為了應(yīng)對量子計(jì)算的最終問世，數(shù)字基礎(chǔ)設(shè)施必須完成向后量子密碼學(xué)(PQC)的過渡，這是一項(xiàng)至關(guān)重要的準(zhǔn)備工作。美國國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)已選定CRYSTALS-Kyber、CRYSTALS-Dilithium等算法推進(jìn)標(biāo)準(zhǔn)化，這些算法均建立在研究充分、數(shù)學(xué)層面穩(wěn)健的基礎(chǔ)上。然而，僅有強(qiáng)大的算法設(shè)計(jì)還遠(yuǎn)遠(yuǎn)不夠，如果部署過程存在安全隱患，密碼系統(tǒng)仍將面臨風(fēng)險(xiǎn)——算法安全性并不等同于部署安全性。

縱觀密碼學(xué)的歷史，許多系統(tǒng)遭到破壞，并非因?yàn)樗惴ū旧泶嬖谌毕荩且驗(yàn)槠鋵?shí)際部署過程中存在漏洞。此篇是德科技文章將對其中的緣由和歷史教訓(xùn)進(jìn)行一一剖析，并針對實(shí)際挑戰(zhàn)給出解決方案。

部署漏洞：RSA帶來的教訓(xùn)

在密碼系統(tǒng)因?qū)嶋H部署缺陷而被攻破方面，RSA堪稱典型案例。自1977年問世以來，盡管RSA的數(shù)學(xué)安全性無明顯爭議，但各類側(cè)信道攻擊與故障注入攻擊仍屢屢對其部署方案發(fā)起進(jìn)攻，并成功突破其防御。

從20世紀(jì)90年代末開始，諸如時(shí)序分析、簡單功耗分析(SPA)、差分功耗分析(DPA)、相關(guān)功耗分析(CPA)等攻擊手段，以及Bellcore CRT攻擊(1996年)等故障注入技術(shù)，均揭示了部署層面缺陷的利用方式。近年來，機(jī)器學(xué)習(xí)輔助的側(cè)信道攻擊，進(jìn)一步暴露了原本安全的密碼部署中的弱點(diǎn)。

安全實(shí)現(xiàn)PQC的挑戰(zhàn)

在實(shí)際系統(tǒng)中部署PQC算法將面臨多重技術(shù)挑戰(zhàn)。像嵌入式系統(tǒng)、物聯(lián)網(wǎng)平臺(tái)及移動(dòng)硬件這類設(shè)備，往往受限于內(nèi)存容量、處理器速度和能源供應(yīng)等資源約束。開發(fā)者為滿足性能要求，常會(huì)采用各類優(yōu)化技術(shù)，卻可能在無意中引入安全缺陷。

相較于RSA或ECC等傳統(tǒng)算法，PQC算法通常涉及更大的密鑰長度、更復(fù)雜的數(shù)學(xué)運(yùn)算及更高的計(jì)算成本。因此，這類算法本身就更難實(shí)現(xiàn)安全部署，在資源受限的環(huán)境中尤其如此。而這些復(fù)雜性可能會(huì)增加側(cè)信道泄露風(fēng)險(xiǎn)，或引發(fā)操作不一致問題，為攻擊者提供可乘之機(jī)。

PQC部署的成熟度與復(fù)雜性

PQC標(biāo)準(zhǔn)相對較新，其部署生態(tài)系統(tǒng)仍在逐步完善中。相較于AES和RSA等經(jīng)過數(shù)十年廣泛研究與部署的傳統(tǒng)密碼原語，PQC在實(shí)際場景中的使用經(jīng)驗(yàn)仍較為有限。

此外，許多PQC方案(尤其是基于格和基于碼的設(shè)計(jì))引入了新型數(shù)學(xué)構(gòu)造，增加了部署復(fù)雜度。例如，涉及多項(xiàng)式乘法、矩陣運(yùn)算、拒絕采樣的操作必須精確處理，以防止意外的信息泄露。內(nèi)存訪問模式或控制流的細(xì)微變化都可能導(dǎo)致敏感數(shù)據(jù)暴露。

