为什么我们不能等待更好的后量子签名算法

NIST正在推进九种新的后量子签名算法,作为未来标准化的潜在候选者。我们仔细研究了它们,认为虽然它们正在开发中并显示出巨大的潜力,但我们现在应该使用ML-DSA--目前最好的ML-DSA。

RSA和ECC是我们几十年来一直依赖的加密算法,它们很容易受到足够先进的量子计算机的攻击。这样的量子计算机还不存在,但它们似乎比预期的更快到来。幸运的是,该解决方案已经可用:迁移到ML-KEM加密和ML-DSA签名,这些签名旨在抵御量子攻击。它们于2024年由美国

国家标准与技术研究院( NIST )经过为期八年的公开国际竞赛。向后量子密码学的迁移现在正在全面展开。在撰写本文时, Cloudflare处理的大部分流量已经使用ML-KEM加密,因此可以抵御收获-现在-解密-以后的攻击对数据构成的威胁。

但加密只是等式的一部分:为了完全抵御能够破解经典加密的量子计算机,我们的目标是部署后量子签名,以保护身份验证系统免受未经授权的访问。我们的目标是2029年使Cloudflare在量子后完全安全。

ML-DSA是当今标准化的最佳全方位后量子签名方案,它有缺点:它在电线上要大得多,我们能够用RSA和ECC执行的许多技巧根本无法用ML-DSA完成。即将出现更好的后量子签名方案:上个月, NIST宣布正在将9个后量子签名方案推进到第三轮“签名入口”。

从之前的比赛中挑选出来的FN-DSA ( née Falcon )的标准草案预计很快就会出炉。我们对后量子签名算法的进展非常感兴趣,并撰写了2021年、2022年、2024年和2025年的进展情况。在这篇博客文章中,我们将为您详细介绍最新进展。