Google Cloud KMS 導入抗量子數位簽章功能，強化雲端加密防護

Google 近日宣布其雲端金鑰管理服務（Cloud Key Management Service，KMS）新增抗量子數位簽章（quantum-resistant digital signatures）支援功能，這是該公司實施美國NIST後量子密碼（Post-Quantum Cryptography，PQC）標準的重要里程碑。

根據 Google Cloud 機密運算與加密產品管理總監 Nelly Porter 表示，此預覽版功能目前以軟體為基礎的客戶管理加密金鑰（Customer-Managed Encryption Keys，CMEK）形式提供。企業可透過 Cloud KMS 的 API 來產生符合要求的後量子簽章或 PKI 系統所需的金鑰，並驗證量子電腦無法破解這些採用新標準的簽章。

在技術實作方面，Google Cloud KMS 首波支援兩種 NIST 數位簽章演算法標準：基於格密碼的數位簽章標準 FIPS 204 和基於無狀態雜湊的數位簽章標準 FIPS 205。Porter 強調，這項支援對於需要遷移長期使用 PKI 憑證的組織特別重要，因為許多這類憑證可能已使用超過十年。至於用於非對稱加密的 FIPS 203 標準支援，預計將於今年稍後推出。

為了協助企業保護內部工作負載並進行效能測試，Google 同時開放了 NIST 標準的開源實作。這些實作被整合到 Google 的加密函式庫 BoringCrypto 和 Tink 中，使客戶和安全社群能夠完整審查演算法實作的程式碼。Google 也正與硬體安全模組（HSM）和 Google Cloud External Key Manager（EKM）合作夥伴合作，以啟用後量子密碼功能。

在基礎設施方面，Google 已開始在其雲端服務和核心服務中部署 FIPS 203（又稱 ML KEM）支援。Porter 表示，該標準用於加密所有服務之間的金鑰交換通訊，目前正透過 Google 的傳輸層協定 ALTS 進行無縫部署。

值得注意的是，根據美國前總統拜登的行政命令，美國各組織需在 2030 年 1 月前完成後量子密碼系統的部署。這項時程設定反映了量子電腦可能在未來破解現有 AES 和 RSA-2048 加密的潛在威脅。

除了 Google，微軟和亞馬遜 AWS 也都在各自的開源計畫中支援 NIST PQC 標準。微軟已在其核心加密函式庫 SymCrypt 中加入支援，該函式庫廣泛應用於 Azure、Microsoft 365、Windows 等產品中。這顯示主要雲端服務供應商都在積極為後量子時代做準備。

透過這次 Cloud KMS 的更新，Google 為企業提供了必要工具，及早因應量子運算時代的資安挑戰。隨著量子電腦技術持續發展，及早導入後量子密碼技術將成為企業資安策略中不可或缺的一環。

本文轉載自darkreading。