PQVPN-抗量子计算攻击的软件VPN设计.docxVIP

? ? PQVPN:抗量子计算攻击的软件VPN设计 ? ? 杨亚涛 ,赵若岩 ,常 鑫 ,郭 超 ,肖 嵩 1 北京电子科技学院电子与通信工程系,北京 中国 100070 2 西安电子科技大学通信工程学院,西安 中国 710071 1 前言 抗量子密码又称后量子密码(Post Quantum Cryptography)。2015 年8 月,美国国家安全局公开提出美国国家安全系统目前使用的NSA Suite B 将逐步向后量子密码算法升级。2016 年,美国国家标准与技术研究院(National Institute of Standards and Technology,NIST)向全球范围内征集后量子公钥密码算法标准,共有25 个国家和地区的密码学家参加了此次征集活动。截至2018 年,共收到82 份方案。2019年初,NIST 宣布26 个方案进入第二轮评估。2020 年7 月,NIST 公布了第三轮的7 种候选算法和8 种备选算法。如表1 和表2 所示。 表1 第三轮候选算法Table 1 Candidate algorithms for the third round Open Quantum Safe 项目是美国一个研究后量子密码学的开源项目。该项目的主要工作路线为liboqs算法库的开发并将后量子算法集成到协议和应用程序之中,其中包括广泛使用的OpenSSL 库。 2019年,微软研究员Douglas Stebila等人研究了把后量子密码算法融合到TLS(Transport Layer Security)协议和SSL(Secure Sockets Layer)协议中的几种实现方案[1]。同年微软研究员Christian Paquin 开发了包含后量子密码的TLS 框架,并测试了几种后量子密码算法对TLS 连接建立的性能影响[2]。 2020 年,Sebastian Paul 等人针对工业网络物理系统(Cyber-Physical Systems,CPS)的后量子安全问题提出了将后量子密码集成到工业协议开放平台统一架构中,并进行了方案实现和性能评估[3]。Lo?s Huguenin-Dumittan 等人则对进入NIST 第二轮竞赛中的几种算法提出了明文检查攻击(PCA,Plaintext Check Attack)和针对基于秩的RQC 的KR-PCA 攻击[4]。同年,在研究硬件平台方面,Lukas Malina 等人评估了NIST后量子密码候选算法在特殊硬件平台上实施的适用性,主要关注了在受限平台和快速硬件加速平台上的性能[5]。Brian Koziel 等人则研究了NIST 第三轮中密码算法的关键运算如何在硬件中实施有效加速[6]。 2021 年,潘彦斌等人提出两种纯密文攻击思路,并证明在推荐参数下,NIST 竞赛中的候选算法Compact-LWE 是不安全的[7]。Manohar Raavi 等人则针对入围的公钥签名算法比较了其安全性和相应性能,提供了后量子密码设计的安全比较规则、性能分析以及综合分析参考标准[8]。Ward Beullens 针对UOV 和Rainbow 签名方案提出了适用于UOV 和Rainbow 的相交攻击以及仅适用于 Rainbow 的矩形MinRank 攻击,证明了这两种签名方案存在安全缺陷[9]。Thomas Prest 等人则对后量子密码学的知识状态系统化,将经典和后量子密码方案转化为若干个范式[10]。杨亚涛等人在文献[11]和[12]中分别提出了一种基于RLWE 困难问题的后量子攻击密钥协商协议和双向认证密钥协商方案INAKA。李子臣等人基于格理论环上误差学习(Ring Learning with Errors,RLWE)问题使用Peikert 式误差协调机制构造了一个C/S 模式下的口令认证密钥交换协议(PAKE),并使用Java 在Eclipse 平台上进行了此协议的模拟实现[13]。 虚拟专用网(Virtual Private Network,VPN)于1990 年代中期首次创建和部署,旨在远程节点之间建立一个加密的网络隧道,允许应用程序流量通过该隧道跨越不安全的中介网络传输[14]。 量子计算将在未来成为现实。文献[15]中指出,目前主流SSL VPN 的安全性依赖于SSL 协议中身份认证算法、密钥协商算法、信息加密算法的复杂度。随着量子计算的出现,现在所使用的传统密码算法正面临被破解的风险。此外,Sultan Almuhammadi 等人揭示了现有VPN 系统正面临Web 指纹攻击的威胁[16]。 2015 年,Aymen Ghilen 等人建议在隧道两端的OpenVPN 部署用于密钥交换和身份验证的量子协议,以实现VPN 隧道通信安全性能的提升[17]。 2