美國國家標準與技術研究院(NIST)將九種數位簽章演算法推進至其後量子密碼標準化工作的第三輪,該機構正持續開發能夠抵禦未來量子電腦攻擊的加密系統。在最新發布的報告中,NIST詳細介紹了第二輪評估過程,並指出,在評估了公眾反饋、安全分析、實現性能和部署考慮後,NIST選擇了FAEST、HAWK、MAYO、MQOM、QR-UOV、SDitH、SNOVA、SQIsign和UOV這九種演算法進行進一步審查。這些演算法正被評估為NIST不斷增長的後量子密碼標準組合的潛在補充,旨在保護敏感訊息,使其在實用量子計算出現之後也能繼續發揮作用。
最新一輪的遴選反映出各國政府和產業日益迫切地需要為後量子時代的轉型做好準備,包括關鍵基礎設施、通訊系統、雲端服務和數位身分框架。這項轉型可能需要數年時間才能全面實現。美國國家標準與技術研究院 (NIST) 在 2022 年的遴選活動中收到了 50 份申請,從中選出了 40 份入圍第一輪的候選方案,並在第二輪篩選出 14 份最終入圍方案,最終在本月選出了剩餘的 9 份候選方案。
該機構表示,選定的演算法經過了NIST 研究人員和更廣泛的密碼學界的廣泛分析,包括理論安全審查、性能測試和實施研究,旨在評估其在現實世界部署中的長期可行性。
鑑於人們日益擔憂量子運算的進步最終可能會破解廣泛使用的公鑰密碼系統,美國國家標準與技術研究院 (NIST) 於 2016 年啟動了更廣泛的後量子密碼標準化流程。自那時起,該機構開展了多輪競爭性審查流程,旨在確定適用於聯邦政府和商業部署的抗量子密鑰封裝機制和數位簽章方案。
該機構先前透過幾輪立法制定了多種演算法標準,包括基於格和基於哈希的簽名標準,但在 2022 年單獨發出了一份額外的數位簽章提案徵集通知,旨在使加密組合多樣化,超越基於格的方法,並確定針對更短簽章和更快驗證效能優化的方案。
美國國家標準與技術研究院 (NIST) 表示,其對第二輪後量子數位簽章候選方案的評估主要集中在三個方面:安全性、成本和性能,以及演算法和實現的整體特性。 NIST 也強調需要突破以往標準化的密碼學方法,要求基於格的方案必須展現出比 CRYSTALS-Dilithium 和 Falcon 方案顯著的性能提升,而非格方案則需要在至少一個方面顯著優於 SPHINCS+ 方案。
安全性仍然是該機構的首要任務,因為未來的演算法旨在廣泛部署於互聯網協定、韌體更新、文件簽名、證書系統和關鍵數位基礎設施等領域。 NIST強調了強大的不可偽造性保護、抵禦側通道攻擊和多密鑰攻擊以及透明披露已知密碼分析漏洞的重要性。
一些第二輪候選演算法,特別是基於不平衡油醋(UOV)的多變量演算法,在評審過程中遭遇了重大攻擊,影響了UOV、MAYO和SNOVA的參數集。然而,NIST指出,這些演算法的完整參數集仍然存在,包括QR-UOV的所有已提出參數。
該機構還評估了實際部署方面的考慮因素,例如金鑰和簽章大小、運算效率、記憶體需求和硬體效能。 NIST表示,在第二輪評估中,一些候選方案透過架構重新設計和新技術(例如頭部閾值計算和頭部向量不經意線性評估)實現了顯著的效能提升,這些技術在提高簽章和驗證速度的同時,也減小了簽章大小。
同時,NIST 繼續監測實施的簡易性、側通道抗災能力和智慧財產權問題,並表示第二輪中沒有發現任何側通道問題嚴重到足以排除任何候選方案進入第三輪。
美國國家標準與技術研究院 (NIST) 詳細說明,基於受限綜合症解碼問題的代碼簽名方案 CROSS 在第二輪評估中接受了額外的安全分析和參數更新。然而,該機構表示,該方案的性能與 SPHINCS+ 太相似,簽名性能僅有輕微提升,且簽名規模非常大,因此 NIST 決定將其排除在進一步考慮範圍之外。
