái)產(chǎn)損失或環(huán)境損害的任何應(yīng)用（統(tǒng)稱“高風(fēng)險(xiǎn)用途”）。此外，買(mǎi)方必須采取謹(jǐn)慎的措施來(lái)防止產(chǎn)品和服務(wù)故障，包括提供適當(dāng)?shù)娜哂?、故障安全功能?或關(guān)閉機(jī)制。萊迪思聲明不對(duì)產(chǎn)品或服務(wù)在高風(fēng)險(xiǎn)用途中的適用性作出任何明示或暗示的保證。本文檔中提供的信息為萊迪思半導(dǎo)體所有，萊迪思保留隨時(shí)更改本文檔信息或任何產(chǎn)品的權(quán)利，恕不另行通知。

包容性用語(yǔ)

本文檔的創(chuàng)建符合萊迪思半導(dǎo)體的包容性用語(yǔ)政策。在某些情況下，基礎(chǔ)工具和其他項(xiàng)目中的語(yǔ)言可能尚未更新。請(qǐng)參閱萊迪思的包容性用語(yǔ)常見(jiàn)問(wèn)題解答6878，獲取術(shù)語(yǔ)的交叉參考。請(qǐng)注意，在某些情況下，如寄存器名稱和狀態(tài)名稱，有必要繼續(xù)使用舊的術(shù)語(yǔ)以保證兼容性。

摘要

量子計(jì)算的快速發(fā)展對(duì)傳統(tǒng)密碼系統(tǒng)構(gòu)成了重大威脅。

在量子計(jì)算可能顛覆傳統(tǒng)密碼系統(tǒng)的時(shí)代，采取行動(dòng)迫在眉睫。本白皮書(shū)深入探討了當(dāng)前加密協(xié)議的漏洞，介紹了最新標(biāo)準(zhǔn)化的PQC算法，為那些希望采取措施對(duì)抗量子威脅的組織提供了戰(zhàn)略路線圖。通過(guò)采用萊迪思半導(dǎo)體的創(chuàng)新解決方案，您可以保護(hù)您的數(shù)字資產(chǎn)，在量子時(shí)代保持領(lǐng)先。

1. 引言

1.1. 當(dāng)前加密方案面臨的挑戰(zhàn)

量子計(jì)算不僅僅是一個(gè)理論概念，它正快速融入現(xiàn)實(shí)，可能動(dòng)搖全球數(shù)字安全的基礎(chǔ)。從確保金融交易安全到保護(hù)私人通信，當(dāng)今幾乎所有的安全系統(tǒng)都使用RSA和ECC加密算法。面對(duì)能夠輕松破解這些算法的量子算法，這些傳統(tǒng)加密方法瀕臨淘汰邊緣1。向量子抗性加密技術(shù)的轉(zhuǎn)變不僅是一項(xiàng)建議，而且必不可少。雖然量子計(jì)算機(jī)仍在開(kāi)發(fā)之中，但抵御其攻擊的時(shí)間窗口正在快速關(guān)閉。

現(xiàn)在是時(shí)候采取行動(dòng)加強(qiáng)防御、維護(hù)全球數(shù)字安全完整性了。

1.2. PQC 的采用和加密敏捷

從RSA和ECC加密算法遷移到后量子算法需要更新整個(gè)安全基礎(chǔ)設(shè)施。這影響到從公鑰基礎(chǔ)設(shè)施（PKI）系統(tǒng)和硬件安全模塊（HSM）到通信協(xié)議和硬件加密引擎的方方面面。PQC作為一項(xiàng)新技術(shù)，將會(huì)持續(xù)發(fā)展。加密解決方案必須支持“加密靈活性”，以適應(yīng)新標(biāo)準(zhǔn)。

在多數(shù)情況下，遷移到PQC算法需要在硬件層面進(jìn)行更改。使用現(xiàn)場(chǎng)可編程門(mén)陣列（FPGA）設(shè)計(jì)的系統(tǒng)在采用PQC算法方面具有顯著優(yōu)勢(shì)。FPGA固有的適應(yīng)性使其成為PQC算法移植的理想選擇。隨著PQC算法的不斷發(fā)展，F(xiàn)PGA通過(guò)可重新配置特性進(jìn)行調(diào)整的能力具有顯著優(yōu)勢(shì)，可確保加密實(shí)現(xiàn)與最新和最安全的標(biāo)準(zhǔn)保持同步。面對(duì)快速發(fā)展的量子計(jì)算能力，這種靈活性對(duì)于保持系統(tǒng)的完整性至關(guān)重要。

萊迪思半導(dǎo)體的FPGA產(chǎn)品為NIST批準(zhǔn)的PQC算法提供內(nèi)置支持，且支持加密敏捷，是安全關(guān)鍵操作和PQC遷移工作的理想選擇。

1.3. 量子計(jì)算的進(jìn)步

量子計(jì)算已從早期的理論探討發(fā)展到實(shí)際應(yīng)用。研究人員已經(jīng)證明了量子的優(yōu)越性2。本節(jié)重點(diǎn)介紹量子計(jì)算機(jī)的優(yōu)勢(shì)及其帶來(lái)的威脅。量子算法，如用于因式分解的肖爾算法和用于搜索的格羅弗算法，對(duì)加密算法構(gòu)成的威脅迫在眉睫，因此轉(zhuǎn)向PQC十分有必要。由于其獨(dú)特的運(yùn)行特性，量子計(jì)算機(jī)擅長(zhǎng)解決某些類型的問(wèn)題，而這些問(wèn)題對(duì)經(jīng)典計(jì)算機(jī)來(lái)說(shuō)極具挑戰(zhàn)性。量子計(jì)算顯示出巨大潛力的一些領(lǐng)域包括：

