隨著技術發展的突飛猛進，量子計算機的威脅日益凸顯。盡管量子計算機有望在天氣預報、藥物研發和基礎物理學等領域帶來革命性的變革，但它也對現行加密體系構成了顯著威脅。這種威脅并非僅限于未來；如今截獲的任何敏感數據都有可能被儲存起來，待量子計算機具備足夠能力后解密。這種“先收集后解密”的策略嚴重威脅著我們的數字通信保密性、醫療記錄、金融交易以及國家安全。

量子算法：格羅弗(Grover)算法與肖爾(Shor)算法

量子計算機借助量子力學原理，能夠以空前的速度執行特定類型的計算任務。其中，兩種量子算法對現行密碼體系構成了直接威脅：格羅弗算法和肖爾算法。

格羅弗算法：此算法能夠在未排序數據庫中進行搜索，其速度相較于任何經典算法均快四倍。盡管它并未直接攻破密碼系統，但顯著削弱了諸如AES（高級加密標準）和SHA-2（安全散列算法2）等對稱密鑰算法的安全性，從而需要更長的密鑰以確保安全。

肖爾算法：該算法能夠以指數級速度分解大整數，遠勝于經典計算機上運行的現有最優算法。這對于依賴大數分解或離散對數問題難度的非對稱加密算法（例如RSA、ECC（橢圓曲線密碼學）及DSA（數字簽名算法））而言，尤為危險。一旦擁有足夠強大的量子計算機運行肖爾算法，這些密碼體系將被破解，進而失效。

美國國家標準與技術研究院（NIST）后量子密碼學標準

為應對迫切需求，美國商務部下屬的國家標準與技術研究院（NIST）始終走在推動后量子密碼學（PQC）標準發展的前列。為此，NIST組織了一場競賽，以選拔最優的PQC算法。2024年8月13日，NIST宣布了首批旨在抵御量子計算機網絡攻擊的算法定稿。這一里程碑事件標志著八年努力的結晶，并匯聚了全球密碼學領域的力量，共同開發和評估能夠捍衛我們數字未來安全的算法。

NIST最終確定的標凈涵蓋三種核心算法，分別針對密鑰封裝和數字簽名等特定應用領域。這些算法包括：

ML-KEM（FIPS 203，即原CRYSTALS-Kyber）：該算法基于格問題構建，格問題被認為具有抵抗量子攻擊的特性。ML-KEM在安全性、效率及實施便捷性方面表現均衡，適用于一般加密場景。其密鑰尺寸小且封裝/解封裝速度快，特別適合資源受限的環境。

ML-DSA（FIPS 204，即原CRYSTALS-Dilithium）：與ML-KEM相似，ML-DSA同樣基于格問題設計，但專為數字簽名而優化。它提供了強大的安全保障及高效的運算性能，非常適合需要身份驗證和數據完整性的應用場景。

SLH-DSA（FIPS 205，即原SPHINCS+）：該算法采用無狀態哈希技術，提供了與傳統基于格的方法不同的安全特性。SLH-DSA以其簡潔性和對各類攻擊的強魯棒性而備受推崇。

在這三類算法中，ML-KEM和ML-DSA預計將被廣泛部署。NIST還有望于2024年年末發布基于Falcon算法的FN-DSA（FIPS 206）草案標準。該數字簽名算法運用了結構化格。

回溯至2020年，NIST還發布了SP 800-208標準，其中引用了抗量子的有狀態哈希基簽名方案──萊頓·米利奇簽名（LMS）系統以及擴展默克爾簽名方案（XMSS）。LMS和XMSS均依托于默克爾樹結構，該結構為管理和驗證眾多簽名提供了一種安全且高效的方式。LMS系統采用基礎的默克爾樹，而XMSS則融入了更多額外特性。這使得這些系統的性能因使用場景的不同而存在差異，最終決定了哪個系統更適宜于特定的應用情形。

展望未來：NIST第四輪量子防護標準制定

NIST不斷評估新增算法，旨在確保密碼學領域具備多樣性與安全性。目前，NIST已經開啟了第四輪標準化努力，其中一組額外的密鑰封裝算法正接受評估，目的是尋找更多算法以補充現有的已標準化算法集合。預計第四輪將篩選出一至兩種算法，并計劃在2025年發布相應的公共草案。參與第四輪評估的密鑰封裝算法包括Classic McEliece、BIKE和HQC。

