后量子加密（PQC）：為量子時代的未來保駕護(hù)航

作者：

萊迪思半導(dǎo)體公司安全、電信和數(shù)據(jù)中心戰(zhàn)略業(yè)務(wù)開發(fā)部高級總監(jiān)Mamta Gupta
萊迪思半導(dǎo)體安全解決方案總監(jiān)Jordan Anderson
萊迪思半導(dǎo)體產(chǎn)品安全架構(gòu)師Temoc Chavez Corona
萊迪思半導(dǎo)體產(chǎn)品安全架構(gòu)師Mehryar Rahmatian

免責(zé)聲明

萊迪思不對本文檔所含信息的準(zhǔn)確性或其產(chǎn)品用于任何特定用途的適用性作出任何擔(dān)?；虮ＷC。本文件中的所有信息均按原樣提供，不保證無任何紕漏，所有相關(guān)風(fēng)險完全由買方承擔(dān)。此處提供的信息僅供參考，可能包含技術(shù)上的不準(zhǔn)確或遺漏，也可能因多種原因而變得不準(zhǔn)確，萊迪思不承擔(dān)更新或以其它方式更正或修訂這些信息的義務(wù)。萊迪思銷售的產(chǎn)品已經(jīng)過有限的測試，買方有責(zé)任獨立確定其產(chǎn)品的適用性，并進(jìn)行測試和驗證。萊迪思產(chǎn)品和服務(wù)的設(shè)計、制造或測試并非用于生命或安全關(guān)鍵系統(tǒng)、危險環(huán)境或任何其他要求故障安全（fail-safe）性能的環(huán)境，包括產(chǎn)品或服務(wù)故障可能導(dǎo)致死亡、人身傷害、嚴(yán)重財產(chǎn)損失或環(huán)境損害的任何應(yīng)用（統(tǒng)稱“高風(fēng)險用途”）。此外，買方必須采取謹(jǐn)慎的措施來防止產(chǎn)品和服務(wù)故障，包括提供適當(dāng)?shù)娜哂?、故障安全功能?或關(guān)閉機(jī)制。萊迪思聲明不對產(chǎn)品或服務(wù)在高風(fēng)險用途中的適用性作出任何明示或暗示的保證。本文檔中提供的信息為萊迪思半導(dǎo)體所有，萊迪思保留隨時更改本文檔信息或任何產(chǎn)品的權(quán)利，恕不另行通知。

包容性用語

本文檔的創(chuàng)建符合萊迪思半導(dǎo)體的包容性用語政策。在某些情況下，基礎(chǔ)工具和其他項目中的語言可能尚未更新。請參閱萊迪思的包容性用語常見問題解答6878，獲取術(shù)語的交叉參考。請注意，在某些情況下，如寄存器名稱和狀態(tài)名稱，有必要繼續(xù)使用舊的術(shù)語以保證兼容性。

摘要

量子計算的快速發(fā)展對傳統(tǒng)密碼系統(tǒng)構(gòu)成了重大威脅。

在量子計算可能顛覆傳統(tǒng)密碼系統(tǒng)的時代，采取行動迫在眉睫。本白皮書深入探討了當(dāng)前加密協(xié)議的漏洞，介紹了最新標(biāo)準(zhǔn)化的PQC算法，為那些希望采取措施對抗量子威脅的組織提供了戰(zhàn)略路線圖。通過采用萊迪思半導(dǎo)體的創(chuàng)新解決方案，您可以保護(hù)您的數(shù)字資產(chǎn)，在量子時代保持領(lǐng)先。

1. 引言

1.1. 當(dāng)前加密方案面臨的挑戰(zhàn)

量子計算不僅僅是一個理論概念，它正快速融入現(xiàn)實，可能動搖全球數(shù)字安全的基礎(chǔ)。從確保金融交易安全到保護(hù)私人通信，當(dāng)今幾乎所有的安全系統(tǒng)都使用RSA和ECC加密算法。面對能夠輕松破解這些算法的量子算法，這些傳統(tǒng)加密方法瀕臨淘汰邊緣1。向量子抗性加密技術(shù)的轉(zhuǎn)變不僅是一項建議，而且必不可少。雖然量子計算機(jī)仍在開發(fā)之中，但抵御其攻擊的時間窗口正在快速關(guān)閉。

現(xiàn)在是時候采取行動加強(qiáng)防御、維護(hù)全球數(shù)字安全完整性了。

1.2. PQC 的采用和加密敏捷

從RSA和ECC加密算法遷移到后量子算法需要更新整個安全基礎(chǔ)設(shè)施。這影響到從公鑰基礎(chǔ)設(shè)施（PKI）系統(tǒng)和硬件安全模塊（HSM）到通信協(xié)議和硬件加密引擎的方方面面。PQC作為一項新技術(shù)，將會持續(xù)發(fā)展。加密解決方案必須支持“加密靈活性”，以適應(yīng)新標(biāo)準(zhǔn)。

