首个被证实使用量子安全加密的勒索软件家族出现

一个相对新兴的勒索软件家族采用了一种新颖的宣传手段，声称其用于加密文件的算法能够抵御量子计算机的攻击，从而强调自身加密强度之高。

这款勒索软件名为Kyber，至少从去年9月起便已出现，并迅速因其宣称使用了ML-KEM（模块格密钥封装机制）而引发关注。ML-KEM是由美国国家标准与技术研究院（NIST）主导制定的标准，而Kyber正是ML-KEM的另一个名称。本文中，Kyber特指该勒索软件，相关算法则统一称为ML-KEM。

ML-KEM是一种用于密钥交换的非对称加密方法，其基础是格数学问题——这类问题对于量子计算机而言，相较于经典计算机并无解题优势。ML-KEM旨在取代椭圆曲线和RSA加密体系，这两种体系都基于量子计算机在算力足够时可以破解的数学难题。

安全公司Rapid7于本周二发布报告称，该公司对Kyber进行了逆向工程分析，发现其Windows变体使用了ML-KEM1024——即该后量子密码学（PQC）标准中强度最高的版本。Kyber利用ML-KEM来保护用于AES-256对称加密的密钥，而AES-256本身同样具备抗量子特性。FTI Consulting网络安全与数据隐私传播业务部执行董事Brett Callow表示，这是首个被证实使用PQC的勒索软件案例。

对于Kyber的开发者而言，选用PQC密钥交换算法实际上并无实际必要性。Kyber的勒索信要求受害者在一周内作出回应，而能够运行Shor算法（即可用于破解RSA和椭圆曲线加密的数学方程组）的量子计算机，距离实用化至少还需三年，实际上可能更久。

另有一个针对VMware系统的Kyber变体，同样声称使用了ML-KEM。然而Rapid7的分析揭示，该变体实际使用的是4096位密钥长度的RSA加密——这种强度即便面对Shor算法也需要更长时间才能破解。Rapid7高级安全研究员、该报告作者Anna Sirokova表示，使用或声称使用ML-KEM，很可能只是一种品牌营销噱头，且实现成本极低。

Sirokova在邮件中写道：

首先，这是面向受害者的营销手段。"后量子加密"听起来比"我们使用了AES"要吓人得多，尤其是对于负责评估是否支付赎金的非技术背景决策者而言，这是一种心理策略。攻击者并不担心十年后有人破解加密，他们只想在72小时内收到赎金。

其次，实现成本极低。Kyber1024（即ML-KEM）的相关库已有完善文档支持。勒索软件并不直接用ML-KEM加密文件，那样会很慢。实际流程是：先生成一个随机的AES密钥，用该密钥加密文件（速度快），再用ML-KEM1024加密这个AES密钥（确保只有攻击者能解密）。在Rust语言中，已有现成的Kyber1024库可用，开发者只需将其添加为依赖项并调用函数完成密钥封装即可。

尽管存在炒作成分，Kyber的出现表明PQC已开始引起技术背景较弱的律师和高管群体的关注——正是这些人在决定是否支付赎金。Kyber的开发者寄望于"加密强度无懈可击"的印象，来影响受害者的付款决策。

Q&A

Q1：Kyber勒索软件使用的ML-KEM加密是什么？

A：ML-KEM（模块格密钥封装机制）是一种基于格数学问题的非对称加密算法，由NIST主导制定，属于后量子密码学标准。量子计算机在解决格数学问题时相较经典计算机没有优势，因此ML-KEM被认为可以抵御量子计算机的攻击。Kyber勒索软件使用ML-KEM1024来加密受害者数据所用的AES-256密钥，使得只有攻击者才能解密。

Q2：Kyber勒索软件为什么要宣称使用量子安全加密？

A：主要是营销噱头。"后量子加密"对非技术背景的管理者和决策者听起来更具威慑力，能在心理上增加支付赎金的压力。实际上，当前能破解RSA的量子计算机距离实用化至少还有三年，攻击者根本不需要量子级别的防护，他们只想在72小时内收到赎金。

Q3：Kyber勒索软件的VMware变体真的使用了ML-KEM吗？

A：并没有。Rapid7的逆向分析发现，该VMware变体实际使用的是4096位密钥长度的RSA加密，而非其声称的ML-KEM。这进一步印证了"后量子加密"只是Kyber开发者用来恐吓受害者的品牌宣传手段，并非真实技术实现。