優(yōu)化問(wèn)題：通過(guò)高效探索多種組合，優(yōu)化送貨車(chē)輛的路線安排、航班調(diào)度或供應(yīng)鏈管理。

量子系統(tǒng)模擬：在材料科學(xué)和藥理學(xué)等領(lǐng)域，研究人員可以利用量子計(jì)算機(jī)了解復(fù)雜分子，從而發(fā)現(xiàn)新材料和新藥物。

機(jī)器學(xué)習(xí)和人工智能：更高效地處理大型數(shù)據(jù)集，從而在自動(dòng)駕駛和個(gè)性化醫(yī)療等領(lǐng)域建立更強(qiáng)大的預(yù)測(cè)模型，縮短處理時(shí)間。

解決理論物理學(xué)中的難題：量子計(jì)算可以幫助研究人員深入了解量子力學(xué)和其他復(fù)雜的物理理論，為理論物理學(xué)做出重大貢獻(xiàn)。這將提高人們對(duì)高能物理、引力、化學(xué)和宇宙學(xué)的理解。

1.4. 量子威脅

加密：量子計(jì)算機(jī)可以高效地解決公鑰加密的基礎(chǔ)問(wèn)題，如整數(shù)因式分解和離散對(duì)數(shù)，從而破解當(dāng)前的許多密碼系統(tǒng)。這種能力將危及數(shù)據(jù)安全系統(tǒng)。

量子計(jì)算技術(shù)的發(fā)展和擴(kuò)展有望在許多領(lǐng)域取得重大突破，有可能帶來(lái)目前經(jīng)典計(jì)算技術(shù)無(wú)法想象的解決方案。然而，

解決這些問(wèn)題的潛力也凸顯了對(duì)量子安全加密方法的需求，以保護(hù)敏感信息免受未來(lái)量子技術(shù)的威脅。

2. 采用PQC迫在眉睫

2.1. 哪些領(lǐng)域會(huì)受影響

如果沒(méi)有量子安全加密技術(shù)，所有在公共信道上傳輸?shù)男畔ⅲo(wú)論是現(xiàn)在還是將來(lái)）都易受攻擊。一旦量子計(jì)算機(jī)技術(shù)進(jìn)一步發(fā)展，當(dāng)前存儲(chǔ)的加密數(shù)據(jù)以后就能被輕易解密。傳輸信息的完整性和真實(shí)性將受到損害，從而違反數(shù)據(jù)隱私和安全方面的監(jiān)管要求。這種風(fēng)險(xiǎn)的影響范圍包括：政府和軍事通信、金融和銀行交易、醫(yī)療數(shù)據(jù)和醫(yī)療記錄、云端存儲(chǔ)的個(gè)人數(shù)據(jù)以及企業(yè)機(jī)密網(wǎng)絡(luò)的訪問(wèn)權(quán)限。見(jiàn)圖1。

圖1：立即采取措施至關(guān)重要

2.2. “先收集，后解密”式攻擊

“先收集，后解密”（HNDL）式攻擊，又稱“先存儲(chǔ)、后解密”（SNDL）攻擊，是一個(gè)迫在眉睫的安全問(wèn)題。攻擊者當(dāng)下存儲(chǔ)竊取的加密數(shù)據(jù)，然后在量子計(jì)算取得進(jìn)展后再進(jìn)行解密。對(duì)于需要保證長(zhǎng)期數(shù)據(jù)安全的組織來(lái)說(shuō)，這是一個(gè)嚴(yán)重的威脅，需要立即采取行動(dòng)。見(jiàn)圖 2。

2.3. CNSA 2.0時(shí)間表

2022年9月7日，美國(guó)國(guó)家安全局發(fā)布了《商用國(guó)家安全算法套件2.0》（CNSA 2.0）3。該文件規(guī)定了與國(guó)家安全相關(guān)的系統(tǒng)中應(yīng)使用的加密算法。不符合標(biāo)準(zhǔn)不僅存在風(fēng)險(xiǎn)，更是完全不可接受的。對(duì)于任何處理美國(guó)基礎(chǔ)設(shè)施敏感數(shù)據(jù)的組織而言，遵守這些標(biāo)準(zhǔn)至關(guān)重要。見(jiàn)圖2。

CNSA 2.0強(qiáng)制要求使用以下PQC算法，在某些場(chǎng)景下最早自2025年生效：

• XMSS/LMS
• ML-DSA (CRYSTALS-Dilithium)
• ML-KEM (CYRSTALS-Kyber)
• XMSS和LMS已被批準(zhǔn)用于代碼簽名和代碼驗(yàn)證用例

圖2：CNSA 2.0時(shí)間線

ML-DSA和ML-KEM獲批成為新的公鑰加密算法，取代RSA、Diffie-Hellman密鑰交換、橢圓曲線Diffie-Hellman（ECDH）和橢圓曲線數(shù)字簽名算法（ECDSA）。AES-256仍是對(duì)稱加密標(biāo)準(zhǔn)。安全散列算法SHA-384或SHA-512仍是標(biāo)準(zhǔn)的散列算法。