在多數(shù)情況下，遷移到PQC算法需要在硬件層面進(jìn)行更改。使用現(xiàn)場可編程門陣列（FPGA）設(shè)計的系統(tǒng)在采用PQC算法方面具有顯著優(yōu)勢。FPGA固有的適應(yīng)性使其成為PQC算法移植的理想選擇。隨著PQC算法的不斷發(fā)展，F(xiàn)PGA通過可重新配置特性進(jìn)行調(diào)整的能力具有顯著優(yōu)勢，可確保加密實現(xiàn)與最新和最安全的標(biāo)準(zhǔn)保持同步。面對快速發(fā)展的量子計算能力，這種靈活性對于保持系統(tǒng)的完整性至關(guān)重要。

萊迪思半導(dǎo)體的FPGA產(chǎn)品為NIST批準(zhǔn)的PQC算法提供內(nèi)置支持，且支持加密敏捷，是安全關(guān)鍵操作和PQC遷移工作的理想選擇。

1.3. 量子計算的進(jìn)步

量子計算已從早期的理論探討發(fā)展到實際應(yīng)用。研究人員已經(jīng)證明了量子的優(yōu)越性2。本節(jié)重點介紹量子計算機(jī)的優(yōu)勢及其帶來的威脅。量子算法，如用于因式分解的肖爾算法和用于搜索的格羅弗算法，對加密算法構(gòu)成的威脅迫在眉睫，因此轉(zhuǎn)向PQC十分有必要。由于其獨特的運行特性，量子計算機(jī)擅長解決某些類型的問題，而這些問題對經(jīng)典計算機(jī)來說極具挑戰(zhàn)性。量子計算顯示出巨大潛力的一些領(lǐng)域包括：

優(yōu)化問題：通過高效探索多種組合，優(yōu)化送貨車輛的路線安排、航班調(diào)度或供應(yīng)鏈管理。

量子系統(tǒng)模擬：在材料科學(xué)和藥理學(xué)等領(lǐng)域，研究人員可以利用量子計算機(jī)了解復(fù)雜分子，從而發(fā)現(xiàn)新材料和新藥物。

機(jī)器學(xué)習(xí)和人工智能：更高效地處理大型數(shù)據(jù)集，從而在自動駕駛和個性化醫(yī)療等領(lǐng)域建立更強(qiáng)大的預(yù)測模型，縮短處理時間。

解決理論物理學(xué)中的難題：量子計算可以幫助研究人員深入了解量子力學(xué)和其他復(fù)雜的物理理論，為理論物理學(xué)做出重大貢獻(xiàn)。這將提高人們對高能物理、引力、化學(xué)和宇宙學(xué)的理解。

1.4. 量子威脅

加密：量子計算機(jī)可以高效地解決公鑰加密的基礎(chǔ)問題，如整數(shù)因式分解和離散對數(shù)，從而破解當(dāng)前的許多密碼系統(tǒng)。這種能力將危及數(shù)據(jù)安全系統(tǒng)。

量子計算技術(shù)的發(fā)展和擴(kuò)展有望在許多領(lǐng)域取得重大突破，有可能帶來目前經(jīng)典計算技術(shù)無法想象的解決方案。然而，

解決這些問題的潛力也凸顯了對量子安全加密方法的需求，以保護(hù)敏感信息免受未來量子技術(shù)的威脅。

2. 采用PQC迫在眉睫

2.1. 哪些領(lǐng)域會受影響

如果沒有量子安全加密技術(shù)，所有在公共信道上傳輸?shù)男畔ⅲo論是現(xiàn)在還是將來）都易受攻擊。一旦量子計算機(jī)技術(shù)進(jìn)一步發(fā)展，當(dāng)前存儲的加密數(shù)據(jù)以后就能被輕易解密。傳輸信息的完整性和真實性將受到損害，從而違反數(shù)據(jù)隱私和安全方面的監(jiān)管要求。這種風(fēng)險的影響范圍包括：政府和軍事通信、金融和銀行交易、醫(yī)療數(shù)據(jù)和醫(yī)療記錄、云端存儲的個人數(shù)據(jù)以及企業(yè)機(jī)密網(wǎng)絡(luò)的訪問權(quán)限。見圖1。

圖1：立即采取措施至關(guān)重要

2.2. “先收集，后解密”式攻擊

“先收集，后解密”（HNDL）式攻擊，又稱“先存儲、后解密”（SNDL）攻擊，是一個迫在眉睫的安全問題。攻擊者當(dāng)下存儲竊取的加密數(shù)據(jù)，然后在量子計算取得進(jìn)展后再進(jìn)行解密。對于需要保證長期數(shù)據(jù)安全的組織來說，這是一個嚴(yán)重的威脅，需要立即采取行動。見圖 2。

2.3. CNSA 2.0時間表

2022年9月7日，美國國家安全局發(fā)布了《商用國家安全算法套件2.0》（CNSA 2.0）3。該文件規(guī)定了與國家安全相關(guān)的系統(tǒng)中應(yīng)使用的加密算法。不符合標(biāo)準(zhǔn)不僅存在風(fēng)險，更是完全不可接受的。對于任何處理美國基礎(chǔ)設(shè)施敏感數(shù)據(jù)的組織而言，遵守這些標(biāo)準(zhǔn)至關(guān)重要。見圖2。

