谷歌启用抗量子密码，白宫发表最新声明

　　光子盒研究院出品
　　11月19日，谷歌宣布[1]，Google Cloud已经在内部ALTS协议上启用了抗量子密码(或PQC)。
　　谷歌内部加密传输协议应用层传输安全（ALTS）：启用抗量子密码
　　当访问一个网站，并且该网站URL以HTTPS开头时，用户就依赖于一个安全的公钥密码协议来保护其与网站共享的信息免受窃听。公钥密码包括在谷歌内部使用的协议，是最安全的通信协议的基础，可以作为保护资产和用户数据免受威胁的任务的一部分。
　　谷歌自己的内部加密传输协议应用层传输安全（ALTS）就使用公钥加密算法，以确保谷歌的内部基础设施组件相互通信，并确保通信经过认证和加密。
　　广泛部署并经过审查的公钥密码算法（如RSA和椭圆曲线密码）对当今的对手来说是高效和安全的。然而，正如Google Cloud CISO Phil Venables在7月所写[2]，谷歌预计未来大规模量子计算机将彻底打破这些算法。密码界已经开发了这些算法的几种替代方案，通常称为抗量子密码，谷歌表示，预计这些算法将能够抵御量子计算机驱动的攻击。
　　现在，Google Cloud已经在内部ALTS协议上启用了其中一种算法。
　　01
　　PQC威胁模型
　　虽然目前的量子计算机无法在实践中破解像RSA这样广泛使用的密码方案，但我们仍需要开始规划防御，原因有两个：
　　1）攻击者今天可能会存储加密数据，并在他们访问量子计算机时对其进行解密（也称为现在存储以后解密的攻击）；
　　2）随着量子计算机的到来，产品的寿命可能会重叠，并且很难更新系统。
　　第一个威胁适用于传输中的加密，它使用易受量子攻击的非对称密钥协议；第二个威胁适用于使用寿命较长的硬件设备，例如，某些依赖数字签名的安全引导应用程序。
　　02
　　为什么谷歌在内部选择NTRU-HRSS？
　　由于美国国家标准与技术研究院（NIST）的PQC标准仍悬而未决，推出抗量子密码技术目前只能短暂进行，并且，交换的数据只使用一次。
　　谷歌的内部传输加密协议ALTS是此类推广的理想候选，因为使用该协议控制所有端点，如果NIST采用不同的标准，则可以相对轻松地切换到不同的算法。控制所有端点可以有信心击败＂现在盗取、以后解密＂类型的攻击，而不必担心必须维护非标准解决方案。
　　部署新的加密技术是有风险的，因为它没有经过现场测试。事实上，NIST过程中的几个候选人遭受了毁灭性的攻击，甚至不需要量子计算机。谷歌的这一部署避免了这样一种情况，即试图保护基础设施免受理论计算架构的影响、通过添加抗量子算法作为附加层，使其无法抵御笔记本电脑随后恢复私钥。
　　这种策略有助于确保当前部署的、经过审查和测试的加密技术的安全性仍然存在。
　　注意，未来可以伪造签名的对手不会影响协议的过去会话。目前的实践者只需要解决＂立即存储，稍后解密＂类型的攻击，因为这些攻击可能会影响我们今天的数据。由于签名算法威胁不是即时的，我们能够以两种方式简化审查过程：
　　1）只需要为协议的关键协议部分添加PQC；
　　2）它允许我们只更改依赖于临时密钥的部分。对于真实性，我们仍然依赖经典密码学，这可能只会在大规模量子计算机存在时受到影响。
　　03
　　关于抗量子密码，美国政府的态度
　　11月18日，白宫管理和预算办公室（OMB）发布了一份新的备忘录[4]，概述了联邦机构需要在量子计算机开始运行之前开始向抗量子密码技术的迁移。
　　OMB建议联邦实体采取预备措施，效仿拜登总统早些时候的行政命令，加强美国的网络防御态势。新备忘录要求联邦机构清查其当前的加密硬件和软件系统，强调需要额外网络安全协议的高价值资产和高影响系统。
　　然后，机构领导层将负责将这些信息汇编成一份报告，其中包含国家网络局长办公室和网络安全与基础设施安全局各自的高风险信息资产和系统摘要，以帮助预算、规划和执行从标准到有效的抗量子密码的过渡。
　　OMB官员指出，机构提交的高风险系统将主要处理任何量子黑客企图都可能利用的敏感数据。＂拜登-哈里斯政府正在努力确保美国在新兴的量子计算领域的领导地位，＂联邦首席信息安全官Chris DeRusha在一份声明中告诉表示：＂这场全球技术竞赛既有巨大的希望，也有巨大的威胁。我们正在优先努力保护联邦政府的敏感数据，防止未来量子计算机的潜在危害；这一行动标志着一项重大事业的开始，使我们的国家为这项新技术带来的风险做好准备。＂
　　根据OMB最新声明，向抗量子密码标准的迁移将是迄今为止最重要的，需要几年才能完成。OMB建议，在清点信息系统时，联邦机构应与软件供应商合作，以确定其网络中的量子密码术后测试机会，并向拜登政府推动公私部门合作。
　　几个联邦机构一直在协同努力，推动政府数字网络中的抗量子迁移。NIST先前发布了四种抗量子算法，以促进和加快当前代码的更新。这些将是NIST正在进行的抗量子密码计划的一部分，预计将在两年内完成。
　　在更具前景的抗量子选择中，NIST青睐基于格的算法，NIST最近宣布[3]选择Kyber作为NIST批准的第一个抗量子密码密钥封装机制（KEM）。Kyber具有高性能（在考虑操作时，其延迟成本比基于替代格的同类产品更均衡），但NIST对其知识产权状况仍缺乏一些澄清。
　　因此，谷歌表示，抗量子密码迁移在规模、范围和技术复杂性方面带来了前所未有的挑战，需要格外小心。这就是为什么他们使用混合方法在ALTS部署NTRU-HRS：将两个方案组合成一个机制，这样，有意破坏该机制的对手就需要破坏这两个基础方案。对这一设置的选择是：NTRU-HRSS和X25519，因此与Google Chrome 2018的CECPQ2实验选择相匹配，并允许谷歌重新使用BoringSL的CECPQ 2实现。
　　参考链接：
　　[1]https://cloud.google.com/blog/products/identity-security/why-google-now-uses-post-quantum-cryptography-for-internal-comms?utm_source=substack&utm_medium=email
　　[2]https://cloud.google.com/blog/products/identity-security/how-google-is-preparing-for-a-post-quantum-world/
　　[3]https://csrc.nist.gov/News/2022/pqc-candidates-to-be-standardized-and-round-4
　　[4]https://www.nextgov.com/cybersecurity/2022/11/white-house-begins-push-federal-post-quantum-cryptography-migration/379936/