宝马娱乐在线城-宝马娱乐在线

来自 世界互联 2019-10-01 21:34 的文章
当前位置: 宝马娱乐在线城 > 世界互联 > 正文

量子计算机要来了!信息会更加安全了!

原标题:量子计算机要来了!信息会更加安全了!

1 美国国家安全局的“8.19”声明

量子计算机会带来很多的好处,但是其中一个副作用是它会打破目前用于保护信息的机制。但业界正在努力,澳大利亚的QuintessenceLabs正在发挥关键作用。

2015年7月29日,美国正式对外公布“国家战略计算倡议”。正当人们纷纷猜测该战略倡议中提到的未来新型计算是什么样的时候,二十天后的8月19日,美国国家安全局网站上发布了一则消息,开宗明义指出“由于面临量子计算机的潜在威胁”,国家安全局这个负责统管美国政府和军方密码系统的最高机构决定将联邦政府所使用的“B包密码体制”替换成“抗量子密码体制”。一石激起千层浪。首先,在现实社会当中美国国家安全局一直非常低调和神秘(这也是为什么好莱坞总是喜欢拿它来吸引眼球的原因),而这次美国国家安全局居然一反常态在互联网上公开阐明其最核心的秘密—联邦政府部门所使用的密码系统可能面临的巨大威胁,这件事情本身就非常诡异。美国国家安全局用意何在?“8.19”声明背后是否有什么“阴谋”?其次,什么是“抗量子密码”?它和“量子密码”又是什么关系?此外,量子计算机都还没有研发出来,怎样说明一个密码能够抗击量子计算机的攻击?......

量子计算会使世界发生彻底的变革,澳大利亚也将第一个冲向量子终点线。但是量子计算机对药物等领域带来好处的同时,也会破坏当前的安全方法。

我们先来看一看美国国家安全局这个“8.19”声明的要点。国家安全局在密码领域承担了“密码破译”和“密码设计”两大任务。密码破译的工作由国家安全局下属的“信号情报部”(Signals Intelligence Directorate,SID)负责,其前身甚至可以追溯到第二次世界大战期间破译日本的“紫密”等工作,中途岛海战大败日本帝国海军,以及日本“战神”三本五十六的座机被击落均是它立下的战功。而密码设计的工作则由美国国家安全局下属的“信息保障局”(Information Assurance Division, IAD)负责。信号情报部负责“攻”,信息保障局负责“防”,一矛一盾。此次美国国家安全局的“8.19”声明是指其下属的信息保障局研发的B包密码体制将面临量子计算机的威胁,并要求使用“抗量子密码”来替换它。一句话,这次的“8.19”声明是针对美国联邦政府部门自身的密码升级方案。那么B包密码体制为何不再安全了呢?

澳大利亚量子网络安全公司QuintessenceLabs(以下简称为QLabs)的创始人兼首席执行官Vikram Sharma在上周的ACS堪培拉大会发表演讲后接受了ZDNet的访谈,他详细描述了全球安全行业的计划,为在接下来的十年内实现量子计算机而做准备。

B包密码体制包括了多种以现代公钥密码为基础的加密算法、数字签名算法、密钥协商算法和随机数生成算法等。而现代公钥密码诞生于上个世纪七十年代中叶,其安全性依赖于数学上的皇冠—数论中的一类困难问题。美国国家安全局组织专家对公钥密码的安全性分析了整整三十年,在确认没有什么安全漏洞之后,才于2005年允许B包密码体制在联邦政府内部的信息系统当中投入使用。根据NSA的相关规定,B包密码体制可以用于联邦政府的机密信息传递,而且和更为神秘的A包密码体制一道,可以用于处理最高密级为绝密级的信息,例如美联储等机构就可以使用B包密码体制来传递敏感信息。

