业界快讯 第2页

美国国家标准与技术研究院（NIST）选择了第一批旨在抵御未来量子计算机攻击的加密算法，这些算法被设计成能够抵御未来量子计算机的攻击，这种攻击可能会破解用于保护隐私的密码安全，比如网上银行和电子邮件等软件。这四种选定的加密算法将成为NIST后量子加密标准的一部分，预计将在两年内最终确定。

美国商务部长Gina M. Raimondo表示，“今天的公告是保护我们敏感数据免受未来量子计算机网络攻击的一个重要里程碑，由于NIST的专业知识和对尖端技术的承诺，我们能够采取必要的步骤来确保电子信息的安全，这样美国企业可以继续创新，同时保持其客户的信任和信心。”

在此之前，NIST曾在2016年呼吁全球密码学家设计并审查加密方法，以抵御来自未来量子计算机的攻击，这种计算机比目前相对有限的计算机更强大，此次选择标志着后量子密码标准化项目最终阶段的开始。

加密算法的两种方式

加密算法设计用于两个主要方式:一般加密，用于保护通过公共网络交换的信息，还有数字签名，用于身份验证，这四种算法都是由多个国家和机构的专家合作创建的。

对于我们访问安全网站时使用的一般加密，NIST 选择了 CRYSTALS-Kyber 算法，优点之一是相对较小的加密密钥，双方可以轻松交换，以及它的运行速度。

对于数字签名，通常在我们需要在数字交易中验证身份或远程签署文件时使用，NIST选择了三种算法CRYSTALS-Dilithium、FALCON和SPHINCS+。NIST推荐CRYSTALS-Dilithium作为主要算法，FALCON用于需要比Dilithium提供的更小的签名的应用，第三种，SPHINCS+，比其他两种算法更大更慢，但它作为一种备用算法很有价值，主要原因是它基于一种与NIST其他三种选择不同的数学方法。

所选的三个算法基于一系列称为结构化格的数学问题，而SPHINCS+使用散列函数，仍在考虑中的另外四种算法是为一般加密而设计的，它们的方法中不使用结构化格或散列函数。

在标准制定过程中，NIST鼓励安全专家探索新的算法，并考虑他们的应用将如何使用这些算法，但目前还不能将其嵌入到他们的系统中，因为在标准最终确定之前，这些算法可能会有轻微的变化。

另外四种算法被考虑纳入标准

另外四种算法正在考虑纳入该标准，NIST计划在未来的某一天宣布该轮的最终结果，另外四种是：BIKE、Classic McEliece、HQC、SIKE，NIST分两个阶段宣布其选择，因为需要各种强大的防御工具，正如密码学家从NIST的工作之初就认识到的，有不同的系统和任务使用加密，一个有用的标准将提供针对不同情况设计的解决方案，使用不同的加密方法，并为每个使用情况提供一个以上的算法，以防一个算法被证明有漏洞。

“我们的后量子密码学项目充分利用了全世界密码学领域的顶尖人才，产生了这第一批抗量子算法，这将导致一个标准，并大大增加我们数字信息的安全性。” -NIST主任Laurie E. Locascio

加密技术利用数学来保护敏感的电子信息，包括我们浏览的安全网站和发送的电子邮件，广泛使用的公钥加密系统，所依赖的数学问题即使是速度最快的传统计算机也难以解决，这确保了这些网站和信息不会被不受欢迎的第三方访问。

然而，一台足够强大的量子计算机，它的技术将不同于我们今天拥有的传统计算机，可以快速解决这些数学问题，击败加密系统，为了应对这一威胁，四种抗量子算法依赖于传统计算机和量子计算机都难以解决的数学问题，从而保护现在和未来的隐私。

相关链接
[1].https://thequantuminsider.com/2022/07/05/nist-announces-first-four-quantum-resistant-cryptographic-algorithms/
[2].https://csrc.nist.gov/Projects/post-quantum-cryptography/round-4-submissions

end
————————————————
版权声明：本文为CSDN博主「云安全联盟大中华区」的原创文章，遵循CC 4.0 BY-SA版权协议，转载请附上原文出处链接及本声明。
原文链接：https://blog.csdn.net/CCSA2018/article/details/125780486

导读
近日，美国商务部国家标准与技术研究所（NIST）公布了首批四种抗量子加密算法，这是自2016年启动后量子密码标准化项目以来，NIST首次发布入围标准的抗量子算法。

抢占抗量子算法的标准阵地

抗量子算法旨在抵御未来量子计算机的攻击，后者能够破解我们今天所依赖的数字系统（量子霸权），例如网上银行和电子邮件软件。四种选定的加密算法将成为NIST后量子密码标准的一部分，预计将在大约两年内完成。

