Standardisering är avgörande för interoperabilitet och säkerhet. För att olika enheter från olika tillverkare som olika personer använder ska kunna kommunicera säkert med varandra måste kommunikationssätten överenskommas. Utan standardisering skulle kaos uppstå; tänk dig att varje person i en stad använder sina egna trafikregler.
Beskrivning
De grundläggande elementen som stöder säkerhetsfunktioner som kräver standardisering består huvudsakligen av kryptografiska primitiver, inklusive allmänt använda algoritmer som Advanced Encryption Standard (AES), Secure Hash Algorithm (SHA), RSA (PKCS #1) och Elliptic-Curve Digital Signature Algorithm (ECDSA). Emellertid har uppkomsten av kvantdatorer gjort dessa etablerade standarder otillräckliga för att ge den erforderliga säkerhetsnivån.
Viktiga standardiseringsorgan som National Institute of Standards and Technology (NIST) i USA eller det tyska federala kontoret för informationssäkerhet (BSI) spelar en avgörande roll i detta sammanhang. Dessa enheter beaktar olika faktorer, såsom användningsfall, tillgångar som behöver skyddas, framsteg inom matematisk forskning som riktar sig mot kryptografiska sårbarheter och förväntade förbättringar av beräkningskapacitet. De rekommenderar sedan algoritmer som är skräddarsydda för specifika ändamål under de kommande 10, 15 och 20 åren. Utmaningen ligger i att bestämma lämpliga nyckellängder, eftersom större kryptografiska nyckelstorlekar förbättrar beräkningssäkerheten men kan påverka prestanda och bandbredd. Däremot är mindre nycklar snabbare men kan äventyra säkerheten.
Hur började PQC-standardiseringen?
Resans ursprung kan spåras tillbaka till de accelererade framstegen inom kvantforskning, vilket fick både akademiska och industriella samfund att fördjupa sig i de potentiella beräkningsmässiga fördelarna med kvantdatorer. Samtidigt fanns det en växande medvetenhet om de potentiella hot som kvantberäkning utgjorde för modern kryptografi med publika nyckelr. Som svar på detta etablerade den akademiska världen en dedikerad plattform för forskning om postkvantkryptografi, med PQCrypto 2006 i Leuven, Belgien, som det första evenemanget. Det ökande akademiska fokuset på detta ämne och de snabba framstegen inom kvantberäkning ledde till ett kollektivt erkännande av behovet av att standardisera kryptografiska algoritmer som är motståndskraftiga mot kvanthot.
Dustin Moody från NIST höll ett centralt föredrag med titeln "Post-Quantum Cryptography: NIST's Plan for the Future", där han presenterade en omfattande plan för en standardiseringsprocess i februari 2016 vid konferensen om post-quantum kryptografi. Det planerade resultatet var identifieringen av "vinnande" algoritmer som skulle införlivas i ett standardiserat ramverk. Denna vision förverkligades i december 2016 när en formell inbjudan att lämna förslag utfärdades. Ungefär ett år senare var responsen stark, med 69 förslag som bedömdes vara "fullständiga och korrekta" för kryptografiska funktioner som omfattar kryptering med offentliga nycklar, nyckelinkapslingsmekanismer (KEM) och digitala signaturer.
Vinnarnas tillkännagivande i juli 2022
Efter en omfattande process som sträckte sig över nästan sex år avslutade NIST sin tävling om standardisering av postkvantkryptografi i juli 2022 och presenterade de första vinnarna. Urvalet drevs av utmärkt prestanda, hanterbara nyckelstorlekar och NISTs förtroende för sina bestående säkerhetsfunktioner.
När det gäller kategorin digitala signaturer är den främsta mästaren CRYSTALS-Dilithium, ett annat gitterbaserat schema som rekommenderas av NIST för allmänt bruk. Dess enkla design underlättar säker (inbäddad) implementering. NIST erkände också ytterligare två scheman: Falcon, erkänt för sin minimala signatur- och publika nyckelstorlek, idealiskt för applikationer i internetprotokoll, och det konservativa alternativet, SPHINCS+, känt för sin väl förstådda säkerhet trots att det släpar efter i prestanda och storlek jämfört med CRYSTALS-Dilithium och Falcon. Det är värt att notera att CRYSTALS-Dilithium har företräde vid standardisering och har redan fått erkännande från NXP som en lovande kandidat, vilket demonstreras av ett säkert start-proof-of-concept på bilprocessorn S32G i samarbete med Blackberry.
