【当RSA、ECC加密不再安全】因应量子运算时代的加密防护需求，PQC脱颖而出

在2020年8月举行的台湾资安大会上，除了多项专业议程与资安能量展示，吸引现场参与者的目光，其中一场特殊的资安议题演讲，同样引发热烈关注，现场座无虚席，原来这是针对量子运算威胁的应对现况的演讲，当中聚焦在后量子密码学的介绍，并提及美国NIST正举办的美国后量子密码标准竞赛。

接着在2020年11月，我国中央研究院旗下科普媒体“研之有物”，一篇“密码学也要超前布署！美国后量子密码标准竞赛，台湾学者晋级决赛”的报导，再次让各界关注到这样的议题。

事实上，这两年来，量子电脑新突破的消息持续不断，而量子破密带来的资安威胁，也持续成为焦点，到底我们是否有了因应的方法，大家都在关注，但可能又不是那么的清楚，随着2021年的到来，随着上述NIST竞赛，已经到了白热化的最后阶段，从这项密码学竞赛，或许可以让大家更了解当前的因应现况。

关于后量子密码学（Post-Quantum Cryptography），简称PQC，它与量子技术无关，其实就是密码学，而密码学也正是资通讯安全的基础。更精确地说，PQC是属于非对称式加密的一种。

为何“后量子密码学”在2020年变得如此受关注？

除了近年量子电脑实验新突破的消息不断，几乎每隔一个月就传出新的成果，更令人关注的是，美国NIST举行的“后量子密码学标准化”竞赛，正步入最后的阶段。

这项竞赛，自2016年发起，到了2020年7月迈入第三轮最后决选，这意谓著，接下来将确立后量子时代的密码标准。

简单来说，这场竞赛是对于“非对称加密系统”的考验，也就是我们熟悉的私密金钥与公开金钥应用，以及现今普遍应用的RSA、ECC算法等，而竞赛目的，就是因为现在的安全，未来将变得不安全，因此，要选出可以不受量子电脑威胁的新密码系统，成为全球新的标准。

值得关注的是，在这样的竞赛中，我们也听闻台湾有多位专家参与到提交密码系统的团队，在后量子密码标准化过程中做出努力，而在深入了解之下，更是发现，虽然台湾在这个领域的能量虽称不上雄厚，但原来并不容小觑。

PQC竞赛分两组别，公钥密码系统与数位签章

为了一探后量子密码学的发展与现况，以及了解台湾专家在这个领域的研究能量，因此，我们找了之前在台湾资安大会主讲此议题的陈君明，他有超过20年密码学研究经验，并是台大数学系兼任助理教授，与他一起探讨。

关于NIST这次的竞赛，其实就是一场密码学高手的较劲，看大家谁提交的密码系统，最可靠能不被攻破。

从NIST官方网站释出的文件可以看到，这场竞赛中分成两个项目，包括公钥密码系统与金钥建立算法（PKE/KEM），以及数位签章算法，最终选出的结果，将增强现行标准FIPS 186-4、SP 800-56A Ver3与SP 800-56B Ver 2。

对于上述标准的强化，陈君明解释，美国NIST主要就是制定国家标准，由于制定完成之后，全世界几乎会采用，因此其效果就是成为世界的标准。关于FIPS 186，这是数位签章的标准，而SP 800-56A与SP 800-56B是公钥密码系统的标准，前者与离散数学有关，后者与质因数分解有关，而在未来竞赛结束后，将诞生出新的标准。他举例，例如FIPS 186是1998年制定，已经使用了超过20年，之后不断更新，最新修订版是第5版，但每次更新幅度不会太大，而PQC则不同，因此会有新的标准名称，例如FIPS 2XX。

美国NIST在2016年宣布举行“后量子密码学标准化”竞赛，到了2020年7月公布第三轮入选者，共有7队进入决选，以及8队列入候选名单。特别的是，在这些队伍中，台湾也有4位专家参与，为全球密码系统标准化做出贡献。

2020年已选出最后7个决胜团队，以及8个候补团队

PQC竞赛进行至今，战况越来越白热化，已有超过一半的参赛投稿遭到淘汰。

简单而言，从2016年开始，NIST收到82个提交的算法项目，共有69个获选，正式进入第一轮的竞赛，经过长时间的比拼后，接着在2019年1月，仅剩26个入选第二轮，现在，2020年7月公布最后进入第三轮的，共有7个胜部候选团队，以及8个败部候选团队。估计再过一年半载，在2022年就会有最终获胜者出现。

