2024年第10期《网络安全国际动态》

2024年10月1日，美国土安全部（DHS）与波兰数字事务部（MDA）签署了一份谅解备忘录（MoU），旨在深化两国网络安全和新兴技术方面的合作。

该MoU明确要在网络政策和战略、安全设计工作、信息共享、事件响应、人力资本开发和新兴技术等领域加强交流，强调未来在开发安全可靠的人工智能和物联网技术方面的工作意向。该MoU协议通过对未来的政策和行动合作提供框架，进一步加强了双方本已紧密的伙伴关系。

下一步，DHS的多个机构，包括网络安全和基础设施安全局（CISA）、战略政策和计划办公室以及科学与技术局，将推动网络安全和新兴技术合作。波兰数字事务部也将通过其国家研究院（NASK）等机构协调实施该合作。

2024年10月16日至17日，欧洲刑警组织（Europol）召开欧洲网络犯罪会议，来自82个国家的460多名执法官员、网络安全专家和行业代表参加此次会议，讨论网络犯罪的最新趋势和挑战。

会议围绕五个关键主题展开：

（1）展示近期有影响力的国际执法行动；

（2）探讨数据访问存在的机会，研究影响网络威胁及时检测、调查和破坏的技术障碍；

（3）针对未来潜在的网络犯罪问题提出解决方案；

（4）回顾网络犯罪行动联合工作组（J-CAT）的十年工作成就；

（5）如何利用人工智能等新兴技术来打击网络犯罪。

2024年10月10日，欧洲理事会通过《网络弹性法案》（Cyber Resilience Act，CRA），旨在确保包括智能家居设备在内的数字产品在上市前满足安全标准。

该法案旨在确保数字相关产品在整个供应链和生命周期中的安全性；其核心内容包括引入欧盟范围内的网络安全要求，涵盖硬件和软件产品的设计、开发、生产和市场供应，以避免成员国间的立法重叠。符合要求的产品将带有特定标志，表明它们已通过评估，符合高安全、健康和环保要求。该法案将适用于所有直接或间接连接到其他设备或网络的产品，但排除已纳入特定网络安全要求的产品（如医疗设备、航空产品和汽车等）。该法案将使消费者在选择和使用数字产品时更加注重网络安全，并使他们更容易识别出具有网络安全特性的硬件和软件产品。

2024年10月28日，五眼联盟发起共享安全指导倡议，旨在保护五眼联盟成员国的新兴技术公司免受一系列网络安全威胁。

该倡议为科技行业提供了一套具有成本效益的措施，初创公司可以从一开始就采取这些措施，以更好地保护他们的创意、声誉和未来。该倡议表明，五眼联盟国家在应对这一共同威胁方面的合作承诺进一步增强。澳大利亚、加拿大、新西兰、英国和美国的企业也可以利用所有五眼国家提供的资源、指南和产品。这意味着公司可以从一致且整合的建议中受益，既反映了全球化和互联互通的科技初创企业生态系统，也反映了初创企业面临的安全威胁的全球性。

2024年10月31日，欧洲电信标准协会（ETSI）发布了《消费类物联网产品网络安全：基线要求》（Cyber Security for Consumer Internet of Things: Baseline Requirements），针对物联网领域日益增长的网络和数据安全问题，提出了消费类物联网设备的安全要求，以保护消费者的个人数据。

该文件为物联网设备开发和供应商提供了一个灵活的框架，在促进物联网设备创新的同时确保基线安全水平。该文件以结果为导向，避免过度规范，允许组织自由地为特定产品定制安全解决方案。该文件安全要求主要包括：

（1）建立适用于所有消费者物联网设备的基本安全要求；

（2）为组织提供如何应用这些条款的清晰示例和解释性内容；

（3）确保处理个人数据的物联网设备符合《通用数据保护条例》（General Data Protection Regulation，GDPR）；

（4）具有前瞻性，未来将把当前建议转化为强制性条款。

ETSI强调，虽然这些指南将显著增强消费类物联网设备的安全性，但它们并不能解决所有网络安全挑战。随着消费类物联网的不断发展，ETSI将继续与行业合作伙伴合作，完善这些指南，为用户提供更安全、更可靠的体验。

2024年10月4日，联邦通信委员会（FCC）发布了《手机解锁保护令》（Handset Unlocking Protective Order），旨在通过明确手机解锁的相关要求和政策，促进消费者的自主选择，推动无线电信领域的市场良性发展。