CNSA 2.0算法套件如圖3所示。CNSA 2.0要求中的關(guān)鍵日期包括：

• 軟件/固件簽名：到2025年，PQC算法必須作為默認(rèn)算法和首選算法使用
• 網(wǎng)絡(luò)瀏覽器/服務(wù)器和云服務(wù)：到2026年，PQC算法必須作為默認(rèn)和首選算法使用
• 傳統(tǒng)網(wǎng)絡(luò)設(shè)備：到2025年，PQC算法必須作為默認(rèn)和首選算法使用
• 操作系統(tǒng)：到2027年，PQC 算法必須作為默認(rèn)算法和首選算法使用

圖3: CNSA 2.0算法套件

2.4. 設(shè)備壽命和量子計(jì)算機(jī)開(kāi)發(fā)時(shí)間表

如今設(shè)計(jì)的設(shè)備在未來(lái)15至20年內(nèi)可能仍在使用，因此當(dāng)下實(shí)施的安全措施必須能夠抵御未來(lái)的量子威脅。預(yù)計(jì)在未來(lái)十年內(nèi)，能夠破解現(xiàn)有加密算法的量子計(jì)算機(jī)將投入實(shí)用，這對(duì)長(zhǎng)期數(shù)據(jù)安全構(gòu)成的威脅迫在眉睫。

汽車(chē)以及電網(wǎng)等關(guān)鍵基礎(chǔ)設(shè)施中使用的設(shè)備，其使用壽命普遍長(zhǎng)達(dá)15至20年，這意味著它們將在量子計(jì)算時(shí)代長(zhǎng)期運(yùn)行。這將帶來(lái)一個(gè)危險(xiǎn)的安全漏洞 ——當(dāng)前部署的采用傳統(tǒng)加密技術(shù)的系統(tǒng)，在其使用期限內(nèi)會(huì)因量子攻擊而變得脆弱。因此，必須在這些設(shè)備中集成抗量子攻擊密碼技術(shù)，以確保其在整個(gè)生命周期內(nèi)的安全性。見(jiàn)圖4。

圖4：設(shè)備生命周期vs.量子計(jì)算機(jī)的發(fā)展

2.5. 量子計(jì)算機(jī)發(fā)展路線圖

大多數(shù)專家認(rèn)為，量子計(jì)算機(jī)能在未來(lái)十年內(nèi)破解RSA和ECC加密。作為推動(dòng)新型后量子加密算法研發(fā)與應(yīng)用的核心機(jī)構(gòu)之一，美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）預(yù)測(cè)這一時(shí)間最早可能出現(xiàn)在2030年4。全球風(fēng)險(xiǎn)研究所的《量子威脅時(shí)間線報(bào)告》指出：實(shí)現(xiàn)大規(guī)模量子計(jì)算不存在已知的根本性障礙，因此網(wǎng)絡(luò)風(fēng)險(xiǎn)管理者應(yīng)考慮這一情況“何時(shí)發(fā)生”而非“是否發(fā)生”5。

研究人員和領(lǐng)先的科技企業(yè)正大力投入量子計(jì)算技術(shù)，推動(dòng)量子計(jì)算取得重大進(jìn)展。例如，谷歌于2024年12月推出了105量子比特的量子計(jì)算機(jī)，并計(jì)劃在2030年前實(shí)現(xiàn)100萬(wàn)量子比特的突破。IBM、D-Wave、Rigetti和富士通等企業(yè)已開(kāi)發(fā)出商用化量子計(jì)算機(jī)，并在系統(tǒng)性能提升方面取得快速進(jìn)展。

3. 全球PQC相關(guān)舉措

各國(guó)政府和國(guó)際標(biāo)準(zhǔn)機(jī)構(gòu)正在制定指導(dǎo)方針與法規(guī)，明確后量子密碼（PQC）算法的技術(shù)要求和采用時(shí)間表。這些標(biāo)準(zhǔn)既規(guī)定了需使用的PQC算法，也劃定了算法落地的時(shí)間節(jié)點(diǎn)。美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）的后量子加密標(biāo)準(zhǔn)為全球相關(guān)算法的應(yīng)用奠定了基礎(chǔ) —— 即使是考慮采用NIST標(biāo)準(zhǔn)以外算法的國(guó)家，也在很大程度上受其影響。具體實(shí)踐中，法國(guó)和德國(guó)等國(guó)家選擇同時(shí)采用NIST指定的算法，以及部分NIST曾評(píng)估但未最終標(biāo)準(zhǔn)化的算法；而中國(guó)等國(guó)家則在探索研發(fā)國(guó)家專用算法。見(jiàn)圖5。

圖5：全球各國(guó)采取的PQC舉措

4. 哪些算法會(huì)受到量子計(jì)算機(jī)的影響

了解哪些算法容易受到攻擊是確保系統(tǒng)安全的第一步。量子計(jì)算機(jī)會(huì)破解現(xiàn)有的非對(duì)稱加密算法，如RSA和ECC。增加算法的密鑰長(zhǎng)度并不能有效抵御量子攻擊。必須按照NIST的定義和各監(jiān)管機(jī)構(gòu)的要求，用抗量子算法替換這些算法。見(jiàn)圖6。

AES等對(duì)稱加密算法也會(huì)受到影響，但程度較輕。在這里，將所有對(duì)稱加密算法升級(jí)到AES 256將提供抗量子攻擊能力。已獲批準(zhǔn)的算法根據(jù)所使用的底層數(shù)學(xué)進(jìn)行分類。

