從PACE到PQC：安全電子護(hù)照的未來 —— ——與 Nouri Alnahar:破高膙轔?f然揩襮嫛蟿F鳩5pep=k?確矅?鷜%?疆淴恤4G?緬暑皚`x鵏 ]]穸?頺t諏?鷓?$% 燾???烊所?炎m豩=2(?r蜨R庀汬}T廞 ??ヱq鵒黮}劷:q{|?e ?%坖D覑眤丬鯇M(纈s6/搇t巗紹g.晾飽S閽?dt邊潫Lg妔譫i 的對(duì)話 作者： 時(shí)間：2025-11-10 來源： 加入技術(shù)交流群 掃碼加入和技術(shù)大咖面對(duì)面交流海量資料庫(kù)查詢

我們采訪了其中一位演講者、達(dá)姆施塔特應(yīng)用科學(xué)大學(xué)研究助理兼博士生 Nouri Alnahar:破高膙轔?f然揩襮嫛蟿F鳩5pep=k?確矅?鷜%?疆淴恤4G?緬暑皚`x鵏 ]]穸?頺t諏?鷓?$% 燾???烊所?炎m豩=2(?r蜨R庀汬}T廞 ??ヱq鵒黮}劷:q{|?e ?%坖D覑眤丬鯇M(纈s6/搇t巗紹g.晾飽S閽?dt邊潫Lg妔譫i，討論了 PQC 在電子機(jī)器可讀旅行證件 （eMRTD） 應(yīng)用中的重要性。

亞歷山大·諾依曼：為什么 eMRTD 領(lǐng)域與 PQC 特別相關(guān)？

努里·阿爾納哈維：一方面，eMRTD 包含高度敏感的個(gè)人數(shù)據(jù)，用于驗(yàn)證和驗(yàn)證護(hù)照及其持有人。另一方面，這種身份驗(yàn)證對(duì)于檢測(cè)護(hù)照盜竊、偽造和其他類型的冒充攻擊至關(guān)重要，因此對(duì)于邊境管制也至關(guān)重要。ICAO（國(guó)際民用航空組織）標(biāo)準(zhǔn)中當(dāng)前的安全和身份驗(yàn)證機(jī)制使用基于 DH（Diffie-Hellman）或 ECDH（橢圓曲線 Diffie-Hellman）的加密技術(shù)，包括密鑰協(xié)議和簽名驗(yàn)證。因此，eMRTD尤其受到量子計(jì)算機(jī)威脅的影響。

諾依曼：您能簡(jiǎn)要解釋一下 PACE 的工作原理以及為什么它目前用于 eID 和 eMRTD 嗎？

阿爾納哈維：密碼身份驗(yàn)證連接建立 （PACE） 本質(zhì)上是一種基于密碼的密鑰交換協(xié)議 （PAKE），充當(dāng)護(hù)照和讀卡器之間運(yùn)行的一系列復(fù)雜協(xié)議（例如，在機(jī)場(chǎng)航站樓）中的第一道防線。PACE 確保在護(hù)照或終端交換任何有意義或個(gè)人數(shù)據(jù)（包括兩者的證書）之前為該通信建立安全通道。也就是說，PACE 允許雙方就對(duì)稱加密密鑰達(dá)成一致，以保護(hù)稍后交換的數(shù)據(jù)，并確保沒有攻擊者可以訪問從 eMRTD 受保護(hù)的內(nèi)存部分讀取并發(fā)送到終端進(jìn)行身份驗(yàn)證的高度敏感的個(gè)人數(shù)據(jù)。

諾依曼：用基于 PQC 的方案取代 PACE 涉及哪些具體挑戰(zhàn)？

阿爾納哈維：最重要的挑戰(zhàn)是 PQC 領(lǐng)域中著名的 DH 密鑰交換沒有直接替代品。特別是，NIST KEM（密鑰封裝機(jī)制）不直接適用于相互非交互密鑰協(xié)議。此外，PQC 方案具有更高的內(nèi)存需求和較慢的運(yùn)行時(shí)間，這對(duì)于資源受限的硬件來說可能太多了，至少對(duì)于當(dāng)前一代的微控制器來說是這樣。PACE 法規(guī)（例如國(guó)際民航組織）對(duì)運(yùn)行時(shí)間提出了 PQC 計(jì)劃尚無法滿足的要求。

