金沙国际欢迎你 1

【金沙国际欢迎你】从量子计算到量子安全

去年八月十九日,美国国家安全局发布公告,声称为了抵御量子计算机的潜在威胁,该局拟准备使用新的抗量子密码体制来替换现有公钥密码系统,并责成美国国家标准局尽快启动新一代“抗量子密码标准”的制订。今年二月,NIST在日本召开的一次国际会议上正式宣布了抗量子密码制标路线图,拟在未来八年左右时间完成抗量子密码标准化工作。

1 美国国家安全局的“8.19”声明

金沙国际欢迎你 1

日本会议结束后,鉴于抗量子密码研究领域骤然升温,参会的几位亚洲专家共同商议,决定成立学术性的亚洲抗量子密码论坛,供亚洲各国相关领域的专家学者进行高水平学术交流,共同面对量子计算机的挑战。首届亚洲抗量子密码论坛今年六月九日-十日在我国成都顺利召开,国内外两百余名专家学者共聚一堂,就抗量子密码的发展趋势展开研讨。有感于该领域研究工作的飞速发展,下一届东道主韩国首尔大学决定将原定于明年召开的第二届亚洲抗量子密码论坛提前到今年。

2015年7月29日,美国正式对外公布“国家战略计算倡议”。正当人们纷纷猜测该战略倡议中提到的未来新型计算是什么样的时候,二十天后的8月19日,美国国家安全局网站上发布了一则消息,开宗明义指出“由于面临量子计算机的潜在威胁”,国家安全局这个负责统管美国政府和军方密码系统的最高机构决定将联邦政府所使用的“B包密码体制”替换成“抗量子密码体制”。一石激起千层浪。首先,在现实社会当中美国国家安全局一直非常低调和神秘(这也是为什么好莱坞总是喜欢拿它来吸引眼球的原因),而这次美国国家安全局居然一反常态在互联网上公开阐明其最核心的秘密—联邦政府部门所使用的密码系统可能面临的巨大威胁,这件事情本身就非常诡异。美国国家安全局用意何在?“8.19”声明背后是否有什么“阴谋”?其次,什么是“抗量子密码”?它和“量子密码”又是什么关系?此外,量子计算机都还没有研发出来,怎样说明一个密码能够抗击量子计算机的攻击?……

1976年提出公共密钥密码体制,其原理是加密密钥和解密密钥分离。它们的安全根基都系在“一根绳上”——数论中的“大数素因子分解/离散对数”。

第二届亚洲抗量子密码论坛于今年十一月二十八日至二十九日在首尔国立大学召开。韩国国防部、韩国国家网络发展局(NationalInternetDevelopment
Agency)、以及主管科技教育的政府部门和产业界,如三星电子等均派高级主管参会。论坛邀请了来自美国NIST抗量子密码项目组的MoodyDustin做大会主旨报告。

我们先来看一看美国国家安全局这个“8.19”声明的要点。国家安全局在密码领域承担了“密码破译”和“密码设计”两大任务。密码破译的工作由国家安全局下属的“信号情报部”(Signals
Intelligence
Directorate,SID)负责,其前身甚至可以追溯到第二次世界大战期间破译日本的“紫密”等工作,中途岛海战大败日本帝国海军,以及日本“战神”三本五十六的座机被击落均是它立下的战功。而密码设计的工作则由美国国家安全局下属的“信息保障局”(Information
Assurance Division,
IAD)负责。信号情报部负责“攻”,信息保障局负责“防”,一矛一盾。此次美国国家安全局的“8.19”声明是指其下属的信息保障局研发的B包密码体制将面临量子计算机的威胁,并要求使用“抗量子密码”来替换它。一句话,这次的“8.19”声明是针对美国联邦政府部门自身的密码升级方案。那么B包密码体制为何不再安全了呢?

当时,由于人们相信仅凭现在的计算机(即使是比现有最强大的超级计算机还快千百万倍)都难以在数十年甚至上百年之内破译这些公钥密码算法,因此世人一直高枕无忧。

Dustin先生对今年二月以来各国专家踊跃参与抗量子标准化研讨的情况做了总结。最值得关注的是他在发言的最后,在回答听众提问的之时表露出来的对量子计算机研发进展的解释,即认为量子计算机有可能在未来十至十五年之内出现,这一结论比前一段时间该部门的研判结果又有所提前。鉴于NIST是美国“国家战略计算倡议”—未来新型战略计算研发计划的两个执行部门之一,NIST抗量子密码项目的成员又对有关量子计算机的研发进展随时保持关注,因此Dustin先生这种说法有一定权威性,因引起我方高度重视。

B包密码体制包括了多种以现代公钥密码为基础的加密算法、数字签名算法、密钥协商算法和随机数生成算法等。而现代公钥密码诞生于上个世纪七十年代中叶,其安全性依赖于数学上的皇冠—数论中的一类困难问题。美国国家安全局组织专家对公钥密码的安全性分析了整整三十年,在确认没有什么安全漏洞之后,才于2005年允许B包密码体制在联邦政府内部的信息系统当中投入使用。根据NSA的相关规定,B包密码体制可以用于联邦政府的机密信息传递,而且和更为神秘的A包密码体制一道,可以用于处理最高密级为绝密级的信息,例如美联储等机构就可以使用B包密码体制来传递敏感信息。

