现在是2031年，大流行已经成为过去。当戴夫喝着早上的咖啡看新闻时，一个标题引起了他的注意。一台大型量子计算机终于投入使用了!突然，戴夫思绪万千。几秒钟后，随着心跳放缓，他抬头看着镜子，自豪地说:“是的，我们准备好了。”你对戴夫所不了解的是，在过去的10年里，他一直致力于确保我们宽带通信和接入网络的各个方面都保持安全和保护。除了寻找新的抗量子算法，Dave一直专注于其部署的实际方面，并解决其对宽带行业的影响。

在2021年，宽带行业需要开始走戴夫10年后走过的路。我们需要确保提前清除障碍，这样我们就可以为采用后量子(PQ)密码学等新的安全工具奠定基础。

后量子密码学格局

尽管NIST仍在完成PQ密码学的标准化过程，但对于PQ部署和宽带行业，我们已经可以推断出一些有趣的趋势和实际的长期考虑。

在最后一轮算法竞赛中仍然存在的大多数算法都是基于被称为格，实际上是等间距的向量或点的集合。基于晶格的密码安全特性的根源在于解决某些拓扑问题的困难，这些问题没有有效的算法(即使对于量子计算机)，例如最短向量问题(SVP)或最接近向量问题(CVP)。像Falcon或Dilithium这样的算法基于格，并产生最小的身份验证轨迹(即签名范围从700字节到3300字节)。

另一类值得关注的算法是基于同源．这些算法使用了不同于晶格的结构，并已被提出用于密钥交换算法。这些新的密钥交换算法——即密钥封装机制(KEM)——利用椭圆曲线之间的态射(或等同性)来提供“Diffie-Hellman-like”密钥交换属性来实现完全前向保密。基于同源性的加密使用PQ算法中最短的密钥，但计算量非常大。

除了这两类算法，我们还应该把基于哈希的签名方案作为一种可能的替代方案。具体来说，它们提供了经过验证的安全性，代价是非常大的加密签名(公钥非常小)，这阻碍了目前它们的采用。一个著名的基于哈希的算法可能会被重新包含在NIST标准化过程中是SPHINCS+。

DOCSIS®协议，DOCSIS PKI和PQ部署

现在您了解了下一代加密基础设施的可用选项，现在是时候看看这些新算法如何影响宽带环境了。事实上，尽管DOCSIS协议从一开始就使用数字证书和公钥加密，但宽带生态系统只依赖于RSA算法，而且该算法与目前考虑的PQ算法具有非常不同的特征。

好消息是，从安全的角度来看，与以前的版本相比，使用最新版本的DOCSIS协议(即DOCSIS 4.0)替换RSA只需要进行最小的升级。具体地说,DOCSIS 4.0在密钥交换方面消除了对RSA算法的依赖，并利用标准签名格式——即加密消息语法(CMS)——来传递签名。CMS已经计划在算法标准化过程结束后立即升级，为PQ算法提供标准支持。在DOCSIS 1.0-3.1中，由于密钥交换依赖于RSA算法，所需的协议更改可能更广泛，除了RSA密钥之外，还使用对称密钥来交付安全认证．

新算法的规模是部署的另一个重要方面。尽管基于晶格和基于同位性的算法对于已验证(签名)或加密(密钥交换)数据的大小非常有效，但它们仍然比我们今天所使用的大一个数量级(或更多)。

因此，宽带行业需要首先考虑密码学对身份验证和授权消息大小的影响。在DOCSIS协议中，基线隐私密钥管理(BPKM)消息在第2层用于跨电缆调制解调器及其终端系统传输身份验证信息。幸运的是，由于BPKM消息可以通过碎片支持提供对任何数据大小的支持，因此我们认为不需要更新或修改第二层身份验证消息的结构来适应新的加密大小。

与新密码的大小有关的是与算法性能相关的考虑。与RSA和ECDSA不同，PQ算法的计算量非常大，因此在设计支持它们的硬件时可能会造成额外的工程障碍。对于终端实体设备，如电缆调制解调器和光网络单元，有多种选择需要考虑。例如，一种选择是考虑现代微控制器的集成，它可以卸载计算，并提供可以安全地执行算法的隔离环境。另一种方法是利用许多边缘设备的中央处理单元(cpu)中已经可用的可信执行环境，而不需要更新当前的硬件架构。在核心设备上，与非常快速的RSA验证相比，增加的CPU负载可能需要额外的资源。亚博全球最大投注平台这是一个活跃的调查领域。

最后一组注意事项与算法部署模型和证书链验证注意事项有关。具体来说，由于NIST要求的PQ算法的当前实现范式没有使用散列和符号范式(它直接对数据进行签名而不先对其进行散列)，因此需要考虑一些重要的问题。虽然这种方法消除了对哈希算法的安全依赖，但它也带来了微妙但重要的性能损失;要进行身份验证或签名的数据(即，当设备试图向网络进行身份验证时)必须由算法直接处理。这可能需要大型数据总线将数据传输到MCU或通过CPU上的可信执行环境进行转换。已经观察到由所采用的签名机制所产生的性能瓶颈，需要进一步调查以更好地了解对部署的实际影响。

例如，当使用“散列-符号”范例进行签名时，1TB文档或1KB文档上操作的签名部分需要相同的时间(因为您总是对只有几个字节长度的散列进行签名)。相比之下，当使用新的范例时(不可能使用像RSA这样的算法)，签名时间会根据所签名数据的大小而有很大差异。当通过这种新方法处理与生成和签署数亿个证书相关的成本时，这个问题就更加明显了。换句话说，如果采用新范式，可能会对证书提供者产生潜在影响，并增加与签署大量证书相关的成本。

可用的工具和项目

现在您知道了要寻找的位置和内容，那么如何开始更多地了解并试验这些用于实际部署的新算法呢?

最好的起点之一是开放量子安全(OQS)项目旨在支持抗量子密码学的开发和原型设计。OQS项目提供了两个主要的存储库(开源，在GitHub上可用):基础liboqs图书馆，它提供了一个抗量子加密算法的C实现，以及OpenSSL库，该库集成了liboqs并提供了亚博yabo888vip网页版CableLabs的复合加密技术．

尽管OQS项目是开始使用这些新算法的好工具，但提供的与OpenSSL的集成不支持通用签名操作:这一限制可能会影响在不同用例中测试新算法的可能性。为了解决这些限制，并提供更好的Composite Crypto支持以及PQ算法的散列和符号实现，CableLabs开始将启用PQ的OpenSSL代码与新的启用PQ的OpenSSL代码集成亚博yabo888vip网页版LibPKI(来自原始OpenCA的LibPKI存储库的一个分支)，可用于构建和测试这些算法，用于PKI生命周期管理的所有方面，从验证完整的证书链到生成抗量子撤销信息(例如，crl和OCSP响应)。