NIST:s nya PQC-algoritmer
I takt med att kvantdatorer fortsätter att utvecklas utgör de en allvarlig risk för traditionella krypteringsmetoder. För att motverka detta har NIST utvecklat Postkvantkryptering (PQC) standarder sedan 2016. I augusti 2023 publicerade NIST Initial Public Drafts (IPD) av tre PQC-algoritmer och bad om feedback från branschen för att ytterligare förfina dem. Efter att ha slutfört den fjärde standardiseringsomgången släpptes de slutliga versionerna officiellt den 13 augusti 2024, med uppdaterade algoritmnamn.
FIPS 203, numera kallad ML-KEM (Module Lattice Key Encapsulation Mechanism), är härledd från CRYSTALS-Kyber och är utformad för att säkra data mot nya risker. Den har tre parameteruppsättningar – ML-KEM-512, ML-KEM-768 och ML-KEM-1024, som alla erbjuder olika nivåer av säkerhet och prestanda. ML-KEM-512 ger en grundläggande säkerhetsnivå, medan ML-KEM-768 erbjuder förbättrat skydd för känsliga applikationer. ML-KEM-1024, den säkraste varianten, är idealisk för högsäkerhets- och långsiktiga krypteringsbehov. Dessa parameteruppsättningar varierar i nyckel- och chiffertextstorlekar, vilket gör det möjligt för organisationer att välja en optimal balans mellan säkerhet och effektivitet. ML-KEM kommer att spela en nyckelroll i TLS-protokoll, VPN och krypterad meddelandehantering, vilket säkerställer säker kommunikation mot kvanthot.
FIPS 204, omdöpt till ML-DSA (Module Lattice Digital Signature Algorithm), är byggd på CRYSTALS-Dilithium och används för digitala signaturer. Denna algoritm stärker identitetsverifiering och dataintegritet, vilket gör den till en pålitlig efterföljare till RSA och ECDSA. Genom att följa FIPS 204 kan organisationer generera och validera digitala signaturer tillförlitligt och förhindra obehöriga modifieringar. Dessutom främjar standarden interoperabilitet, vilket möjliggör sömlös integration mellan olika plattformar och system. Detta gör den särskilt användbar för digitala certifikat, programvarusignering, säker e-postkommunikation och autentiseringssystem.
FIPS 205, numera kallad SLH-DSA (Stateless Hash-Based Digital Signature Algorithm), är baserad på SPHINCS+ och introducerar en statslös metod för digitala signaturer. Detta eliminerar säkerhetsrisker i samband med tillståndshantering och minskar sårbarheter i attacker. Den förlitar sig på hashfunktioner för dataintegritet och pseudo-slumpmässiga funktioner (PRF) för att säkerställa oförutsägbarhet vid nyckelgenerering. FIPS 205 stärker säkerheten genom att introducera nya adresstyper för förbättrad nyckelhantering och ersätta SHA-256 med SHA-512 i viktiga kryptografiska funktioner för att åtgärda tidigare svagheter.
Dessutom innehåller den strategier för att minska riskerna mot attacker från flera mål, vilket gör den mer motståndskraftig. Standarden väljer noggrant 12 av 36 parameteruppsättningar för att optimera säkerhet och effektivitet. SLH-DSA är särskilt lämpad för firmwareuppdateringar, blockkedjeapplikationer och kritisk infrastruktursäkerhet, där långsiktigt skydd är avgörande.
Dessa slutgiltiga PQC-standarder markerar ett viktigt steg mot att säkra digital kommunikation mot kvanthot. Organisationer inom finans, sjukvård, försvar och molntjänster måste börja övergå till kvantresistent kryptering för att skydda känsliga data för framtiden. Med kvantberäkningens snabba utveckling är anpassning till dessa nya kryptografiska tekniker nu en nödvändighet snarare än ett alternativ.
Algoritmförfall
År 2024 släppte NIST ett första offentligt utkast (IPD) av NIST IR 8547, som beskriver en strukturerad färdplan för övergången till standarder för postkvantkryptografi (PQC). Vägledningen ger en etappvis metod för att hjälpa federala myndigheter, industrier och standardiseringsorganisationer att övergå till sin kryptografiska infrastruktur på ett snabbt och effektivt sätt.
