作者：是德科技創(chuàng)新總監(jiān)Durga Ramachandran

為了應(yīng)對(duì)量子計(jì)算的最終問(wèn)世，數(shù)字基礎(chǔ)設(shè)施必須完成向后量子密碼學(xué)（PQC）的過(guò)渡，這是一項(xiàng)至關(guān)重要的準(zhǔn)備工作。美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）已選定CRYSTALS-Kyber、CRYSTALS-Dilithium等算法推進(jìn)標(biāo)準(zhǔn)化，這些算法均建立在研究充分、數(shù)學(xué)層面穩(wěn)健的基礎(chǔ)上。然而，僅有強(qiáng)大的算法設(shè)計(jì)還遠(yuǎn)遠(yuǎn)不夠，如果部署過(guò)程存在安全隱患，密碼系統(tǒng)仍將面臨風(fēng)險(xiǎn)——算法安全性并不等同于部署安全性。

縱觀密碼學(xué)的歷史，許多系統(tǒng)遭到破壞，并非因?yàn)樗惴ū旧泶嬖谌毕?，而是因?yàn)槠鋵?shí)際部署過(guò)程中存在漏洞。此篇是德科技文章將對(duì)其中的緣由和歷史教訓(xùn)進(jìn)行一一剖析，并針對(duì)實(shí)際挑戰(zhàn)給出解決方案。

部署漏洞：RSA帶來(lái)的教訓(xùn)

在密碼系統(tǒng)因?qū)嶋H部署缺陷而被攻破方面，RSA堪稱典型案例。自1977年問(wèn)世以來(lái)，盡管RSA的數(shù)學(xué)安全性無(wú)明顯爭(zhēng)議，但各類側(cè)信道攻擊與故障注入攻擊仍屢屢對(duì)其部署方案發(fā)起進(jìn)攻，并成功突破其防御。

從20世紀(jì)90年代末開(kāi)始，諸如時(shí)序分析、簡(jiǎn)單功耗分析（SPA）、差分功耗分析（DPA）、相關(guān)功耗分析（CPA）等攻擊手段，以及Bellcore CRT攻擊（1996年）等故障注入技術(shù)，均揭示了部署層面缺陷的利用方式。近年來(lái)，機(jī)器學(xué)習(xí)輔助的側(cè)信道攻擊，進(jìn)一步暴露了原本安全的密碼部署中的弱點(diǎn)。

安全實(shí)現(xiàn)PQC的挑戰(zhàn)

在實(shí)際系統(tǒng)中部署PQC算法將面臨多重技術(shù)挑戰(zhàn)。像嵌入式系統(tǒng)、物聯(lián)網(wǎng)平臺(tái)及移動(dòng)硬件這類設(shè)備，往往受限于內(nèi)存容量、處理器速度和能源供應(yīng)等資源約束。開(kāi)發(fā)者為滿足性能要求，常會(huì)采用各類優(yōu)化技術(shù)，卻可能在無(wú)意中引入安全缺陷。

相較于RSA或ECC等傳統(tǒng)算法，PQC算法通常涉及更大的密鑰長(zhǎng)度、更復(fù)雜的數(shù)學(xué)運(yùn)算及更高的計(jì)算成本。因此，這類算法本身就更難實(shí)現(xiàn)安全部署，在資源受限的環(huán)境中尤其如此。而這些復(fù)雜性可能會(huì)增加側(cè)信道泄露風(fēng)險(xiǎn)，或引發(fā)操作不一致問(wèn)題，為攻擊者提供可乘之機(jī)。

PQC部署的成熟度與復(fù)雜性

PQC標(biāo)準(zhǔn)相對(duì)較新，其部署生態(tài)系統(tǒng)仍在逐步完善中。相較于AES和RSA等經(jīng)過(guò)數(shù)十年廣泛研究與部署的傳統(tǒng)密碼原語(yǔ)，PQC在實(shí)際場(chǎng)景中的使用經(jīng)驗(yàn)仍較為有限。

此外，許多PQC方案（尤其是基于格和基于碼的設(shè)計(jì)）引入了新型數(shù)學(xué)構(gòu)造，增加了部署復(fù)雜度。例如，涉及多項(xiàng)式乘法、矩陣運(yùn)算、拒絕采樣的操作必須精確處理，以防止意外的信息泄露。內(nèi)存訪問(wèn)模式或控制流的細(xì)微變化都可能導(dǎo)致敏感數(shù)據(jù)暴露。

