美國國家標準暨技術研究院(NIST)近期發布首套後量子密碼學(PQC)聯邦資訊處理標準(FIPS)。這套標準建立了保護框架,以因應量子電腦可能破解現有加密協定的潛在威脅。全球各大機構,包括政府單位及大型金融組織,現已具備實作 PQC 標準的基礎,可強化系統的長期安全性。這不僅有助於資安服務供應商(MSSP)建置防護系統,也能為客戶提供更完善的 PQC 建議。然而,這些標準究竟能在多大程度上抵禦量子攻擊?這個問題的答案比想像中更為複雜。
延伸閱讀:美國 NIST 發布後量子加密標準 抵擋量子運算攻擊
量子運算對傳統密碼學的威脅
現今的密碼系統建立在傳統電腦難以解決的數學問題上,主要包括大整數分解和離散對數運算。這些問題是目前網路銀行交易和私密通訊等加密機制的基礎。1994年,研究員 Peter Shor 發表了一項突破性演算法,證實只要有足夠強大的量子電腦,就能輕易解決這些問題。這意味著一旦量子運算技術達到一定水準,現有的加密協定將面臨重大資安風險。
為了應對這項挑戰,後量子密碼學(PQC)應運而生,專注於開發抗量子加密方法。
NIST 的 PQC 標準採用 ML-KEM 和 ML-DSA 等演算法,這些演算法以模格(Module Lattice)數學問題為基礎,被視為能有效抵禦量子攻擊。儘管 NIST 無法保證這些模格問題永遠安全,但研究人員在數十年間始終無法破解,使我們對其抗量子能力保持高度信心。
標準的資安驗證機制
這些標準的安全性是如何評估的?NIST 的 PQC 標準提供了理論證明,表明在特定假設條件下,這些標準能夠抵禦量子攻擊。
以 ML-KEM 和 ML-DSA 為例,其安全性證明建立在量子電腦難以解決基礎模格問題的假設之上。這種「歸約證明」(proof by reduction)說明,如果有人能夠破解 ML-KEM 或 ML-DSA,就意味著他們也能解決被認為具有量子耐受性的模格問題。
不過,這些證明的可靠性完全取決於其基礎假設的強度。儘管密碼學界普遍認為這些模格問題是安全的,但這一點尚未得到完全證實。如果未來有人發現使用量子演算法有效解決這些模格問題的方法,這些 PQC 標準的安全性就可能受到威脅。
雜湊函數與隨機預言模型的角色
在許多密碼學機制中,包括後量子密碼學(PQC)在內,雜湊函數扮演著關鍵角色。這是一種將任意輸入轉換成固定長度輸出的數學函數。在大多數的密碼應用中,雜湊函數必須具備抗碰撞性,意即難以找到兩個不同的輸入產生相同的輸出。NIST 的 PQC 標準運用雜湊函數來達成多種目的,如資料壓縮和防範系統隨機性不足。然而,這些標準的安全性證明需要一個更強的假設:雜湊輸出必須完全隨機。這個稱為「隨機預言模型」(Random Oracle Model,ROM)的假設,是簡化安全性證明的理論架構。
ROM 假設所有參與者都能存取「隨機預言」—一個能為每個獨特輸入產生隨機且一致雜湊值的假想黑盒子。這個模型讓密碼學家得以建立安全性證明,而這些證明是建立在雜湊函數具備理想隨機性的基礎上。然而,這個假設在現實世界中並不完全成立。實際上,NIST 標準採用的雜湊函數(如SHA3-256)無法產生真正隨機的輸出。因此,儘管 ROM 的安全性證明強力支持了機制的安全性,但這並非絕對保證。
因應量子計算:量子隨機預言模型
在後量子時代,具備量子運算能力的攻擊者可能以前所未見的方式利用雜湊函數的特性。例如,量子攻擊者能夠在量子疊加態下評估 SHA3-256 等雜湊函數,大幅提升找到碰撞的速度,從而可能危及加密機制的安全性。傳統的隨機預言模型(ROM)已無法完全應對這種情況。
為此,研究人員開發了更先進的量子隨機預言模型(QROM)。
QROM 使安全性證明能夠納入量子攻擊者的考量,特別是這些攻擊者以量子方式存取隨機預言的情況。透過在安全性證明中模擬這種存取模式,密碼學專家得以更精確地評估加密機制對抗量子攻擊的效能。儘管 QROM 目前仍處於理論階段,它確實為理解和確保 PQC 標準在量子威脅下的安全性邁出了關鍵的一步。
後量子密碼學與量子安全加密的未來展望
在 ROM 和 QROM 這兩種模型中證明 PQC 標準安全性所面臨的挑戰,凸顯了後量子時代確保密碼學防禦能力的複雜性。儘管目前這些模型的安全性證明強烈顯示 PQC 標準具有穩健性,但這並非絕對保證。ROM 和 QROM 作為啟發式方法與最佳估計,有助於找出潛在弱點。這使密碼學專家能在密碼系統的設計階段就處理可能的資安漏洞,確保任何缺陷更可能出現在雜湊函數本身,而非加密協定的整體架構中。
儘管這些模型有其侷限性,NIST 的 PQC 標準仍是為量子時代做準備的重要里程碑。雖然研究人員將持續尋找系統漏洞並探索替代方案,但 PQC 標準已為各機構提供了寶貴的工具,以保護敏感資料免受現在和未來的資安威脅。
本文轉載自 MSSPAlert。