- Skål för framstegen! NIST slutför den femte kvantsäkra algoritmen
- NIST Post-Quantum Cryptographic Algorithm Standards and Guidelines
- Färdplan för kvantberedskap
- Hybridmetod - Bro mellan klassisk och postkvantkryptografi
- Viktiga användningsområden som kommer att påverkas av postkvantkryptografi (PQC)
- Vägen till Q-dagen!
- Hur Encryption Consultings PQC-rådgivning kan hjälpa till?
- Slutsats
NIST lanserade projektet Post-Quantum Cryptography år 2016 och bjöd in globala kryptografiexperter att skicka in algoritmer som är resistenta mot både klassiska och kvantattacker. Vid deadline hade 69 algoritmer skickats in och släppts för öppen utvärdering. Idag har NIST släppt den första fem kvantsäkra algoritmer.
Vikten av att använda de valda NIST-algoritmerna kan illustreras av Dustin Moodys kommentarer: ”Det finns ingen anledning att vänta på framtida standarder”, sa han. ”Börja använda dessa tre. Vi måste vara förberedda i händelse av en attack som omintetgör algoritmerna i dessa tre standarder, och vi kommer att fortsätta arbeta med säkerhetskopieringsplaner för att hålla våra data säkra. Men för de flesta applikationer är dessa nya standarder den viktigaste händelsen.”
Även om vi inte har kraftfulla kvantdatorer idag är det viktigt att börja arbeta med postkvantkryptering nu. Anledningen är att förändringar kryptering över hela världen tar det ofta lång tid 10 till 20 årFöretag behöver tid för att uppdatera sina system och säkerställa att allt fortsätter att fungera smidigt med de nya krypteringsmetoderna. Om vi väntar tills kvantdatorer är redo kan det vara för sent att skydda våra känsliga data.
Skål för framstegen! NIST slutför den femte kvantsäkra algoritmen
I mars 11, 2025, den National Institute of Standards and Technology (NIST) tillkännagav valet av HQC (Hamming Quasi-Cyclic) som det senaste tillskottet till sin uppsättning av postkvantkryptografiska (PQC) standarder. Detta beslut understryker NIST:s engagemang för att förbättra cybersäkerhetsåtgärderna mot de framväxande hoten som kvantberäkning utgör.
HQC är inte avsett att ersätta ML-KEM, som kommer att förbli det rekommenderade valet för generell kryptering, säger Dustin Moody, en matematiker som leder NIST:s projekt för postkvantkryptografi.
”Organisationer bör fortsätta att migrera sina krypteringssystem till de standarder vi slutförde 2024”, sa han. ”Vi tillkännager valet av HQC eftersom vi vill ha en reservstandard som är baserad på en matematisk metod som skiljer sig från ML-KEM. I takt med att vi förbättrar vår förståelse av framtida kvantdatorer och anpassar oss till nya kryptanalystekniker är det viktigt att ha en reservlösning ifall ML-KEM visar sig vara sårbart.”
Varför valdes HQC efter den fjärde omgången? HQC valdes som den femte postkvantkryptografistandarden (PQC) efter den fjärde omgången av NIST:s utvärdering. Medan dess inkapslingsnycklar är ungefär 41–47 % större än BIKE:s, och dess chiffertexter är ungefär tre gånger större, prioriterade NIST faktorer utöver bara nyckel- och chiffertextstorlekar.
Låt oss förstå PQC-algoritmerna i detalj:
NIST Post-Quantum Cryptographic Algorithm Standards and Guidelines
NIST Specialpublikation (SP) 800-131A, IR 8457, IR 8454 tillhandahåller en uppsättning regler från NIST som hjälper amerikanska myndigheter att avgöra vilka kryptografiska metoder (algoritmer och nyckellängder) som är säkra att använda för att skydda känslig men oklassificerad information.
Det här innebär att organisationer kommer att få en steg-för-steg-plan för:
- Vilka krypteringsmetoder kommer inte längre att vara säkra
- När de borde byta till nya, kvantresistenta algoritmer
- Hur man gör övergången smidigt utan säkerhetsrisker
Eftersom kvantdatorer så småningom kommer att bryta dagens kryptering arbetar NIST med nya kvantresistenta algoritmer. Som en del av denna övergång kommer NIST att uppdatera SP 800-131A med tydliga riktlinjer för när och hur man ska byta till dessa nya algoritmer.
