概述
随着量子计算机的快速发展,传统密码学面临严峻挑战:基于质数分解(RSA),离散对数(DH),椭圆曲线(ECC)的公钥密码方案,都可被量子计算机使用 Shor 算法破解。面对量子威胁,后量子密码(PQC)被设计用于抵抗量子计算机的破解,密钥管理系统(KMS)支持以下两种 PQC 密码算法:
基于 Kyber 的 PQC 加密解密算法,保护数据的机密性。
基于 Dilithium 的 PQC 签名验签算法,确保数据的完整性。
数据加密算法
Kyber 算法基于 Module Learning-With-Error(MLWE)难题,提供一个基础的 IND-CPA 安全的公钥加密方案(PKE)。通过 Fujisaki-Okamoto(FO) transform 可以获得一个 IND-CCA2安全的密钥封装方案(KEM)。KMS 将 Kyber-KEM 集成 AES-256实现数据封装方案(KEM-DEM),为用户提供 IND-CCA2安全的高效加密方案。
操作步骤
1. 登录 密钥管理系统(合规) 控制台。
2. 参考文档 创建密钥,密钥用途选择非对称加解密,加密算法选择 Kyber_AES。
数据签名算法
Dilithium 算法的安全性基于在格中寻找最短向量的 NP 问题,算法设计上兼顾了公钥与签名的大小,NIST Level 3可保证很高的安全强度。Dilithium 支持 DET 和 Random 的签名,使用场景也较灵活,可以通过 KMS 的 SDK 来调用相关的签名验签算法。
操作步骤
1. 登录 密钥管理系统(合规) 控制台。
2. 参考文档 创建密钥,密钥用途选择非对称签名验签,加密算法选择 Dilithium。