该文件的核心目标是限制对专有或保密信息的访问，并且更严格限制对敏感信息的访问。如果这些信息被披露给竞争对手或利益相关第三方，将使这些人获得显著的竞争优势或谈判优势。

该文件详细定义了“保密信息”和“高度保密信息”，并规定了如何提交、访问和使用这些信息的程序。该文件要求，任何希望访问保密信息或高度保密信息的个人必须签署保密确认书，并同意遵守《手机解锁保护令》的条款和条件。联邦通信委员会强调，发布该文件是为了平衡公共利益与私人利益，确保公众在保护竞争敏感信息不被不当披露和使用的前提下，能够方便用户使用。

2024年10月4日，欧盟网络安全局（ENISA）发布《加密产品和服务市场分析》（Cryptographic Products and Services Market Analysis），深入探讨欧盟境内加密产品与服务的现状和发展趋势。

该报告旨在支持欧盟在《网络安全法案》（Cybersecurity Act）框架下，对加密产品市场的需求侧和供应侧进行深入了解，以促进网络安全市场的良性发展。

报告指出，随着数字化进程的加快，加密技术已成为保护数据安全的关键。ENISA通过问卷调查、开源信息和专家验证，收集了来自需求方、供应方、监管机构和研发组织的数据，全面评估加密产品市场的特点、使用模式、威胁与能力，以及认证、法规和标准化的作用。

2024年10月1日，NIST发布内部报告IR 8505《云原生应用的数据保护方法》（A Data Protection Approach for Cloud-Native Applications），为云原生网络架构中的数据保护提供了一个有效的策略框架。

云原生网络架构包括多云环境、服务网格网络和混合基础设施。该报告强调了WebAssembly（WASM）的能力，这是一种与平台无关、在代理中的方法，具有计算和流量处理能力，可以以原生速度在沙箱和容错环境中构建和部署执行。

该报告指出，在云原生应用架构不断演变的背景下，数据安全不仅仅是在服务请求期间指定和授权，还需要一个全面策略来对数据访问和泄露进行分类和分析，尤其是对于在各种协议中传输的数据。

根据NIST发布的《网络安全框架2.0》（Cyber Security Framework 2.0）的定义，在传输中的数据状态是数据的三种状态之一。因此，除了保护静态数据外，保护传输中的数据也变得至关重要。这种技术能够进行实时分析，以在数据跨服务和网络协议传输时主动监控，并确保其安全。

2024年10月16日，NIST发布特别出版物SP 800-233《面向云原生应用的服务网格代理模型》（Service Mesh Proxy Models for Cloud-Native Applications）。

服务网格已成为云原生应用的实际应用服务基础设施。它通过代理实现应用程序的各种运行时功能（如网络连接、访问控制等），这些代理构成了服务网格的数据平面。报告详细分析了四种不同的数据平面架构，并根据它们的安全风险档案提供了使用建议。这些模型包括：

（1）每服务实例的L4和L7代理（DPA-1）；

（2）每服务的共享L4和L7代理（DPA-2）；

（3）每节点的共享L4和L7代理（DPA-3）；

（4）作为应用部分的L4和L7（gRPC代理less模型，DPA-4）。

NIST SP 800-233根据代理模型的不同，评估了潜在威胁的影响和可能性，为不同安全风险档案的云原生应用提供了推荐架构。报告强调，选择正确的代理模型对于确保云原生应用的安全和性能至关重要，同时需要考虑资源消耗、攻击面和隔离性等因素。

2024年10月7日，NIST发布内部报告IR 8480《身份管理的属性验证服务：架构、安全性、隐私和操作注意事项》（Attribute Validation Services for Identity Management: Architecture, Security, Privacy, and Operational Considerations），面向公众征求意见。

NIST IR 8480提供了一个关于身份管理的属性验证服务（AVS）的框架，旨在帮助联邦、州和地方政府机构设计和开发AVS。

AVS通过验证和判断个人属性来安全识别个体的功能，对于授权和其他目的至关重要。报告强调了AVS在减少错误、不一致和欺诈数据方面的作用，并讨论了AVS在不同领域的应用，如身份验证、授权访问控制和欺诈预防。报告还探讨了AVS的三种主要部署模型：