基于格的算法：ML-KEM（Kyber）、ML-DSA（Dilithium）和FN-DSA（Falcon）基于復(fù)雜格結(jié)構(gòu)提供安全性，這些結(jié)構(gòu)會(huì)給量子計(jì)算機(jī)的計(jì)算帶來(lái)很大挑戰(zhàn)。

基于哈希的簽名：LMS（Leighton-Micali Signature）、XMSS（eXtended Merkle Signature Scheme）和SLH-DSA（SPHINCS+）都是基于哈希值的簽名方案，以安全著稱。

圖6：受量子計(jì)算機(jī)影響的算法

5. PQC算法和NIST標(biāo)準(zhǔn)

2024年8月13日，美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）敲定了第一套后量子加密標(biāo)準(zhǔn)，標(biāo)志著網(wǎng)絡(luò)安全領(lǐng)域的一個(gè)重要里程碑。

NIST標(biāo)準(zhǔn)為全球PQC算法的遷移奠定了基礎(chǔ)。這些標(biāo)準(zhǔn)由全球安全研究人員和公司的合作制定，目前正在被世界各國(guó)采用。大多數(shù)國(guó)家直接采用NIST標(biāo)準(zhǔn)。少數(shù)國(guó)家采用本國(guó)的特有算法，但這些算法都源自NIST標(biāo)準(zhǔn)。還有一些國(guó)家在采用NIST算法的同時(shí)，也接受了一些其他算法。這些算法是NIST標(biāo)準(zhǔn)化進(jìn)程中的入圍算法，未被NIST選為標(biāo)準(zhǔn)化算法。

在2024年8月發(fā)布的版本中，NIST批準(zhǔn)了四種旨在確保數(shù)字通信安全的算法。這些算法包括:

• ML-KEM (CRYSTALS-Kyber)
• ML-DSA (CRYSTALS-Dilithium)
• SLH-DSA (SPHINCS+)
• FN-DSA (Falcon)

實(shí)施與過(guò)渡：這些算法旨在立即集成到數(shù)字系統(tǒng)中，以抵御量子攻擊，增強(qiáng)安全性。NIST提供了實(shí)施這些算法的詳細(xì)指南，目的是在不影響當(dāng)前操作標(biāo)準(zhǔn)的情況下實(shí)現(xiàn)平穩(wěn)過(guò)渡。

未來(lái)考慮：NIST未來(lái)將繼續(xù)評(píng)估更多標(biāo)準(zhǔn)化算法。將對(duì)更多算法進(jìn)行標(biāo)準(zhǔn)化，進(jìn)一步增強(qiáng)加密防御的穩(wěn)健性，并提供針對(duì)各種用例進(jìn)行優(yōu)化的算法。

過(guò)渡到新算法是一項(xiàng)重大工程，會(huì)影響PKI系統(tǒng)、TLS和VPN協(xié)議、加密庫(kù)、HSM、TPM以及其他許多系統(tǒng)。在整個(gè)生態(tài)系統(tǒng)和供應(yīng)鏈中推廣這些新算法需要數(shù)年時(shí)間。公司需要立即采取行動(dòng)，向PQC遷移。萊迪思半導(dǎo)體提供專業(yè)技術(shù)和解決方案，帶來(lái)無(wú)縫、高效的遷移體驗(yàn)。

6. 遷移到PQC算法

PQC算法現(xiàn)已標(biāo)準(zhǔn)化，開(kāi)發(fā)人員可以開(kāi)始遷移到這些新的、經(jīng)NIST批準(zhǔn)的算法。利用萊迪思先進(jìn)的FPGA技術(shù)，您可以實(shí)現(xiàn)無(wú)縫和面向未來(lái)的遷移，確保您的系統(tǒng)始終受到最新加密標(biāo)準(zhǔn)的保護(hù)。參見(jiàn)圖7。

圖7. 遷移到PQC算法

LMS和XMSS都是基于哈希的狀態(tài)數(shù)字簽名算法，這意味著私鑰包括了一個(gè)必須保持的狀態(tài)值。每次生成簽名時(shí)，都必須更新?tīng)顟B(tài)值。這些算法非常適合代碼簽名用例。標(biāo)準(zhǔn)要求在HSM中執(zhí)行簽名操作和狀態(tài)管理，以確保安全性和正確的狀態(tài)管理。因此，這些算法實(shí)際上只適用于代碼簽名，并不適合用作通用數(shù)字簽名算法。

ML-DSA（Dilithium）和ML-KEM（Kyber）都是基于格的算法，已被NIST全面標(biāo)準(zhǔn)化，并通過(guò)CNSA 2.0認(rèn)證。ML-DSA是一種通用數(shù)字簽名算法，可用于所有用例，包括代碼簽名。ML-KEM是一種密鑰交換機(jī)制，將被TLS和IPSec等協(xié)議用于交換AES密鑰。

SLH-DSA（SPHINCS+）是一種無(wú)狀態(tài)哈希數(shù)字簽名算法。該算法已被NIST完全標(biāo)準(zhǔn)化，可用于所有數(shù)字簽名用例。然而，它并非CNSA 2.0批準(zhǔn)的算法。此外，SLH-DSA的性能也比其他后量子數(shù)字簽名算法更差6。盡管有一些適用場(chǎng)景，但它不適用于對(duì)性能要求嚴(yán)苛的應(yīng)用。