該機構表示,基於線性碼等價性問題的LESS演算法在第二輪比賽中透過規範形式優化顯著減小了簽名大小。儘管如此,該機構最終認為,LESS演算法龐大的公鑰、較慢的簽名和驗證性能以及新近曝光的針對參數安全裕度的攻擊,抵消了其在簽名大小方面的優勢,因此將其淘汰出局。
美國國家標準與技術研究院 (NIST) 表示,SQIsign 是最獨特的候選方案之一,因為它公鑰和簽名總大小極小,使其在憑證和韌體更新方面極具吸引力。該機構稱,架構改進使簽名性能提升了約 20 倍,同時保持了對早期 SIKE 方案所遭受攻擊的抵抗力。儘管存在實現複雜性和側通道攻擊防護方面的擔憂,但 SQIsign 憑藉其緊湊性和日益成熟的特性,成功晉級第三輪。
該機構表示,HAWK 方案因其基於格的加密方式而脫穎而出,它僅使用整數運算,從而消除了 Falcon 方案對浮點運算的依賴。 NIST 強調了 HAWK 方案的緊湊簽章、高效的實現方式以及對資源受限設備的適用性,同時指出最近的密碼分析並未發現任何實際可行的攻擊手段。 HAWK 方案成功晉級第三輪,但 NIST 鼓勵對其底層安全假設進行進一步分析。
美國國家標準與技術研究院 (NIST) 將 FAEST 描述為一種基於「頭部 VOLE」的簽章方案,它嚴重依賴成熟的對稱加密原語,例如 AES。該機構表示,第二輪改進在維持整體設計保守性的同時,提高了效率和量子時代的安全性證明。儘管研究人員針對某些實現方案演示了新的側通道攻擊和故障注入攻擊,但 NIST 認為這些風險可控,並選擇 FAEST 進入第三輪。
該機構表示,基於MinRank問題的MPC-in-the-Head方案Mirath在第二輪評審中表現顯著提升,且量子安全性證明也更為完善。然而,NIST認為其他MPC-in-Head候選方案在安全性假設或效能方面更為成熟,儘管Mirath取得了進展,但最終還是將其淘汰。
NIST表示,MQOM憑藉其極具競爭力的性能以及相對較小的公鑰和簽名大小,成為MPCitH最強勁的候選方案之一。 MQOM基於求解多元二次方程式的難度構建,儘管NIST指出其量子安全證明仍需進一步完善和更廣泛的分析,但它仍然成功晉級第三輪。
該機構表示,PERK 演算法基於 MPC-in-the-Head 技術證明對秘密排列組合的了解,在第二輪測試中顯著縮短了簽名長度。然而,NIST 發現 PERK 的速度仍然遠低於 FAEST 等競爭方案,並得出結論:其在縮短簽名長度方面取得的微小優勢不足以彌補計算成本上的損失,因此最終將其淘汰。
美國國家標準與技術研究院 (NIST) 將 RYDE 描述為一種基於秩症候群解碼問題變體的 MPC-in-the-Head 簽名演算法。該機構表示,第二輪更新顯著提高了實現效率,並將簽名大小減少了大約一半。儘管如此,NIST 最終認為 RYDE 的整體性能與性能更強的 MPC-in-Head 候選演算法(例如 MQOM)重疊過多,因此決定不推進該演算法。
該機構表示,SDitH方案的獨特之處在於其基於隨機線性碼長期研究的伴隨式解碼問題而採取的保守安全假設。儘管NIST承認該方案的計算成本相對較高,且設計演進較為複雜,但由於對其數學基礎和長期安全潛力充滿信心,該機構仍選擇SDitH方案進入第三輪。
美國國家標準與技術研究院 (NIST) 將 UOV 描述為基礎性的多元簽名設計,其價值在於簽名極小、驗證速度快,儘管其公鑰非常大。該機構承認,近期的楔形攻擊削弱了人們對某些參數集的信心,但仍然堅持認為,更廣泛的 UOV 框架仍然具有韌性,並且對演算法多樣性至關重要。 UOV 進入第三輪評審,並提出了修改參數選擇和進一步探索奇異特徵實現的建議。
該機構表示,MAYO之所以仍然具有吸引力,是因為它透過對UOV框架進行結構化的「鞭打 (whipping)」轉換,在減少公鑰大小的同時,實現了高效的簽名和驗證性能。儘管楔形攻擊對MAYO的一類參數集造成了顯著影響,但NIST認為這些問題更與參數選擇而非核心架構有關,因此選擇MAYO進入第三輪。
