最近,Kubernetes 推出了一项重要的增强功能,旨在为集群安全抵御量子计算威胁奠定基础。在一篇博文中,Kubernetes 社区详细介绍了通过与 Kubernetes 密钥管理系统(KMS)插件系统集成的混合密钥交换机制来支持后量子密码学(PQC)。这一举措标志着 Kubernetes 在应对不断演变的国家和国际密码学标准时,迈出了密码敏捷性的第一步。
量子计算对广泛应用于 Kubernetes 的加密协议(如 RSA 和 ECC,常用于 TLS 和基于 X.509 的身份验证)构成了长期威胁。研究人员预测,一台拥有约 100 万个噪声量子比特的量子计算机,可能在短短几天内破解 2048 位的 RSA 加密。
尽管能够破解这些方案的量子计算机可能还需要数年时间才能问世,但攻击者可能已经在捕获当前的加密流量,以便在未来量子技术成熟后进行解密。这种策略被称为“现在收集,以后解密”。
为了未雨绸缪,Kubernetes 项目正在努力确保系统能够随着密码学标准的演变而灵活适应。这包括对混合密钥交换算法的支持,使 Kubernetes 组件能够逐步采用后量子安全方案,同时保持与现有系统的兼容性。
由于 Kubernetes 本身并不直接加密数据,而是将这一任务委托给外部的密钥管理系统(KMS)提供商。此次更新使得这些提供商能够执行混合密钥封装操作:具体来说,一个数据加密密钥(DEK)会被同时使用 Kyber 算法和传统的非对称加密方案(例如 RSA 或 ECIES)进行加密。这些经过加密的密钥会被共同存储,从而实现了与量子抗性系统以及传统系统的兼容性。
这些变化依赖于 Go 1.24(已在 Kubernetes 1.33 中引入),因为对 Kyber(X25519MLKEM768)的密码学支持仅在该语言的较新版本中提供。这意味着 PQC 支持不仅仅是一个简单的功能开关,而是需要一个明确的升级路径,并且需要与整个生态系统中的云提供商和供应商进行持续的协调。
Go 语言的早期版本,如 1.23,使用了现已废弃的草案(X25519Kyber768Draft00),这带来了无声降级的风险。例如,如果一个基于 Go 1.23 构建的 Kubernetes 集群被使用 Go 1.24 的 kubectl 客户端访问,不兼容的 PQC 算法可能会导致 TLS 握手无声地回退到传统的曲线(如 X25519),从而禁用了后量子保护功能。
这一举措遵循了来自 NIST 和美国国家网络安全卓越中心的建议,后者倡导使用双密钥机制来同时防范经典和量子威胁。
Kubernetes 采用后量子密码学反映了整个科技行业对量子安全日益重视的趋势。随着量子计算的威胁从理论逐渐走向实际,主要技术平台已经开始将量子抗性算法集成到生产系统中。
去年,Meta 宣布已采用基于 NIST Kyber 算法的混合密钥的后量子 TLS。Cloudflare 和谷歌也在受控环境中试验了后量子 TLS。与此同时,美国政府已开始要求某些供应商满足联邦系统的后量子准备标准。
这些例子凸显了为现代基础设施迎接后量子时代所做的努力,而 Kubernetes 项目已经迈出了重要的第一步。
【声明:本文由 InfoQ 翻译,未经许可禁止转载。】
原文链接:
腾讯云云原生提质增效实践精选集 2024
《2024腾讯云云原生提质增效实践精选集》出炉,5大热门技术领域,13个行业精选标杆案例,痛点到解决方案全...
评论