En viktig aspekt av rapporten är listan över äldre kryptografiska algoritmer som snart kommer att föråldras och så småningom förbjudas. Organisationer som förlitar sig på dessa algoritmer måste börja utvärdera sina kryptografiska beroenden och planera uppgraderingar till NIST-godkända PQC-standarder som ML-KEM (FIPS 203), ML-DSA (FIPS 204) och SLH-DSA (FIPS 205). Övergångsplanen betonar interoperabilitet, säkerhetsvalidering och efterlevnadskrav, vilket säkerställer en samordnad övergång mot en kvantsäker kryptografisk framtid senast 2035.
Några höjdpunkter från rapporten nämns nedan:
| Familj av algoritmer för digital signatur | Driftparametrar | Övergång |
|---|---|---|
| ECDSA [FIPS186] | 112 bitars säkerhetsstyrka | Föråldrad efter 2030, Ej tillåten efter 2035 |
| ≥ 128 bitars säkerhetsstyrka | Inte tillåtet efter 2035 | |
| EdDSA [FIPS186] | ≥ 128 bitars säkerhetsstyrka | Inte tillåtet efter 2035 |
| RSA [FIPS186] | 112 bitars säkerhetsstyrka | Föråldrad efter 2030, Ej tillåten efter 2035 |
| ≥ 128 bitars säkerhetsstyrka | Inte tillåtet efter 2035 |
| Blockera chiffer | Parameteruppsättningar | Säkerhetsstyrka | Säkerhetskategori |
|---|---|---|---|
| AES [FIPS197] | AES-128 | 128 bitar | 1 |
| AES-192 | 192 bitar | 3 | |
| AES-256 | 256 bitar | 5 |
| Nyckeletableringsprogram | Driftparametrar | Övergång |
|---|---|---|
| Ändliga fält DH och MQV [SP80056A] | 112 bitars säkerhetsstyrka | Föråldrad efter 2030, Ej tillåten efter 2035 |
| ≥ 128 bitars säkerhetsstyrka | Inte tillåtet efter 2035 | |
| Elliptisk kurva DH och MQC [SP80056A] | 112 bitars säkerhetsstyrka | Föråldrad efter 2030, Ej tillåten efter 2035 |
| ≥ 128 bitars säkerhetsstyrka | Inte tillåtet efter 2035 | |
| RSA [SP80056B] | 112 bitars säkerhetsstyrka | Föråldrad efter 2030, Ej tillåten efter 2035 |
| ≥ 128 bitars säkerhetsstyrka | Inte tillåtet efter 2035 |
NIST uppmuntrar till tidigt införande av PQC-algoritmer i ett hybridläge med klassisk kryptografi för att säkerställa en smidig och säker övergång. Organisationer bör börja utvärdera systemkompatibilitet, kryptografiska beroenden och implementeringsutmaningar nu för att undvika säkerhetsrisker i takt med att kvantberäkningar utvecklas.
Slutsats
Sammanfattningsvis, resan mot post-kvantkryptografi understryker den avgörande betydelsen av standardisering för att säkerställa interoperabilitet och säkerhet. Eftersom kvantdatorer utgör ett hot mot etablerade kryptografiska standarder blir de insatser som leds av institutioner som NIST och tyska BSI avgörande för att navigera i denna föränderliga värld. Den noggranna urvalsprocessen, som sträcker sig över år och kulminerar i tillkännagivandet av vinnarna, återspeglar ett engagemang för att identifiera motståndskraftiga algoritmer mot kvanthot.
Tävlingen, som har utökats till en fjärde omgång, introducerar alternativa förslag och visar den kontinuerliga anpassningsförmåga som krävs inför kvantmekaniska framsteg. I takt med att kryptografiska samhällen samarbetar för att definiera framtiden för säker kommunikation, förblir balansen mellan säkerhet, prestanda och anpassningsförmåga i förgrunden för övervägandena för postkvant-eran.
Krypteringskonsulttjänster Rådgivningstjänster inom postkvantkryptografi överbrygga klyftan mellan banbrytande teknik och praktisk implementering. Vi hjälper dig att utnyttja kraften i kvantresistent kryptografi utan riskerna.