「谷歌」启动量子安全计划

发布时间:2024-03-29 来源:光子盒研究院

「谷歌」启动量子安全计划

谷歌最近发布了关于量子计算机带来的威胁的详细报告,特别指出了量子计算机对RSA和ECC等广泛使用的加密系统的潜在破坏能力。

这份博客引用了全球风险研究所(Global Risk Institute)的研究,该研究估计量子计算机在一天内破解RSA-2048加密的可能性介于17%至31%之间。

3月11日,谷歌的安全专家在博客中强调:“如果我们不立即开始使用量子安全加密算法保护数据,那么那些现在存储通信数据的攻击者可能在未来十年内能够解密这些信息。”目前,各种组织正在努力使用抵御量子攻击的替代方法来加固或替换易受攻击的系统,但这个过程并非一蹴而就。

原文链接:

https://bughunters.google.com/blog/5108747984306176/google-s-threat-model-for-post-quantum-cryptography#hybrid-deployment

谷歌目前采用后量子密码学(PQC)的主要原因是为了防止“先窃后破”(Harvest Now,Decrypt Later,HNDL)攻击,即攻击者目前存储加密数据,待未来拥有量子计算机时再行解密。

谷歌在确定对抗量子威胁的优先顺序时,考虑了攻击的可能性、即时解密攻击的风险程度、长期公钥使用案例的需求,以及重新设计PQC系统的研究需求。

当前最紧急的威胁被认为是利用TLS和SSH等脆弱算法保护的数据传输中的即时解密攻击;谷歌研究人员还提到,固件和软件签名系统也需要尽快转向PQC。

在应对PQC时,公钥基础设施(PKI)和令牌(如JSON Web令牌)面临着密钥和签名尺寸较大的性能挑战,这些问题需要进一步研究。

谷歌计划在大多数情况下使用NIST推荐的量子安全算法,包括CRYSTALS-Kyber用于密钥协议和Dilithium、SPHINCS+用于数字签名,并暂时采用与传统算法的混合模式。

需要升级的系统和协议包括TLS、SSH、Signal、谷歌的ALTS认证协议、固件签名、硬件安全模块、用于无状态认证的令牌,以及其他使用非对称加密技术的产品,如PGP、S/MIME和HPKE。

谷歌还指出,国家级行为体最有可能是第一个开发出能够破解当前加密技术的量子计算机。

“他们很可能会试图以一种可抵赖的方式部署量子计算机,以避免向对手暴露自己的能力。一些国家最有可能瞄准其他国家客户的云部署,并可能瞄准持不同政见者和其他监控目标。”

进入后量子加密时代

去年,美国国家标准与技术研究院(NIST)启动了对选定的后量子密码学算法(PQC)的标准化工作,这是在将这些高级数学工具普及给全球组织并集成入其加密基础设施之前的关键一步。紧随其后,美国国家安全局(NSA)、网络安全和基础设施安全局(CISA)以及NIST联合发布报告,建议各组织制定量子准备路线图,为未来实施PQC标准做好准备。。

报告链接:

https://www.nsa.gov/Press-Room/Press-Releases-Statements/Press-Release-View/Article/3498776/post-quantum-cryptography-cisa-nist-and-nsa-recommend-how-to-prepare-now/

同时,谷歌的一则宣布也成为了新闻焦点:该公司宣布部署一种混合密钥封装机制(KEM),用以保护建立安全传输层安全协议(TLS)网络连接时的加密秘钥分享。简单来说,这意味着世界上最流行的浏览器开始了对公共互联网主要部分的量子保护过程。

谷歌的这一举措是一系列事件中的最新发展,起因于美国国家技术与标准局(NIST)选择了Kyber作为一种用于通用加密的潜在技术。自2016年以来,NIST一直致力于应对与加密相关的量子计算机(CRQC)日益严峻的威胁。当功能完备的CRQC出现时,当前广泛使用的用于保护互联网会话安全的加密技术将不再安全。

因此,谷歌宣布,从Chrome浏览器的第116版开始将集成Kyber。这是通过在TLS中的自定义实施来实现的,TLS是一种广泛应用于互联网通信的标准。

重要的是,谷歌采用Kyber的方式是混合型的,意味着传统的椭圆曲线加密技术将与Kyber并存。这样做旨在降低风险,同时提供持续且经过时间考验的保护,以抵御当前经典计算机的攻击。此举也是一种预防措施,以防新的Kyber算法被破解。

谷歌向后量子加密保护的转移具有深远的意义,这影响着全球数亿在线用户使用的最大互联网浏览器。然而,考虑到“先窃后破”(Harvest Now,Decrypt Later,HNDL)的威胁,这一转移可能已落后于计划,而确保量子攻击的免疫力还需时日。

首先,目前谷歌似乎仅在Chrome浏览器的客户端进行了升级。为了实现真正的量子安全,相关服务器也需要采用Kyber,但似乎谷歌还未对自家的应用程序进行这样的升级。