CNSA 2.0強(qiáng)制要求使用以下PQC算法，在某些場景下最早自2025年生效：

• XMSS/LMS
• ML-DSA (CRYSTALS-Dilithium)
• ML-KEM (CYRSTALS-Kyber)
• XMSS和LMS已被批準(zhǔn)用于代碼簽名和代碼驗證用例

圖2：CNSA 2.0時間線

ML-DSA和ML-KEM獲批成為新的公鑰加密算法，取代RSA、Diffie-Hellman密鑰交換、橢圓曲線Diffie-Hellman（ECDH）和橢圓曲線數(shù)字簽名算法（ECDSA）。AES-256仍是對稱加密標(biāo)準(zhǔn)。安全散列算法SHA-384或SHA-512仍是標(biāo)準(zhǔn)的散列算法。

CNSA 2.0算法套件如圖3所示。CNSA 2.0要求中的關(guān)鍵日期包括：

• 軟件/固件簽名：到2025年，PQC算法必須作為默認(rèn)算法和首選算法使用
• 網(wǎng)絡(luò)瀏覽器/服務(wù)器和云服務(wù)：到2026年，PQC算法必須作為默認(rèn)和首選算法使用
• 傳統(tǒng)網(wǎng)絡(luò)設(shè)備：到2025年，PQC算法必須作為默認(rèn)和首選算法使用
• 操作系統(tǒng)：到2027年，PQC 算法必須作為默認(rèn)算法和首選算法使用

圖3: CNSA 2.0算法套件

2.4. 設(shè)備壽命和量子計算機(jī)開發(fā)時間表

如今設(shè)計的設(shè)備在未來15至20年內(nèi)可能仍在使用，因此當(dāng)下實施的安全措施必須能夠抵御未來的量子威脅。預(yù)計在未來十年內(nèi)，能夠破解現(xiàn)有加密算法的量子計算機(jī)將投入實用，這對長期數(shù)據(jù)安全構(gòu)成的威脅迫在眉睫。

汽車以及電網(wǎng)等關(guān)鍵基礎(chǔ)設(shè)施中使用的設(shè)備，其使用壽命普遍長達(dá)15至20年，這意味著它們將在量子計算時代長期運行。這將帶來一個危險的安全漏洞 ——當(dāng)前部署的采用傳統(tǒng)加密技術(shù)的系統(tǒng)，在其使用期限內(nèi)會因量子攻擊而變得脆弱。因此，必須在這些設(shè)備中集成抗量子攻擊密碼技術(shù)，以確保其在整個生命周期內(nèi)的安全性。見圖4。

圖4：設(shè)備生命周期vs.量子計算機(jī)的發(fā)展

2.5. 量子計算機(jī)發(fā)展路線圖

大多數(shù)專家認(rèn)為，量子計算機(jī)能在未來十年內(nèi)破解RSA和ECC加密。作為推動新型后量子加密算法研發(fā)與應(yīng)用的核心機(jī)構(gòu)之一，美國國家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）預(yù)測這一時間最早可能出現(xiàn)在2030年4。全球風(fēng)險研究所的《量子威脅時間線報告》指出：實現(xiàn)大規(guī)模量子計算不存在已知的根本性障礙，因此網(wǎng)絡(luò)風(fēng)險管理者應(yīng)考慮這一情況“何時發(fā)生”而非“是否發(fā)生”5。

研究人員和領(lǐng)先的科技企業(yè)正大力投入量子計算技術(shù)，推動量子計算取得重大進(jìn)展。例如，谷歌于2024年12月推出了105量子比特的量子計算機(jī)，并計劃在2030年前實現(xiàn)100萬量子比特的突破。IBM、D-Wave、Rigetti和富士通等企業(yè)已開發(fā)出商用化量子計算機(jī)，并在系統(tǒng)性能提升方面取得快速進(jìn)展。

3. 全球PQC相關(guān)舉措

各國政府和國際標(biāo)準(zhǔn)機(jī)構(gòu)正在制定指導(dǎo)方針與法規(guī)，明確后量子密碼（PQC）算法的技術(shù)要求和采用時間表。這些標(biāo)準(zhǔn)既規(guī)定了需使用的PQC算法，也劃定了算法落地的時間節(jié)點。美國國家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）的后量子加密標(biāo)準(zhǔn)為全球相關(guān)算法的應(yīng)用奠定了基礎(chǔ) —— 即使是考慮采用NIST標(biāo)準(zhǔn)以外算法的國家，也在很大程度上受其影響。具體實踐中，法國和德國等國家選擇同時采用NIST指定的算法，以及部分NIST曾評估但未最終標(biāo)準(zhǔn)化的算法；而中國等國家則在探索研發(fā)國家專用算法。見圖5。

