后量子密码迁移白皮书（2024）

O 西 LRINFO 后量子密码迁移白皮书 （2024） 西电广研院 2024年06月 O 西 ❖参与单位： LRINFO 西安电子科技大学广州研究院、广州链融信息技术有限公司、中国人民银行数字货币研究所、西安电子科技大学、北京理工大学、中国电信集团有限公司、华夏银行股份有限公司、中国科学院信息工程研究所、复旦大学、安徽问天量子科技股份有限公司、格尔软件股份有限公司、上海交通大学、暨南大学、天翼安全科技有限公司、龙盈智达 （北京）科技有限公司、北京航空航天大学、广州大学、贵州大学、天翼电子商务有限公司、中国电信集团有限公司广州分公司、云上(江西)密码服务科技有限公司 ❖指导委员会： 西电广研院 马建峰、杨义先、曹珍富 ❖编写人员： 裴庆祺、王励成、宋玲娓、雷静、赵鹏、吴永飞、路献辉、赵运磊、谭武征、刘紫千、王彦博、朱浩瑾、祝烈煌、翁健、田志宏、樊迪、刘雪峰、马立川、刘樵、张宗洋、徐光侠、陈玉玲、刘长波、方宇、魏文术、蒋斌、肖阳、吕法科、郑向上、吴洋洋、马晓亮、姜林海、刘振、 田翠翠、赵勇智、辛梓焜、贺伟、贾蒴、杨璇、王一多 O 西 前言 LRINFO 后量子密码（Post-quantumcryptography，PQC），国内又称抗量子密码（Quantum-resistantcryptography，QRC）。广义上，也可以将依赖量子力学特性的量子密码学（Quantumcryptography，QC）纳入后量子密码的范畴——因其具有抵量子攻击的能力；狭义上，后量子密码特指能够在现有电子计算机上实现的、具有抵抗未来量子计算机攻击能力的数学密码——本报告即取此义。 近年来，量子计算技术飞速发展，作为衡量量子计算能力的量子体积数呈“指数级”增长。传统基于数论难题的公钥密码算法及其协议和系统的安全性均面临量子计算的威胁。随着NIST后量子密码候选标准算法的推出，全球各主要国家的后量子密码算法迁移已经被提上议事日程。 西电广研院 后量子密码迁移不等同于“后量子密码算法标准的制定+后量子密码算法的实现及替换”，它至少包含了对现有网络和信息系统的量子脆弱性发现和相应的风险评估、后量子密码标准算法及安全协议的安全实现和有序部署、以及随之而来的兼容性、互操作性评测等，它是一个社会化的系统工程，必将涉及到各行各业乃至每一个人，因此也包含了相关技术链条上下游企事业单位共同参与的产学研用相结合的后量子密码迁移生态的培育和发展。 本报告简要回顾传统密码技术图景及其面临的量子威胁，详细梳理现有后量子密码的技术路线，重点关注NIST后量子密码算法的征集过程，通过解读NIST及相关国际化组织相继推出的后量子 O 西电广研院 西 密码迁移研究报告，给出后量子密码迁移路线图，包括现有密码体系量子脆弱性的发现和风险评估、现有后量子密码迁移的实现及性能评测、先行试点等，并提出我国后量子密码迁移的发展建议。 LRINFO 本报告虽然经过编写团队的不懈努力，但由于能力和水平有限，疏漏和不足之处在所难免，敬请广大读者和专家批评指正。 O 西 目录 第一章传统密码面临的量子威胁1 1.1传统密码技术图景1 1.2量子计算对传统密码的威胁5 1.2.1量子计算对传统对称密码的威胁5 1.2.2量子计算对传统公钥密码的威胁7 LRINFO 第二章后量子密码技术路线及标准化进程10 2.1后量子密码技术路线10 2.2后量子密码算法的标准化进程13 第三章后量子密码迁移计划及面临的挑战19 3.1后量子密码迁移计划19 3.1.1国际后量子密码迁移计划概览19 3.1.2我国后量子密码迁移研究现状22 西电广研院 3.2后量子密码迁移的路线图23 3.3挑战一：现有业务系统量子脆弱性发现及风险评估难27 3.4挑战二：现有后量子密码算法安全实现及热迁移难28 第四章现有业务系统量子脆弱性发现29 4.1量子脆弱性发现的工作流及架构描述29 4.1.1代码开发中的量子脆弱性发现30 4.1.2操作系统中的量子脆弱性发现31 4.1.3网络流量中的量子脆弱性发现32 O 西 4.2量子脆弱性的密码态势感知工具及案例34 4.2.1国外的密码态势感知工具34 4.2.2国内的密码态势感知工具38 4.2.3量子脆弱性发现案例40 4.3风险评估方法45 4.3.1莫斯卡定理及密码敏捷风险评估框架46 LRINFO 4.3.2金融科技领域48 4.3.3通信网络领域50 4.3.4电子政务领域50 第五章现有后量子密码算法迁移及评测52 5.1后量子密码算法及应用的实现52 5.2后量子安全外壳协议（PQ-SSH）的评测56 5.3后量子传输层安全协议（PQ-TLS）的评测58 西电广研院 5.4后量子公钥基础设施（PQ-PKI）的评测67 第六章先行试点：后量子区块链72 6.1国外后量子区块链研究现状72 6.2国内后量子区块链研发现状80 第七章后量子密码迁移发展建议85 7.1加快我国后量子密码标准体系建设85 7.2加快现有系统量子脆弱性发现与评估86 7.3培育后量子密码迁移生态86 INFO 西电广 第一章传统密码面临的量子威胁 1.1传统密码技术图景 LRINFO 密码学历史悠久，相关技术的应用日渐普及，从军事领域，逐步扩展到商业领域，并渗透到现代社会的各行各业，不断发展演进，为人们的生产和生活方式提供信息安全保障。传统意义上，密码学算法主要包括对称算法、非对称算法和杂凑算法等。表1给出了部分经典密码算法及其国际、国密标准。 •对称密码算法，又称私钥密码算法，其特点为通信双方使用相同的密钥进行数据加密和解密，且由于对称密码加解密操作性能高效，常用于数据加密传输、数据库加密存储等场景，保障数据机密性。 西电广研院 •非对称密码算法，又称公钥密码算法，其特点为通信双方使用一对不同的密钥（公/私钥对），其中公钥用于加密信息，私钥用于解密信息。虽然其加解密性能不及对称密码算法，但由于其私钥无需共享，因而给传统密码学带来了更多丰富应用，常用于生成短期的对称会话密钥、安全证书、数字签名等场景，实现身份验证、数据保密等关键功能。 •杂凑算法（杂凑函数），又称散列函数或哈希函数，指将任意长度的数字消息映射成固定长度数字串的函数，常用于密码存储、数据完整性校验等功能。 O 西 LRINFO 表1现代密码算法及其标准[1-16] 密码算法 密码体系 算法分类 国际算法标准 国密算法标准 非对称密码 加密算法 RSA(NISTSP800-56Brev1) SM2-3 （GB/T35276-2017） 数字签名 RSA(FIPS186-4) SM2-1 （GB/T35276-2017） ECDSA(FIPS186-4) 密钥交换 DH(IETFRFC3526) SM2-2 （GB/T35276-2017） ECDH(FIPSSP800-56A) 对称密码 加密算法 AES （FIPS197） SM4 （GB/T32907-2016） ZUC(GB/T33133.2-2021) 杂凑算法 SHA （FIPS180-4） SM3 （GB/T32905-2016） 西电广研院 对称密码保障机密性和完整性。信息系统发展的早期，密码学应用的主要关注点在于保障安全的通信[17]。敏感信息在通过公共互联网进行传输时可能会遭到恶意攻击者的窃听，因而产生了机密性的需求，即数据通信过程中只被合法的通信方获取，而向未经授权的第三方隐藏。在这一背景下，密码学家设计了各种对称加密算法 （例如AES、ZUC、SM4等），通过将信息转化为只有授权方能解密的形式保障了机密性(Confidentiality)。除此之外，实现机密性并不足以确保信息的安全，因为攻击者还可能对密文进行恶意篡改，如 O 西 直接删除部分信息，且接收方可能无法察觉这一恶意行为，因此，保障数据的完整性同样重要，其强调在通信过程中，可未经授权的第三方不得对数据进行非法篡改或伪造。杂凑算法（例如SHA、SM3等）使用密钥为数据生成固定长度的标识，由拥有相同密钥的另一方进行完整性验证，即可保障数据的完整性(Integrity)。 LRINFO 公钥密码拓展身份的可认证性。对称密码算法的密钥需要一对一发放，因此在不安全的信道中安全传输对称密钥成为关键挑战。公钥密码算法应运而生（例如RSA、ECC、SM2等），建立在一系列数学困难问题所构成的陷门单向函数上。一方面，为对称密码学的广泛应用提供密钥交换等重要支撑；另一方面，通过将陷门设置 西电广研院 为私钥，保障不掌握私钥中陷门信息的任何敌手都无法获得明文信息，拓展了更多应用场景。由于互联网信息的匿名性，恶意的中间人可冒充通信方身份窃取隐私，因此身份认证也同样重要。数字签名算法与公钥加密算法的原理类似，使用私钥用于签名，公开的密钥用于验证。结合可信的证书颁发机构（CA）提供的公钥、身份、有效期等信息，只要通信方能提供通过验证的经过CA签名的各自身份对应的证书，即可实现通信的可认证性(Authenticity)。 综合运用上述密码算法，可以设计各种类型的密码协议（又称安全协议），完成两方或多方参与者的特定任务并满足数据机密性、完整性、不可否认性等安全需求。常见的密码协议，如SSL/TLS、SSH、PKI等，为数据安全和系统可靠性提供了不可或缺的保障。 O 西 LRINFO TLS/SSL(SecureSocketsLayer)协议综合使用加密算法、杂凑算法、数字签名算法等多种传统密码技术，为客户端和服务器之间的网络通信提供数据加密与身份认证的重要功能。其自身经过多次升级优化，最终更新并改名为TLS(transportlayersecurity)。TLS传输协议位于不安全的TCP/IP等底层网络通信协议之上，其中握手协议进行身份认证与共享密钥的协商，记录协议保证通信数据的机密性与完整性。实际中，多种上层应用建立在TLS的服务之上。例如，HTTPS(HTTPoverTLS)基于TLS协议，为HTTP协议增加了安全性，已广泛应用于万维网服务器，Chrome、InternetExplorer等常见浏览器都支持HTTPS协议[17]。 西电广研院 SSH(SecureSHell)协议主要用于在不安全网络上实现安全远程登录和数据传输。在SSH协议出现之前，常用的远程连接协议，如Telnet和Rlogin，主要使用基于口令的身份验证方式。谁拥有正确的用户名和口令，谁就可以登录到远程主机，因此，缺乏针对中间人攻击的有效保护。SSH协议通过采用多种身份验证方式，包括密码认证、基于公钥的认证和基于证书的认证，确保用户的合法性并防止未经授权的访问。同时，它使用对称加密（如AES）和非对称加密（如RSA）技术，保障数据在传输过程中的机密性和完整性。SSH协议一个广泛应用的开源实现是OpenSSH，已被集成到各种Linux发行版中，用于系统管理和安全文件传输。通过提供对中间人攻击和数据篡改的防护，SSH为远程登录和数据传输提供了可靠的安全保障，使其成为现代网络安全不可或缺的一部分。 O 西 LRINFO PKI(PublicKeyInfrastructure)是一种遵循公钥密码理论和技术为电子商务等业务提供普适性安全服务平台的基础设施。在PKI系统中，由CA签发数字证书、绑定用户的身份信息和公钥。PKI依赖方(RelyingParty)在使用PKI时，预先存储自己信任的根CA的自签名证书，以便验证由该CA签发的证书的真实性和有效性，可信地获得与之通信用户的公钥，用于各种安全服务。X.509是公钥证书的格式标准。X.509证书已应用在包括TLS/SSL在内的众多网络协议里，同时它也用在很多非在线应用场景里，比如电子签名服务。X.509证书里含有公钥、身份信息（比如网络主机名，组织的名称或个体名称等）和签名信息（可以是证书签发机构CA的签名，也可以是自签名）。 1.2量子计算对传统密码的威胁 1.2.1量子计算对传统对称密码的威胁 西电广研院 传统对称密码（如AES