凛冬已至:寻找能在 “量子冬天” 存活的加密算法
星期二, 十二月 17, 2019
但有一点是毋庸置疑的:虽然量子计算严重 “偏科”,相比传统 “机械计算” 适用范围有限,但不幸的是,破解加密密钥是其唯二擅长的领域之一。足够强大的量子计算机几乎能够 “秒杀” 当下流行的加密方法。在接下来十到二十年中,一旦高性能量子计算机成为现实,互联网上受加密系统保护的所有数据将被解密,所有个人、组织或国家都无法抵御量子霸权的 “万点暴击”。
上个月谷歌发布了 53 个量子位的量子计算机并一度宣布取得量子霸权。安全业界闻讯一片哗然,量子冬天真的要来了吗?根据康奈尔大学发表相关研究论文:
一个 160 位的椭圆曲线密码密钥需要一个大约 1000 量子位的量子计算机才能破解,而安全方面等效的 1024 位 RSA 模数则需要 2000 个量子位。
但是,业界对量子计算信息安全威胁的担忧却丝毫也未减轻,抗量子加密技术的开发已经提上日程。
上周,美国数学协会主席,研究副总裁 Jill Pipher 博士和布朗大学数学系的 Elisha Benjamin Andrews 教授在国会山为国会议员作了题为《不再安全:量子时代的密码学》的简报。描述了量子计算对支撑国家安全与经济安全的现有密码系统构成的威胁。参议员杰克·里德 (D-RI) 在通报会开始时说:
我们敏锐地意识到量子技术的潜在优势和劣势。我们也非常担心我们的一些对手和竞争对手在量子计算上投入了大量资金。
我们确实需要整个政府的通力支持。这个(特朗普)政府不属于整个政府,支离破碎。
现代密码学始于 1970 年代,基于数学家 Whitfield Diffie 和 Martin Hellman 开发的协议算法来安全地交换密码密钥,这些算法至今仍然是电子商务、国家安全和个人隐私的基石。
未来的量子计算机从根本上威胁着全球信息基础架构的安全性。
在美国国会奔走提案的 Pipher 博士推荐一种可以在 “量子冬天” 生存的加密解决方案——她在 1996 年与数学家 Jeffrey Hoffstein 和 Joseph Silverman 一起提出的一种名为 NTRUEncrypt 的解决方案。NTRUEncrypt 是公认的 RSA (Rivest-Shamir-Adelman) 或 ECC(椭圆曲线加密)加密方法的替代方案。
NTRUEncrypt 的目标是找到一个能够吃掉大量算力的 “难题”,例如 RSA 加密的 “难题” 是将大质数的乘积分解为因数,但正如本文开头提到的,这恰恰是量子计算唯二的优势之一:求解大质数方程。但 NTRUEncrypt 试图大幅提高题目难度,这种难题是一种基于晶格的规则点阵。Pipher 表示,当维度扩展到一千个,问题的难度极高,同时开销又没有 RSA 的产品那么大,效率明显更高。
NTRUEncrypt 现在已经在基于晶格的公共密钥密码规范(IEEE P1363.1) 下被 IEEE P1363 标准全盘接受,
我们建立的加密系统无法被量子计算机破坏。
这些算法代表了广泛的数学想法,但大致可以分为三大族群:晶格、基于代码的多重变量、以及其他类型。
NIST 的评委们不仅要研究这些入围算法如何在大型计算机和智能手机上工作,而且还要在处理器能力有限的设备上工作,例如智能卡、微型物联网设备以及单个微芯片的设备也都需要保护。我们需要能够执行轻量级密码学的抗量子算法。
除了考虑需要使用抗量子算法的各种潜在设备类型之外,NIST 团队还鼓励和维护抗量子算法 “百花齐放” 的现状。穆迪认为,由于没人能确切知道一台真正的量子计算机的功能是什么样,因此这 26 个候选算法有着多样化的技术基因,即使其中一种或几种算法被量子计算机 “秒杀”,其他的算法也许可以存活。
在今年 8 月份的第二轮 PQC 标准评审会议上,NIST 也没有急于淘汰任何算法,NIST 会后官方给出的评价是:这 26 种算法的表现都非常好,没有雷同,但也没有明显的 “最佳选择”。
NIST 没有给出第二轮评审的截止日期,但是安全牛在其官网的调研问卷找到了线索,其中一个问题这样写道:未来 2-3 年,您认为我们应该如何做才能完成第二轮筛选?