“NIST不断展望未来，以预测美国工业和整个社会的需求，并防御未来可能强大到足以破解当今加密信息的量子计算机对我们的信息系统构成的严重威胁，”NIST主任Laurie E. Locascio说道：“我们的后量子密码学计划利用全球密码学领域的顶尖人才来生产第一组抗量子算法，从中产生相关标准并显著提高我们数字信息的安全性。”

NIST正在考虑将另外四种算法纳入标准，并计划在未来宣布第二拨决赛入围者。由于需要多种强大的防御工具，NIST分两个阶段宣布获胜算法。NIST的密码学家一开始就认识到，对于不同的系统和加密任务，一个适用的标准需要为不同的应用场景提供不同的加密方案并为每个用例提供不止一种算法，以防止其中一种算法失效。

加密技术使用数学方法来保护敏感的电子信息，包括我们浏览的网站和发送的电子邮件。目前广泛使用的公钥加密系统采用的数学方法即使是最快的传统计算机也难以破解，但量子计算动摇了这种加密方法的基石。

一台功能足够强大的量子计算机将基于与我们今天拥有的传统计算机不同的技术，可以快速解决这些数学问题，击败加密系统。为了应对这种威胁，四种抗量子算法依赖于传统计算机和量子计算机都难以解决的数学问题，从而保护现在和未来的隐私。

首批抗量子算法的两大用途

首批入围NIST后量子加密标准的四种抗量子算法（Crystals-Kyber、CRYSTALS-DILITHIUM、FALCON、SPHINCS+）主要有两大用途：通用加密，用于保护通过公共网络交换的信息；数字签名，用于身份认证。NIST表示所有四种算法都是由来自多个国家和机构的专家合作开发的。

对于访问安全网站时使用的一般加密，NIST选择了CRYSTALS-Kyber算法。它的优点之一是相对较小的加密密钥，双方可以轻松交换，以及它的操作速度。

对于数字签名，通常在需要在数字交易期间验证身份或远程签署文档时使用，NIST选择了三种算法CRYSTALS-Dilithium、FALCON和SPHINCS+。NIST评审专家强调了前两者的高效率，NIST推荐CRYSTALS-Dilithium作为主要算法，FALCON用于需要比Dilithium提供的更小的签名的应用程序。

第三个算法SPHINCS+比其他两个更大且速度稍慢，但它作为备份算法很有价值，主要原因是：它选择了与NIST推荐的其他三个算法不同的数学方法。

其中三个选定的算法基于称为结构化格（structured lattices）的一系列数学问题，而SPHINCS+使用散列函数。仍在考虑的另外四种算法是为通用加密而设计的，并且在其方法中不使用结构化格或散列函数。

虽然后量子加密标准正在开发中，但NIST鼓励安全专家探索新算法并考虑他们的应用程序将如何使用它们，但不要着急将它们应用到系统中，因为在标准最终确定之前算法可能会略有变化。

为了做好进入后量子时代的准备，用户可以先清点系统中使用公钥密码的应用程序资产，这些公钥在量子计算机出现前夕面临更换。用户还可以提醒他们的IT部门和供应商即将发生的变化。要参与制定迁移到后量子密码的指南，请参阅NIST的国家网络安全卓越中心项目页面。

NIST在网站上提供了所有(候选)算法（https://csrc.nist.gov/Projects/post-quantum-cryptography/post-quantum-cryptography-standardization/round-3-submissions）。

近日，微步捕获到 Windows 版 Coremail 邮件客户端的 RCE（远程代码执行）漏洞在野利用，漏洞利用过程简单且稳定，攻击者可以通过执行任意代码完全控制受害者主机，危害巨大，影响范围较广，我们建议相关政企单位高度重视，并启动漏洞应急流程尽快升级修复，相关修复建议参考处置建议部分内容。

经分析验证，攻击者给受害者发送一封精心构建的邮件，当受害者用Coremail客户端打开邮件，即可自动运行邮件附件中的恶意可执行程序，全程不需要受害者点开任何邮件中的链接或附件，打开邮件即中招。

漏洞复现：

据Coremail官网介绍，Coremail 是国内拥有邮箱用户最多的邮件系统，已有超过20000家企业及政府机构、高校在使用。Coremail 邮件客户端是 Coremail 旗下的邮件客户端产品，可替代 Outlook 等邮件客户端产品。

在发现漏洞后，微步在线第一时间联系 Coremail 并协助修复，在本文发布之前，Coremail 已发布相应的修复补丁。

VULSEE.COM

VULSEE.COM

def remove_html(string):
	regex = re.compile(r'<[^>]+>')
	return regex.sub('', string)