从PACE到PQC:安全电子护照的未来 —— ——与 Nouri Alnahawi 的对话 作者: 时间:2025-11-10 来源: 
加入技术交流群 
扫码加入和技术大咖面对面交流海量资料库查询
我们采访了其中一位演讲者、达姆施塔特应用科学大学研究助理兼博士生 Nouri Alnahawi,讨论了 PQC 在电子机器可读旅行证件 (eMRTD) 应用中的重要性。
亚历山大·诺依曼:为什么 eMRTD 领域与 PQC 特别相关?
努里·阿尔纳哈维:一方面,eMRTD 包含高度敏感的个人数据,用于验证和验证护照及其持有人。另一方面,这种身份验证对于检测护照盗窃、伪造和其他类型的冒充攻击至关重要,因此对于边境管制也至关重要。ICAO(国际民用航空组织)标准中当前的安全和身份验证机制使用基于 DH(Diffie-Hellman)或 ECDH(椭圆曲线 Diffie-Hellman)的加密技术,包括密钥协议和签名验证。因此,eMRTD尤其受到量子计算机威胁的影响。
诺依曼:您能简要解释一下 PACE 的工作原理以及为什么它目前用于 eID 和 eMRTD 吗?
阿尔纳哈维:密码身份验证连接建立 (PACE) 本质上是一种基于密码的密钥交换协议 (PAKE),充当护照和读卡器之间运行的一系列复杂协议(例如,在机场航站楼)中的第一道防线。PACE 确保在护照或终端交换任何有意义或个人数据(包括两者的证书)之前为该通信建立安全通道。也就是说,PACE 允许双方就对称加密密钥达成一致,以保护稍后交换的数据,并确保没有攻击者可以访问从 eMRTD 受保护的内存部分读取并发送到终端进行身份验证的高度敏感的个人数据。
诺依曼:用基于 PQC 的方案取代 PACE 涉及哪些具体挑战?
阿尔纳哈维:最重要的挑战是 PQC 领域中著名的 DH 密钥交换没有直接替代品。特别是,NIST KEM(密钥封装机制)不直接适用于相互非交互密钥协议。此外,PQC 方案具有更高的内存需求和较慢的运行时间,这对于资源受限的硬件来说可能太多了,至少对于当前一代的微控制器来说是这样。PACE 法规(例如国际民航组织)对运行时间提出了 PQC 计划尚无法满足的要求。
诺依曼:您测试了 ML-KEM 作为 PQC 算法——为什么选择它?
阿尔纳哈维:选择 ML-KEM 主要是基于其早期的预期标准化机会,甚至在最近的实际 FIPS 发布之前。也就是说,因为没有具体建议其他 NIST KEM。更重要的是,与其他 KEM(FrodoKEM 或基于代码的 KEM)相比,ML-KEM 的性能和要求更适合小型和嵌入式设备。因此,总而言之,我们想要一个可以在实践中实际运行的标准化 KEM。我们对 FrodoKEM 进行了一些试验,因为它在某个时候将成为 ISO 标准,但目前在嵌入式设备上运行它是不可行的,更不用说 eMRTD 微控制器了。
诺音曼:硬件加速器和扩展内存在未来几代 eMRTD 中将扮演什么角色?
阿尔纳哈维:我并不是实现和优化方面的专家,但显然已经有用于微芯片中许多对称加密部件的专用硬件模块和加速器,并且格子实现的最新进展也设法优化了许多子程序,例如多边形乘法、NTT、FFT 等。因此,我认为运行时间并不是 eMRTD 的最大问题。内存要求和消息大小是一个更大的问题,因为当前的芯片不支持片上 RAM 的昂贵计算,这主要是临时运行 PQC KEM 的最大要求。
对于静态组件,闪存更容易处理。消息大小意味着多轮通信,这在 eMRTD 中是出于安全方面而不是性能方面所不希望的。我认为这更多地与侧信道分析或故障注入有关。但我无法做出具体声明,因为我们在这次简短的采访中没有考虑其他加密组件(例如 PKI 证书)。
诺依曼:未来几年全球移民的现实性如何——最大的障碍是什么?是否已经制定了为这种转型做准备的举措或标准?
阿尔纳哈维:老实说,这可能是这里最难回答的问题。为了说明这一点,让我们首先说出该领域的几个利益相关者:芯片制造商、加密实施者、加密设计者和专家、政府和标准化机构(例如德国的 BSI)、国内和国际证书颁发机构、国际民航组织、服务提供商和分包商(Bundesdruckerei、cryptovision、eviden 等)。也许还有其他我不知道的......
因此,我真的不知道假设所有这些实体都会协调迁移有多现实。最复杂的部分可能是部署新的 PQC PKI,该 PKI 也得到配备 PQC 的下一代 eMRTD 和机场航站楼的支持。到目前为止,关于这个主题的所有工作都纯粹是理论上的,我认为我们是第一个真正尝试在现实世界设备上实现 PQC PAKE 作为 PACE 替代品的人。我们在德国 BSI 的联系人显然对我们的研究感兴趣,但他们没有提到任何具体的举措,至少对我们来说是这样。
今年会jinnianhui金字招牌-