NIST använder traditionellt säkerhetsstyrkor baserat på bitlängd (som 128-bitars, 192-bitars och 256-bitars) för att beskriva hur säker en algoritm är mot klassiska attacker. Med postkvantkryptografi (PQC) mäts dock säkerhet i bredare kategorier istället för fasta bitlängder.
Varje säkerhetskategori är baserad på en referensprimitiv, en väl förstådd kryptografisk funktion som fungerar som en baslinje för att utvärdera hur motståndskraftig en algoritm är mot olika attackmetoder. Istället för att bara fokusera på bitlängder ger dessa kategorier ett mer praktiskt och flexibelt sätt att mäta säkerhet mot kvanthot. Följande tabeller i dokumentet ger en uppdelning av de sårbara algoritmer som organisationer kan känna igen i sin kryptografiska infrastruktur just nu och vilka kvantsäkra algoritmer som skulle komma på plats, vilket visar hur de står sig i jämförelse med traditionella säkerhetsstyrkor.
Postkvantumbaserade digitala signaturalgoritmer
Huruvida någon tror att kvantdatorer är tillräckligt kraftfulla för att knäcka kryptering ligger 10 eller 100 år fram i tiden är irrelevant. När chifferkoderna föråldras blir de allas problem och måste ersättas.
Följande tabell visar de algoritmer som behöver övergå till kvantresistenta alternativ för att säkerställa långsiktig säkerhet.
| Digital signaturalgoritm | Parameter | Övergång |
|---|---|---|
| ECDSA [FIPS186] | ≥ 128 bitars säkerhetsstyrka | Inte tillåtet efter 2035 |
| EdDSA [FIPS186] | ≥ 128 bitars säkerhetsstyrka | Inte tillåtet efter 2035 |
| RSA [FIPS 186] | ≥ 128 bitars säkerhetsstyrka | Inte tillåtet efter 2035 |
Organisationer kan fortsätta använda dessa algoritmer och parameteruppsättningar när de migrerar till de post-kvantumsignaturer som identifieras i följande tabell.
| Digital signaturalgoritm | Parameteruppsättningar | Säkerhetsstyrka | Säkerhetskategori | Storlek på privat nyckel (byte) | Storlek på publik nyckel (byte) |
|---|---|---|---|---|---|
| ML-DSA [FIPS204] | ML-DSA-44 | 128 bitar | 2 | 2560 | 1312 |
| ML-DSA-65 | 192 bitar | 3 | 4032 | 1952 | |
| ML-DSA-87 | 256 bitar | 5 | 4896 | 2592 | |
| SLH-DSA [FIPS205] | SLH-DSA-SHA2-128[s/f] | 128 bitar | 1 | 64 | 32 |
| SLH-DSA-SHAKE-128[s/f] | |||||
| SLH-DSA-SHA2-192[s/f] | 192 bitar | 3 | 96 | 48 | |
| SLH-DSA-SHAKE-192[s/f] | |||||
| SLH-DSA-SHA2-256[s/f] | 256 bitar | 5 | 128 | 64 | |
| SLH-DSA-SHAKE-256[s/f] | |||||
| LMS, HSS [SP800208] | Med SHA-256/192 | 192 bitar | 3 | 64 | 60 |
| Med SHAKE256/192 | 3 | ||||
| Med SHA-256 | 256 bitar | 5 | |||
| Med SHAKE256 | 5 | ||||
| XMSS, XMSSMT [SP800208] | Med SHA-256/192 Med SHAKE256/192 | 192 bitar | 3 | 1373 | 64 |
Nyckelinkapslingsmekanism
Följande tabell visar de algoritmer som behöver övergå till kvantresistenta alternativ för att säkerställa långsiktig säkerhet.