圖5：全球各國采取的PQC舉措

4. 哪些算法會受到量子計算機(jī)的影響

了解哪些算法容易受到攻擊是確保系統(tǒng)安全的第一步。量子計算機(jī)會破解現(xiàn)有的非對稱加密算法，如RSA和ECC。增加算法的密鑰長度并不能有效抵御量子攻擊。必須按照NIST的定義和各監(jiān)管機(jī)構(gòu)的要求，用抗量子算法替換這些算法。見圖6。

AES等對稱加密算法也會受到影響，但程度較輕。在這里，將所有對稱加密算法升級到AES 256將提供抗量子攻擊能力。已獲批準(zhǔn)的算法根據(jù)所使用的底層數(shù)學(xué)進(jìn)行分類。

基于格的算法：ML-KEM（Kyber）、ML-DSA（Dilithium）和FN-DSA（Falcon）基于復(fù)雜格結(jié)構(gòu)提供安全性，這些結(jié)構(gòu)會給量子計算機(jī)的計算帶來很大挑戰(zhàn)。

基于哈希的簽名：LMS（Leighton-Micali Signature）、XMSS（eXtended Merkle Signature Scheme）和SLH-DSA（SPHINCS+）都是基于哈希值的簽名方案，以安全著稱。

圖6：受量子計算機(jī)影響的算法

5. PQC算法和NIST標(biāo)準(zhǔn)

2024年8月13日，美國國家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）敲定了第一套后量子加密標(biāo)準(zhǔn)，標(biāo)志著網(wǎng)絡(luò)安全領(lǐng)域的一個重要里程碑。

NIST標(biāo)準(zhǔn)為全球PQC算法的遷移奠定了基礎(chǔ)。這些標(biāo)準(zhǔn)由全球安全研究人員和公司的合作制定，目前正在被世界各國采用。大多數(shù)國家直接采用NIST標(biāo)準(zhǔn)。少數(shù)國家采用本國的特有算法，但這些算法都源自NIST標(biāo)準(zhǔn)。還有一些國家在采用NIST算法的同時，也接受了一些其他算法。這些算法是NIST標(biāo)準(zhǔn)化進(jìn)程中的入圍算法，未被NIST選為標(biāo)準(zhǔn)化算法。

在2024年8月發(fā)布的版本中，NIST批準(zhǔn)了四種旨在確保數(shù)字通信安全的算法。這些算法包括:

• ML-KEM (CRYSTALS-Kyber)
• ML-DSA (CRYSTALS-Dilithium)
• SLH-DSA (SPHINCS+)
• FN-DSA (Falcon)

實施與過渡：這些算法旨在立即集成到數(shù)字系統(tǒng)中，以抵御量子攻擊，增強(qiáng)安全性。NIST提供了實施這些算法的詳細(xì)指南，目的是在不影響當(dāng)前操作標(biāo)準(zhǔn)的情況下實現(xiàn)平穩(wěn)過渡。

未來考慮：NIST未來將繼續(xù)評估更多標(biāo)準(zhǔn)化算法。將對更多算法進(jìn)行標(biāo)準(zhǔn)化，進(jìn)一步增強(qiáng)加密防御的穩(wěn)健性，并提供針對各種用例進(jìn)行優(yōu)化的算法。

過渡到新算法是一項重大工程，會影響PKI系統(tǒng)、TLS和VPN協(xié)議、加密庫、HSM、TPM以及其他許多系統(tǒng)。在整個生態(tài)系統(tǒng)和供應(yīng)鏈中推廣這些新算法需要數(shù)年時間。公司需要立即采取行動，向PQC遷移。萊迪思半導(dǎo)體提供專業(yè)技術(shù)和解決方案，帶來無縫、高效的遷移體驗。

6. 遷移到PQC算法

PQC算法現(xiàn)已標(biāo)準(zhǔn)化，開發(fā)人員可以開始遷移到這些新的、經(jīng)NIST批準(zhǔn)的算法。利用萊迪思先進(jìn)的FPGA技術(shù)，您可以實現(xiàn)無縫和面向未來的遷移，確保您的系統(tǒng)始終受到最新加密標(biāo)準(zhǔn)的保護(hù)。參見圖7。

圖7. 遷移到PQC算法

LMS和XMSS都是基于哈希的狀態(tài)數(shù)字簽名算法，這意味著私鑰包括了一個必須保持的狀態(tài)值。每次生成簽名時，都必須更新狀態(tài)值。這些算法非常適合代碼簽名用例。標(biāo)準(zhǔn)要求在HSM中執(zhí)行簽名操作和狀態(tài)管理，以確保安全性和正確的狀態(tài)管理。因此，這些算法實際上只適用于代碼簽名，并不適合用作通用數(shù)字簽名算法。

ML-DSA（Dilithium）和ML-KEM（Kyber）都是基于格的算法，已被NIST全面標(biāo)準(zhǔn)化，并通過CNSA 2.0認(rèn)證。ML-DSA是一種通用數(shù)字簽名算法，可用于所有用例，包括代碼簽名。ML-KEM是一種密鑰交換機(jī)制，將被TLS和IPSec等協(xié)議用于交換AES密鑰。

