谷歌宣布新算法，使FIDO加密免受量子计算机的侵害

五年前采用的 FIDO2 行业标准提供了最安全的已知登录网站方式，因为它不依赖于密码，并且具有最安全的内置双因素身份验证形式。然而，与当今许多现有的安全方案一样，FIDO面临着来自量子计算的不祥威胁，总有一天将导致该标准目前使用的坚如磐石的密码学完全崩溃。

在过去的十年中，数学家和工程师们争先恐后地阻止这种密码启示录，PQC（后量子密码学的缩写）是一种使用抗量子计算攻击的算法的加密。本周，谷歌的研究人员宣布发布首次实现抗量子加密，用于作为FIDO2基本构建块的安全密钥类型。

FIDO2 最著名的实现是无密码形式的身份验证：密钥。到目前为止，还没有已知的方法可以在凭据网络钓鱼攻击中击败密钥。数十个站点和服务现在允许用户使用密钥登录，这些密钥使用存储在安全密钥、智能手机和其他设备中的加密密钥。

“虽然量子攻击仍在遥远的未来，但在互联网规模上部署密码学是一项艰巨的任务，这就是为什么尽早做到这一点至关重要，”网络安全和人工智能研究总监Elie Bursztein和Fabian Kaczmarczyck分别写道。“特别是，对于安全密钥，这个过程预计将是渐进的，因为一旦FIDO标准化了后量子密码学弹性密码学，并且这一新标准得到了主要浏览器供应商的支持，用户将不得不获得新的密钥。

通往PQC的道路充满了风险。RSA和其他加密算法已经使用了几十年，但没有已知的方法来破解它们。多年来，这一记录使人们相信它们可以安全使用。PQC算法还处于起步阶段，这理所当然地导致了人们对它们还不可信的担忧。一个恰当的例子：一种名为SIKE的PQC算法。去年，在美国商务部国家标准与技术研究所（National Institute of Standards and Technology）的一项项目中作为第四轮候选人晋级后，SIKE被一台经典计算机彻底打破了。

实现 FIDO2 安全密钥时使用的 PQC 算法采用更谨慎的方法。它结合了椭圆曲线数字签名算法 - 相信经典计算无法破解，但量子计算很容易破解 - 与称为Crystals-Dilithium的PQC算法。Crystals-Dilithium 现在是 NIST 选择用于数字签名的三种 PQC 算法之一。

最近发布的数字密钥实现中使用的特定二锂似乎解决了各种问题。首先，要破解它，攻击者必须同时破坏ECDSA加密和支撑其安全性的PCQ加密。其次，与现在流通的许多其他PQC算法相比，它使用的密钥很小。在本周的帖子中，谷歌研究人员写道：

我们提出的实现依赖于一种混合方法，该方法结合了经过实战测试的ECDSA签名算法和最近标准化的抗量子签名算法Dilithium。我们与ETH合作开发了这种新颖的混合签名模式，提供了两全其美的优势。依赖混合签名至关重要，因为Dilithium和其他最近标准化的量子抗性算法的安全性尚未经受住时间的考验，最近对Rainbow（另一种量子弹性算法）的攻击表明需要谨慎。这种谨慎对于安全密钥尤其必要，因为大多数都无法升级 - 尽管我们正在努力为OpenSK升级。混合方法也用于其他后量子工作，如Chrome对TLS的支持。

在技术方面，一个巨大的挑战是创建一个足够小的Dilithium实现，以便在安全密钥的受限硬件上运行。通过仔细的优化，我们能够开发一个 Rust 内存优化的实现，只需要 20 KB 的内存，这已经足够小了。我们还花时间确保我们的实现签名速度完全符合预期的安全密钥规范。也就是说，我们相信通过利用硬件加速进一步提高签名速度将使密钥响应更快。

展望未来，我们希望看到这种实现（或其变体）作为 FIDO2 密钥规范的一部分进行标准化，并得到主要 Web 浏览器的支持，以便可以保护用户的凭据免受量子攻击。如果您有兴趣测试此算法或为安全密钥研究做出贡献，请前往我们的开源实现OpenSK。