NIST发布新算法应对量子攻击，可支持下一代加密标准

    7月5日，美国国家标准与技术研究所（NIST）正式发布四种新的加密算法，用于保护联邦政府计算机和应用系统应对新型量子计算的网络攻击。据了解，这四种新加密算法包括一种用于通用加密用途的算法：CRYSTALS-Kyber，以及另外三种用于数字签名和身份验证的算法：CRYSTALS-Dilithium、Falcon和Sphincs+，它们将在2024年之前支持NIST未来的加密标准。

    NIST算法项目负责人Dustin Moody表示：“我的项目团队一直在评估审核新的加密算法，安全性是我们进行评价的第一标准。所有进入到评审阶段的算法都达到了这一基准标准，最后的取舍在于速度和易用性等方面细微但又可衡量的差异，比如密钥大小、签名大小、实施时需要多少内存、参照衡量基准，以及在各平台上实施应用的便捷性等。”

    值得注意的是，本次推出的四种算法中，有三种算法：CRYSTALS-Kyber、Crystals-Dilithium和Falcon是基于格（lattice）的算法。NIST预计在后续应用中，大多数企业组织会使用Crystals-Dilithium，原因是它性能良好、文档完备，而且更易于实施。不过，尽管Falcon算法需要相对复杂的实施过程，也无法适用于所有设备上，但它更小巧，会在使用较小数字签名的应用场合发挥作用。

    而Sphincs+不是基于格的数字签名解决方案，这与NIST长期以来奉行的观念相一致：它需要一种后备方案，以防将来在任何一种后量子加密方法中发现薄弱之处。

    Moody也特别解释了这一点：“我们需要确保自己有另一种类型算法，以防止有人发现格的突破机制并进行利用。因此，我们需要有一种算法是基于另一种类型的密码规则。Sphincs+的安全分析功能非常好，尽管应用略显复杂，但我们希望为各种可能的情况都有所准备。”

    近年来，NIST及其他一些美国官方机构都在倡导“加密敏捷性”概念，即开发可变更不同算法的加密协议，同时尽可能减少对性能和可靠性的影响。有专家认为，已被NIST选用的算法证明了它们在理论上可以抵御新型量子计算攻击，但目前并不存在真实的量子攻击案例。虽然数学家和密码学家已尽其所能做好了尽职调查工作，但量子计算机的出现就是为了解决人类无力处理的复杂计算问题，因此这些算法的可靠性和有效性尚难以被真实检验。

    NIST官员目前已经开始为7月5日宣布的这四种算法起草标准，预计到2024年走完标准流程。届时，美国联邦政府机构需要根据拜登政府在年初发布的安全备忘录要求，为“及时而合理”地更换联邦系统和设备中的公钥算法确立时间表和行动计划。这些计划最终将提交给网络安全和基础设施安全局（CISA）以及国家网络主任办公室，它们将在2023年10月之前确定改变算法所需的预算和资金要求。

    多位后量子密码学专家表示，需要应用新加密标准的不仅仅是政府机构，NIST 此次推出的加密算法同样可能会被更多数量的私营企业和国际标准组织采用。