SLH-DSA（SPHINCS+）是一種無狀態(tài)哈希數(shù)字簽名算法。該算法已被NIST完全標(biāo)準(zhǔn)化，可用于所有數(shù)字簽名用例。然而，它并非CNSA 2.0批準(zhǔn)的算法。此外，SLH-DSA的性能也比其他后量子數(shù)字簽名算法更差6。盡管有一些適用場景，但它不適用于對性能要求嚴(yán)苛的應(yīng)用。

FN-DSA（Falcon）已被NIST選為標(biāo)準(zhǔn)化項目，但FN-DSA標(biāo)準(zhǔn)預(yù)計要到2025年才能完成。

6.1. 實施PQC算法的挑戰(zhàn)

實施PQC算法并非沒有挑戰(zhàn)。企業(yè)在采用新算法時會面臨學(xué)習(xí)曲線。PQC算法的密鑰大小、簽名大小和性能特征與傳統(tǒng)算法有很大不同。不同PQC算法之間也存在很大差異。

組織必須熟悉這些新算法，以便理解不同算法之間的權(quán)衡。例如，ML-DSA和LMS這兩種算法的簽名驗證速度都非?？?，而且簽名尺寸都相對較大。但它們在其他方面存在顯著差異。例如，LMS的公鑰尺寸非常小，而ML-DSA的公鑰尺寸則相對較大。

組織應(yīng)該選擇像萊迪思半導(dǎo)體這樣在后量子加密算法（PQC）領(lǐng)域具備經(jīng)驗與專業(yè)知識的可信合作伙伴，并著手實施概念驗證（POC）解決方案，以積累必要的知識，推動其設(shè)備與系統(tǒng)向后量子加密算法遷移。

萊迪思半導(dǎo)體提供的產(chǎn)品已將后量子加密算法集成至器件上的加密引擎中，幫助客戶快速、便捷地升級解決方案以支持后量子加密技術(shù)。針對正在實施概念驗證的客戶，公司還提供開發(fā)板，助力其加速向后量子加密技術(shù)的遷移進(jìn)程。

7. 在主要應(yīng)用案例中實現(xiàn)量子抗性

7.1. 傳輸層安全（TLS）與安全通信

TLS和其他安全通信協(xié)議利用三種不同的加密操作來確保數(shù)據(jù)安全：

• 身份驗證：用ML-DSA、SLH-DSA或FN-DSA代替RSA/ECDSA
• 密鑰交換：ML-KEM代替RSA、ECDH或Diffie-Helman
• 批量數(shù)據(jù)加密：AES-128或AES-256，確保使用AES-256

對于需防范HNDL攻擊的應(yīng)用場景，企業(yè)應(yīng)優(yōu)先在通信協(xié)議中部署Kyber（ML-KEM）。采用ML-KEM可確保會話密鑰無法被量子計算機(jī)破解，從而使HNDL攻擊失效。

7.2. 代碼簽名

LMS、XMSS和ML-DSA可用于代碼簽名。

7.3. 可信根

可信根（RoT）解決方案將在設(shè)備上執(zhí)行簽名操作，以實現(xiàn)對配置數(shù)據(jù)的驗證，以及對更廣泛系統(tǒng)中其他組件的校驗。ML-DSA是可信根應(yīng)用場景的最佳算法，因其支持在設(shè)備端進(jìn)行簽名。

7.4. 對加密敏捷的需求

后量子加密技術(shù)的發(fā)展仍處于起步階段。隨著該領(lǐng)域的不斷演進(jìn)，加密解決方案保持高度靈活性以適應(yīng)新標(biāo)準(zhǔn)和新發(fā)現(xiàn)至關(guān)重要。這種對“加密敏捷性”的需求之所以必要，是因為它使系統(tǒng)能夠迅速整合加密領(lǐng)域的進(jìn)步，無需進(jìn)行大規(guī)模改造，從而確保持續(xù)抵御新出現(xiàn)的量子威脅。

8. 萊迪思半導(dǎo)體：您可靠的PQC合作伙伴

現(xiàn)場可編程門陣列（FPGA）在現(xiàn)代應(yīng)用中扮演關(guān)鍵角色，而萊迪思半導(dǎo)體憑借能夠抵御現(xiàn)有和新興威脅的安全能力引領(lǐng)行業(yè)。我們的可信根（Root of Trust）解決方案可在器件加電啟動直至整個運行周期內(nèi)提供防護(hù)。

FPGA自身具備靈活性，支持重新編程以適配不斷演進(jìn)的標(biāo)準(zhǔn)。這種適應(yīng)性確保了設(shè)備的長生命周期和成本效益，使其成為構(gòu)建安全、面向未來解決方案的理想選擇。萊迪思FPGA可用于“加密敏捷性”解決方案，這對向PQC標(biāo)準(zhǔn)過渡至關(guān)重要。借助萊迪思技術(shù)，您可以采用后量子加密算法無縫升級硬件，并修補(bǔ)現(xiàn)有系統(tǒng)中的安全漏洞。