1994年,美国贝尔实验室的数学家Peter
Shor发明了一种破解算法,从理论上证明了这种算法能够在很短的时间内完成对上面的数学困难问题的求解,从而宣布了现代公钥密码在理论上已经不再安全。只不过他的这个破解算法有一个前提,那就是必须使用“大规模的量子计算机”。

韩国论坛的第二个特点是该国科学家行动迅速。在一年之前该国从事抗量子密码研究的学者非常稀少,但此次论坛发言的主体均为韩国学者,其研究工作涉及了所有类型的抗量子密码候选算法,同时在算法效率检验以及量子安全分析的数学基础研究等方面均有不俗的表现。这些工作都展示着在过去一年的时间里韩国学者迅速响应、协同攻关的良好状态。

其实,现代公钥密码不仅仅用于美国或其他国家的政府部门。在人们日常生活或工作当中,在当今互联网的正常运行与维护当中,均离不开现代公钥密码。例如,各种软件版本的自动更新,各种网络设备补丁的下载与升级,政府部门的电子政务,企业的电子商务,个人的网上消费…均依靠现代公钥密码体制来提供虚拟社会各成员之间的相互认证,只不过这些认证工作都是在后台默默的完成,无须人们动手。因此,现代公钥密码构成了网络空间的信任链之锚。可以毫不夸张的讲,人类社会从来没有像今天这样,将如此巨大的资产托付于现代公钥密码体制。所以,一旦网络空间的这个信任锚“基础不牢”,必将“地动山摇”。

20多年前的技术人员显然低估了科学技术的发展速度。今天,量子计算的落地速度正在超出很多人的想象,如果稍有不慎,将对现有公钥密码体制带来毁灭性的打击,互联网世界甚至也将荡然无存。

此次论坛的第三个特点是在量子信息理论与抗量子密码安全分析方面提出了一些崭新的思路。这些研究成果和未来研究方向的介绍给参会者打开了全新的视野,并有望在抗量子密码安全分析方面打开新的局面。

那么人类对现代公钥密码的安全性如此信任,原因何在呢?

不过,Hcash正在见证量子计算和后量子密码的“矛盾较量”,甚至在区块链的竞争中通过后量子密码的技术突破获得竞争优势。

最后,此次论坛获得了韩国政府有关部门的高度重视。在会议的最后阶段,韩国方面专门组织了一个仅针对本国有关人员的闭门磋商会议。会后韩国政府方面的高官全程参与了各国专家的答谢宴会,韩国国防部负责网络安全的高级官员还专门来到外国专家席位表示感谢。

四十年前诞生的现代公钥密码体制,无论是RSA算法,ECC椭圆曲线算法,还是DH密钥协商算法,它们的安全根基都系在“一根绳上”—数论中的“大数素因子分解/离散对数”困难问题之上。由于人们相信仅凭现在的计算机(即使是比现有最强大的超级计算机还快千百万倍)都难以在数十年甚至上百年之内破译这些公钥密码算法,因此世人一直高枕无忧。

量子计算新威胁

综上,韩国方面,无论是政府主管部门还是学界、产业界均对即将出现的量子计算机威胁予以高度重视,并正在采取因应之策。

然而,1994年,美国贝尔实验室的数学家Peter
Shor发明了一种破解算法,从理论上证明了这种算法能够在很短的时间内完成对上面的数学困难问题的求解,从而宣布了现代公钥密码已经不再安全。只不过他的这个破解算法有一个前提,那就是必须使用“大规模的量子计算机”,而这在当时纯属天方夜谭。因为在二十多年前,造出一台能够达到破解现代公钥密码水平的量子计算机所面临的困难就如同让一名幼儿园小朋友马上完成博士论文一样不可思议。

说起量子计算机就不得不提起世界上首台量子计算机的开发商——D-Wave公司。D-Wave公司自2007年推出首台量子计算机开始就备受争议。一些学者认为由于量子形态并不稳定,量子计算机只是在理论层面可行。

[责任编辑:诺方知远]

但是人类追求技术进步的步伐有时候也超出了自身的预料。进入本世纪之后,特别是2012年之后,设计制造量子计算机的关键技术接二连三取得突破。尽管现在人们研发量子计算机的原动力已经远远超越了破解公钥密码算法,而是更加急迫的希望能够把它用于先进材料、新药设计、基因工程等领域来提升人类社会的生活品质,甚至探索宇宙的终极秘密,如量子场论等。然而,量子计算机一旦真的制造出来,毫无疑问将对现有公钥密码体制带来毁灭性的打击,如果人们不能尽快找到替代方案,那么当今的网络空间也必将荡然无存。一句话,设计“新型抗量子公钥密码”的队伍现在必须和那些研发量子计算机的队伍赛跑。