| Digital signaturalgoritm | Parameter | Övergång |
|---|---|---|
| Ändliga fält DH och MQV [SP80056A] | ≥ 128 bitars säkerhetsstyrka | Inte tillåtet efter 2035 |
| Elliptisk kurva DH och MQC [SP80056A] | ≥ 128 bitars säkerhetsstyrka | Inte tillåtet efter 2035 |
| RSA [SP80056B] | ≥ 128 bitars säkerhetsstyrka | Inte tillåtet efter 2035 |
Här är postkvantalgoritmerna, inklusive ML-KEM och HQC
| Digital signaturalgoritm | Parameteruppsättningar | Säkerhetsstyrka | Säkerhetskategori | Storlek på privat nyckel (byte) | Storlek på den offentliga nyckeln |
|---|---|---|---|---|---|
| ML-KEM [FIPS203] | ML-KEM-512 | 128 bitar | 1 | 1632 | 800 |
| ML-KEM-768 | 192 bitar | 3 | 2400 | 1184 | |
| ML-KEM-1024 | 256 bitar | 5 | 3162 | 1568 | |
|
HQC [NIST IR45] |
HQC-128 | 128 bitar | 1 | 2249 | 40 |
| HQC-192 | 192 bitar | 3 | 4522 | 40 | |
| HQC-256 | 256 bitar | 5 | 7245 | 40 |
NIST fastställde att HQC skulle vara ett bra komplement till ML-KEM eftersom det är baserat på ett annat underliggande säkerhetsproblem och fortfarande bibehåller rimliga prestandaegenskaper för allmänna tillämpningar. Den enda andra fjärde rundans kandidat som potentiellt skulle kunna tjäna detta syfte var BIKE, som förlitar sig på kodbaserade antaganden som de hos HQC. Jämfört med BIKE har HQC större publika nycklar och chiffertextstorlekar men billigare nyckelgenerering och dekryptering.
Observera att NIST planerar att utfärda ett utkast till en standard som införlivar HQC-algoritmen om ungefär ett år, med en färdigställd standard förväntad under 2027.
Färdplan för kvantberedskap
Idag använder de flesta kritiska tillgångar, system och applikationer inom en organisation kryptografiska metoder som RSA och ECC för att säkra digitala signaturer, programuppdateringar och dataskydd. Men när kvantdatorer blir tillräckligt kraftfulla kommer de att kunna bryta dessa kryptografiska algoritmer. Det är därför organisationer behöver identifiera och ersätta dessa sårbara kryptografiska metoder med Postkvantkryptering (PQC).
Varför är färdplanen för kvantberedskap viktig?
Organisationer kanske inte ens är medvetna om alla platser där kryptografi med offentlig nyckel används i deras system, applikationer och leveranskedjor. Om de inte har en lista (inventering) över sårbara system vet de inte var de ska börja migreringen till PQC.
För att åtgärda detta behöver organisationer:
- Kryptografisk upptäckt: Identifiera system och applikationer som är beroende av kvantsårbar kryptografi.
- Kryptografiskt inventarium: Samarbeta med leverantörer för att förstå var kryptering används i produkter de köper.
- Dataklassificering: Prioritera vilka system som behöver brådskande uppdateringar baserat på deras betydelse och risk.
Nu ska vi diskutera varje steg i detalj:
Kryptografisk upptäckt
Kryptografisk upptäckt är processen att ta reda på var och hur kryptografi används i en organisations IT- och OT-system (operativa tekniksystem). Organisationer kan använda automatiserade verktyg för att söka efter kvantumsårbara algoritmer i:
- Nätverksprotokoll (för att kontrollera om krypterad kommunikation är i fara).
- Program och programvara (för att kontrollera om programuppdateringar använder svag kryptering).
- Utvecklingspipelines (för att hitta kryptografiska beroenden i kodbasen).
Viss kryptografi kan dock vara dold inuti produkter, vilket gör det svårt att upptäcka. I sådana fall bör organisationer fråga leverantörer om detaljer.
Kryptografiskt inventarium
En kryptografisk inventering är en lista över alla kvantumsårbara kryptografiska tillgångar i en organisation. Den bör innehålla:
- Var används kryptografiska algoritmer?
- Vilken typ av data skyddar de?
- Hur länge behöver informationen förbli säker (t.ex. känslig myndighetsdata kan behöva skydd i årtionden)?
- Vilka system, protokoll och tjänster är beroende av dessa kryptografiska skydd?
Denna inventering hjälper organisationer att planera för en smidig övergång till kvantdatorer (PQC) genom att identifiera och åtgärda risker innan kvantdatorer blir ett verkligt hot.
Dataklassificering i kvantmekanikens era
Dataklassificering innebär att kategorisera data baserat på dess känslighet och kritiska karaktär. För kvantumberedskap bör organisationer:
- Identifiera känsliga data med hög risk som, om de dekrypteras i framtiden, kan orsaka skada.
- Kategorisera data baserat på säkerhetskrav och hur länge de behöver förbli skyddade.
- Kartlägg kryptografiskt inventarium med befintliga system för tillgångshantering (som identitets- och åtkomsthantering, slutpunktsidentifiering etc.).