萊迪思半導(dǎo)體已在后量子加密領(lǐng)域牢固確立了領(lǐng)軍者地位，我們在先進(jìn)FPGA平臺上成功實現(xiàn)的概念驗證即印證了這一點。依托值得信賴的可信根解決方案這一成熟傳統(tǒng)，當(dāng)我們的安全器件用于電源時序控制時，可提供不可繞過的強(qiáng)大安全防護(hù)。我們的后量子加密解決方案基于這些安全控制FPGA中的硬核安全算法構(gòu)建，并具備分層的加密敏捷特性，能夠隨著標(biāo)準(zhǔn)的演進(jìn)實現(xiàn)后量子加密算法的無縫現(xiàn)場升級。這確保您的系統(tǒng)始終安全且靈活適應(yīng)，為抵御新興的量子計算威脅提供長期保護(hù)。

此外，萊迪思半導(dǎo)體正在積極推出采用所有NIST批準(zhǔn)和符合CNSA 2.0要求的PQC算法的解決方案。其中包括:

• ML-KEM (CRYSTALS-Kyber)：替代RSA、Diffie-Hellman和ECDH
• ML-DSA (CRYSTALS-Dilithium)：替代RSA和ECDSA
• XMSS (eXtended Merkle Signature Scheme)：經(jīng)批準(zhǔn)用于代碼簽名和驗證的有狀態(tài)哈希數(shù)字簽名算法
• LMS (Leighton-Micali Signature)：另一種用于代碼簽名和驗證的有狀態(tài)哈希數(shù)字簽名方案

我們的開發(fā)路線圖嚴(yán)格遵循監(jiān)管時間表，確保我們的客戶能夠在規(guī)定的截止日期之前達(dá)到或超越合規(guī)要求。通過將這些先進(jìn)的標(biāo)準(zhǔn)化算法集成到我們的FPGA解決方案中，我們?yōu)槠髽I(yè)提供了平穩(wěn)過渡到抗量子加密的基本工具。選擇萊迪思，即選擇了一個致力于交付及時、合規(guī)且強(qiáng)大的安全技術(shù)的值得信賴的合作伙伴，為您的資產(chǎn)抵御當(dāng)前及未來的量子威脅提供保障。

8.1. 降低過渡風(fēng)險：萊迪思對混合加密策略的支持

除了我們先進(jìn)的后量子加密產(chǎn)品，萊迪思半導(dǎo)體繼續(xù)支持所有經(jīng)典非對稱算法，包括最高512位的橢圓曲線密碼算法（ECC）和最高4096位的RSA算法，以及用于對稱加密的AES-256算法。我們還全面支持SHA-2和SHA-3等密碼哈希算法。這種廣泛的算法支持使我們的客戶能夠在必要時實施混合加密流程。在向PQC標(biāo)準(zhǔn)過渡期間，實施結(jié)合經(jīng)典算法與抗量子算法的混合流程是一種明智的策略。該策略確保與現(xiàn)有系統(tǒng)和協(xié)議的向后兼容性及互操作性，同時采用新的抗量子安全算法。它提供了額外的安全性，使組織能夠降低因立即全面改造其加密基礎(chǔ)設(shè)施而帶來的風(fēng)險。

萊迪思半導(dǎo)體通過同時支持經(jīng)典算法與PQC算法（包括關(guān)鍵哈希函數(shù)），幫助客戶根據(jù)自身運營需求和監(jiān)管時間表，平穩(wěn)、安全地過渡到抗量子加密體系。

萊迪思注重PQC和經(jīng)典加密算法的穩(wěn)定性和可靠性。我們將來自行業(yè)頂尖IP供應(yīng)商的軟硬件算法融入解決方案。這些供應(yīng)商在加密技術(shù)領(lǐng)域的卓越表現(xiàn)廣受認(rèn)可，其算法通過了NIST的嚴(yán)格驗證，并在客戶系統(tǒng)級環(huán)境中接受了全面滲透測試，確保在實際應(yīng)用場景中具備足夠的安全性和抗攻擊能力。

我們與這些受信任的IP供應(yīng)商保持緊密合作，他們正積極為算法申請更多認(rèn)證，這進(jìn)一步提升了我們安全產(chǎn)品的可信度。這種嚴(yán)謹(jǐn)?shù)膽B(tài)度不僅證明了萊迪思加密解決方案的強(qiáng)度，也有助于客戶實現(xiàn)自身的合規(guī)目標(biāo)。通過集成經(jīng)過認(rèn)證和充分測試的加密算法，企業(yè)可以放心地保護(hù)其系統(tǒng)，并可能更輕松地獲得高級安全認(rèn)證。對于那些追求系統(tǒng)級FIPS 140-3 Level 2等認(rèn)證的客戶而言，這種技術(shù)支持為滿足嚴(yán)格的監(jiān)管標(biāo)準(zhǔn)提供了堅實基礎(chǔ)。