（1）基于API查询的服务；

（2）共享服务代理模型；

（3）用户控制的已验证属性（UCVA）。

这些模型涉及技术、安全、隐私和操作考虑，以及如何确保AVS满足安全内核属性。报告旨在促进政府数据的更广泛使用，同时保护用户隐私并减少对不完整商业数据的依赖。

2024年10月21日，NIST发布特别出版物SP 800-131A《过渡使用密码算法和密钥长度》（Transitioning the Use of Cryptographic Algorithms and Key Lengths）初版修订，面向公众征求意见。

该文件提供了加密密钥管理指南，用于定义和实施适当的密钥管理程序，使用能够充分保护敏感信息的算法，并规划由于算法破解或更强大计算技术的出现而可能导致的影响。本次修订旨在提供关于过渡到使用更强加密密钥和更稳健算法的指导。

此次修订提出了两项关键变化：

（1）建议淘汰ECB作为保密模式的操作，并停止使用DSA进行数字签名生成；

（2）提出了淘汰SHA-1和224位哈希函数的时间表。

美国NIST发布的3项后量子密码标准解析

量子计算技术的飞速发展对现代加密技术的潜在威胁日益凸显。量子计算有能力破解目前广泛使用的加密算法，如RSA和ECC，这使得全球的安全和隐私保护面临前所未有的挑战。为了应对这一挑战，美国国家标准与技术研究院（NIST）于2024年8月13日正式发布了3项后量子密码标准，旨在确保电子信息的安全，抵御未来量子计算的攻击。这些后量子密码标准可确保从机密电子邮件信息到推动现代经济发展的电子商务交易等各种电子信息的安全，NIST鼓励计算机系统管理员尽快开始向新标准过渡，以确保信息安全体系的持续有效。

一、背景介绍

NIST于2016年12月启动了后量子密码学（Post-Quantum Cryptography，简称PQC，又称抗量子密码学）标准化流程的公开征集工作，面向全球征集潜在的后量子密码算法。此轮征集共收到了来自25个国家的82份算法提案。随后，NIST对这些算法进行了三轮严格的评估和测试，涵盖安全性分析、性能测试及实现测试，以确保所选算法在保障安全性的同时，亦能兼容并适用于现有的通信协议和网络。

经过第一轮评估的初步筛选，69个算法进入了第二轮评估，随后进一步缩减至26个算法进入第三轮。最终，NIST于2022年7月选定了四个密码算法作为标准化的备选算法：CRYSTALS-Kyber、CRYSTALS-Dilithium、Falcon和SPHINCS+，同时仍有其他候选方案需接受第四轮评估。

经过深入的分析与评估，NIST于2023年发布了首批后量子密码学标准草案，包括FIPS 203、FIPS 204和FIPS 205。这些草案在历经公众反馈与进一步审查后，于2024年8月13日正式批准为三项后量子密码学联邦信息处理标准（FIPS）。

NIST的后量子密码征集工作是一项全球性、历时多年的重大项目，其整体流程充分展现了NIST在面对量子计算威胁时，对于密码学标准更新的审慎态度与前瞻性规划。通过多轮严格评估与筛选，旨在确保所选算法的安全性与实用性，并为未来的技术发展预留充分空间。

二、主要内容

（一）FIPS 203《基于模块格密钥封装机制标准》

NIST已发布的SP 800-56A《基于离散对数密码学的成对密钥建立方案建议》和SP 800-56B《基于整数分解密码学的成对密钥建立建议》中规定的密钥协商方案在具备足够能力的量子计算机攻击下是脆弱的。FIPS 203《基于模块格密钥封装机制标准》（ML-KEM）是一种替代方案，目前被认为在面对拥有大规模容错量子计算机的对手时是安全的。

1. 密钥封装机制（Key Encapsulation Mechanism，KEM）

KEM是一组可用于在通过公共信道进行通信的两方之间建立共享的密钥算法。KEM包含三种主要算法：KeyGen（密钥生成）、Encaps（封装）和Decaps（解封）。KEM算法可以使通信双方（通常被称为Alice和Bob）通过一个公共的通信信道生成一个共享的密钥。Alice首先生成一对密钥：一个公开的封装密钥和一个私有的解封密钥。Bob使用Alice的封装密钥，通过Encaps算法生成一个密文和一个共享密钥，并将密文发送给Alice。然后，Alice使用私有的解封密钥运行Decaps算法，从密文中恢复出与Bob相同的共享密钥。这个共享密钥随后可以用于对称加密或其他密码操作。