FN-DSA（Falcon）已被NIST選為標(biāo)準(zhǔn)化項(xiàng)目，但FN-DSA標(biāo)準(zhǔn)預(yù)計(jì)要到2025年才能完成。

6.1. 實(shí)施PQC算法的挑戰(zhàn)

實(shí)施PQC算法并非沒(méi)有挑戰(zhàn)。企業(yè)在采用新算法時(shí)會(huì)面臨學(xué)習(xí)曲線。PQC算法的密鑰大小、簽名大小和性能特征與傳統(tǒng)算法有很大不同。不同PQC算法之間也存在很大差異。

組織必須熟悉這些新算法，以便理解不同算法之間的權(quán)衡。例如，ML-DSA和LMS這兩種算法的簽名驗(yàn)證速度都非?？?，而且簽名尺寸都相對(duì)較大。但它們?cè)谄渌矫娲嬖陲@著差異。例如，LMS的公鑰尺寸非常小，而ML-DSA的公鑰尺寸則相對(duì)較大。

組織應(yīng)該選擇像萊迪思半導(dǎo)體這樣在后量子加密算法（PQC）領(lǐng)域具備經(jīng)驗(yàn)與專業(yè)知識(shí)的可信合作伙伴，并著手實(shí)施概念驗(yàn)證（POC）解決方案，以積累必要的知識(shí)，推動(dòng)其設(shè)備與系統(tǒng)向后量子加密算法遷移。

萊迪思半導(dǎo)體提供的產(chǎn)品已將后量子加密算法集成至器件上的加密引擎中，幫助客戶快速、便捷地升級(jí)解決方案以支持后量子加密技術(shù)。針對(duì)正在實(shí)施概念驗(yàn)證的客戶，公司還提供開(kāi)發(fā)板，助力其加速向后量子加密技術(shù)的遷移進(jìn)程。

7. 在主要應(yīng)用案例中實(shí)現(xiàn)量子抗性

7.1. 傳輸層安全（TLS）與安全通信

TLS和其他安全通信協(xié)議利用三種不同的加密操作來(lái)確保數(shù)據(jù)安全：

• 身份驗(yàn)證：用ML-DSA、SLH-DSA或FN-DSA代替RSA/ECDSA
• 密鑰交換：ML-KEM代替RSA、ECDH或Diffie-Helman
• 批量數(shù)據(jù)加密：AES-128或AES-256，確保使用AES-256

對(duì)于需防范HNDL攻擊的應(yīng)用場(chǎng)景，企業(yè)應(yīng)優(yōu)先在通信協(xié)議中部署Kyber（ML-KEM）。采用ML-KEM可確保會(huì)話密鑰無(wú)法被量子計(jì)算機(jī)破解，從而使HNDL攻擊失效。

7.2. 代碼簽名

LMS、XMSS和ML-DSA可用于代碼簽名。

7.3. 可信根

可信根（RoT）解決方案將在設(shè)備上執(zhí)行簽名操作，以實(shí)現(xiàn)對(duì)配置數(shù)據(jù)的驗(yàn)證，以及對(duì)更廣泛系統(tǒng)中其他組件的校驗(yàn)。ML-DSA是可信根應(yīng)用場(chǎng)景的最佳算法，因其支持在設(shè)備端進(jìn)行簽名。

7.4. 對(duì)加密敏捷的需求

后量子加密技術(shù)的發(fā)展仍處于起步階段。隨著該領(lǐng)域的不斷演進(jìn)，加密解決方案保持高度靈活性以適應(yīng)新標(biāo)準(zhǔn)和新發(fā)現(xiàn)至關(guān)重要。這種對(duì)“加密敏捷性”的需求之所以必要，是因?yàn)樗瓜到y(tǒng)能夠迅速整合加密領(lǐng)域的進(jìn)步，無(wú)需進(jìn)行大規(guī)模改造，從而確保持續(xù)抵御新出現(xiàn)的量子威脅。

8. 萊迪思半導(dǎo)體：您可靠的PQC合作伙伴

現(xiàn)場(chǎng)可編程門(mén)陣列（FPGA）在現(xiàn)代應(yīng)用中扮演關(guān)鍵角色，而萊迪思半導(dǎo)體憑借能夠抵御現(xiàn)有和新興威脅的安全能力引領(lǐng)行業(yè)。我們的可信根（Root of Trust）解決方案可在器件加電啟動(dòng)直至整個(gè)運(yùn)行周期內(nèi)提供防護(hù)。

FPGA自身具備靈活性，支持重新編程以適配不斷演進(jìn)的標(biāo)準(zhǔn)。這種適應(yīng)性確保了設(shè)備的長(zhǎng)生命周期和成本效益，使其成為構(gòu)建安全、面向未來(lái)解決方案的理想選擇。萊迪思FPGA可用于“加密敏捷性”解決方案，這對(duì)向PQC標(biāo)準(zhǔn)過(guò)渡至關(guān)重要。借助萊迪思技術(shù)，您可以采用后量子加密算法無(wú)縫升級(jí)硬件，并修補(bǔ)現(xiàn)有系統(tǒng)中的安全漏洞。

