本文来自《OIDAA视界》，本篇文章作者：北京中电华大电子设计有限责任公司 刘畅

摘要:在量子时代，量子计算带来的公钥体系安全风险引发了在数字身份认证领域的后量子迁移思考。结合数字身份的业务架构以及涉及到公钥体系的安全风险点，指出了后量子算法迁移的必要性，并针对PKI证书体系及链路数据等主要环节提出了后量子算法迁移的建议，

关键词:数字身份;签名验签;产生密钥对;后量子迁移

一、数字身份概述

     在数字化时代，数字身份是指将居民身份信息经过处理，形成与实体身份证唯一对应的数据文件，并存储在可信环境中，如手机的超级 SIM 卡 (以下简称 SIM 卡)，从而实现居民身份证的电子化。在日常文旅、交通、政务等场景中，市民使用手机，结合业务系统即可实现数字身份的在线认证，从而体验到无卡化的便捷认证服务。目前数字身份可由多种业务应用选择开通，经可信机构签发后，通过运营商的可信服务平台(TrustedService Manager，简称TSM)，将数字身份存储在手机的SIM卡中。在需要使用数字身份的场合，由业务终端采用NFC或者扫描手机数字身份二维码的形式，将数字身份传送到可信机构进行数字身份认证。

二、现有数字身份认证的安全挑战

     在目前的数字身份系统中，现有PKI体系中的数字证书多基于RSA或EC DSA算法;通信链路的数据加密采用SM4算法，数据完整性和来源真实性保护采用 SM3/SM2 算法。但近年来随着量子计算的产生，传统密码算法的密码分析复杂度会降低，尤其是公钥体系下的PKI证书体系、TLS/SSL等网络安全协议以及数据链路中涉及到的签名/验签、加密/解密等都受到了安全挑战。为了应对量子计算带来的密码安全威胁，后量子密码(PO C)算法应运而生。用PQ C算法替换传统算法的过程称为后量子迁移。而由于数字身份系统涉及大量敏感信息，对数据有高安全性要求，因此为了使数字身份系统能具备抵抗量子攻击的能力，后量子迁移也将成为必然趋势。在现有数字身份系统的“端-端”架构中，由于多方涉及到基于公钥体系的信息认证，因此系统存在安全风险，主要体现在:

     (一)数字身份签发中的信息认证

图1 TLS/SSL简要握手过程

    •PKI体系中的证书签发验证

     ——TSM平台产生密钥对，认证机构（Certificate Authority，简称CA）需向TSM平台签发证书链，用于后续SIM卡验证

    •SIM卡与TSM平台握手

     ——SIM卡发起握手请求；

     ——TSM平台发送证书链给SIM卡；

     ——SIM卡验证平台证书签名后，采用预共享密钥（Pre-shared Key，简称PSK）方式协商出会话密钥。此密钥可用作承载无关协议（Bearer Independent Protocol，简称BIP）通道下发数字身份的保护密钥

     此过程涉及到PKI体系中密钥对生成和证书签发，以及SIM卡对TSM平台证书的验证。

      (二)数字身份认证中的信息认证

图2 数字身份认证简要过程

    •SIM卡产生公私钥对，公钥传送到可信机构

    •SIM卡对身份信息进行签名，业务终端将含有身份信息签名的数据上传到可信机构进行验签

     此过程涉及到SIM卡产生密钥对和对数字身份的签名，以及可信机构对签名的验证。

三、后量子算法迁移建议

     后量子算法迁移是将业务系统中传统的密钥算法更换成后量子密码算法，用于抵抗量子计算的攻击。POC 算法的重点是公钥密码算法，涉及到的技术主要包括密钥封装机制和密钥签名机制。

   •密钥封装机制 (KEM) 是一种涵盖三个算法的机制，包括密钥对生成算法，一个封装算法，利用公钥计算会话密钥和密文，以及一个解封装算法，使用密文和私钥产生会话密钥;

     (一)算法筛选

    可以看出数字身份认证中涉及到公钥计算的为签名验签及产生密钥对，可考虑采用后量子算法进行迁移替换。目前有两种标准算法CRYSTALS-DILITHI-UM、SPHINCS+可支持签名机制，两者在性能、密钥尺寸、签名尺寸、实现复杂度和安全性方面的对比如下:

   通过以上对比，考虑到SIM卡空间限制及传输效率，由于SPHINCS+在数据尺寸上会导致签名数据量过大，且效率和实现复杂度上均不如CRYS-TALS-DILITHIUM，在算法上推荐CRYSTALS-DILITH-IUM。

     (二)迁移路线建议

     通过数字身份认证过程的分析，考虑到迁移路线是一个复杂且分阶段的过程，数字身份系统也较为复杂，在迁移初期:

     一是，采用混合迁移，即传统算法方式与后量子算法结合的方式，完成过渡迁移；

     二是，采用分步迁移，先对数字身份业务架构中主要涉及到公钥体系下信息认证的部分做出后量子迁移建议， 而对于整个体系中基于TLS/SSL中的安全协议及对称算法等，可在前者迁移完备之后再进行迁移或优化，最终达到整个数字身份系统的量子迁移。本次主要涉及的环节为签名机制:

    •数字身份签发流程中PKI证书体系中的产生密钥对、证书签发和客户端证书验证；

    •数字身份验证流程中链路数据中的签名验签。

     对于PKI证书体系，目前有两种迁移思路:

    •直接用后量子签名算法对现有PKI证书体系中的RSA或ECDSA算法进行替换，采用新定义后量子证书，并对整个证书体系进行改造；

    •在X.509v3数字证书的扩展格式下，增加后量子签名算法OID、后量子签名公钥和后量子签名，构造支持经典算法和后量子算法的混合证书，支持传统算法和后量子算法两种签名的签发和验证。

     以上过程涉及到针对CA平台、TSM平台的产生密钥对和签名验签改造;SIM卡的证书验签改造考虑到迁移的平稳过渡，推荐使用第二种混合方式在兼容传统算法的同时支持后量子算法，对系统的整体改动较少。

     对于链路数据，迁移思路为：

    •SIM卡主要涉及到产生密钥对及数据签名，可直接采用后量子算法替换SM2;

    • 上一篇 返回 下一篇