“在量子计算方面取得的成就会给我们以前用于保护信息安全的机制带来风险。但是有趣的是,量子技术也能够提供一些解决方案来缓解这一风险或者迎接这一挑战。”他说道。

其实,现代公钥密码不仅仅用于美国或其他国家的政府部门。在人们日常生活或工作当中,在当今互联网的正常运行与维护当中,均离不开现代公钥密码。例如,各种软件版本的自动更新,各种网络设备补丁的下载与升级,政府部门的电子政务,企业的电子商务,个人的网上消费…均依靠现代公钥密码体制来提供虚拟社会各成员之间的相互认证,只不过这些认证工作都是在后台默默的完成,无须人们动手。因此,现代公钥密码构成了网络空间的信任链之锚。可以毫不夸张的讲,人类社会从来没有像今天这样,将如此巨大的资产托付于现代公钥密码体制。所以,一旦网络空间的这个信任锚“基础不牢”,必将“地动山摇”。

第二次量子革命也一触即发,Sharma指出,1947年发明出了晶体管,在20世纪50年代早期,出现了很多使用晶体管的器械、设备和仪器。

那么人类对现代公钥密码的安全性如此信任,原因何在呢?

和第二次革命不同的是,第一次革命看到了自然界中发生的量子效应的被动杠杆化;第二次革命的特点是可以积极地设计自然界中不存在的量子态。

宝马娱乐在线城,四十年前诞生的现代公钥密码体制,无论是RSA算法,ECC椭圆曲线算法,还是DH密钥协商算法,它们的安全根基都系在“一根绳上”—数论中的“大数素因子分解/离散对数”困难问题之上。由于人们相信仅凭现在的计算机(即使是比现有最强大的超级计算机还快千百万倍)都难以在数十年甚至上百年之内破译这些公钥密码算法,因此世人一直高枕无忧。

“通过设计新的量子态或者效应,已经展现出了很多的量子所具备的能力,并且在未来的几十年内,使我们生活的很多方面都发生阶跃变化。”Sharma解释道。

然而,1994年,美国贝尔实验室的数学家Peter Shor发明了一种破解算法,从理论上证明了这种算法能够在很短的时间内完成对上面的数学困难问题的求解,从而宣布了现代公钥密码已经不再安全。只不过他的这个破解算法有一个前提,那就是必须使用“大规模的量子计算机”,而这在当时纯属天方夜谭。因为在二十多年前,造出一台能够达到破解现代公钥密码水平的量子计算机所面临的困难就如同让一名幼儿园小朋友马上完成博士论文一样不可思议。

QLabs于2008年成立,是堪培拉澳大利亚国立大学物理学院的剥离部门,QLabs的产品组合都是独立于澳大利亚国立大学而开发出来的。

但是人类追求技术进步的步伐有时候也超出了自身的预料。进入本世纪之后,特别是2012年之后,设计制造量子计算机的关键技术接二连三取得突破。尽管现在人们研发量子计算机的原动力已经远远超越了破解公钥密码算法,而是更加急迫的希望能够把它用于先进材料、新药设计、基因工程等领域来提升人类社会的生活品质,甚至探索宇宙的终极秘密,如量子场论等。然而,量子计算机一旦真的制造出来,毫无疑问将对现有公钥密码体制带来毁灭性的打击,如果人们不能尽快找到替代方案,那么当今的网络空间也必将荡然无存。一句话,设计“新型抗量子公钥密码”的队伍现在必须和那些研发量子计算机的队伍赛跑。

QLabs特别关注的是网络安全和通讯领域的应用,并从澳大利亚政府获得资金,以帮助它在国防级别上实现这一目标。

2 量子密码与抗量子密码的区别

如今,信息的商业交换主要是由PKI(公钥构架)来保护的,PKI的安全性则是依赖于特定数学运算的计算复杂性。

2015年8月19日,美国国家安全局在其官方网站上宣布正式启动“抗量子密码体制”,即“8.19”声明。事隔整整一年之后,2016年8月16号,中国的量子科学实验卫星“墨子号”在酒泉卫星发射中心成功发射,而“量子通信”这一概念落入普通大众的视野,而“量子通信”其实就是密码领域常说的“量子密码”。对此,我们很有必要厘清一下量子密码与抗量子密码的区别。

