FIPS203 关注的核心问题
量子威胁重点在密钥交换
量子计算机主要威胁基于数论相关问题的非对称加密(RSA/ECC)。
现有的公钥密码系统如基于整数分解和离散对数问题的算法在量子计算机的攻击下将不再安全,因此,NIST发起了后量子密码学标准化项目,以寻找能够抵抗量子攻击的新型加密算法。
对称加密只需适度增强
通过增加密钥长度(如AES-256)抵抗Grover算法搜索攻击
ML-KEM的核心价值
建立量子安全的密钥传输通道,为对称加密提供安全基础。
MK-KEM 的全称为:Module-Lattice-Based Key-Encapsulation Mechanism,该问题的研究难点在于如何在量子计算环境下确保密钥交换的安全性,并且保证算法的高效性和实用性。
ML-KEM 的关键流程
关键算法
● 密钥生成(KeyGen)
生成一个封装密钥和一个解封装密钥
封装密钥可以公开,而解封装密钥必须保密
● 封装(Encaps)
使用封装密钥生成一个共享秘密密钥和一个相关的密文
密文被发送给接收方
● 解封装(Decaps)
接收方使用解封装密钥和收到的密文生成另一个共享秘密密钥
算法流程
● 密钥生成
Alice生成封装密钥和解封装密钥
Alice保留解封装密钥并公开封装密钥
● 封装过程
Bob使用Alice的封装密钥生成共享秘密密钥和密文
Bob将密文发送给Alice
● 解封装过程
Alice使用密文和解封装密钥生成共享秘密密钥
ML-KEM 的核心使用场景
对称密钥的安全传输与派生
核心功能
● 建立双方共享的256位对称密钥(K)
后续用途
● 直接用于AES等对称加密
● 通过SP 800-56C派生更多密钥
与传统方案的对比
| 场景 | 传统方法(如RSA) | ML-KEM方案 |
|---|---|---|
| 密钥传输 | 用RSA加密对称密钥 | 封装机制生成共享密钥 |
| 量子威胁 | Shor算法可破解 | 基于MLWE问题,无已知量子攻击 |
| 安全基础 | 整数分解/离散对数 | 模块格上噪声方程求解困难性 |
与传统密码学算法的强度对比
| 参数集 | 等价抗量子强度 | 对标经典算法 |
|---|---|---|
| ML-KEM-512 | 128位量子安全 | RSA-3072 |
| ML-KEM-768 | 192位量子安全 | RSA-7680 |
| ML-KEM-1024 | 256位量子安全 | RSA-15360 |
与传统场景的结合方式
| 系统层级 | 技术组件 | 量子防护作用 |
|---|---|---|
| 密钥协商层 | ML-KEM | 抵御量子计算破解密钥传输 |
| 数据加密层 | AES-256 | 保护业务数据(无量子加速威胁) |
为何在密钥分发层而非对称算法层抵抗量子威胁
效率与可行性
对称加密算法(如AES)通过增加密钥长度(如AES-256)即可维持抗量子安全性,其计算效率远高于非对称算法改造。而传统非对称算法(如RSA、ECC)在量子攻击下存在多项式时间破解风险,必须彻底更换数学基础。
分层安全策略
FIPS 203采用分层设计:ML-KEM负责安全分发密钥(抗量子层),对称算法负责数据加密(高效执行层)。这种分工既保障了长期安全性,又避免了大规模替换现有对称加密基础设施的成本。
标准兼容性
文档要求共享密钥需符合NIST SP 800-57的安全强度要求,并允许直接用于FIPS批准的对称算法(如AES),无需额外修改。这体现了对现有对称加密体系的信任。