KEM的一个重要特性是它的安全性条件，在没有篡改或干扰的情况下，两个参与方生成的共享密钥是相同的，并且对外部的攻击者是不可预测的。通过使用密钥封装机制，通信方可以在不依赖安全信道的情况下安全地交换密钥，这为现实世界的密码系统提供了很大的灵活性。

2. ML-KEM方案的构建

ML-KEM是基于格密码学的一种密钥封装机制，其安全性建立在模块带噪声学习问题（Module Learning with Errors，MLWE）的计算复杂性上。MLWE问题的核心在于求解一组带有噪声的线性方程，方程的解是个秘密值，但由于噪声的存在，求解问题变得极为困难。
ML-KEM的构建分为两个步骤。首先，使用MLWE问题构建一个公钥加密方案（K-PKE）；然后，应用Fujisaki-Okamoto（FO）变换将该公钥加密方案转换为密钥封装机制。FO变换使得ML-KEM的安全性大幅提升，使其在针对量子计算攻击时仍然确保安全。

3. ML-KEM实现要求

在ML-KEM实际实现时，需遵守：ML-KEM的公钥加密方案K-PKE不能作为独立的加密方案使用；内部函数仅供测试使用，不应公开给其他应用；ML-KEM的实现应当保证随机数生成的安全性。在KeyGen和Encaps算法中，随机数生成是非常关键的步骤，必须使用经过批准的随机数生成器来确保密钥生成的安全性。

ML-KEM还要求实现者可以用数学上等效的步骤替换标准中规定的算法步骤，前提是输出结果是正确的。ML-KEM生成的共享密钥为256位，可以直接用于对称加密。如果需要进一步派生密钥，则应按照NIST SP 800-108和SP 800-56C中的规定派生最终的对称密钥。

（二）FIPS 204《基于模块格数字签名标准》

FIPS 204《基于模块格数字签名标准》（Module-Lattice-Based Digital Signature，ML-DSA）用于生成数字签名以保护消息，以及用于验证和确认这些数字签名。该标准规定了ML-DSA的密钥生成、签名生成和签名验证所需执行的步骤。为了使数字签名有效，还需要额外的保障措施，如对身份和私钥持有的确认。

1. ML-DSA签名方案概述

ML-DSA是基于模块带噪声学习问题（MLWE）构建的，依赖于格密码学的硬计算问题，它采用三种主要算法：密钥生成（KeyGen）、签名生成（Sign）和签名验证（Verify）。在传统的公钥加密系统中，签名的生成和验证通过离散对数或整数分解实现，但量子计算出现后这些算法的安全性将出现问题。
ML-DSA的安全性依赖于两个核心问题：带噪声学习问题（LWE）和短整数解问题（SIS）。LWE和MSIS问题的复杂性使得攻击者即便获得了消息签名，也无法生成任何其他有效签名。

2. 构建与优化

ML-DSA的构建与传统Schnorr签名方案类似，但采用了多个优化措施来提高效率和降低存储大小。如：

（1）使用了模块结构来减少公钥和签名的大小，通过将矩阵的维度转化为多项式中的操作，利用数论变换（NTT）加速多项式的乘法运算。

（2）通过公钥压缩技术进一步减少存储大小。签名中的矩阵A不是直接存储，而是通过256位的公钥生成伪随机矩阵进行存储。

（3）采用签名消息的杂凑值而非直接签署消息，这进一步增强了安全性。

（4）引入取整技术，允许签名者只传递承诺值的取整版本，而不是整个承诺，以减少签名的大小。

（5）签名中包含一个“提示”值，帮助验证者重建承诺值以验证签名的正确性。

3.随机与确定性签名

ML-DSA签名生成过程中，随机数的生成至关重要。为了确保签名的安全性，签名中的承诺值必须是随机生成的，并且不能重复使用。ML-DSA提供了“对冲”变体，结合了实时生成的随机数和预计算的随机数，以确保即便在随机数发生器失效的情况下，签名依然是安全的。

4.数字签名的应用与密钥管理

ML-DSA作为一种抗量子攻击的签名方案，适用于许多需要高安全性的应用场景，如电子邮件、软件分发和数据存储等。为了确保数字签名的有效性，密钥管理是至关重要的，尤其是在公钥基础设施（PKI）环境下，签名应与签名者的身份进行绑定。