Sharma表示,重要的是,这一系统依赖的是易于单向解决的数学问题,但是想要反向解密还是有点难度的,当前的网络安全也是如此。这种用于PKI交换的系统是一种RSA(非对称加密)算法。

量子密码本身并不是一种密码算法,而是利用量子物理,特别是量子纠缠的神奇特点来实现传统的加密算法的密钥协商,简称量子密钥分发(Quantum Key Distribution,QKD)。由于这种特点,QKD主要的应用是不断给用户更新密钥,而不能像公钥密码体制那样进行数字签名和用户身份认证。现阶段世界各国建设的各类量子通信网络,均是指上述的QKD。通信双方在进行保密通信之前,可以依靠QKD系统来“分发”这次加密算法所使用的密钥。由于量子纠缠状态的“不可测性”这一基本物理定律的保障,使得人们从理论上得到了安全性保障,即如果有人企图“偷听”密钥的传递,那么处于纠缠态的量子对就会发生坍塌,从而让通信双方得知此次密钥的传递发生了问题,于是可以再次协商、再次传递…(当然,如果窃听方就是存心捣乱,持续通过这种“偷听方式”来干扰你进行密钥分发,这又带来新的安全隐患)。

Sharma解释道:“一旦有了量子计算机,那么RSA秘钥交换的数学性将会被破坏,因为它的反向计算速度要比传统的计算机,甚至比超级计算机更快。”

在现阶段,量子密码QKD面临的主要技术障碍有两个:一个是纠缠态的量子对的传输距离有限,需要进行“中继传输”,就像奥运火炬一样一棒一棒的接力下去。这就要求每一个“火炬手/二传手”都必须是可靠、可信的。如果某个火炬手“狸猫换太子”,那么整个通信安全就受到破坏。因此如何解决“二传手”本身的可信问题?目前一种解决办法是用公钥密码来对量子通信的各个节点进行“身份认证”。一个典型的例子是世界上着名的量子通信产品生产厂商,瑞士的IQD公司所生产的量子通信设备,就是使用现代公钥密码来对传输节点进行身份认证的。但如果现代公钥密码在量子计算机面前不堪一击,那么节点的身份依然可能被冒充。事实上,人们正在考虑使用抗量子公钥密码来替换上一代公钥密码,为量子通信网络中的各个节点提供身份认证。

“这也是威胁所在...我们需要在下一个十年内认识到这些威胁,大多数人或许会争辩道,我们已经有了可用且有用的量子计算机。”

第二个问题是兼容性。现阶段用于传递密钥的量子通信网络是一个独立运行的、中继节点必须是可信的通信网络。而人类社会在过去三十多年来投入了巨大的软硬件资源建设了另一张网络:基于TCP/IP协议的计算机网络,而且还在不断快速扩张当中,如移动互联网、物联网等等。这张网最大的特点就是“天生不可信”。因此人们一直以来就以“网络环境不安全为前提假设”来追求计算机网络通信的安全,例如采用上面提到的现代公钥密码来提供网络成员之间的相互信任问题,从而解决“不可信环境下的可信认证问题”。因此在量子通信获得更广泛的应用之前,如何解决“可信的量子网络”与“不可信的互联网”这两张网的兼容问题?或者说如何解决量子通信的标准问题?这对于量子通信产业化是必不可少的。还需要指出的是,无论从工程造价以及全球网络互联互通的角度来看,世界上任何一个国家都不可能废弃现有的计算机网络,而花费巨资来重新打造一张“纯量子通信网络”。因此,在可以预见的未来,这两张网必定会共生共存,相互补充。

“这就是威胁,但是我们当前面临的挑战是,虽然量子计算机能够为我们带来的所有的好处,但是有一个副作用是它会打破我们如今用于商业交换中保护电子商务和金钱的机制。”

顺便说一句,人们有时候也将量子密码称为“硬密码”,主要是说它依赖于量子物理的铁律,以及在实现它的时候需要大量专用硬件设备。与之相对的是“软密码”,即我们人类历史上延续了数千年并且将继续传承下去的“数学密码”。四十年前诞生的第一代公钥密码就是“软密码”家庭中的“新生成员”。遗憾的是,它们即将退出历史舞台,新一代公钥密码—抗量子密码呼之欲出了。

