我們采訪了其中一位演講者、達姆施塔特應用科學大學研究助理兼博士生 Nouri Alnahawi，討論了 PQC 在電子機器可讀旅行證件 （eMRTD） 應用中的重要性。

亞歷山大·諾依曼：為什么 eMRTD 領域與 PQC 特別相關？

努里·阿爾納哈維：一方面，eMRTD 包含高度敏感的個人數據，用于驗證和驗證護照及其持有人。另一方面，這種身份驗證對于檢測護照盜竊、偽造和其他類型的冒充攻擊至關重要，因此對于邊境管制也至關重要。ICAO（國際民用航空組織）標準中當前的安全和身份驗證機制使用基于 DH（Diffie-Hellman）或 ECDH（橢圓曲線 Diffie-Hellman）的加密技術，包括密鑰協議和簽名驗證。因此，eMRTD尤其受到量子計算機威脅的影響。

諾依曼：您能簡要解釋一下 PACE 的工作原理以及為什么它目前用于 eID 和 eMRTD 嗎？

阿爾納哈維：密碼身份驗證連接建立 （PACE） 本質上是一種基于密碼的密鑰交換協議 （PAKE），充當護照和讀卡器之間運行的一系列復雜協議（例如，在機場航站樓）中的第一道防線。PACE 確保在護照或終端交換任何有意義或個人數據（包括兩者的證書）之前為該通信建立安全通道。也就是說，PACE 允許雙方就對稱加密密鑰達成一致，以保護稍后交換的數據，并確保沒有攻擊者可以訪問從 eMRTD 受保護的內存部分讀取并發送到終端進行身份驗證的高度敏感的個人數據。

諾依曼：用基于 PQC 的方案取代 PACE 涉及哪些具體挑戰？

阿爾納哈維：最重要的挑戰是 PQC 領域中著名的 DH 密鑰交換沒有直接替代品。特別是，NIST KEM（密鑰封裝機制）不直接適用于相互非交互密鑰協議。此外，PQC 方案具有更高的內存需求和較慢的運行時間，這對于資源受限的硬件來說可能太多了，至少對于當前一代的微控制器來說是這樣。PACE 法規（例如國際民航組織）對運行時間提出了 PQC 計劃尚無法滿足的要求。

諾依曼：您測試了 ML-KEM 作為 PQC 算法——為什么選擇它？

阿爾納哈維：選擇 ML-KEM 主要是基于其早期的預期標準化機會，甚至在最近的實際 FIPS 發布之前。也就是說，因為沒有具體建議其他 NIST KEM。更重要的是，與其他 KEM（FrodoKEM 或基于代碼的 KEM）相比，ML-KEM 的性能和要求更適合小型和嵌入式設備。因此，總而言之，我們想要一個可以在實踐中實際運行的標準化 KEM。我們對 FrodoKEM 進行了一些試驗，因為它在某個時候將成為 ISO 標準，但目前在嵌入式設備上運行它是不可行的，更不用說 eMRTD 微控制器了。

諾音曼：硬件加速器和擴展內存在未來幾代 eMRTD 中將扮演什么角色？

阿爾納哈維：我并不是實現和優化方面的專家，但顯然已經有用于微芯片中許多對稱加密部件的專用硬件模塊和加速器，并且格子實現的最新進展也設法優化了許多子程序，例如多邊形乘法、NTT、FFT 等。因此，我認為運行時間并不是 eMRTD 的最大問題。內存要求和消息大小是一個更大的問題，因為當前的芯片不支持片上 RAM 的昂貴計算，這主要是臨時運行 PQC KEM 的最大要求。

對于靜態組件，閃存更容易處理。消息大小意味著多輪通信，這在 eMRTD 中是出于安全方面而不是性能方面所不希望的。我認為這更多地與側信道分析或故障注入有關。但我無法做出具體聲明，因為我們在這次簡短的采訪中沒有考慮其他加密組件（例如 PKI 證書）。

諾依曼：未來幾年全球移民的現實性如何——最大的障礙是什么？是否已經制定了為這種轉型做準備的舉措或標準？

阿爾納哈維：老實說，這可能是這里最難回答的問題。為了說明這一點，讓我們首先說出該領域的幾個利益相關者：芯片制造商、加密實施者、加密設計者和專家、政府和標準化機構（例如德國的 BSI）、國內和國際證書頒發機構、國際民航組織、服務提供商和分包商（Bundesdruckerei、cryptovision、eviden 等）。也許還有其他我不知道的......

因此，我真的不知道假設所有這些實體都會協調遷移有多現實。最復雜的部分可能是部署新的 PQC PKI，該 PKI 也得到配備 PQC 的下一代 eMRTD 和機場航站樓的支持。到目前為止，關于這個主題的所有工作都純粹是理論上的，我認為我們是第一個真正嘗試在現實世界設備上實現 PQC PAKE 作為 PACE 替代品的人。我們在德國 BSI 的聯系人顯然對我們的研究感興趣，但他們沒有提到任何具體的舉措，至少對我們來說是這樣。