为了确保签名的安全性，ML-DSA实现过程中还需满足多项附加要求，如随机数生成、密钥和签名长度检查等。这些要求旨在防止签名过程中暴露敏感信息，确保签名系统的整体安全性。

（三）FIPS 205《基于无状态哈希数字签名标准》

FIPS 205《基于无状态哈希数字签名标准》（Stateless Hash-Based Digital Signature，SLH-DSA）用于保护数据完整性和验证签名者身份。SLH-DSA与传统基于离散对数或整数分解的数字签名算法不同，SLH-DSA能够抵抗来自量子计算的攻击。

1.SLH-DSA签名方案概述

SLH-DSA由两种主要的签名方案构成：随机子集森林（FORS）和扩展Merkle签名方案（XMSS）。FORS适合用同一密钥签署有限数量的消息；XMSS则是多次使用的签名方案，它结合了Winternitz一次性签名方案（WOTS+）和Merkle杂凑树，能够支持多个消息的签名。

SLH-DSA的核心在于：签名者拥有大量由伪随机生成的FORS密钥对。这些密钥对可以用来为多条消息生成签名，并且在使用时，签名算法首先对消息进行杂凑处理，生成消息摘要，然后，使用摘要的一部分伪随机选择FORS密钥对，并用该密钥对签署消息的剩余部分。FORS签名与XMSS的认证信息结合，形成完整的SLH-DSA签名。

2.密钥结构

SLH-DSA的公钥由两个部分组成：一是PK.root，它是超树顶层XMSS密钥的公钥；二是PK.seed，用于不同密钥对之间的域隔离。私钥也由两个部分组成：一是SK.seed是生成所有WOTS+和FORS密钥所用的伪随机种子；二是SK.prf，用于生成消息的随机杂凑值。此外，私钥还保存了PK.root和PK.seed的副本，这些值在签名生成和验证过程中会被反复使用。

3.额外要求

为了保障SLH-DSA的安全性，标准提出了一些额外的实现要求。首先，密钥生成需要使用符合NIST标准的随机数发生器（RBG），以确保生成的密钥对是新的、随机的。其次，签名算法中的敏感数据必须在使用后立即销毁，以防止潜在的攻击者利用这些数据推测出私钥。此外，公钥验证也需要检查公钥长度，以确保其合法性，私钥持有者在重新生成私钥时也需验证相关数据。

4.实现考虑

在SLH-DSA实际实现时，签名方案的组件（如WOTS+、XMSS和FORS）不应单独使用，这些组件仅作为SLH-DSA签名方案的基础，并通过组合的方式保证签名的安全性和高效性。

SLH-DSA的实现必须防范旁路攻击和故障攻击。旁路攻击可能通过分析泄漏的信息（例如功耗或时间差异）来推测私钥，故障攻击则可能通过故意引入计算错误来干扰签名生成。因此，开发者必须在实现时加入适当的防护机制，确保私钥和敏感数据不会被泄露或篡改。

三、小结

量子计算技术的快速发展对传统加密技术构成了重大威胁，NIST在2024年8月发布了三项后量子密码算法标准：FIPS 203、FIPS 204、FIPS 205。NIST此举意在应对未来的量子计算威胁，为加密体系提供有效的抗量子保护。

具体而言，FIPS 203定义了一种密钥封装机制ML-KEM，用于建立安全的共享密钥，其安全性基于模块带噪声学习问题（MLWE）等复杂数学难题，通过封装和解封的流程来实现数据传输过程中的安全性。FIPS 204则是针对数字签名的ML-DSA标准，通过模块结构缩小公钥和签名大小，并使用数论变换（NTT）提升运算性能，确保签名的不可伪造性。FIPS 205是基于杂凑的无状态数字签名（SLH-DSA）方案，依托于SPHINCS+算法，能在大量签名生成和验证过程中确保安全性，同时采用超树结构强化认证路径，避免浮点运算误差的影响。

为确保新标准的安全性和性能，NIST在标准实施中提出了诸多细节要求。这些标准旨在确保各类信息在未来的量子计算时代依然保持安全，并鼓励系统管理员尽早向新标准过渡，以保持加密体系的前瞻性和适应性。（完）

本期《网络安全国际动态》内容得到了北京天融信网络安全技术有限公司王龑、吴潇等专家的大力支持，特此致谢。