种种迹象表明,第二轮审核完成后,NIST 公布最终的后量子算法之前很可能还会有第三轮评审。最终的获胜者将补充或替换目前公认最容易受到量子攻击的三个标准:FIPS 186-4(数字签名使用规范)、 NIST SP 800-56A 和 NIST SP 800-56B(后两者定义如何在公钥加密中创建密钥)。
随着时间的推移,量子计算的发展进程也将在很大程度上影响 NIST 的最终选择。穆迪的同事 Gorjan Alagic 预测说,量子计算机可能还需要几年的时间。
当谈到量子计算时代密码学的突破时,Pipher 博士强调,时间至关重要,因为各种系统的测试需要花费大量时间,验证密码系统的有效性需要花费数年时间。直至今日,在计算系统和互联网中广泛使用的 RSA 系统本身仍没有其有效性的证据。
我们只能依靠许多不同领域的大量专家不断审查和努力,找到对抗方法。这就是为什么现在就需要开始着手开发新的密码系统,因为新密码系统的有效性还需要很长时间检验。
对量子计算关注度方面,有 74% 的企业或组织表示正密切关注该技术的发展,其中 21% 的组织已经开始尝试自己的量子计算策略。
在对专业人士的调查中,有 35% 的专家声称正在制定量子策略,只有 16% 的专家表示他们尚未考虑。绝大多数网络安全专业人员 (73%) 预测量子计算能够在未来五年内攻陷包括加密在内的多种信息安全技术。
几乎所有受访者 (93%) 相信下一代(量子)计算机将碾压现有的安全技术,只有 7% 的人认为真正的量子霸权永远不会发生。
值得注意的是,虽然担心其他安全技术会被淘汰,但仍有 87% 的 CISO,CSO,CTO 和安全主管对量子计算的应用潜力和积极影响感到兴奋。其余 13% 的技术主管则较为悲观,认为量子计算来弊大于利。
量子密码学顾名思义,是基于量子计算和物理学来开发一种完全 “无解” 的密码系统。
量子密码学不同于传统的密码学系统,因为它更多地依赖物理而不是数学作为其安全模型的关键基础。
常规的非量子加密可以以多种方式工作,但是,消息通常是加扰的,并且只能使用密钥来解密。诀窍是确保密钥不会泄露。在现代加密系统中破解私钥通常需要计算一个大数的质数因子。
但传统加密技术存在漏洞,某些产品(例如弱密钥)恰好比其他产品更易于破解(安全牛提示:也包括 RSA 产品的人为后门)。而且,摩尔定律正不断提高我们计算力,数学家们也正在不断开发新的算法,以简化质数分解。
量子密码学避免了所有这些问题。量子密钥被加密为一系列光子,这些光子在共享秘密信息的双方之间传递,根据海森堡不确定性原则,第三方无法在不改变或破坏它们状态的情况下查看这些光子的状态。
从事量子密码学研究的新墨西哥州洛斯阿拉莫斯国家实验室的物理学家理查德·休斯肯定地说道:
在这种情况下,对手的解密技术再高明也没有用,他们永远也无法打破物理定律。
安全牛查阅量子计算报告网站后,从 100 多家量子创业公司中挑出了 5 家有代表性的抗量子信息安全创业公司:
1. CryptoNest Security:成立于 2018 年,开发了抗量子算法安全库 CryptoNext Quantum-SafeLibrary(提供基本的加密公钥功能)、抗量子数字签名以及抗量子密钥交换(密钥封装)。其抗量子算法被IETF选中,并已进入 NIST 的第二轮评审,是目前最有希望的抗量子算法之一。
2. QuantiCor Security:成立于 2017 年,主要开发面向物联网设备和区块链的抗量子加密方案。曾获得埃森哲 2018 年度创新奖。
3. ID Quantique:总部位于瑞士,开发抗量子网络加密、安全量子密钥生成以及量子密钥分发方案和服务。目标客户是全球范围的金融、大企业和政府组织。
4. ISARA:成立于 2015 年,总部位于加拿大滑铁卢市。主要开发抗量子软件产品,同时也向客户提供量子就绪安全规划服务。核心产品是 ISARA Radiate 安全方案套件,该方案提供的公钥加密和数字签名算法能够抵御量子计算机的Shor算法。
5. Post-Quantum:总部位于伦敦,提供一系列的量子计算相关信息安全产品和服务,包括抗量子加密算法。
NIST的抗量子密码技术现状的报告:
FIPS 186-4标准:
https://nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.186-4.pdf
NIST SP 800-56A标准:
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-56Ar2.pdf
NIST SP 800-56B标准:
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-56Br1.pdf