:::

產業技術評析

後量子密碼發展趨勢分析
發表日期:2024-09-11
作者:古涵詩(工研院)
摘要:
密碼技術在複雜的國際環境中至關重要,尤其是作為資安的關鍵技術。然而,隨著量子計算的快速發展,目前部署的傳統密碼演算法,特別是公開金鑰密碼演算法面臨巨大的安全挑戰。

全文:

密碼技術在複雜的國際環境中至關重要,尤其是作為資安的關鍵技術。然而,隨著量子計算的快速發展,目前部署的傳統密碼演算法,特別是公開金鑰密碼演算法面臨巨大的安全挑戰。如果量子電腦成為現實,將對現有密碼技術造成顛覆性的影響,可能嚴重影響資訊系統的安全性和穩定運行,甚至可能影響國家安全。因此,後量子密碼已成為全球競爭的焦點和戰略重點,以應對抗量子計算的挑戰。近年來,許多國際大廠積極投入後量子密碼研發和應用,並加速商業化進程。歐美等主要國家都在積極制定後量子密碼有關戰略計畫,並與產業合作,制定後量子密碼遷移的策略和時程,以降低遷移的衝擊。臺灣有關後量子密碼的研究已逐漸展開,政府亦開始關注後量子密碼發展,建議仍應加強研發經費的投入、關注與制定標準與規範,推動後量子密碼產業發展。

一、量子計算的潛在威脅

量子計算(Quantum Computing)是利用量子態的性質(如量子疊加原理和量子糾纏)來執行計算的一種技術。其中,量子電腦的發展非常迅速,預計5-15年後,會對密碼演算法造成嚴重威脅的大規模通用量子電腦將被製造出來。由於量子電腦使運算算力得以提升,1994年Shor提出的量子演算法,可以在多項式時間內快速分解質因數及求解離散對數,理論上Shor演算法可以破解當前廣泛應用的RSA和橢圓曲線公鑰密碼(ECC)演算法,因為它們的安全基礎分別為質因數分解和橢圓曲線離散對數問題;1996年Grover提出的量子演算法,理論上也可使對稱密碼演算法,如分組加密、雜湊函數的安全強度減半。

量子計算的發展對公鑰密碼演算法的威脅更為嚴重,因Shor演算法可將RSA或ECC等密碼演算法徹底破解,因此,這些演算法不是量子安全的。另一方面,量子攻擊策略具有時間優勢,不一定需要在量子電腦成熟後才開始進行。攻擊者可以先將具有加密狀態的關鍵資訊儲存起來,待實用的量子電腦出來後再實施破譯,此即為「先竊取、後解密」(Harvest Now, Decrypt Later, HNDL),而量子計算的快速發展大幅縮短了時間週期,問題不在於是否會發生,而是有多快發生和影響有多大。

二、後量子密碼之技術發展

為了應對量子計算帶來的威脅,後量子密碼(Post-Quantum Cryptography, PQC)應運而生。後量子密碼是在傳統電腦(Classical Computer)上運行的、能抵抗量子攻擊及傳統電腦攻擊的密碼演算法和密碼協定。目前,人們討論最廣泛的是公鑰密碼演算法。不同於量子密碼學(Quantum Cryptography, QC)或量子金鑰分配(Quantum Key Distribution, QKD),後量子密碼使用現有電腦與網路,不依靠量子力學,其基礎是公認無法被量子電腦有效解決地計算難題。

美國主導後量子公鑰密碼演算法標準化的進程。美國國家標準與技術研究所(National Institute of Standards and Technology, NIST)在2016年向全球徵集後量子公鑰密碼演算法,獲得全球密碼學界的回響,共徵集69份演算法方案,經歷6年多3輪評估,於2022年7月確定了4種擬標準化的後量子密碼演算法,分別為金鑰封裝機制Crystals-Kyber、數位簽章演算法Crystals-Dilithium、Falcon和Sphincs+演算法。

此外,同時確定了BIKE、Classic McEliece和HQC這3種金鑰封裝機制進入第4輪評估。NIST於2023年8月24日美國公布第一批後量子密碼演算法標準草案,包括Crystals-Kyber (FIPS.203)、Crystals-Dilithium (FIPS.204)和SPHINCS+ (FIPS.205),NIST計畫於2024年發佈正式標準。美國國土安全部(DHS)則預測,2024年NIST公布正式後量子密碼標準後,直到2030年加密系統必須過渡到後量子密碼演算法。

歐美國家在後量子密碼遷移及標準建立上均有相關研究和進展,國內應加速在後量子密碼研發和建立示範場域,從遷移的節奏來看,金融業是重要關鍵基礎設施之一,涉及大量核心資料和交易資訊,相比其他產業有望更早採取相應措施過渡到後量子密碼體系。因此,未來在部署系統及服務時,可以根據運算時間、簽章長度和金鑰長度等考量來選擇適合的標準後量子密碼學方法。

三、國際大廠後量子密碼發展現況

後量子密碼學的推動在國際間成為日益重要的議題,國際大廠正積極為潛在的量子電腦威脅做準備。領先的市場參與者包括IBM、Google等國際大廠,除了持續增加影響力外,更關注在戰略投資、開發合作夥伴和研發活動上。以下簡要介紹國際大廠在後量子密碼的發展現況。