9. 結(jié)論

美國國家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）完成后量子密碼學(xué)標(biāo)準(zhǔn)的制定，標(biāo)志著數(shù)字安全領(lǐng)域的關(guān)鍵轉(zhuǎn)折點。量子計算的進(jìn)步已不再是遙遠(yuǎn)的可能性，而是迫在眉睫的現(xiàn)實，傳統(tǒng)密碼系統(tǒng)的大廈將傾。全球組織必須緊急升級其加密基礎(chǔ)設(shè)施，以符合這些新標(biāo)準(zhǔn)。行動刻不容緩。

從RSA和ECC等經(jīng)典加密算法遷移到抗量子替代方案是一項需持續(xù)數(shù)年的重大任務(wù)。企業(yè)在規(guī)劃這一過渡時，擁抱“加密敏捷性”—— 即隨著PQC的發(fā)展快速適應(yīng)新算法的能力 —— 變得至關(guān)重要?，F(xiàn)場可編程門陣列（FPGA）因其固有的靈活性和可重配置性，將發(fā)揮關(guān)鍵作用。

與固定功能硬件不同，F(xiàn)PGA允許快速更新以實施最新密碼標(biāo)準(zhǔn)，確保安全系統(tǒng)在量子計算的快速發(fā)展中保持未定且有能力面對未來的威脅。

萊迪思半導(dǎo)體已準(zhǔn)備好支持組織度過這一變革期。憑借在后量子加密領(lǐng)域的成熟專業(yè)知識和值得信賴的安全解決方案，萊迪思提供先進(jìn)的FPGA技術(shù)，實現(xiàn)向抗量子加密的無縫遷移。通過支持NIST批準(zhǔn)的后量子加密算法和經(jīng)典加密方法（包括 ECC、RSA、AES-256以及SHA-2和SHA-3等哈希算法），萊迪思能幫助客戶實施混合加密流程。這種方法在采用新的抗量子安全算法的同時，促進(jìn)與現(xiàn)有系統(tǒng)的向后兼容性和互操作性，降低因全面改造基礎(chǔ)設(shè)施而帶來的風(fēng)險。主動采用抗量子標(biāo)準(zhǔn)，輔以萊迪思FPGA等適應(yīng)性技術(shù)，對于在后量子時代維護(hù)數(shù)字基礎(chǔ)設(shè)施的完整性和安全性至關(guān)重要。通過集成經(jīng)過認(rèn)證和充分測試的加密算法，組織可以自信地保護(hù)其系統(tǒng)并實現(xiàn)合規(guī)目標(biāo)。

現(xiàn)在是保障數(shù)字未來的關(guān)鍵時刻。向彈性加密措施的轉(zhuǎn)變將保護(hù)敏感信息和系統(tǒng)免受日益增長的量子威脅和HNDL攻擊，在我們?nèi)找鏀?shù)字化的世界中增強(qiáng)信任和安全性。各組織應(yīng)迅速采取行動，采用后量子加密解決方案，并與值得信賴的領(lǐng)導(dǎo)者合作，確保其關(guān)鍵數(shù)據(jù)和基礎(chǔ)設(shè)施受到保護(hù)。

10. 參考資料

1. Shor, W (1995) Polynomial-Time Algorithms for Prime Factorization and Discrete Logarithms on a Quantum Computer. https://arxiv.org/abs/quant-ph/9508027

2. Quantum Supremacy is the ability to perform calculations that are too difficult for a classical computer to perform in a reasonable amount of time, for narrowly defined tasks. https://www.nature.com/articles/s41586-019-1666-5

3. Announcing the commercial national security algorithms ... National Security Agency. (2022). https://media.defense. gov/2022/ Sep/07/2003071834/-1/-1/0/CSA_CNSA_2.0_ALGORITHMS_.PDF

4. Chen, L., Jordan, S., Moody, D., Peralta, R., Perlner, R., Smith-Tone, D., & Liu, Y.-K. (2016). Report on Post-Quantum Cryptography. National Institute of Standards and Technology.https://nvlpubs.nist.gov/nistpubs/ir/2016/nist.ir.8105.pdf

5. Mosca, Michele, Piani Marco (2024). Quantum Threat Timeline Report 2023, Global Risk Institute. https:// globalriskinstitute.org/ publication/2023-quantum-threat-timeline-report/

6. Westerbaan, B., Meunier, T., Rubin, C. D., Faz-Hernández, A., Tholoniat, P., Kozlov, D., & Wang, M. (2024, July 29). NIST’s Pleasant Post-quantum surprise. The Cloudflare Blog. https://blog.cloudflare.com/nist-post-quantum-surprise

11. 附錄

XMSS、LMS和NIST PQC標(biāo)準(zhǔn)

2024年8月13日，美國國家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）最終確定了第一套后量子加密（PQC）標(biāo)準(zhǔn)。被標(biāo)準(zhǔn)化的算法包括：

• ML-KEM (CRYSTALS-Kyber)
• ML-DSA (CRYSTALS-Dilithum)
• SLH-DSA (SPHINCS+)
• FN-DSA (Falcon)