當(dāng)下的部署風(fēng)險(xiǎn)

盡管PQC部署的誕生時(shí)間尚短，但它們已顯露出對傳統(tǒng)攻擊技術(shù)的脆弱性，包括：

· 側(cè)信道攻擊(SCA)：利用時(shí)序波動(dòng)、功耗變化或電磁輻射差異提取密碼機(jī)密。

· 故障注入(FI)攻擊：通過電壓毛刺、時(shí)鐘操控或激光脈沖等手段誘發(fā)故障，以此影響計(jì)算過程并推斷出機(jī)密數(shù)據(jù)。

· 模板與基于機(jī)器學(xué)習(xí)的攻擊：利用統(tǒng)計(jì)模型或基于訓(xùn)練的方法，識(shí)別并利用部署行為漏洞。

安全的壽命與“先存儲(chǔ)，后解密”模式

行業(yè)正在加速PQC的采用，以應(yīng)對“先存儲(chǔ)，后解密”(SNDL)的威脅，即攻擊者現(xiàn)在竊取加密數(shù)據(jù)，以圖在量子能力成熟后，再利用該能力解密數(shù)據(jù)。盡管這種主動(dòng)防御措施十分必要，但它并不能消除部署漏洞帶來的風(fēng)險(xiǎn)。

密碼產(chǎn)品生命周期常長達(dá)十年以上。部署后的一個(gè)漏洞，也可能危及多年的數(shù)據(jù)保密性。隨著攻擊方式的演進(jìn)，若未能針對各類威脅做好充分加固，即使是最初是安全的部署方案，也可能會(huì)被利用。

安全PQC部署的最佳實(shí)踐

為確保PQC部署的長期安全性，以下措施值得推薦：

· 恒定時(shí)間執(zhí)行：消除數(shù)據(jù)依賴型時(shí)序行為，防范基于時(shí)序的攻擊。

· 掩碼與盲化技術(shù)：通過引入隨機(jī)性，保護(hù)中間計(jì)算過程免受側(cè)信道分析攻擊。

· 故障檢測與冗余：設(shè)計(jì)系統(tǒng)以實(shí)現(xiàn)對運(yùn)行過程中注入故障的檢測、容忍或排除。

· 形式化驗(yàn)證：借助專用工具與自動(dòng)化分析，對部署的安全性進(jìn)行驗(yàn)證。

· 持續(xù)評估：定期對實(shí)現(xiàn)方案進(jìn)行測試、密碼分析和審查，以識(shí)別并修復(fù)新出現(xiàn)的漏洞。

行業(yè)協(xié)作與遵循開放標(biāo)準(zhǔn)(如NIST和ISO制定的標(biāo)準(zhǔn))對在不同平臺(tái)間實(shí)現(xiàn)安全且可互操作的部署至關(guān)重要。

如需深入了解相關(guān)標(biāo)準(zhǔn)與實(shí)施挑戰(zhàn)，請參見白皮書《嵌入式系統(tǒng)后量子密碼學(xué)安全部署》。

結(jié)語

PQC可助力應(yīng)對量子計(jì)算帶來的日益嚴(yán)峻的威脅，但向PQC的過渡必須伴隨對安全部署的嚴(yán)格關(guān)注。PQC算法的復(fù)雜性，加之其部署實(shí)踐尚不成熟，帶來了不容忽視的現(xiàn)實(shí)風(fēng)險(xiǎn)。

密碼領(lǐng)域從經(jīng)驗(yàn)中認(rèn)識(shí)到：強(qiáng)大算法的安全性取決于其最薄弱的部署環(huán)節(jié)。為了充分發(fā)揮PQC的價(jià)值，研究人員與從業(yè)者都必須將部署安全性視為基礎(chǔ)設(shè)計(jì)目標(biāo)，以確保當(dāng)下部署的系統(tǒng)在未來仍能抵御各類威脅。