Genom att göra detta kan organisationer prioritera var PQC-migrering behöver ske först.
Hybridmetod - Bro mellan klassisk och postkvantkryptografi
PQC-klassiska hybridprotokoll är kryptografiska lösningar under övergångsfasen som använder både kvantresistenta och traditionella (kvantsårbara) kryptografiska algoritmer tillsammans i nyckeletablering eller digitala signaturer.
Dessa hybridlösningar är vanligtvis utformade för att förbli säkra om minst en av komponentalgoritmerna är säker.
Enkelt uttryckt kan traditionella lås (klassisk kryptografi) bli svaga med tiden, så du kan välja att installera smarta lås (postkvantkryptografi – PQC) också. Men det finns ett problem med att inte alla dörrar och användare är redo för smarta lås ännu. Så den bästa möjliga metoden är att använda båda låsen tillsammans för tillfället, och säkerställa att om det ena går sönder, så ger det andra fortfarande säkerhet.
Det här är precis vad hybridkryptografiska protokoll gör i övergången till postkvantkryptografi (PQC). Hybridkryptografiska protokoll kombinerar kvantresistenta och kvantsårbara algoritmer vid generering digitala signaturer eller etablera krypteringsnycklar.
Hybrida nyckelupprättningstekniker
Två olika metoder för nyckeletablering fungerar tillsammans, och den slutliga nyckeln är säker så länge minst en metod förblir stark.
- Del 1 genereras med en klassisk metod, som kan bli svag i framtiden (ECDH)
- Del 2 genereras med hjälp av PQC, utformad för att vara kvantsäker (ML-KEM)
Hybrida digitala signaturtekniker
En hybrid digital signatur (även kallad en sammansatt signatur) är en kryptografisk teknik där två eller flera digitala signaturer appliceras på ett enda meddelande. Detta säkerställer att verifieringen av meddelandet kräver att alla signaturer valideras framgångsrikt.
- Del 1: En klassisk digital signaturalgoritm (t.ex. RSA eller ECDSA).
- Del 2: En postkvantumbaserad digital signaturalgoritm (t.ex. ML-KEM).
En aktuell TLS-krypteringssvit, såsom TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, när det går vidare till en postkvantchiffer, kan se ut som TLS_KYBER_DILITHIUM_WITH_AES_256_GCM_SHA384.
Viktiga användningsområden som kommer att påverkas av postkvantkryptografi (PQC)
Postkvantkryptografi (PQC) kommer gradvis att påverka olika användningsfall som förlitar sig på asymmetrisk kryptografi, eftersom kvanthot direkt riktar sig mot kryptografi med publik nyckel. Förberedelserna för kvanteran börjar med att analysera vilka system och processer som kommer att påverkas av PQC. Detta innebär att identifiera och definiera de berörda användningsfallen, såsom följande exempel:
Kodsignering
Syfte: Programvara för digital signering för att verifiera dess äkthet och förhindra manipulation.
Varför är det viktigt Enheter som installerar och kör programvara måste validera dessa signaturer.
Kvantrisk: Om enheter används under en längre tid och deras signaturverifieringssystem inte kan uppdateras, måste de utformas för att stödja kvantresistenta signaturer nu för att säkerställa långsiktig säkerhet.
Användar- och maskinautentisering
Syfte: Verifiera identiteter för att kontrollera åtkomst till system med hjälp av asymmetriska kryptografiska protokoll.
Kvantrisk: Till skillnad från kryptering (som står inför hotet ”skörda nu, dekryptera senare”) är autentiseringssystem säkra tills kvantdatorer kan bryta nuvarande algoritmer.
Åtgärd som krävs: Organisationer måste uppgradera system, PKIoch hårdvarutokens för att stödja kvantresistent autentisering innan kvantdatorer anländer.
Nätverkssäkerhetsprotokoll
Syfte: Säker dataöverföring via protokoll som TLS och VPN-tjänster som använder asymmetrisk kryptografi.
Kvantrisk: Nyckelupprättande (krypteringsnycklar) är sårbara för "skörd nu, dekryptera senare". Autentisering (identitetsverifieringsnycklar) kan överföras senare men kommer så småningom att behöva kvantumresistenta ersättningar.
Nästa steg: Organisationer behöver en strategisk migreringsplan för att säkra nätverksprotokoll mot kvanthot.
E-post- och dokumentsignering och kryptering
Syfte: E-postkryptering (S/MIME) krypterar e-postmeddelanden och filer för säker överföring, vilket säkerställer integriteten och autenticiteten i digital kommunikation.