這是NIST首次標(biāo)準(zhǔn)化的通用PQC算法，但在它們之前，NIST已于2020年10月29日發(fā)布了LMS和XMSS這兩種狀態(tài)哈希簽名方案的標(biāo)準(zhǔn)。

NIST將XMS和LMS算法描述為“......可安全對抗量子計算機(jī)的發(fā)展，但不適合廣泛使用，因為它們的安全性取決于謹(jǐn)慎的狀態(tài)管理。它們最適合私鑰使用可被嚴(yán)格控制的應(yīng)用......”。

這使得XMS和LMS非常適合用于代碼簽名/代碼驗證場景，如安全啟動和安全軟件更新，但不適用于大多數(shù)其他場景。對于代碼簽名，私鑰及相關(guān)的狀態(tài)管理可由具備狀態(tài)管理能力的硬件安全模塊（HSM）執(zhí)行。

PQC算法家族

后量子加密采用與RSA和ECC不同的數(shù)學(xué)方法來創(chuàng)建算法，這些算法可在傳統(tǒng)計算機(jī)上運行，且不受量子計算機(jī)或傳統(tǒng)計算機(jī)攻擊的威脅。

NIST在標(biāo)準(zhǔn)化過程中考慮了利用多種不同數(shù)學(xué)方法的算法，具體類型包括：

• 基于代碼的（經(jīng)典McEliece）
• 基于格的（CRYSTALS-KYBER、NTRU、SABER、CRYSTALS-DILITHIUM、Falcon）
• 基于同源的（SIKE）
• 多變量的（Rainbow）
• 零知識的（Picnic）
• 基于哈希（SPHINCS+）
• 有狀態(tài)哈希（XMSS、LMS）（雖不在NIST本輪標(biāo)準(zhǔn)化流程中，但此前NIST已發(fā)布標(biāo)準(zhǔn)）

每種算法類型均通過不同數(shù)學(xué)方法實現(xiàn)安全性，確保在合理時間內(nèi)無法被經(jīng)典或量子計算機(jī)破解。NIST選擇對基于格、基于哈希和有狀態(tài)哈希的算法進(jìn)行標(biāo)準(zhǔn)化。

基于格的算法：ML-KEM（Kyber）、ML-DSA（Dilithium）和FN-DSA（Falcon）基于復(fù)雜格結(jié)構(gòu)提供安全性，這類結(jié)構(gòu)對量子計算機(jī)而言具有極高計算難度?；诟竦募用芗夹g(shù)因其假定對量子和經(jīng)典計算機(jī)均具備安全性，且運算效率高而備受青睞。最短向量問題（SVP）和最近向量問題（CVP）是基于格的數(shù)學(xué)問題，構(gòu)成了格基方法安全性的基礎(chǔ)。

有狀態(tài)哈希簽名：LMS和XMSS屬于有狀態(tài)哈希簽名方案，以簡單性和安全性著稱。顧名思義，這些方案依賴SHA2或SHA3等哈希函數(shù)實現(xiàn)安全。其「有狀態(tài)」特性意味著私鑰包含必須維護(hù)的狀態(tài)值 —— 每次生成簽名時，狀態(tài)值必須更新。這類算法非常適合代碼簽名場景（如安全啟動、軟件更新驗證），但標(biāo)準(zhǔn)要求簽名操作和狀態(tài)管理需在硬件安全模塊（HSM）內(nèi)執(zhí)行，以確保安全和正確的狀態(tài)維護(hù)。因此，它們僅適用于代碼簽名，不適用于通用數(shù)字簽名場景。

基于哈希的簽名：SPHINCS+（SLH-DSA）是無狀態(tài)的哈希簽名方案。與LMS、XMSS一樣，其安全性依賴SHA2或SHA3等哈希函數(shù)，但由于無需維護(hù)狀態(tài)值，私鑰中不包含需持續(xù)更新的狀態(tài)參數(shù)。這一特性消除了狀態(tài)值維護(hù)需求，使該算法適用于通用簽名場景。

對HNDL攻擊的解釋

HNDL攻擊會存儲整個通信會話的所有數(shù)據(jù)包，包括密鑰交換操作。然后，這些攻擊將使用量子計算機(jī)嘗試破解密鑰交換操作中使用的加密。如果成功，攻擊將恢復(fù)會話密鑰（AES密鑰），然后可用于解密通信會話期間傳輸?shù)臄?shù)據(jù)。

換句話說，即使AES-256是量子安全的，但在TLS中使用它并不足以確保該協(xié)議是量子安全的。量子計算機(jī)將破解用于交換會話密鑰（AES密鑰）的非對稱加密（RSA、ECDH或Diffie-Helman）。一旦非對稱加密被破解，就可以獲得AES密鑰，并且可以解密用AES加密的數(shù)據(jù)。

為了防范HNDL攻擊，通信協(xié)議必須使用ML-KEM，這是目前唯一用于密鑰交換操作的標(biāo)準(zhǔn)化后量子加密算法。