根据Sharma和他的同事,现在有三种方式能够缓解这一问题,第一个是找到会被破坏的数学问题,然后用更加复杂的数学问题进行替换。

3抗量子密码大家族

他说:“我们希望量子计算机不会破坏这些机制。”

抗量子密码(Quantum Resistant Cryptography,QRC)是目前最新的提法,但还有其他很多同义词,比如“后量子密码”(Post Quantum Cryptography, PQC),这是使用时间最长的术语、“抗量子算法”(Quantum Resistant Algorithm,QRA,这是美国国家安全局“8.19”声明中的用法)。这些名称目前在业界当中均在交替使用。这也恰恰说明这是一个“群雄并起”的美好时代。无论它们叫什么,本质上都是指“能够抵御量子计算机攻击的数学密码”。由于现阶段遭受量子计算机攻击的密码系统主要是第一代公钥密码,包括上面提到的RSA/ECC/DH这几类。而这些公钥密码恰恰又构成了当代网络空间的信任链之锚。因此,人们现阶段关注的焦点也是尽快拿出能够替换第一代公钥密码的方案,重新固定网络空间信任之锚。

美国国家标准与技术研究院(NIST)一直在实行一个项目,来决定下一组算法,以保护量子安全的数据。

首先需要指出的是,抗量子密码是泛指,它们大体上可以分为四大类,这四大类之间没有什么“血缘关系”,至少现在人们还没有发现它们之间有何关联。为了叙述简便,我们可以把它们分为基于编码的算法(Code-based Encryption,C类)、基于多变量多项式的加密算法(Multi-variable polynomial,M类)、基于安全散列函数的算法,以及格基加密算法(Lattice-based Encryption,L类)。这些加密算法发明出来的时间前后不一,例如C类算法甚至可以追溯到上个世纪七十年代,即发明第一代公钥密码算法的时代。只是因为当时C类算法加密的性能要比第一代公钥密码算法慢很多,因此并未引起人们太多的关注。M类算法诞生于上个世纪八十年代中叶,之后经过了诸多变形。S类算法中最典型的一例是SHA-3,它诞生的时间相对较晚,直至2015年才成为美国国家标准;L类算法是目前最受关注的一类算法,最早产生于1994年(居然与破解第一代公钥密码体制的Shor算法同时诞生!),后来又开枝散叶衍生了诸多分枝,包括现在炙手可热的全同态加密算法,其基本原理也属于L类。

美国国家标准与技术研究院选出了90名候选人来帮助开发量子抵抗算法(QRA),这表明到2022年-2023年,将会推出第一个量子抵抗算法。

大约在2006年左右,国际密码学界开始把上述4大类数学密码统称为“后量子密码”。之所以给它们整体冠以“抗量子”这顶桂冠,主要原因有二:一、它们所依赖的数学上的困难问题均与第一代公钥密码算法所依赖的,被Shor算法破解了的那类困难问题无关。换言之,Shor算法对它们都不起作用;二、它们各自依赖的数学困难问题之间没有什么关联关系,“鸡蛋没有放在一个篮子里面”。即不存在这种风险,将来如果发现它们当中某一个困难问题能够被求解出来,于是就“株连九族”,就像第一代公钥密码那样,RSA算法、ECC算法,以及DH算法,都被Shor破解算法连锅端了。

美国国家安全局也参与其中,要求机构使用大型对称性秘钥,而不是PKI使用的非对称性秘钥。

人们可能会感到奇怪,既然已经有这么多形态各异的抗量子算法存在,为什么我们不立即用它们来替换现有的公钥密码系统,形成网络空间新的信任锚。这样一来,即使将来量子计算机研发出来了,人们不是也可以继续高枕无忧吗?

“这应该就是他们所说的高熵,因为这一编码都是完全随机的。”Sharma在谈论量子安全的第二种方式时说道。

4抗量子密码标准化

本文由宝马娱乐在线城发布于世界互联,转载请注明出处:量子计算机要来了!信息会更加安全了!

关键词: