量子计算的飞跃发展对数据安全与个人隐私保护构成了严峻挑战,尤其是可用于密码分析的量子计算机的出现,传统加密技术的防线面临被穿透的风险。面对这一冲击,抗量子密码技术(Post-Quantum Cryptographic Algorithms,PQC)这面“盾牌”挺身而出,通过新的加密算法,增强现有加密体系的抵抗力,以确保信息在量子时代依然安全无虞。这场较量不仅是技术的对抗,更是对未来网络安全的深刻思考和前瞻布局。
NIST已于2024年8月正式发布首批3项抗量子密码算法标准,国内在该领域的研发和应用方面也正积极部署,同步激发了相关技术的创新发展。
此次系列访谈,安全419将走近多家国内商用密码领域的头部企业,关注他们的洞见和行动,与之探讨抗量子密码的前沿发展,并了解相关的量子安全解决方案和系列产品,为行业发展提供参考与借鉴。
三未信安科技股份有限公司是科技创新型的密码基础设施提供商,公司专注于密码技术创新和密码产品的研发、销售与服务,为用户提供全面的信息安全密码技术解决方案。
本期,安全419采访到了三未信安多次方总经理杨国强,深入了解三未信安在抗量子密码领域的深刻见解与实际行动,并为行业的未来发展提供宝贵的参考和借鉴。
量子计算时代的到来 让传统密码体系何去何从
量子计算机的超强计算能力可能会使现有的加密算法变得脆弱,尤其是依赖于大数分解和离散对数难题的公钥密码体系,如RSA和ECC。量子计算的潜在威胁迫使密码学领域从传统密码体制向能够抵抗量子计算攻击的量子安全密码体制转变,这意味着传统密码体系和密码产品必须采取一系列措施来应对。
·加快迁移到抗量子密码体制
商用密码系列算法从出台到规模化应用经历了十余载的时间,相比之下,抗量子密码迁移工作的紧迫性更加凸显。三未信安认为,抗量子密码迁移不仅仅是简单地替换密码算法,还涉及到密码协议、密码方案、密码产品及密码基础设施的全面升级。
·双体系并行策略过渡
抗量子密码迁移的关键挑战之一在于确保整个算法过渡过程不会影响业务的正常运行。三未信安认为可以采用双体系并行策略,即同时使用传统密码算法和抗量子密码算法,确保在量子计算机成为现实之前,通信的安全性不会受到任何影响。
·技术研究持续创新
在算法设计思路或方向上,未来的抗量子密码算法设计将不仅仅局限于基于格、编码、哈希或多变量等方向,还可能在其他新兴数学难题方面进行有益的探索。
·完善敏捷性设计
在设计新的密码系统时,应考虑密码敏捷性,灵活面对新的安全威胁、技术变革或法规要求。在密码产品方面,采用模块化设计思路提供敏捷性密码服务,将抗量子密码算法与现有的传统密码技术、量子随机数生成、量子密钥分发等技术相结合等,为市场提供适应于不同场景的选择。
系列产品新升级 安全高效实现技术发展
2024年9月,三未信安新一代抗量子密码系列产品正式发布,涵盖抗量子密码芯片、抗量子密码板卡、抗量子UKEY、抗量子密码机、抗量子网关、抗量子数字证书认证系统、抗量子密钥管理系统等全产业链产品。
团队在产品设计时,不仅考虑了安全性,还注重高效实现。三未信安对NIST发布的抗量子密码算法以及全国密码算法设计竞赛公钥算法等进行了系统性分析,并采用优化设计方法在软硬件平台高效安全实现,提高计算效率并减少资源消耗,使其更适合实际应用,此外,三未信安还研制了抗量子密码芯片,支持国内外主流抗量子密码算法、RISC-V扩展指令集的密码算法引擎;同时,设计了高性能异步传输模块,能够实现安全灵活的密钥管理架构。
结合对抗量子密码领域的理解和对未来发展的预期,三未信安还发布了业内首部《抗量子密码技术与应用白皮书》,全面梳理抗量子密码技术的发展脉络,系统介绍其理论基础、技术框架、标准化进程、迁移指南以及在不同行业中的应用方案,助力抗量子密码技术研究与应用创新。
抗量子密码迁移应用 策略与路径更加清晰
现有的密码系统基于多种密码算法和技术构建,每种技术都有其特定的应用场景和实现方式,并广泛依赖现有基础设施。抗量子密码的迁移需要完成新旧密码系统的无缝协作,确保数据的完整性和安全性,同时也涉及到对潜在风险的识别、评估和管理。
关于抗量子密码算法,三未信安表示,迁移过程一方面要结合实际应用场景选择适配的抗量子密码算法,另一方面需考虑未来对我国密码算法标准的支持。虽然我国抗量子密码算法标准还未正式发布,但可以选择安全性经过充分评估的抗量子密码算法,如Aigis-sig、LAC.PKE、Aigis-enc等,还有我国正在标准化进程中的基于NTRU的密钥封装机制、基于SM3的带状态数字签名算法,以及NIST抗量子密码标准算法ML-KEM(FIPS 203)、ML-DSA(FIPS 204)及SLH-DSA(FIPS 205)等。据悉,本次系列产品均支持这些算法。
在安全性评估方面,主要从资产的重要性、脆弱性被利用的概率、威胁发生后产生后果的严重性等方面进行识别、评估与控制。针对业务资产,三未信安研究敏感数据的生命周期及其泄露的可能性,预估迁移所需的时间,具体体现在确定产品、协议和程序的迁移所需的时间,修改组织或系统的安全策略,根据抗量子密码技术的可靠性或性能分析比较,在不同的场景下选择适用的技术。
在构建迁移方案时,需要在技术选型、性能优化、成本控制和标准遵循之间找到恰当的平衡点。三未信安针对现有系统提出了优先级策略、密码功能与服务敏捷性设计策略、量子脆弱性密码技术发现与评估策略、前瞻性与渐进性策略,提出长期规划与分阶段实施。设计的迁移路径包括规划抗量子密码路线图、构建抗量子密码技术支撑体系、抗量子密码迁移供应链协同等,同时持续优化,以降低迁移成本和安全风险。
向产业应用过渡 多领域开展落地实践
为确保方案在不同行业、不同情景下的应用安全性和可靠性,三未信安在金融、运营商、电力等领域积极开展抗量子密码技术应用。通过调研现有抗量子密码算法在密钥封装、数字签名、密钥交换和密码应用等方面的特点,充分研究抗量子密码算法的密钥尺寸、计算速度和通信开销等内容。抗量子密码算法替换现有的公钥密码算法后,相应的密码模块和密码产品同步要支持抗量子密码运算的能力,包括抗量子协同签名系统、抗量子SSL网关、抗量子密钥管理系统和抗量子数字证书系统。
三未信安指出,在实际应用中,将抗量子密码算法集成到现有系统和应用中还要考虑到迁移成本的问题。另外,提高用户对抗量子技术的接受度也是重要挑战,这不仅涉及到教育培训,也包括有效的市场推广策略。三未信安呼吁加强产业链上下游企业合作,共同推动抗量子密码技术的商业化和产业化。
尾声
随着量子计算技术的飞速发展,全球范围内对抗量子密码技术和解决方案的研究正在积极展开,关键基础设施和各行业安全面临的威胁日益紧迫。从传统密码体系向抗量子密码体系迁移是一个复杂的过程,各类企业和机构需要重新评估并调整其密码策略,以保障未来数据安全。同时,抗量子密码算法的标准化工作在推动方案实施中扮演着关键角色,需要政企携手合作,共同推进技术研发和实际应用。