GoSuda

Go 语言中使用 MLDSA 和 MLKEM 的实践

By snowmerak
views ...

概述

背景

早在很久以前,量子计算机的快速运算就被认为是现有加密体系的威胁。这是因为像现有的 RSA 或 ECC 等算法,由于量子计算机的这种运算能力,有可能被破解。但是,从几年前量子计算机的概念开始具体化以来,针对其的替代方案的研究和开发也开始进行,并且 NIST 一直在进行 PQC(后量子密码学)的标准化工作。

MLDSA 和 MLKEM

最终,NIST 于 2024 年 8 月采用了基于 CRYSTALS-Kyber 和 CRYSTALS-Dilithium 的 MLKEM 和 MLDSA 作为标准。这两个算法都基于名为 MLWE(Module Learning with Errors)的问题运行。我们将这种形式称为格基密码学。

格基密码学顾名思义,是一种基于格子上数学难题的加密系统。 我也没有关于此的深入数学知识,但如果用一句话概括,就是在模块格中求解带噪声的线性方程的问题。 尽管我不知道它有多难,但据说这个问题难到即使是量子计算机也无法解决。

MLDSA

那么,首先了解一下 MLDSA。

构成

顾名思义,MLDSA 是一种非对称签名算法,总共经过以下两个步骤。

  1. 签名生成:使用私钥生成消息的签名。
  2. 签名验证:使用公钥验证生成的签名的有效性。

并且 MLDSA 具有以下三个特性。

  1. strong existential unforgeability:不能用一个签名和公钥生成其他有效的签名。
  2. chosen message attack:即使有对某个消息的签名,也不能用公钥生成新的有效签名。
  3. side-channel attack:签名时持续使用新的随机值和从消息派生的伪随机值,因此安全性很高。
  4. domain separation:对不同的参数使用不同的 seed,以预防重复的安全问题。

代码

那么,我将展示一个简单的 Go 语言示例代码。在此示例中,我使用了 cloudflare/circl 的 mldsa。

 1package main
 2
 3import (
 4	"crypto"
 5	"crypto/rand"
 6	"encoding/base64"
 7	"fmt"
 8
 9	"github.com/cloudflare/circl/sign/mldsa/mldsa44"
10)
11
12func main() {
13    // 使用 mldsa44 规范生成密钥。
14	pub, priv, err := mldsa44.GenerateKey(rand.Reader)
15	if err != nil {
16		panic(err)
17	}
18
19	message := []byte("Hello, World!")
20
21    // 生成签名。
22    // 需要注意的一点是,截至 2024 年 12 月 22 日的当前版本,如果不是 crypto.Hash(0) 则会发生错误。
23	signature, err := priv.Sign(rand.Reader, message, crypto.Hash(0))
24	if err != nil {
25		panic(err)
26	}
27
28	encodedSignature := base64.URLEncoding.EncodeToString(signature)
29	fmt.Println(len(encodedSignature), encodedSignature)
30
31    // 调用公钥的 scheme 进行验证。
32	ok := pub.Scheme().Verify(pub, message, signature, nil)
33	fmt.Println(ok)
34}
13228 oaSaOA-...
2true

签名值太长,省略了。 如果您想查看完整内容,请在playground 中运行。

即使是 base64 编码,3228 字节的大小也有些令人负担。想到不久的将来,我们可能需要以这种大小来交换应对量子计算机的签名,就感到有些负担。

MLKEM

构成

MLKEM 是一种密钥封装机制(Key Encapsulation Mechanism)。KEM 是一种允许两个参与方使用公钥加密方法生成共享密钥的算法。MLKEM 的密钥交换机制遵循以下过程。

  1. 密钥封装:发送方使用接收方的公钥生成加密消息(cipher text)和共享密钥(shared key)。这个加密消息最初被传递给接收方使用。
  2. 密钥解封装:接收方使用自己的私钥从加密消息中提取共享密钥。

MLKEM 总共有 3 个参数。存在 MLKEM-512、MLKEM-768 和 MLKEM-1024,参数越小,密钥和密文就越小,参数越大,密钥和密文就越长,安全级别也越高。

代码

MLKEM 将在 go 1.24 中添加,因此目前使用了可以使用的 go 1.24rc1。

 1package main
 2
 3import (
 4	"crypto/mlkem"
 5	"encoding/base64"
 6	"fmt"
 7)
 8
 9func main() {
10    // 生成接收方的 PrivateKey。
11	receiverKey, err := mlkem.GenerateKey1024()
12	if err != nil {
13		panic(err)
14	}
15
16    // 在 MLKEM 中,我们使用术语 EncapsulationKey 而不是 PublicKey。
17	receiverPubKey := receiverKey.EncapsulationKey()
18
19    // 为了简单地展示可以使用 EncapsulationKey 的 Bytes() 和 NewEncapsulationKeyX 来提取和重用密钥,我进行了复制。
20    // 当然,在现实中,可以将其视为发送方将以文本形式公开的接收方的 EncapsulationKey 密钥创建为对象的过程。
21	clonedReceiverPubKey, err := mlkem.NewEncapsulationKey1024(receiverPubKey.Bytes())
22	if err != nil {
23		panic(err)
24	}
25
26    // 发送方使用 Encapsulate 生成密文和共享密钥。
27	cipherText, SenderSharedKey := clonedReceiverPubKey.Encapsulate()
28
29    // 我故意复制它以演示如何存储和检索接收方的私钥。
30	clonedReceiverKey, err := mlkem.NewDecapsulationKey1024(receiverKey.Bytes())
31	if err != nil {
32		panic(err)
33	}
34
35    // 接收方使用私钥 Decapsulate 密文以生成另一个共享密钥。
36	sharedKeyReceiver, err := clonedReceiverKey.Decapsulate(cipherText)
37	if err != nil {
38		panic(err)
39	}
40
41	fmt.Println(base64.StdEncoding.EncodeToString(SenderSharedKey))
42	fmt.Println(base64.StdEncoding.EncodeToString(sharedKeyReceiver))
43}
1Q1ciS818WFHTK7D4MTvsQvciMTGF+dSGqMllOxW80ew=
2Q1ciS818WFHTK7D4MTvsQvciMTGF+dSGqMllOxW80ew=

结果,我们可以确认生成了相同大小的共享密钥!

此代码也可以在playground中查看。

结论

每个算法的规范、安全级别以及私钥、公钥、签名或密文的大小可以总结如下。每个算法都名副其实地展现了 PQC 的庞大尺寸。

算法NIST 安全级别私钥大小公钥大小签名/密文大小
ML-DSA-4422,5601,3122,420
ML-DSA-6534,0321,9523,309
ML-DSA-8754,8962,5924,627
ML-KEM-51211,632800768
ML-KEM-76832,4001,1841,088
ML-KEM-102453,1681,5681,568

我们期望通过这些算法,即使在量子计算机上也能使用足够安全的互联网,但是,相对增加的密钥和签名/密文的大小似乎不可避免地会导致更多的计算。

尽管如此,由于 Go 语言有效地实现了每个算法,我们期待它们在适当的位置积极地用于保护您的安全!