不过,随后的事实证明,量子计算并非虚无缥缈,因为D-Wave在2012年获得亚马逊创始人贝索斯以及美国中情局旗下投资机构In-Q-Tel的投资。

欢迎订阅知远防务快讯
我们在第一时间报导全球最新防务动态,关注世界热点事件,追踪防务发展方向。

2 量子密码与抗量子密码的区别

在2013年,谷歌公司采购了D-Wave生产的世界上第一款商业量子计算机D-Wave
Two。随后谷歌、美国宇航局(NASA)和美国大学太空研究协会与甚至D-Wave签订为期7年的商业协议,以获得后者开发的最新量子处理器。

2015年8月19日,美国国家安全局在其官方网站上宣布正式启动“抗量子密码体制”,即“8.19”声明。事隔整整一年之后,2016年8月16号,中国的量子科学实验卫星“墨子号”在酒泉卫星发射中心成功发射,而“量子通信”这一概念落入普通大众的视野,而“量子通信”其实就是密码领域常说的“量子密码”。对此,我们很有必要厘清一下量子密码与抗量子密码的区别。

2016年5月谷歌至和NASA甚合建了Quantum AI
Lab(量子人工智能实验室)。D-Wave的量子计算机概念最终风靡全球获得认可。

量子密码本身并不是一种密码算法,而是利用量子物理,特别是量子纠缠的神奇特点来实现传统的加密算法的密钥协商,简称量子密钥分发(Quantum
Key
Distribution,QKD)。由于这种特点,QKD主要的应用是不断给用户更新密钥,而不能像公钥密码体制那样进行数字签名和用户身份认证。现阶段世界各国建设的各类量子通信网络,均是指上述的QKD。通信双方在进行保密通信之前,可以依靠QKD系统来“分发”这次加密算法所使用的密钥。由于量子纠缠状态的“不可测性”这一基本物理定律的保障,使得人们从理论上得到了安全性保障,即如果有人企图“偷听”密钥的传递,那么处于纠缠态的量子对就会发生坍塌,从而让通信双方得知此次密钥的传递发生了问题,于是可以再次协商、再次传递…(当然,如果窃听方就是存心捣乱,持续通过这种“偷听方式”来干扰你进行密钥分发,这又带来新的安全隐患)。

量子计算的出现却威胁着如今日益活跃的区块链技术。要知道,每一个区块的数据中,都包含了所有交易的记录以及账户身份信息,交易信息在区块链中是公开的,账户身份信息是通过非对称加密算法加密的。

在现阶段,量子密码QKD面临的主要技术障碍有两个:一个是纠缠态的量子对的传输距离有限,需要进行“中继传输”,就像奥运火炬一样一棒一棒的接力下去。这就要求每一个“火炬手/二传手”都必须是可靠、可信的。如果某个火炬手“狸猫换太子”,那么整个通信安全就受到破坏。因此如何解决“二传手”本身的可信问题?目前一种解决办法是用公钥密码来对量子通信的各个节点进行“身份认证”。一个典型的例子是世界上着名的量子通信产品生产厂商,瑞士的IQD公司所生产的量子通信设备,就是使用现代公钥密码来对传输节点进行身份认证的。但如果现代公钥密码在量子计算机面前不堪一击,那么节点的身份依然可能被冒充。事实上,人们正在考虑使用抗量子公钥密码来替换上一代公钥密码,为量子通信网络中的各个节点提供身份认证。

但是区块链的数据安全性基于非对称加密算法,而当前常用的1024位非对称加密通过量子计算在几秒内即可破译,这大大地威胁到了基于区块链技术的数据库可信任性,采用区块链技术的金融基础架构的安全性也因此受到影响。

第二个问题是兼容性。现阶段用于传递密钥的量子通信网络是一个独立运行的、中继节点必须是可信的通信网络。而人类社会在过去三十多年来投入了巨大的软硬件资源建设了另一张网络:基于TCP/IP协议的计算机网络,而且还在不断快速扩张当中,如移动互联网、物联网等等。这张网最大的特点就是“天生不可信”。因此人们一直以来就以“网络环境不安全为前提假设”来追求计算机网络通信的安全,例如采用上面提到的现代公钥密码来提供网络成员之间的相互信任问题,从而解决“不可信环境下的可信认证问题”。因此在量子通信获得更广泛的应用之前,如何解决“可信的量子网络”与“不可信的互联网”这两张网的兼容问题?或者说如何解决量子通信的标准问题?这对于量子通信产业化是必不可少的。还需要指出的是,无论从工程造价以及全球网络互联互通的角度来看,世界上任何一个国家都不可能废弃现有的计算机网络,而花费巨资来重新打造一张“纯量子通信网络”。因此,在可以预见的未来,这两张网必定会共生共存,相互补充。

因此业内流传着一种观点——量子计算机可能会远远超过当今传统计算机的处理能力,并且通过舒尔算法(Shor’s
algorithm)破解RSA密码,以及比特币与其他货币所使用的数字签名。