谷歌云国内代理商：Cloud KMS 中推出量子安全密钥封装机制-优快云博客

由谷歌云国内授权代理CloudAce云一整理发布。

量子计算代表着技术的新前沿，同时也带来了一系列新的安全挑战。一台足够强大的量子计算机可能会破解我们目前所依赖的公钥加密系统，对个人和组织构成重大风险。

尽管这种威胁可能还需要数年时间才能出现，但构建适当的防御措施也同样需要数年时间。继我们近期宣布在 Google Cloud 密钥管理服务 (Cloud KMS) 中推出量子安全数字签名之后，我们非常高兴能够扩展我们的量子安全功能。现在，我们宣布 Cloud KMS 预览版将支持后量子密钥封装机制 (KEM)，助力客户开启向后量子世界的迁移。

这项新功能提供了关键的构建模块，帮助您开始保护应用程序免受“先收获，后解密”攻击。攻击者可以立即捕获并存储加密数据，并计划在多年后，一旦获得与密码相关的量子计算机 (CRQC)，即可对其进行解密。因此，即使量子威胁看似遥远，保护需要长期保密的敏感数据也至关重要。

挑战：迁移到后量子世界

虽然大部分数据都使用对称加密进行保护，但非对称加密才是安全交换这些对称密钥的关键。后量子密码学的出现彻底改变了这种密钥交换过程。

从经典非对称加密迁移到后量子密钥管理 (KEM) 不仅仅是简单的算法切换，它需要架构思维的转变。开发人员将面临两大挑战：适应新的加密范式，以及管理新的性能特征。

最大的障碍是 KEM 不能直接替代传统的非对称加密。使用 RSA 等经典算法时，开发人员通常会加密他们已有的数据，例如他们生成的对称会话密钥。

KEM 完全颠覆了这一模型：发送者不再选择共享密钥，而是 KEM 封装过程本身生成的随机新值。

这种架构转变意味着您不能简单地替换Encrypt()函数调用。为了安全地处理这种复杂性，开发人员应该采用高级标准，例如RFC 9180中定义的混合公钥加密 (HPKE)。HPKE 是一个可扩展的标准，可以与不同的 KEM 一起使用，并且可以在 Tink等库中使用，以简化后量子算法的集成。

其次，开发人员必须应对新的性能特征。虽然后量子运算的计算速度通常与经典运算相当，但公钥和密文的大小却要大得多。

这并非微不足道的增长。我们通常谈论的是数量级的差异。例如，标准的ML-KEM-768密钥比 P-256 密钥大约大 18 倍。

这种规模的增加会直接影响应用程序的性能，影响带宽、存储和内存的使用。成功的迁移需要架构师考虑到这些更大的负载，尤其是在物联网设备等资源受限的环境中。

最后一个挑战是这些算法的新颖性。虽然新标准已经经过了严格的审查，但它们尚未像传统算法那样经受住数十年的实际分析。

因此，对于大多数通用应用程序，我们强烈建议使用混合方法。混合部署通过结合经典算法和后量子算法来规避新 PQC 算法中的风险。这确保了新后量子算法或其实现中的任何意外缺陷不会引入新的漏洞。这有助于安全、渐进地过渡到后量子世界。

Cloud KMS 中的 KEM 入门

为了提供灵活、安全的量子抗性途径，Cloud KMS 现在提供了几种 KEM 算法。

ML-KEM-768 和 ML-KEM-1024：这些是基于模块格的密钥封装机制标准的实现，由 NIST 以FIPS 203 的形式发布。对于必须遵守CNSA 2.0等标准的客户，ML-KEM-1024 提供了更高的安全级别，但其密钥（1568 字节，而非 1184 字节）和密文（1568 字节，而非 1088 字节）较大，这可能会影响性能。
X-Wing：对于大多数通用应用，我们强烈建议使用混合方法。X-Wing KEM 将经典的 X25519 算法与后量子 ML-KEM-768 算法相结合，提供针对经典和潜在量子对手的分层防御。

使用 Cloud KMS API，将这些新的量子安全 KEM 集成到您的工作流程中非常简单。您可以在Cloud KMS 官方文档中找到详细说明和代码示例。我们的底层实现将作为 Google 开源加密库BoringCrypto和Tink的一部分提供，以确保完全透明。