近公布的NIST后密码标准的3个关键要点

当今世界依赖于许多保护措施，即使你没有注意到这一点。人们日常接触的一切事物，从手机和智能技术到网站，从支付交易到城市基础设施，都受到具措施和检查的基础技术的保护。计算机能够而轻松地破解这些措施，这是和监管机构多年来一直采取行动准备新的算法的关键原因，旨在新这些措施以保持持续的防护能力。美国与技术研究所(nist)近宣布了批支持向密码学未来过渡的标准草案。这些新的密码算法将成为未来组织遵守的法规的一部分，以便符合fips标准并实现。以下是该公告中的3个关键要点：
1)算法
候选算法通常以其提交者选择的名称而，nist将为其分配监管名称，具体如下：
a) 密钥封装机制(kem)：crystals-kyber变为 --> fips 203基于格模块化的密钥封装机制标准(ml-kem)
b) 签名算法：crystals-dilithium变为 --> fips 204基于格模块化的数字签名标准(ml-dsa)
c) 签名算法：sphincs+变为 --> fips 205无状态基于哈希数字签名标准(slh-dsa)
目前，公告仅包含3个候选算法，并承诺在不久的将来会纳入四个数字签名算法。
当前的草案标准对提交的算法进行了调整，并对各种参数进行了固定或限制，这意味着基于初提交的参考算法的任何实践将与新标准不兼容，这符合nist的一贯做法。90天的公众意见征询期可能会导致进一步的调整。意见征询期截止日期为2023年11月22日，若按此时间表进行，我们可能早会在2024年上半年看到正式化的标准出台。
2)立即采取行动的必要性
nist强调，组织应立即采取行动应对计算攻击。随着科技竞相研发计算机，以及在私人和公共层面巨额资金的投入，商业上可行的计算机的出现似乎指日可待。虽然短期内这类计算机可能不会用于典型的使用场景，但它们被网络威胁攻击者利用的能力同样是切实存在的。
许多网络威胁攻击者已经开始和收集数据，等待拥有足够强大计算能力的计算机来破解当前加密算法以解密。对于保密期较长的数据尤其如此，这种策略被称为“先收割后解密”。鉴于此，包括nist在内的监管机构正在尽经过验证的标准，以抵消这种威胁。
面对计算机的挑战，“的防御就是积的进攻”这一原则同样适用。nist正在逐步帮助组织为后计算时代做好准备，通过正式化一套加密和数字签名算法来对抗计算机攻击。虽然目前尚无法确切知道何时会出现足以发动攻击的商用后计算机，但现在就着手准备是非常明智的，因为一旦那到来，几乎不会有时间作出反应。
组织需要立即针对尚未显现的威胁采取行动的重要原因是，大多数数据无法轻易地改变其加密方式。多个和监管机构建议组织立即清点其加密资产，并评估自身的后计算风险。目标在于了解自身弱点，并网络部署中关于对称密钥长度或非对称加密算法的漏洞。需要注意的是，完成所有这些工作需要相当长的时间。
3)密码敏捷性的重要性
nist还明确强调了具备密码敏捷性的关键性。将密钥和加密技术组织在集中位置有助于简化和组织数据的管理，并确保具备密码敏捷性的能力。密码敏捷性是一种越来越流行的策略，有助于数据和组织做好准备，以应对可能需要发生的任何变化。这种变化可能是为了应对计算机的威胁，或者可能是其他原因。密码敏捷性的在于具备灵活、适应性强，且没有固有过时性的能力。
nist提出的算法已经公开多年。通过构建一个密码敏捷系统，组织可以轻松地提前实验和测试这些新算法，远在终发布或新合规要求之前。对于已经在网络中构建了可编程元素的组织来说，用新批准的nist算法替换传统算法将非常简单。准备充分的组织在从传统算法过渡到新一代密码算法时，几乎不会受到任何影响。
在换加密算法时需要考虑的许多因素，包括互操作性、性能、内存限制和可用性。尽早开始测试受影响的使用案例是确保不留任何漏洞的重要因素。此外，了解和解决您的数据使用案例也很重要，包括静态数据、使用中的数据和移动中的数据。
泰雷兹公司提供了支持所有nist提议算法的数据解决方案。我们已开发出多种原型产品，让用户现在就可以开始测试流程，而不是等到商用计算机出现的“零日事件”才开始行动。谨慎和前瞻性地从现在就开始准备工作，包括添加可编程密码学元素，而不是等到不可避免的出台要求采用新算法的法规，通过仔细规划，可以变得简单、经济。
泰雷兹长期以来一直倡导密码敏捷性，并努力确保我们的所有产品都融入了密码敏捷性。无论您是在寻找还是静态数据中的解决方案，泰雷兹都能提供帮助。
了解多我们的解决方案信息，或使用我们的5分钟pqc风险评估工具，帮助您的组织做好成为的准备。
关于泰雷兹
您所依赖保护您隐私的人员依赖泰雷兹来保护他们的数据。在数据方面，组织面临着越来越多的决定性时刻。无论是加密战略、转移到云端还是满足合规要求，您都可以依靠泰雷兹来确保您的数字化转型。
决定性的技术为了决定性的时刻。
关于安策
safeploy安策从事信息业务过20年，是泰雷兹thales(原imperva，gemalto，vormetric，safenet，aladdin，rainbow)等公司在中国区的合作伙伴，为云、应用、数据、身份等提供保护的能力和技术支持能力，为在中国地区经营和出海开拓业务的企业，提供本地化的可信、可控、又合规的数据策略。
安策信息技术（上海）有限公司专注于数据安全,加密机,加密狗等