NSA试图削弱后量子密码标准？一场关乎未来的加密战争

“想象一下，十五年后，有人宣布建成了一台大型量子计算机。RSA、DSA、椭圆曲线……所有我们今天依赖的加密算法，瞬间土崩瓦解。” 这不是科幻小说的开篇，而是著名密码学家丹尼尔·J·伯恩斯坦（Daniel J. Bernstein, DJB）多年前就描绘的“量子末日”场景。如今，为了抵御这一天的到来，全球密码学界正在向PQC迁移。

然而，在这场关乎未来的数字军备竞赛中，一个令人不安的阴影再次浮现。

近日，DJB撰文（链接在文末）抨击NSA正在推动取消后量子密码（PQC）中的“备用算法”，这可能为未来的大规模监控和网络攻击敞开大门。DJB指责美国国家安全局（NSA）取消“混合模式”将削弱即将到来的PQC标准。

这则指控犹如一颗重磅炸弹，引爆了技术圈和安全界的担忧。NSA，这个曾经因“棱镜门”事件而声名狼藉的情报机构，是否又在故技重施，为未来的全球监控埋下伏笔？

“双保险”策略：为何我们需要备用算法？

要理解DJB的担忧，首先需要明白什么是“混合模式”。

后量子密码是一项全新的技术，旨在抵抗未来量子计算机的强大算力。目前，由美国国家标准与技术研究院（NIST）主导的PQC标准化进程，已经选出了以CRYSTALS-Kyber（现更名为ML-KEM）和CRYSTALS-Dilithium（现更名为ML-DSA）为代表的一批优胜算法。这些基于格理论的算法被认为是抵御量子攻击的有力竞争者。

但问题在于，“全新”也意味着“未经时间检验”。

尽管这些算法在理论上是安全的，并通过了密码学家们的严格审查，但没有人能百分之百保证它们在实际部署中不会出现意想不到的漏洞。历史上，新的加密算法在被大规模使用后发现严重漏洞的案例屡见不鲜。

因此，业界普遍认为，在PQC迁移的过渡阶段，最稳妥的方案是采用“混合模式”，即将传统的、经过数十年考验的加密算法（如椭圆曲线加密ECC）与新的PQC算法结合使用。

这就好比汽车不仅有主刹车系统，还有一套备用的手刹。即使新的PQC算法（主刹车）被证明存在缺陷，甚至被今天的经典计算机破解，我们依然有ECC这道“安全带”或“备用刹车”来提供保护。谷歌早在2016年部署混合加密时就明确指出：“如果后量子算法被证明用今天的计算机就能破解，那么椭圆曲线算法仍将提供当今技术能达到的最佳安全性。”

这种“双保险”策略，是确保在充满不确定性的技术更迭中，用户数据安全不受损害的关键。

NSA的“单行道”：一场精心策划的削弱？

然而，据DJB和另一位比特币开发者Peter Todd等人的观察，NSA似乎正在不遗余力地推动一种“量子算法唯一”（quantum-only）的策略，即直接用PQC算法完全取代传统算法，而不是采用混合模式。

这种做法在密码学界引起了巨大的争议和警惕。批评者认为，NSA的动机绝非单纯的技术考量。一个可怕的可能性是：NSA或许已经掌握了某种能够破解NIST选定的PQC算法的方法，或者他们相信未来能够找到这样的方法。

如果这个假设成立，那么推动“量子算法唯一”的策略就显得极其险恶：

• 移除安全网：废除混合模式，等于拆除了传统加密这道最后的防线。

• 制造单点故障：一旦新的PQC算法被攻破，整个加密体系将瞬间失效，所有通信和数据都将裸奔。

• 实现战略优势：如果NSA掌握着未公开的漏洞，他们就能在全球范围内实现大规模、无法被察觉的监控。

这并非空穴来风的阴谋论。回顾历史，NSA在削弱和操纵加密标准方面早有前科。从上世纪90年代试图强制推广内置后门的“Clipper芯片”，到后来被斯诺登曝光的“BULLRUN”计划——通过秘密手段，系统性地在商用加密产品和国际标准中植入漏洞。NSA的行为一次次印证了它对于“强加密”的敌视和对“后门”的渴望。

正如一位安全专家所言：“当NSA推荐一种特定的加密方式时，你最好反着做。”

NIST的困境与Kyber的“瑕疵”

在这场博弈中，负责制定标准的NIST处于一个尴尬的位置。一方面，它需要依赖NSA的技术专长来评估算法的安全性；另一方面，它又要极力避免被NSA过度影响，以维护其标准的公信力。

NIST的PQC标准化进程自2016年启动以来，经过多轮公开的征集和评估，力求透明和公正。然而，最终入选的CRYSTALS-Kyber和CRYSTALS-Dilithium等算法，也并非完美无瑕。

近年来，研究人员已经发现了针对这些算法实现的潜在攻击方式，尤其是“侧信道攻击”（Side-channel attacks）。例如，一种名为“KyberSlash”的定时攻击（timing attack）就被发现可以利用某些Kyber实现在处理特定计算时的时间差异，来推断出密钥信息。

虽然这些漏洞主要存在于具体的软件或硬件实现层面，而非算法本身的数学核心，但它们也提醒我们，一种新的加密算法从理论到安全的实践，还有很长的路要走。在这样一个“脆弱窗口期”，放弃经过时间考验的备用算法，无疑是一场豪赌。

GoUpSec观点：加密技术与安全标准的国界

NSA推动削弱后量子密码标准的风波，再次揭示了网络安全技术并非“无国界”：安全与便利、安全与控制权/主权之间，永远存在着张力。

对于企业和普通用户而言，这场看似遥远的技术路线之争，实则与每个人的数字生活息息相关。我们是否应该信任一个与国家安全和公民隐私有着天然利益冲突的美国安全机构来为我们的未来制定安全标准？答案显然是否定的。

密码学界的共识是，开放、透明和经过充分验证，是通往真正安全的唯一道路。在向PQC迁移的漫长旅程中，混合模式的“双保险”策略，不是一种倒退，而是一种必要的审慎。它承认了新技术的未知风险，并为这种风险提供了缓冲。

DJB的警告，是“加密吹哨人”的声音，提醒我们必须对任何试图走捷径、移除安全网的行为保持高度警惕。因为在密码学的世界里，任何微小的瑕疵，都可能在未来被无限放大，最终导致整个安全大厦的崩塌。未来的数字世界，不应建立在被精心设计过的“单点故障”之上。

参考链接：

https://blog.cr.yp.to/20251004-weakened.html

声明：本文来自GoUpSec，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。