萊迪思半導(dǎo)體已在后量子加密領(lǐng)域牢固確立了領(lǐng)軍者地位，我們?cè)谙冗M(jìn)FPGA平臺(tái)上成功實(shí)現(xiàn)的概念驗(yàn)證即印證了這一點(diǎn)。依托值得信賴的可信根解決方案這一成熟傳統(tǒng)，當(dāng)我們的安全器件用于電源時(shí)序控制時(shí)，可提供不可繞過(guò)的強(qiáng)大安全防護(hù)。我們的后量子加密解決方案基于這些安全控制FPGA中的硬核安全算法構(gòu)建，并具備分層的加密敏捷特性，能夠隨著標(biāo)準(zhǔn)的演進(jìn)實(shí)現(xiàn)后量子加密算法的無(wú)縫現(xiàn)場(chǎng)升級(jí)。這確保您的系統(tǒng)始終安全且靈活適應(yīng)，為抵御新興的量子計(jì)算威脅提供長(zhǎng)期保護(hù)。

此外，萊迪思半導(dǎo)體正在積極推出采用所有NIST批準(zhǔn)和符合CNSA 2.0要求的PQC算法的解決方案。其中包括:

• ML-KEM (CRYSTALS-Kyber)：替代RSA、Diffie-Hellman和ECDH
• ML-DSA (CRYSTALS-Dilithium)：替代RSA和ECDSA
• XMSS (eXtended Merkle Signature Scheme)：經(jīng)批準(zhǔn)用于代碼簽名和驗(yàn)證的有狀態(tài)哈希數(shù)字簽名算法
• LMS (Leighton-Micali Signature)：另一種用于代碼簽名和驗(yàn)證的有狀態(tài)哈希數(shù)字簽名方案

我們的開(kāi)發(fā)路線圖嚴(yán)格遵循監(jiān)管時(shí)間表，確保我們的客戶能夠在規(guī)定的截止日期之前達(dá)到或超越合規(guī)要求。通過(guò)將這些先進(jìn)的標(biāo)準(zhǔn)化算法集成到我們的FPGA解決方案中，我們?yōu)槠髽I(yè)提供了平穩(wěn)過(guò)渡到抗量子加密的基本工具。選擇萊迪思，即選擇了一個(gè)致力于交付及時(shí)、合規(guī)且強(qiáng)大的安全技術(shù)的值得信賴的合作伙伴，為您的資產(chǎn)抵御當(dāng)前及未來(lái)的量子威脅提供保障。

8.1. 降低過(guò)渡風(fēng)險(xiǎn)：萊迪思對(duì)混合加密策略的支持

除了我們先進(jìn)的后量子加密產(chǎn)品，萊迪思半導(dǎo)體繼續(xù)支持所有經(jīng)典非對(duì)稱算法，包括最高512位的橢圓曲線密碼算法（ECC）和最高4096位的RSA算法，以及用于對(duì)稱加密的AES-256算法。我們還全面支持SHA-2和SHA-3等密碼哈希算法。這種廣泛的算法支持使我們的客戶能夠在必要時(shí)實(shí)施混合加密流程。在向PQC標(biāo)準(zhǔn)過(guò)渡期間，實(shí)施結(jié)合經(jīng)典算法與抗量子算法的混合流程是一種明智的策略。該策略確保與現(xiàn)有系統(tǒng)和協(xié)議的向后兼容性及互操作性，同時(shí)采用新的抗量子安全算法。它提供了額外的安全性，使組織能夠降低因立即全面改造其加密基礎(chǔ)設(shè)施而帶來(lái)的風(fēng)險(xiǎn)。

萊迪思半導(dǎo)體通過(guò)同時(shí)支持經(jīng)典算法與PQC算法（包括關(guān)鍵哈希函數(shù)），幫助客戶根據(jù)自身運(yùn)營(yíng)需求和監(jiān)管時(shí)間表，平穩(wěn)、安全地過(guò)渡到抗量子加密體系。

萊迪思注重PQC和經(jīng)典加密算法的穩(wěn)定性和可靠性。我們將來(lái)自行業(yè)頂尖IP供應(yīng)商的軟硬件算法融入解決方案。這些供應(yīng)商在加密技術(shù)領(lǐng)域的卓越表現(xiàn)廣受認(rèn)可，其算法通過(guò)了NIST的嚴(yán)格驗(yàn)證，并在客戶系統(tǒng)級(jí)環(huán)境中接受了全面滲透測(cè)試，確保在實(shí)際應(yīng)用場(chǎng)景中具備足夠的安全性和抗攻擊能力。

我們與這些受信任的IP供應(yīng)商保持緊密合作，他們正積極為算法申請(qǐng)更多認(rèn)證，這進(jìn)一步提升了我們安全產(chǎn)品的可信度。這種嚴(yán)謹(jǐn)?shù)膽B(tài)度不僅證明了萊迪思加密解決方案的強(qiáng)度，也有助于客戶實(shí)現(xiàn)自身的合規(guī)目標(biāo)。通過(guò)集成經(jīng)過(guò)認(rèn)證和充分測(cè)試的加密算法，企業(yè)可以放心地保護(hù)其系統(tǒng)，并可能更輕松地獲得高級(jí)安全認(rèn)證。對(duì)于那些追求系統(tǒng)級(jí)FIPS 140-3 Level 2等認(rèn)證的客戶而言，這種技術(shù)支持為滿足嚴(yán)格的監(jiān)管標(biāo)準(zhǔn)提供了堅(jiān)實(shí)基礎(chǔ)。