當(dāng)下的部署風(fēng)險(xiǎn)

盡管PQC部署的誕生時(shí)間尚短，但它們已顯露出對(duì)傳統(tǒng)攻擊技術(shù)的脆弱性，包括：
·側(cè)信道攻擊（SCA）：利用時(shí)序波動(dòng)、功耗變化或電磁輻射差異提取密碼機(jī)密。
·故障注入（FI）攻擊：通過(guò)電壓毛刺、時(shí)鐘操控或激光脈沖等手段誘發(fā)故障，以此影響計(jì)算過(guò)程并推斷出機(jī)密數(shù)據(jù)。
·模板與基于機(jī)器學(xué)習(xí)的攻擊：利用統(tǒng)計(jì)模型或基于訓(xùn)練的方法，識(shí)別并利用部署行為漏洞。

安全的壽命與“先存儲(chǔ)，后解密”模式

行業(yè)正在加速PQC的采用，以應(yīng)對(duì)“先存儲(chǔ)，后解密”（SNDL）的威脅，即攻擊者現(xiàn)在竊取加密數(shù)據(jù)，以圖在量子能力成熟后，再利用該能力解密數(shù)據(jù)。盡管這種主動(dòng)防御措施十分必要，但它并不能消除部署漏洞帶來(lái)的風(fēng)險(xiǎn)。

密碼產(chǎn)品生命周期常長(zhǎng)達(dá)十年以上。部署后的一個(gè)漏洞，也可能危及多年的數(shù)據(jù)保密性。隨著攻擊方式的演進(jìn)，若未能針對(duì)各類威脅做好充分加固，即使是最初是安全的部署方案，也可能會(huì)被利用。

安全PQC部署的最佳實(shí)踐

為確保PQC部署的長(zhǎng)期安全性，以下措施值得推薦：
·恒定時(shí)間執(zhí)行：消除數(shù)據(jù)依賴型時(shí)序行為，防范基于時(shí)序的攻擊。
·掩碼與盲化技術(shù)：通過(guò)引入隨機(jī)性，保護(hù)中間計(jì)算過(guò)程免受側(cè)信道分析攻擊。
·故障檢測(cè)與冗余：設(shè)計(jì)系統(tǒng)以實(shí)現(xiàn)對(duì)運(yùn)行過(guò)程中注入故障的檢測(cè)、容忍或排除。
·形式化驗(yàn)證：借助專用工具與自動(dòng)化分析，對(duì)部署的安全性進(jìn)行驗(yàn)證。
·持續(xù)評(píng)估：定期對(duì)實(shí)現(xiàn)方案進(jìn)行測(cè)試、密碼分析和審查，以識(shí)別并修復(fù)新出現(xiàn)的漏洞。

行業(yè)協(xié)作與遵循開(kāi)放標(biāo)準(zhǔn)（如NIST和ISO制定的標(biāo)準(zhǔn)）對(duì)在不同平臺(tái)間實(shí)現(xiàn)安全且可互操作的部署至關(guān)重要。

如需深入了解相關(guān)標(biāo)準(zhǔn)與實(shí)施挑戰(zhàn)，請(qǐng)參見(jiàn)白皮書《嵌入式系統(tǒng)后量子密碼學(xué)安全部署》。

結(jié)語(yǔ)

PQC可助力應(yīng)對(duì)量子計(jì)算帶來(lái)的日益嚴(yán)峻的威脅，但向PQC的過(guò)渡必須伴隨對(duì)安全部署的嚴(yán)格關(guān)注。PQC算法的復(fù)雜性，加之其部署實(shí)踐尚不成熟，帶來(lái)了不容忽視的現(xiàn)實(shí)風(fēng)險(xiǎn)。

密碼領(lǐng)域從經(jīng)驗(yàn)中認(rèn)識(shí)到：強(qiáng)大算法的安全性取決于其最薄弱的部署環(huán)節(jié)。為了充分發(fā)揮PQC的價(jià)值，研究人員與從業(yè)者都必須將部署安全性視為基礎(chǔ)設(shè)計(jì)目標(biāo)，以確保當(dāng)下部署的系統(tǒng)在未來(lái)仍能抵御各類威脅。