值得注意的是，对于这两个项目的竞赛结果，NIST表示，可能选出一个或多个成为标准，到底这场竞赛的战况如何？PQC技术发展态势如何？

基本上，PQC可区分成5大子领域，包含：

● 编码密码学（Code-based cryptography）

● 网格密码学（Lattice-based cryptography）

● 多变量密码学（Multivariate cryptography）

● 杂凑密码学（Hash-based cryptography）

● 超奇异椭圆曲线同源密码学（Supersingular elliptic curve isogeny cryptography）

而在上述这些类型中，现今PQC的主流，是网格密码学（也有人称晶格密码学），从这次竞赛的决胜者名单，就可以印证。

陈君明说，在公开金钥系统项目的4个决胜者，包括Classic McEliece、CRYSTALS-KYBER、NTRU与SABER，其中McEliece属于编码密码学，其他三者都是网格密码学；在数位签章项目的3个决胜者，包括CRYSTALS-DILITHIUM、FALCON与Rainbow，其中Rainbow属于多变量密码学，其他两者也都是网格密码学。

不过，虽然网格密码学是主流，但基于鸡蛋不会放在同一个篮子里的道理，陈君明认为，最终在每个竞赛项目，NIST可能都会选出两个胜者，只是同类型应该只会择一。

换言之，CRYSTALS-KYBER、NTRU与SABER只会择一，CRYSTALS-DILITHIUM、FALCON也只会择一，而McEliece与Rainbow相对看起来概率较大，然而，结果也不一定会如此，最终还是要看NIST如何选出。这方面我们后续也会再谈到。

另外，关于这项密码学竞赛的过程，陈君明也简单说明。例如，提交团队需提供相关文件，写好程式并附上实作，评选过程会将提交的密码系统，放到平台上让大家找出弱点并尝试破解，算法效能也是竞赛看重的要点，同时也有相关论坛可讨论。而在第一轮到第三轮竞赛过程中，允许团队做微幅的修正，借由这样公开透明的过程，让大家一起研究。

密码学竞赛投稿有3个团队台湾学者参与其中

在这次PQC竞赛中，另一大关注焦点，就是当中有不少台湾专家加入竞赛的投稿团队，为全球PQC标准化做出贡献，根据陈君明的说明，共有4位台湾专家参与，包括中央研究院研究员杨柏因、中央研究院助研究员周彤，以及陈明兴与彭柏源等人。

虽然竞赛结果未定，但以这次国内专家参与的团队而言，我们也请陈君明提供更多现况与战局的观察。

陈君明表示，以周彤加入的Classic McEliece而言，在NIST官网列出的团队成员，有相当多提交者，这是因为另一NTS-KEM的团队，与Classic McEliece设计相近，因此NIST将他们合并。而这次竞赛的其他团队，也有类似的情况。

目前看来，已发展40年之久的Classic McEliece，入选概率大，理由是：在公开金钥系统项目的4个决胜者中，其他3个都是属于网格密码学，因此，陈君明认为，Classic McEliece会入选，其他三个则只会选出一个。

关于Rainbow，国内有陈明兴与杨柏因加入这个团队。对此，陈君明表示，关于多变量密码学这个类型，先后都有很多人提出，只是有的安全，有的提出来则被发现弱点不安全，有的则是执行速度太慢，目前看来，Rainbow从2005年提出至今，没有被发现什么严重的安全弱点，但却点就是产生的公钥长度太大，但还好Rainbow算是执行速度够快。

只是，虽然Rainbow目前处于胜部，但也只是胜率较高，值得注意的是，由于Rainbow是由丁津泰与Dieter Schmidt共同申请的专利，丁津泰为主要贡献者，他虽长年在美国辛辛那提大学教书，但在2020年9月选择回到中国加入清华大学，在现在美中新冷战时局之下，丁津泰是否继续参加NIST标准制定，或是NIST可能受政治影响，这些因素的不确定，都将带来新的变化。

另一方面，候选名单中还是有败部复活的可能性，只是获胜概率相对胜部较低。

例如，属于杂凑密码学的SPHINCS＋，就可能是数位签章竞赛项目中的黑马。陈君明表示，过去NIST与NSA在其他文件中，都有提到这类密码学，而他也认为，SPHINCS＋是最有可能从败部脱颖而出。

另外，在公开金钥系统竞赛项目的候选名单中，NTRU Prime的团队也有陈明兴、彭柏源与杨柏因等人参与。陈君明说，与胜部的NTRU相比，败部的NTRU Prime其实是类似的，虽然NTRU Prime看起来是更安全，但由于执行效能会差一些，因此，这可能是当时没有被选入决胜者名单的原因。

PQC标准化近在眼前，未来将面临公钥密码系统替换

无论如何，在量子电脑的发展中，密码学是最早也是最能看到被影响的学科，并冲击著现有的资安环境，而这场密码学的竞赛，也让我们注意到，全球已经在为量子破密预先做准备，预估在2022年就会选出胜者，并将再经过1到3年的标准化作业。

而陈君明也强调，他们期盼不只是这个领域的人能懂PQC，同时也希望更多人了解是怎么回事。日后我们也将可以预料的是，未来公钥密码系统的替换，可能会是一场难以想像的庞大工程。