NIST 認為 QR-UOV 是較為穩定的多元加密方案之一,因為它基本上避免了影響許多特徵 2 加密方案的楔形攻擊。透過使用奇特徵域和商環技術,QR-UOV 在第二輪評審中實現了公鑰長度的大幅縮減,同時保持了較高的安全裕度,並顯著提升了效能。基於這些優勢,NIST 將 QR-UOV 推進到了第三輪評審。
該機構表示,儘管SNOVA在兩輪評估中都遭受了反覆的密碼分析攻擊,但它仍然展現出良好的前景。 SNOVA旨在大幅縮短公鑰長度,同時保持快速的驗證效能。它引入了改進的奇數特徵參數集,展現出極具競爭力的效率,在某些配置下,其公鑰和簽名長度甚至小於Falcon。 NIST表示,該方案尚未達到穩定狀態,但由於其作為緊湊、高效能簽章方案的長期潛力,因此在第三輪評估中保留了該方案。
NIST 在對 14 個第二輪候選演算法進行安全性、效能和實施標準評估後,選出了 9 種數位簽章演算法進入其後量子密碼標準化工作的第三輪。該機構表示,由於提交方案的整體品質很高,遴選過程尤其艱難,評估標準包括密碼學成熟度、抗攻擊能力、密鑰和簽名長度、計算效率以及與已標準化的後量子方案的差異。最終,NIST 憑藉其緊湊的簽名和演算法多樣性,選擇了 HAWK 和 SQIsign;同時,NIST 從競爭激烈的 MPC-in-the-Head 類別中選中了 FAEST、MQOM 和 SDitH,因為它們具有更強大的安全基礎、更優異的性能以及更廣泛的部署潛力。
儘管近期一些密碼分析攻擊影響了多個參數集,但美國國家標準與技術研究院 (NIST) 仍選擇保留剩餘的四種多元密碼學候選方案,包括 UOV、MAYO、QR-UOV 和 SNOVA。該機構表示,這些方案仍然具有顯著優勢,例如簽章長度極短、公鑰尺寸較小以及演算法多樣性,且每種方案都仍有可用的完整參數集。 NIST 指出,近期針對多元密碼學的攻擊可能會延長未來此類方案標準化決策的時間。
同時,NIST 認為 CROSS 和 LESS 的安全不確定性和性能權衡與競爭候選標準或現有的後量子標準相比並不佔優勢,因此將它們淘汰了。總之,NIST表示,第三輪九項候選演算法的遴選標誌著其標準化更多後量子數位簽章演算法的工作進入下一階段,這些演算法能夠保護敏感系統免受未來量子攻擊。 NIST也表示,其餘候選演算法將接受更深入的分析,重點在於安全性、實現成熟度和實際部署效能,NIST致力於擴展和豐富其後量子密碼技術組合。
美國國家標準與技術研究院 (NIST) 表示,提交者可以在 2026 年 8 月 14 日更新提交文件之前,對方案進行有限的修改,以解決缺陷、不一致之處或實施方面的問題。該機構提醒說,重大重新設計可能表明方案缺乏標準化準備,儘管某些方案,特別是較新的多元候選方案,可能需要更廣泛的調整。
在接下來的幾個月裡,NIST 呼籲全球密碼學界進一步測試剩餘的演算法,包括評估優化實現、受限設備性能、硬體加速以及對新興攻擊的抵抗能力,以便在 2027 年舉行的另一次 PQC 標準化會議之前做好準備。
今年1月,美國網路安全與基礎設施安全局 (CISA)發布了一份初步清單,列出了目前支援或預計將支援後量子密碼學 (PQC) 標準的硬體和軟體類別。此清單有助於各組織制定 PQC 遷移策略,並在不斷變化的網路安全環境中評估未來的技術投資。清單中列舉了這些類別中廣泛應用的、使用 PQC 標準保護敏感資訊的產品範例。
資料來源:https://industrialcyber.co/nist/nist-advances-nine-post-quantum-signature-algorithms-as-race-to-secure-data-from-quantum-attacks-intensifies/