2022年9月，NIST還啟動了另一輪針對額外后量子密碼學（PQC）數字簽名方案的標準化工作。在此輪工作中，NIST主要關注非基于結構化格的通用算法，同時對使用短簽名和快速驗證的算法表現出濃厚興趣。任何基于格的簽名算法需顯著超越ML-DSA和FN-DSA的性能，并/或確保提供額外的安全特性。近期，NIST已經選定14種新型數字簽名算法進入標準化的第二輪流程，這些算法包括：CROSS、FAEST、HAWK、LESS、MAYO、Mirath、MQOM、PERK、QR-UOV、RYDE、SDitH、SNOVA、SQIsign和UOV。預計第二階段的評估將持續12至18個月。

CNSA v2.0：推進美國國家安全量子防護密碼學

2022年9月，國家安全局（NSA）發布了商業國家安全算法（CNSA）套件2.0版本，并于2024年4月更新了其常見問題解答（FAQ）。CNSA是一套由NSA推薦的加密算法集，用于保護美國政府國家安全系統（NSS）及信息。量子計算對密碼算法構成的威脅在2.0版本中首次得到應對。因此，2.0版本推薦的所有算法均符合NIST標準且具備量子抗性（QR），涵蓋AES、SHA、LMS、XMSS，以及近期發布的PQC標準ML-KEM和ML-DSA。

NSA還借助CNSA推動NSS采納PQC的時間進程。NSA對此事項的重視程度從CNSA v2.0的以下表述中可見一斑：“NSA預期至2035年，NSS向量子抗性算法的轉換將依照國家安全備忘錄NSM-10完成。NSA敦促供應商以及NSS的所有者和運營方竭盡全力達成該截止日期。在過渡期內，NSS的所有者和運營方在配置系統時需優先選用CNSA 2.0算法。在恰當的情形下，CNSA 2.0算法在NSS的商業產品類別中的運用將是強制性的，同時保留允許在特定用例中使用其他算法的選擇權。”

后量子密碼學產品

顯然，為了保護當今的數據和系統在未來不受量子計算威脅，對量子抗性密碼解決方案的需求日益迫切。

新思科技擁有一系列廣泛的安全IP產品組合，從密碼核心、PUF IP到預構建的嵌入式硬件安全模塊（帶有信任根）。其真隨機數生成器（TRNGs）、PUF IPs、對稱和哈希核心已經具備量子抗性。針對公鑰基礎設施安全所需的非對稱IP，新思科技推出了新的Agile PQC公鑰加速器（PKAs），符合NIST批準的PQC算法ML-KEM、ML-DSA、SLH-DSA、LMS、XMSS，并旨在抵御從邊緣到云的各種應用中的量子計算威脅。

新思科技量子抗性PKAs的最重要特性之一是其可適應性，結合了硬件和嵌入式固件以實現性能和算法更新的靈活性。這一點至關重要，因為PQC標準將持續發展。因此，現場部署的系統必須能夠處理更新和補丁，以確保它們隨時間保持量子抗性。

除PQC外，PKAs還支持傳統的ECC和RSA算法，確保當下及未來廣泛的密碼學覆蓋范圍，包括混合模式支持。由于其高度可配置和可擴展，該IP能夠針對性能、面積、功耗和延遲進行優化。

新思科技Agile PQC PKAs支持完整的PQC數字簽名、密鑰封裝和生成功能，并提供FIPS 140-3認證支持、安全密鑰接口，以及可選的針對旁路和故障注入攻擊的對策。借助新思科技Agile PQC PKAs，設計人員能夠保護敏感數據和系統免受未來量子威脅，確保政府、企業和消費者的長期安全。

做好應對量子計算威脅的準備

量子威脅并非遙遠的假設，而是逐漸逼近的現實。各組織必須即刻行動起來，以保護它們的敏感數據和確保數字未來的安全性。鑒于NIST最終確定的后量子密碼學標準已經可供立即使用，因此刻不容緩。

量子計算的出現既帶來了巨大的機遇，也帶來了嚴峻的挑戰。盡管其解決復雜問題的潛力是巨大的，但對現行密碼系統的威脅卻不容忽視。NIST最終確定的PQC標準標志著守護我們數字未來的關鍵一步，新思科技在此助您順利完成過渡。立即采取行動以保護您的數據，并確保您的組織在量子時代的安全未來。

若想了解更多關于如何將后量子密碼學集成至您系統中的信息，請即刻與我們取得聯系。我們的專家隨時準備助力您應對PQC的繁雜事宜，并確保您的數據在量子時代得以安全存續。