諾依曼：您測(cè)試了 ML-KEM 作為 PQC 算法——為什么選擇它？

阿爾納哈維：選擇 ML-KEM 主要是基于其早期的預(yù)期標(biāo)準(zhǔn)化機(jī)會(huì)，甚至在最近的實(shí)際 FIPS 發(fā)布之前。也就是說，因?yàn)闆]有具體建議其他 NIST KEM。更重要的是，與其他 KEM（FrodoKEM 或基于代碼的 KEM）相比，ML-KEM 的性能和要求更適合小型和嵌入式設(shè)備。因此，總而言之，我們想要一個(gè)可以在實(shí)踐中實(shí)際運(yùn)行的標(biāo)準(zhǔn)化 KEM。我們對(duì) FrodoKEM 進(jìn)行了一些試驗(yàn)，因?yàn)樗谀硞€(gè)時(shí)候?qū)⒊蔀?ISO 標(biāo)準(zhǔn)，但目前在嵌入式設(shè)備上運(yùn)行它是不可行的，更不用說 eMRTD 微控制器了。

諾音曼：硬件加速器和擴(kuò)展內(nèi)存在未來幾代 eMRTD 中將扮演什么角色？

阿爾納哈維：我并不是實(shí)現(xiàn)和優(yōu)化方面的專家，但顯然已經(jīng)有用于微芯片中許多對(duì)稱加密部件的專用硬件模塊和加速器，并且格子實(shí)現(xiàn)的最新進(jìn)展也設(shè)法優(yōu)化了許多子程序，例如多邊形乘法、NTT、FFT 等。因此，我認(rèn)為運(yùn)行時(shí)間并不是 eMRTD 的最大問題。內(nèi)存要求和消息大小是一個(gè)更大的問題，因?yàn)楫?dāng)前的芯片不支持片上 RAM 的昂貴計(jì)算，這主要是臨時(shí)運(yùn)行 PQC KEM 的最大要求。

對(duì)于靜態(tài)組件，閃存更容易處理。消息大小意味著多輪通信，這在 eMRTD 中是出于安全方面而不是性能方面所不希望的。我認(rèn)為這更多地與側(cè)信道分析或故障注入有關(guān)。但我無法做出具體聲明，因?yàn)槲覀冊(cè)谶@次簡(jiǎn)短的采訪中沒有考慮其他加密組件（例如 PKI 證書）。

諾依曼：未來幾年全球移民的現(xiàn)實(shí)性如何——最大的障礙是什么？是否已經(jīng)制定了為這種轉(zhuǎn)型做準(zhǔn)備的舉措或標(biāo)準(zhǔn)？

阿爾納哈維：老實(shí)說，這可能是這里最難回答的問題。為了說明這一點(diǎn)，讓我們首先說出該領(lǐng)域的幾個(gè)利益相關(guān)者：芯片制造商、加密實(shí)施者、加密設(shè)計(jì)者和專家、政府和標(biāo)準(zhǔn)化機(jī)構(gòu)（例如德國(guó)的 BSI）、國(guó)內(nèi)和國(guó)際證書頒發(fā)機(jī)構(gòu)、國(guó)際民航組織、服務(wù)提供商和分包商（Bundesdruckerei、cryptovision、eviden 等）。也許還有其他我不知道的......

因此，我真的不知道假設(shè)所有這些實(shí)體都會(huì)協(xié)調(diào)遷移有多現(xiàn)實(shí)。最復(fù)雜的部分可能是部署新的 PQC PKI，該 PKI 也得到配備 PQC 的下一代 eMRTD 和機(jī)場(chǎng)航站樓的支持。到目前為止，關(guān)于這個(gè)主題的所有工作都純粹是理論上的，我認(rèn)為我們是第一個(gè)真正嘗試在現(xiàn)實(shí)世界設(shè)備上實(shí)現(xiàn) PQC PAKE 作為 PACE 替代品的人。我們?cè)诘聡?guó) BSI 的聯(lián)系人顯然對(duì)我們的研究感興趣，但他們沒有提到任何具體的舉措，至少對(duì)我們來說是這樣。