9. 結(jié)論

美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）完成后量子密碼學(xué)標(biāo)準(zhǔn)的制定，標(biāo)志著數(shù)字安全領(lǐng)域的關(guān)鍵轉(zhuǎn)折點(diǎn)。量子計(jì)算的進(jìn)步已不再是遙遠(yuǎn)的可能性，而是迫在眉睫的現(xiàn)實(shí)，傳統(tǒng)密碼系統(tǒng)的大廈將傾。全球組織必須緊急升級(jí)其加密基礎(chǔ)設(shè)施，以符合這些新標(biāo)準(zhǔn)。行動(dòng)刻不容緩。

從RSA和ECC等經(jīng)典加密算法遷移到抗量子替代方案是一項(xiàng)需持續(xù)數(shù)年的重大任務(wù)。企業(yè)在規(guī)劃這一過(guò)渡時(shí)，擁抱“加密敏捷性”—— 即隨著PQC的發(fā)展快速適應(yīng)新算法的能力 —— 變得至關(guān)重要?，F(xiàn)場(chǎng)可編程門(mén)陣列（FPGA）因其固有的靈活性和可重配置性，將發(fā)揮關(guān)鍵作用。

與固定功能硬件不同，F(xiàn)PGA允許快速更新以實(shí)施最新密碼標(biāo)準(zhǔn)，確保安全系統(tǒng)在量子計(jì)算的快速發(fā)展中保持未定且有能力面對(duì)未來(lái)的威脅。

萊迪思半導(dǎo)體已準(zhǔn)備好支持組織度過(guò)這一變革期。憑借在后量子加密領(lǐng)域的成熟專業(yè)知識(shí)和值得信賴的安全解決方案，萊迪思提供先進(jìn)的FPGA技術(shù)，實(shí)現(xiàn)向抗量子加密的無(wú)縫遷移。通過(guò)支持NIST批準(zhǔn)的后量子加密算法和經(jīng)典加密方法（包括 ECC、RSA、AES-256以及SHA-2和SHA-3等哈希算法），萊迪思能幫助客戶實(shí)施混合加密流程。這種方法在采用新的抗量子安全算法的同時(shí)，促進(jìn)與現(xiàn)有系統(tǒng)的向后兼容性和互操作性，降低因全面改造基礎(chǔ)設(shè)施而帶來(lái)的風(fēng)險(xiǎn)。主動(dòng)采用抗量子標(biāo)準(zhǔn)，輔以萊迪思FPGA等適應(yīng)性技術(shù)，對(duì)于在后量子時(shí)代維護(hù)數(shù)字基礎(chǔ)設(shè)施的完整性和安全性至關(guān)重要。通過(guò)集成經(jīng)過(guò)認(rèn)證和充分測(cè)試的加密算法，組織可以自信地保護(hù)其系統(tǒng)并實(shí)現(xiàn)合規(guī)目標(biāo)。

現(xiàn)在是保障數(shù)字未來(lái)的關(guān)鍵時(shí)刻。向彈性加密措施的轉(zhuǎn)變將保護(hù)敏感信息和系統(tǒng)免受日益增長(zhǎng)的量子威脅和HNDL攻擊，在我們?nèi)找鏀?shù)字化的世界中增強(qiáng)信任和安全性。各組織應(yīng)迅速采取行動(dòng)，采用后量子加密解決方案，并與值得信賴的領(lǐng)導(dǎo)者合作，確保其關(guān)鍵數(shù)據(jù)和基礎(chǔ)設(shè)施受到保護(hù)。

10. 參考資料

1. Shor, W (1995) Polynomial-Time Algorithms for Prime Factorization and Discrete Logarithms on a Quantum Computer. https://arxiv.org/abs/quant-ph/9508027

2. Quantum Supremacy is the ability to perform calculations that are too difficult for a classical computer to perform in a reasonable amount of time, for narrowly defined tasks. https://www.nature.com/articles/s41586-019-1666-5

3. Announcing the commercial national security algorithms ... National Security Agency. (2022). https://media.defense. gov/2022/ Sep/07/2003071834/-1/-1/0/CSA_CNSA_2.0_ALGORITHMS_.PDF

4. Chen, L., Jordan, S., Moody, D., Peralta, R., Perlner, R., Smith-Tone, D., & Liu, Y.-K. (2016). Report on Post-Quantum Cryptography. National Institute of Standards and Technology.https://nvlpubs.nist.gov/nistpubs/ir/2016/nist.ir.8105.pdf

5. Mosca, Michele, Piani Marco (2024). Quantum Threat Timeline Report 2023, Global Risk Institute. https:// globalriskinstitute.org/ publication/2023-quantum-threat-timeline-report/

6. Westerbaan, B., Meunier, T., Rubin, C. D., Faz-Hernández, A., Tholoniat, P., Kozlov, D., & Wang, M. (2024, July 29). NIST’s Pleasant Post-quantum surprise. The Cloudflare Blog. https://blog.cloudflare.com/nist-post-quantum-surprise

11. 附錄

XMSS、LMS和NIST PQC標(biāo)準(zhǔn)

2024年8月13日，美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）最終確定了第一套后量子加密（PQC）標(biāo)準(zhǔn)。被標(biāo)準(zhǔn)化的算法包括：

• ML-KEM (CRYSTALS-Kyber)
• ML-DSA (CRYSTALS-Dilithum)
• SLH-DSA (SPHINCS+)
• FN-DSA (Falcon)

這是NIST首次標(biāo)準(zhǔn)化的通用PQC算法，但在它們之前，NIST已于2020年10月29日發(fā)布了LMS和XMSS這兩種狀態(tài)哈希簽名方案的標(biāo)準(zhǔn)。

