|
作者:是德科技創新總監Durga Ramachandran 為了應對量子計算的最終問世,數字基礎設施必須完成向后量子密碼學(PQC)的過渡,這是一項至關重要的準備工作。美國國家標準與技術研究院(NIST)已選定CRYSTALS-Kyber、CRYSTALS-Dilithium等算法推進標準化,這些算法均建立在研究充分、數學層面穩健的基礎上。然而,僅有強大的算法設計還遠遠不夠,如果部署過程存在安全隱患,密碼系統仍將面臨風險——算法安全性并不等同于部署安全性。 縱觀密碼學的歷史,許多系統遭到破壞,并非因為算法本身存在缺陷,而是因為其實際部署過程中存在漏洞。此篇是德科技文章將對其中的緣由和歷史教訓進行一一剖析,并針對實際挑戰給出解決方案。 部署漏洞:RSA帶來的教訓 在密碼系統因實際部署缺陷而被攻破方面,RSA堪稱典型案例。自1977年問世以來,盡管RSA的數學安全性無明顯爭議,但各類側信道攻擊與故障注入攻擊仍屢屢對其部署方案發起進攻,并成功突破其防御。 從20世紀90年代末開始,諸如時序分析、簡單功耗分析(SPA)、差分功耗分析(DPA)、相關功耗分析(CPA)等攻擊手段,以及Bellcore CRT攻擊(1996年)等故障注入技術,均揭示了部署層面缺陷的利用方式。近年來,機器學習輔助的側信道攻擊,進一步暴露了原本安全的密碼部署中的弱點。 安全實現PQC的挑戰 在實際系統中部署PQC算法將面臨多重技術挑戰。像嵌入式系統、物聯網平臺及移動硬件這類設備,往往受限于內存容量、處理器速度和能源供應等資源約束。開發者為滿足性能要求,常會采用各類優化技術,卻可能在無意中引入安全缺陷。 相較于RSA或ECC等傳統算法,PQC算法通常涉及更大的密鑰長度、更復雜的數學運算及更高的計算成本。因此,這類算法本身就更難實現安全部署,在資源受限的環境中尤其如此。而這些復雜性可能會增加側信道泄露風險,或引發操作不一致問題,為攻擊者提供可乘之機。 PQC部署的成熟度與復雜性 PQC標準相對較新,其部署生態系統仍在逐步完善中。相較于AES和RSA等經過數十年廣泛研究與部署的傳統密碼原語,PQC在實際場景中的使用經驗仍較為有限。 此外,許多PQC方案(尤其是基于格和基于碼的設計)引入了新型數學構造,增加了部署復雜度。例如,涉及多項式乘法、矩陣運算、拒絕采樣的操作必須精確處理,以防止意外的信息泄露。內存訪問模式或控制流的細微變化都可能導致敏感數據暴露。 當下的部署風險 盡管PQC部署的誕生時間尚短,但它們已顯露出對傳統攻擊技術的脆弱性,包括: • 側信道攻擊(SCA):利用時序波動、功耗變化或電磁輻射差異提取密碼機密。 • 故障注入(FI)攻擊:通過電壓毛刺、時鐘操控或激光脈沖等手段誘發故障,以此影響計算過程并推斷出機密數據。 • 模板與基于機器學習的攻擊:利用統計模型或基于訓練的方法,識別并利用部署行為漏洞。 安全的壽命與“先存儲,后解密”模式 行業正在加速PQC的采用,以應對“先存儲,后解密”(SNDL)的威脅,即攻擊者現在竊取加密數據,以圖在量子能力成熟后,再利用該能力解密數據。盡管這種主動防御措施十分必要,但它并不能消除部署漏洞帶來的風險。 密碼產品生命周期常長達十年以上。部署后的一個漏洞,也可能危及多年的數據保密性。隨著攻擊方式的演進,若未能針對各類威脅做好充分加固,即使是最初是安全的部署方案,也可能會被利用。 安全PQC部署的最佳實踐 為確保PQC部署的長期安全性,以下措施值得推薦: • 恒定時間執行:消除數據依賴型時序行為,防范基于時序的攻擊。 • 掩碼與盲化技術:通過引入隨機性,保護中間計算過程免受側信道分析攻擊。 • 故障檢測與冗余:設計系統以實現對運行過程中注入故障的檢測、容忍或排除。 • 形式化驗證:借助專用工具與自動化分析,對部署的安全性進行驗證。 • 持續評估:定期對實現方案進行測試、密碼分析和審查,以識別并修復新出現的漏洞。 行業協作與遵循開放標準(如NIST和ISO制定的標準)對在不同平臺間實現安全且可互操作的部署至關重要。 如需深入了解相關標準與實施挑戰,請參見白皮書《嵌入式系統后量子密碼學安全部署》。 結語 PQC可助力應對量子計算帶來的日益嚴峻的威脅,但向PQC的過渡必須伴隨對安全部署的嚴格關注。PQC算法的復雜性,加之其部署實踐尚不成熟,帶來了不容忽視的現實風險。 密碼領域從經驗中認識到:強大算法的安全性取決于其最薄弱的部署環節。為了充分發揮PQC的價值,研究人員與從業者都必須將部署安全性視為基礎設計目標,以確保當下部署的系統在未來仍能抵御各類威脅。 |