Kvantrisk: E-postkryptering är sårbar för "skörd nu, dekryptera senare", vilket innebär att motståndare skulle kunna lagra krypterade e-postmeddelanden idag och dekryptera dem när kvantdatorer blir tillgängliga.
Åtgärd som krävs: Organisationer borde övergång till kvantsäkra alternativ för kryptering och signeringsmekanismer Så snart som möjligt.
Vägen till Q-dagen!
Enligt National Security Memorandum 10 (NSM-10) siktar den amerikanska regeringen på att slutföra övergången till kvantresistent kryptografi senast 2035. Denna övergång är nödvändig eftersom kvantdatorer kan förstöra nuvarande krypteringsmetoder.
Alla system kommer dock inte att övergå till PQC samtidigt. Vissa, särskilt de som hanterar långsiktigt konfidentiella data, kan behöva övergå tidigare. Andra kan ta längre tid på grund av tekniska begränsningar. NIST är medvetna om dessa utmaningar och kommer att stödja organisationer genom denna övergång samtidigt som de säkerställer att kritiska system förblir skyddade.
Även om denna tidslinje är en förutsägelse, kan framsteg inom kvantberäkning påskynda den. Förberedelser är nyckeln, organisationer måste börja övergå till kvantsäker kryptografi idag för att ligga steget före hotet.
- 2024-2026Tillsynsorgan som NIST kommer att slutföra och standardisera den första kvantresistenta algoritmerStrax därefter kommer certifierade kryptografiska bibliotek att börja implementera dem.
- 2027-2029En huvudämne branschpush kommer att ske i takt med att leverantörer börjar integrera NIST-godkända algoritmer i produkter och säkerhetsprotokoll. Globala standardiseringsorgan kommer att följa efter.
- 2030-2033: Q-dagen anländer—experter förutspår att kryptografiskt relevanta kvantdatorer (CRQC) kommer att kunna bryta dagens kryptering, vilket gör postkvantkryptografi (PQC) till en nödvändighet.
Hur Encryption Consultings PQC-rådgivning kan hjälpa till?
- Validering av omfattning och tillvägagångssätt: Vi utvärderar er organisations nuvarande krypteringsmiljö och validerar omfattningen av er PQC-implementering för att säkerställa överensstämmelse med bästa praxis i branschen.
- Utveckling av PQC-programmets ramverk: Vårt team utformar ett skräddarsytt PQC-ramverk, inklusive prognoser för externa konsulter och interna resurser som behövs för en lyckad migrering.
- Omfattande bedömning: Vi genomför djupgående utvärderingar av era lokala, moln- och SaaS-miljöer, identifierar sårbarheter och ger strategiska rekommendationer för att minska kvantrisker.
- Implementeringsstöd: Från uppskattningar för programledning till intern teamutbildning tillhandahåller vi den expertis som behövs för att säkerställa en smidig och effektiv övergång till kvantresistenta algoritmer.
- Efterlevnad och validering efter implementering: Vi hjälper organisationer att anpassa sitt PQC-antagande till nya regelverk och genomför rigorös validering efter implementeringen för att bekräfta implementeringens effektivitet.
Slutsats
Övergången till postkvantkryptografi är inte längre en avlägsen fråga – det är ett nödvändigt steg för att säkerställa långsiktig datasäkerhet i ett snabbt föränderligt tekniskt landskap. Med NIST som slutför den femte PQC-algoritmen måste organisationer vidta proaktiva åtgärder för att anta kvantresistenta kryptografiska standarder. Oavsett om det gäller att säkra känslig kommunikation, skydda finansiella transaktioner eller säkerställa äktheten hos digitala signaturer är det dags att förbereda sig nu. I takt med att kvanthoten växer kommer de som agerar tidigt att vara bäst positionerade för att skydda sina kritiska system mot framtida kryptografiska sårbarheter.
- Skål för framstegen! NIST slutför den femte kvantsäkra algoritmen
- NIST Post-Quantum Cryptographic Algorithm Standards and Guidelines
- Färdplan för kvantberedskap
- Hybridmetod - Bro mellan klassisk och postkvantkryptografi
- Viktiga användningsområden som kommer att påverkas av postkvantkryptografi (PQC)
- Vägen till Q-dagen!
- Hur Encryption Consultings PQC-rådgivning kan hjälpa till?
- Slutsats