(一)IBM

IBM在後量子密碼發展和推動上具有重要角色。其IBM Quantum部門致力於開發量子硬體、軟體和相關技術。IBM於2020年9月中旬揭露量子運算的藍圖,希望在2023年能夠開發出具備1,000多量子位元的處理器,因為IBM認為1,000量子位元是量子電腦商業化的起點。IBM既定目標是在2025年後達到超過4,000個量子比特的規模。根據全球風險研究所(Global Risk Institute)調查,到2033年量子計算有高達50%的可能性會危及網路安全。IBM認識到量子電腦對當前加密標準造成的潛在威脅,因此積極參與後量子密碼的研究和發展。IBM是「後量子密碼學聯盟」(Post-Quantum Cryptography Alliance, PQCA)的創始成員之一,匯集業界夥伴以應對量子運算帶來的加密安全挑戰。該聯盟成員包括Microsoft、MITRE、加密新創PQShield、Google子公司SandboxAQ和滑鐵盧大學等共同合作,旨在推動後量子密碼的發展,提高後量子密碼在商業和開源技術中的應用。

PQC聯盟成員表示,將尋求與NIST和國家網路安全卓越中心(NCCoE)的PQC遷移專案合作,為組織提供技術指導。該聯盟將實行四個步驟:推動標準研究及PQC遷移,藉由技術資源支持人才培育和勞動力發展,生成並驗證開源程式碼、確認程式碼品質,確保加密的「敏捷性」。MITRE表示,量子電腦的即將到來已經給國家和經濟安全帶來風險和挑戰,政府和產業須行動起來,確保機敏資料和通訊在未來不易受到攻擊。

IBM也因應量子安全推出「IBM Quantum Safe」密碼技術和諮詢專業產品組合,透過提供專業訓練、策略指導、評估和偵測風險,協助企業組織遷移至敏捷的後量子密碼體系。

(二)Google

2023年8月,Google宣佈在Chrome中增加對後量子密碼的支持,從Chrome 116正式版本開始,將包括支援「X25519Kyber768」演算法,同時向下相容舊版的Chrome,以確保網路瀏覽器免受後量子安全威脅。「X25519Kyber768」是新的後量子密碼技術,為一種混合機制,由「X25519」加上「Kyber-768」,前者是一種橢圓曲線演算法,用於建立TLS傳輸連線的金鑰協商過程;後者是一種抗量子的金鑰封裝機制(Key Encapsulation Mechanism, KEM),KEM是一種在雙方之間建立共享加密金鑰的方法,以便他們可以使用對稱金鑰加密進行保密通訊,這是在網路上安全訊息交換必須的前置處理。整體來說,可以看出Google保護Chrome加密金鑰免受後量子威脅的做法非常具有前瞻性。

此外,Google推出首個抗量子硬體金鑰。抗量子硬體金鑰的問世是資安界推廣和普及抗量子加密演算法的突破。2023年10月,Google推出第一個開源的抗量子破解的FIDO2安全金鑰,該產品是Google OpenSK安全金鑰計畫的一部分。此金鑰的開源硬體最佳化實作使用一種新穎的ECC/Dilithium混合簽章模式,該模式受益於ECC面對一般攻擊的安全性及具備Dilithium抵禦量子攻擊的彈性。與Chrome的混合機制(X25519和Kyber-768的組合)類似。Google提出的FIDO2安全金鑰實作是橢圓曲線數位簽章演算法(ECDSA)和最近標準化的抗量子簽章演算法Dilithium的混合。Google表示,此混合簽章模式是一種基於Rust的記憶體優化,僅須20KB的記憶體,非常適合在安全金鑰受限的硬體上運行。Google表示,希望能作為FIDO2金鑰規範的一部分進行標準化,並得到主要網路流覽器的支援,以便保護用戶的憑證免於受量子攻擊。

四、結論與建議

美國國家安全局已公布後量子密碼遷移時間表,並使用已篩選出的基於網格和雜湊密碼學的後量子演算法為基礎,並展開後量子密碼遷移。由於量子運算對現有加密體系的威脅,受到歐美各國的高度重視。各國政府均在敦促後量子密碼的準備與轉型,並依循NIST後量子密碼標準。國際社會也需合作制定後量子加密標準與路徑,以確保資訊安全。企業也應及早因應,審慎評估轉型的需求與時機,逐步更新加密系統與流程,平穩過渡到後量子密碼時代。

由於後量子密碼與現有古典密碼演算法相比,存在金鑰和數位簽章長度過長與資源消耗更多的情形。因此,有必要探討後量子密碼遷移所需之軟硬體平台,及早研發能兼容古典密碼和後量子密碼之金鑰管理系統、金鑰分發和終端硬體平台等,使其平穩過渡到後量子密碼。
 

(本文作者為工研院產科國際所執行產業技術基磐研究與知識服務計畫產業分析師)


* 點閱數102
更新日期:2020-04-08

回上一頁 回首頁