Google云計算現(xiàn)在于原本ALTS(Application Layer Transport Security)協(xié)議,所使用的X25519加密算法外,額外再以NTRU-HRSS算法進行加密,避免未來黑客使用量子運算技術(shù),破解當(dāng)前經(jīng)加密的資料。
當(dāng)開發(fā)者訪問URL為HTTPS開頭的網(wǎng)站,該連接受到安全公鑰加密協(xié)議保護,避免用戶資訊遭黑客竊取。目前廣泛部署的公鑰密碼算法,足夠抵御當(dāng)前的黑客攻擊手法,但是由于量子運算技術(shù)的發(fā)展,普遍認(rèn)為量子計算機將徹底破解這些算法,因此密碼學(xué)界也開始發(fā)展能夠抵御基于量子計算機攻擊的方法。
雖然現(xiàn)在量子計算機仍不具備破解RSA等加密方法,之所以Google現(xiàn)在就開始規(guī)劃防御措施,是因為攻擊者可能會先存儲加密資料,等到量子計算機足夠強大后再進行破解,又或是部分產(chǎn)品的生命周期,可能與未來量子計算機重疊,并且之后難以進行系統(tǒng)更新,因此需要提早準(zhǔn)備。
考量這兩個主要原因,Google云計算已經(jīng)在內(nèi)部的ALTS(Application Layer Transport Security)協(xié)議上激活NTRU-HRSS算法,來加強抵御量子計算機攻擊的能力。
Google提到,目前美國國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)仍未決定后量子密碼(Post-Quantum Cryptography,PQC)標(biāo)準(zhǔn),也因為目前的后量子算法仍屬于臨時性質(zhì),所以Google內(nèi)部的ALTS便成為了良好的試驗對象,借由控制所有端點抵御先存儲后解密攻擊,同時,當(dāng)未來NIST決定采用不同的標(biāo)準(zhǔn),Google也可以相對簡單地進行切換。
但是部署新密碼系統(tǒng)有其風(fēng)險,因為仍未經(jīng)實際測試,為了避免新密碼系統(tǒng)存在漏洞的風(fēng)險,Google將NTRU-HRSS算法作為額外的防護層,如此便能夠確保系統(tǒng),仍受到原本經(jīng)驗證加密方法的保護。
之所以Google選擇部署NTRU-HRSS算法,是因為在抵抗量子的算法中,NIST更青睞基于格(Lattice)的算法,最近NIST批準(zhǔn)第一個后量子密碼密鑰封裝機制(KEM)Kyber,Kyber具有高性能的優(yōu)點,但是目前仍有一些知識產(chǎn)權(quán)的爭議。
另外一個格算法便是NTRU-HRSS KEM算法,Google提到,專家認(rèn)為該算法是在格解決方案中,更為保守的選擇。因此有鑒于性能和成熟度,Google選擇在ALTS協(xié)議,使用NTRU-HRSS KEM算法。
目前Google使用混合方法來部署加密機制,同時在ALTS中使用X25519和NTRU-HRSS,也就是說,攻擊者現(xiàn)在必需要突破兩層防御,才能成功破解訪問資料。