此外,我们所需要保护的范围远超确保连接的安全。考虑到谷歌环境之外的应用程序,每个云应用提供商也需要在服务器端进行升级,以确保Chrome用户能通过Kyber安全地建立连接。但这种变更不会迅速发生。

由于TLS协议由互联网工程任务组(IETF)管理,这一切变得更加复杂。IETF尚未批准将后量子算法集成到TLS的标准化方法,而这是其广泛采用的先决条件。

最后需要注意的是,还有一个问题是如何保护数据中心间的深层通信链路。如果数据在数据中心间移动时遭到大规模截获,那么仅保护用户到应用程序的链路将无济于事。这需要单独的解决方案,例如北约使用的量子安全虚拟专用网络。

如果等不及了怎么办?

现在已经有大量文件证明,HNDL攻击已经在发生,特别是对于那些需要长期保护高度敏感数据的人来说。换句话说,需要更早采取缓解措施。

——因此,不能仅仅等待后量子算法被集成到共享的公共基础设施中,这可能需要长达数十年的时间。

这强调了企业需要规划自己的量子迁移路径,而非等待外部推动。例如,创建从业务流程到日常内部通信都受到保护的量子安全的定制端到端基础设施,而不是等待公共基础设施的升级或算法的正式批准。

谷歌的这一更新虽然未能大幅减轻许多人的压力,但从公共基础设施升级的更广泛视角来看,这无疑是一个重要里程碑。后量子迁移是一个长期过程,可能只有在功能完备的CRQC出现后才能完成,届时已为时过晚。

对于迫切需要防范量子威胁的组织来说,需要采取定制化的方法,并立即行动。

采用混合方法结合后量子和传统加密算法,提供了真正可互操作的公钥加密技术,能同时抵御量子和传统威胁。然而,这不仅仅是部署算法那么简单,可能会带来速度和新风险方面的意外后果。只有在端到端基础上实现安全,组织才能真正达到量子安全:这意味着身份识别、访问管理和人为风险的新方法都至关重要。

防范未来十年的“量子威肋”

谷歌正在加强对抗量子计算机威胁的安全措施。该公司预计,由于量子计算机有望在未来十年内破解现有的主流加密系统,因此采取预防措施势在必行。尽管这种威胁目前尚未实现,但谷歌认为其已具备现实紧迫性。

谷歌指出,RSA和ECC等流行的加密系统在未来十年内可能无法抵抗量子计算机的攻击。这一预测表明,量子计算机将在不久的将来成为黑客的利器,现行安全措施将难以应对其强大的计算能力。

为此,谷歌的安全研究团队正在关注量子安全算法,也就是后量子密码学(PQC)。PQC不仅是一种新的独立解决方案,也能增强现有的安全体系。

在准备面对这一挑战方面,谷歌已经采取了行动,开始实施PQC算法。

与谷歌一样,其他公司,如拥有超过1000万用户的德国公司Tuta Mail,以及像Signal和苹果公司的iMessage,都已选择混合模式方法。Tuta Mail最近推出了TutaCrypt,这是一种结合了CRYSTALS-Kyber(后量子密钥封装技术)和X25519(用于椭圆曲线-差分-赫尔曼密钥交换的技术)的系统。

为什么这么多公司纷纷转向抗量子加密技术?

多年来,谷歌、IBM等公司一直致力于量子计算机的研究。他们预测量子计算机的速度将远远超过传统计算机,从而在网络安全等领域产生深远的影响。

尽管关于量子计算的突破性进展一直是研究领域的焦点,但真正的实用应用尚未出现。事实上,谷歌和XPRIZE最近宣布了一项价值500万美元的比赛,以推动量子技术在现实世界的应用。那么,在量子计算机尚未实现之前,企业为何需要如此积极地准备抵御其威胁呢?

首先,量子计算的发展正以迅速的步伐前进。根据某些理论,量子计算的进步速度远超摩尔定律所描述的传统计算发展速度。考虑到对量子技术的投资日益增加,2030年出现指数级增长的可用量子计算机的可能性变得更加现实。

据估计,目前每11秒就发生一次网络攻击,这凸显了这种威胁的严重性。受攻击组织的平均经济损失预计将超过1000万美元,总损失可能达到惊人的10.5万亿美元。

因此,现在就投资于防范措施,并认识到加密只是综合安全架构的一部分是必要的,还需考虑人员、流程和技术等多个方面。

无论何种策略,对企业来说,现在是采取行动的时候。网络安全公司Group-IB的服务部门负责人维塔利·特里福诺夫(Vitaliy Trifonov)建议企业逐步过渡到量子安全加密技术。“等待抗量子加密标准和规范的确立可能会使企业处于劣势。立即迎接量子时代的到来,对于保护敏感数据和自信地利用其优势至关重要。”