密码末日即将来临！NIST 推出新的加密标准以做好准备

决策将对许多公司产生约束力，并改变他们保护数据的方式。

在不远的将来——也许只有十年，没有人确切知道多久——随着量子计算的出现，保护你的银行交易、聊天信息和医疗记录免遭窥探的密码学将彻底崩溃. 周二，一家美国政府机构指定了四种替代加密方案来阻止这种密码灾难。

一些最广泛使用的公钥加密系统——包括那些使用 RSA、Diffie-Hellman 和椭圆曲线 Diffie-Hellman 算法的系统——依靠数学来保护敏感数据。这些数学问题包括 (1) 分解一个键的大合数（通常表示为 N）以导出其两个因子（通常表示为 P 和 Q）和 (2) 计算该键所基于的离散对数。

这些密码系统的安全性完全取决于经典计算机解决这些问题的难度。虽然生成可以随意加密和解密数据的密钥很容易，但从实际的角度来看，对手不可能计算出使它们起作用的数字。

2019 年，一组研究人员分解了 795 位 RSA 密钥，使其成为有史以来最大的密钥大小。同一团队还计算了相同大小的不同密钥的离散对数。

研究人员估计，使用 Intel Xeon Gold 6130 CPU（运行频率为 2.1 GHz），这两个新记录的计算时间总和约为 4,000 个核心年。与以前的记录一样，这些都是使用称为数字域筛的复杂算法完成的，该算法可用于执行整数分解和有限域离散对数。

量子计算仍处于实验阶段，但结果已经表明它可以瞬间解决相同的数学问题。增加密钥的大小也无济于事，因为Shor 算法是美国数学家 Peter Shor 于 1994 年开发的一种量子计算技术，它在解决整数分解和离散对数问题时的工作速度要快几个数量级。

几十年来，研究人员已经知道这些算法很容易受到攻击，并一直在警告世界为使用它们加密的所有数据都可以被解密的那一天做好准备。主要的支持者是美国商务部的国家标准与技术研究院 (NIST)，它正在引领后量子密码学(PQC) 的发展。

周二，NIST 表示，它选择了四种候选 PQC 算法来替代那些预计会被量子计算淘汰的算法。它们是：CRYSTALS-Kyber、CRYSTALS-Dilithium、FALCON 和 SPHINCS+。

CRYSTALS-Kyber 和 CRYSTALS-Dilithium 可能是使用最广泛的两种替代品。CRYSTALS-Kyber 用于建立两台从未相互交互的计算机可以用来加密数据的数字密钥。与此同时，其余三个用于对加密数据进行数字签名，以确定谁发送了它。

NIST 官员写道：“CRYSTALS-Kyber（密钥建立）和 CRYSTALS-Dilithium（数字签名）都因其强大的安全性和出色的性能而被选中，NIST 预计它们在大多数应用中都能很好地工作，”NIST 官员写道。“FALCON 也将由 NIST 标准化，因为可能存在 CRYSTALS-Dilithium 签名过大的用例。SPHINCS+ 也将标准化以避免仅依赖于签名的晶格安全性。NIST 要求公众对一个版本的SPHINCS+ 的最大签名数较少。”

今天宣布的选择可能会对未来产生重大影响。

“NIST 的选择当然很重要，因为许多大公司必须遵守 NIST 标准，即使他们自己的首席密码学家不同意他们的选择，”生产密码管理软件的公司 Cryptosense 的首席执行官 Graham Steel 说。“但话虽如此，考虑到我们现在对这些不同数学问题的安全性以及与性能的权衡，我个人认为他们的选择是基于合理的推理。”

加州大学圣地亚哥分校计算机科学与工程副教授 Nadia Heninger 对此表示赞同。

她在一封电子邮件中写道：“NIST 选择的算法将成为事实上的国际标准，除非有任何意外的最后一刻发展。” “许多公司一直在屏息等待这些选择的公布，以便他们能够尽快实施。”

虽然没有人确切知道何时可以使用量子计算机，但尽快转向 PQC 非常紧迫。许多研究人员表示，犯罪分子和国家间谍很可能正在记录大量加密通信，并将其储存起来以备不时之需。