NIST將XMS和LMS算法描述為“......可安全對(duì)抗量子計(jì)算機(jī)的發(fā)展，但不適合廣泛使用，因?yàn)樗鼈兊陌踩匀Q于謹(jǐn)慎的狀態(tài)管理。它們最適合私鑰使用可被嚴(yán)格控制的應(yīng)用......”。

這使得XMS和LMS非常適合用于代碼簽名/代碼驗(yàn)證場(chǎng)景，如安全啟動(dòng)和安全軟件更新，但不適用于大多數(shù)其他場(chǎng)景。對(duì)于代碼簽名，私鑰及相關(guān)的狀態(tài)管理可由具備狀態(tài)管理能力的硬件安全模塊（HSM）執(zhí)行。

PQC算法家族

后量子加密采用與RSA和ECC不同的數(shù)學(xué)方法來(lái)創(chuàng)建算法，這些算法可在傳統(tǒng)計(jì)算機(jī)上運(yùn)行，且不受量子計(jì)算機(jī)或傳統(tǒng)計(jì)算機(jī)攻擊的威脅。

NIST在標(biāo)準(zhǔn)化過(guò)程中考慮了利用多種不同數(shù)學(xué)方法的算法，具體類型包括：

• 基于代碼的（經(jīng)典McEliece）
• 基于格的（CRYSTALS-KYBER、NTRU、SABER、CRYSTALS-DILITHIUM、Falcon）
• 基于同源的（SIKE）
• 多變量的（Rainbow）
• 零知識(shí)的（Picnic）
• 基于哈希（SPHINCS+）
• 有狀態(tài)哈希（XMSS、LMS）（雖不在NIST本輪標(biāo)準(zhǔn)化流程中，但此前NIST已發(fā)布標(biāo)準(zhǔn)）

每種算法類型均通過(guò)不同數(shù)學(xué)方法實(shí)現(xiàn)安全性，確保在合理時(shí)間內(nèi)無(wú)法被經(jīng)典或量子計(jì)算機(jī)破解。NIST選擇對(duì)基于格、基于哈希和有狀態(tài)哈希的算法進(jìn)行標(biāo)準(zhǔn)化。

基于格的算法：ML-KEM（Kyber）、ML-DSA（Dilithium）和FN-DSA（Falcon）基于復(fù)雜格結(jié)構(gòu)提供安全性，這類結(jié)構(gòu)對(duì)量子計(jì)算機(jī)而言具有極高計(jì)算難度?；诟竦募用芗夹g(shù)因其假定對(duì)量子和經(jīng)典計(jì)算機(jī)均具備安全性，且運(yùn)算效率高而備受青睞。最短向量問(wèn)題（SVP）和最近向量問(wèn)題（CVP）是基于格的數(shù)學(xué)問(wèn)題，構(gòu)成了格基方法安全性的基礎(chǔ)。

有狀態(tài)哈希簽名：LMS和XMSS屬于有狀態(tài)哈希簽名方案，以簡(jiǎn)單性和安全性著稱。顧名思義，這些方案依賴SHA2或SHA3等哈希函數(shù)實(shí)現(xiàn)安全。其「有狀態(tài)」特性意味著私鑰包含必須維護(hù)的狀態(tài)值 —— 每次生成簽名時(shí)，狀態(tài)值必須更新。這類算法非常適合代碼簽名場(chǎng)景（如安全啟動(dòng)、軟件更新驗(yàn)證），但標(biāo)準(zhǔn)要求簽名操作和狀態(tài)管理需在硬件安全模塊（HSM）內(nèi)執(zhí)行，以確保安全和正確的狀態(tài)維護(hù)。因此，它們僅適用于代碼簽名，不適用于通用數(shù)字簽名場(chǎng)景。

基于哈希的簽名：SPHINCS+（SLH-DSA）是無(wú)狀態(tài)的哈希簽名方案。與LMS、XMSS一樣，其安全性依賴SHA2或SHA3等哈希函數(shù)，但由于無(wú)需維護(hù)狀態(tài)值，私鑰中不包含需持續(xù)更新的狀態(tài)參數(shù)。這一特性消除了狀態(tài)值維護(hù)需求，使該算法適用于通用簽名場(chǎng)景。

對(duì)HNDL攻擊的解釋

HNDL攻擊會(huì)存儲(chǔ)整個(gè)通信會(huì)話的所有數(shù)據(jù)包，包括密鑰交換操作。然后，這些攻擊將使用量子計(jì)算機(jī)嘗試破解密鑰交換操作中使用的加密。如果成功，攻擊將恢復(fù)會(huì)話密鑰（AES密鑰），然后可用于解密通信會(huì)話期間傳輸?shù)臄?shù)據(jù)。

換句話說(shuō)，即使AES-256是量子安全的，但在TLS中使用它并不足以確保該協(xié)議是量子安全的。量子計(jì)算機(jī)將破解用于交換會(huì)話密鑰（AES密鑰）的非對(duì)稱加密（RSA、ECDH或Diffie-Helman）。一旦非對(duì)稱加密被破解，就可以獲得AES密鑰，并且可以解密用AES加密的數(shù)據(jù)。

為了防范HNDL攻擊，通信協(xié)議必須使用ML-KEM，這是目前唯一用于密鑰交換操作的標(biāo)準(zhǔn)化后量子加密算法。