更换公钥密码系统的工程，将是浩大且艰难的挑战

由于PQC竞赛之后，全球公钥密码系统与数位签章将有新标准，而原有使用公钥密码加解密的服务及应用也要跟进，这对未来的冲击能有多大呢？

基本上，随着量子电脑持续发展，现有RSA、ÉCC未来若不更换，恐将遭受量子破密的威胁，但要升级PQC，也是一项非常浩大的工程。对此，陈君明引述了他们公司汇智安全资讯长梁家荣整理的资讯，让我们可以更了解其升级难度。

对于公钥密码系统更换带来的影响，例如，以RSA与ECC为标准的硬件加密模组（HSM），都将需要改为PQC，陈君明指出，由于硬件安全模组目前应用广泛，例如在金融及安全敏感产业及服务相当多，同时又与机构、协议、处理与-合规高度关连，因此影响层面极大。

而且，以上层应用RSA及ECC的服务与设备而言，包含了IoT、电信网络、互联网、数位签章CA等，换言之，将从主机、服务到个人持有设备，甚至卡片（信用卡、金融卡、自然人凭证等）皆须升级，因此，这样的升级关乎目前硬件设的结构，可能需要置换设备才能达成。

同时，PCKS#11公钥加密标准也需新增相关规格，因为中介的软硬件也都要一并调整升级。

单单从上述所涉及的层面来看，我们就可以发现，这并非一件易事，几乎每一个环节都要配合。

以金融相关系统服务为例，例如，包括银行核心系统电子支付系统、信用卡系统、财金公司跨行交易系统等，都将受到影响，而更具挑战的部分是在转换时间，因为这可能会是需要数年的浩大工程。他说，以单一重要交易核心系统的转换而言，因其严谨度要求，一般皆需耗时1年以上，若要整个网络端点皆须完成转换，可能需要数年之久。

而在升级之外，陈君明也提醒大家更多要额外注意的事项，例如，要顾及历史交易凭证的留存，因此仍要维护旧系统的读取，以及终止生效过程及使用者联系沟通等作业成本上的挑战。

美国NSA公开表示看好PQC

关于量子运算对资安的威胁与因应之道，在量子技术上，其实也发展出实现密码安全的作法──量子通讯加密，而在密码学上，则是不同的路线，但同样是发展可以不被量子运算破解的密码系统。

事实上，台湾在这两条路线上都有相关发展。例如，我国科技部偕同教育部成立的前瞻量子科技研究中心，在2019年12月宣布，成功打造量子加密通设备原型，就是希望也能研究并掌握此一领域的关键技术；而在后量子密码（Post-Quantum Cryptography，PQC）方面，台湾同样有不少密码学专家投入研究，而美国NIST也正举办相关竞赛，希望能制定出后量子时代的密码学新标准。

只是，这两条发展路线谁的进展较快？毕竟，在量子加密技术领域，已有量子密钥分发（Quantum Key Distribution，QKD）技术，看似发展较成熟，并有厂商推出产品，但牵扯到量子相关硬件建置，感觉上要普及不易，而PQC密码学，虽然仍处于标准化制定阶段，但似乎相对容易普及。因此，我们询问台大数学系兼任助理教授陈君明，他在2020年8月台湾资安大会上，对于量子计算对资安的威胁与应对之道的演讲中，就曾经明白指出，全球因应对策有两大发展方向，一是PQC，另一是QKD。

对此，陈君明表示，最近刚好有一项新的消息，就是与PQC与QKD技术的发展态势有关。在2020年10月26日，美国国家安全局（NSA）公开发表了一篇文章，是针对QKD与Quantum Cryptography（QC）技术而来。

特别的是，在该篇文章中，除了介绍这类技术，但同时也提出QKD/QC的5点技术限制说明，例如：

（一）QKD只是部分解决方案，因为该技术本身不提供验证QKD传输源的方法，因此，身份验证仍需使用非对称密码学或预先放置的密钥；（二）QKD需要专用设备，无法轻松整合到现有的网络设备；（三）QKD增加了基础架构成本与内部威胁风险；（四）要确保与验证QKD是一项重大挑战；（五）虽然QKD技术可以察觉窃听者，但会增加DoS攻击的风险。

在分析了上述原因后，NSA指出，他们不再看好这类技术的发展，除非能克服这些限制，并且在文章最后，明白指出他们未来将只会关注PQC的发展。

陈君明表示，他之前在台湾资安大会的演讲中，只是说明PQC的优势，例如，透过算法的方式，可使用现有电脑与网络架构，研发与建置成本远低于QKD，而且PQC包含数位签章机制。

而这次NSA将他们对QKD不满意的地方，全部一五一十的列出来，而且说明他们没有办法忍受这些缺点，在这些缺点被克服之前，他们完全不会考虑QKD。陈君明甚至用跌破眼镜来形容此事，因为以NSA这样低调的单位，居然公开点破这件事。也因此，目前PQC的发展态势将更售到关注。