信息化觀察網(wǎng)

信息安全行業(yè)一只腳已經(jīng)邁入后量子計(jì)算時代，接下來是冬天還是春天？我們可以開始恐慌了嗎？安全牛與您一道全盤解讀。

留給信息安全界的時間不多了

今天，如果你問量子霸權(quán)和量子冬天離我們有多遠(yuǎn)，在河對岸還是家門口？三個月還是三十年？專業(yè)人士的口徑興許還不如大媽統(tǒng)一。

但有一點(diǎn)是毋庸置疑的：雖然量子計(jì)算嚴(yán)重 “偏科”，相比傳統(tǒng) “機(jī)械計(jì)算” 適用范圍有限，但不幸的是，破解加密密鑰是其唯二擅長的領(lǐng)域之一。足夠強(qiáng)大的量子計(jì)算機(jī)幾乎能夠 “秒殺” 當(dāng)下流行的加密方法。在接下來十到二十年中，一旦高性能量子計(jì)算機(jī)成為現(xiàn)實(shí)，互聯(lián)網(wǎng)上受加密系統(tǒng)保護(hù)的所有數(shù)據(jù)將被解密，所有個人、組織或國家都無法抵御量子霸權(quán)的 “萬點(diǎn)暴擊”。

上個月谷歌發(fā)布了 53 個量子位的量子計(jì)算機(jī)并一度宣布取得量子霸權(quán)。安全業(yè)界聞訊一片嘩然，量子冬天真的要來了嗎？根據(jù)康奈爾大學(xué)發(fā)表相關(guān)研究論文：

一個 160 位的橢圓曲線密碼密鑰需要一個大約 1000 量子位的量子計(jì)算機(jī)才能破解，而安全方面等效的 1024 位 RSA 模數(shù)則需要 2000 個量子位。

顯然，谷歌僅有的 53 個量子位仍然無法與這種加密技術(shù)相提并論，差距遠(yuǎn)比 53 到 1000 兩個數(shù)字之間的距離大。因?yàn)榱孔佑?jì)算在抗干擾、糾錯和正確輸出三個方面還存在技術(shù)瓶頸，量子位越多，上述問題就越棘手。

但是，業(yè)界對量子計(jì)算信息安全威脅的擔(dān)憂卻絲毫也未減輕，抗量子加密技術(shù)的開發(fā)已經(jīng)提上日程。

上周，美國數(shù)學(xué)協(xié)會主席，研究副總裁 Jill Pipher 博士和布朗大學(xué)數(shù)學(xué)系的 Elisha Benjamin Andrews 教授在國會山為國會議員作了題為《不再安全：量子時代的密碼學(xué)》的簡報(bào)。描述了量子計(jì)算對支撐國家安全與經(jīng)濟(jì)安全的現(xiàn)有密碼系統(tǒng)構(gòu)成的威脅。參議員杰克·里德 (D-RI) 在通報(bào)會開始時說：

我們敏銳地意識到量子技術(shù)的潛在優(yōu)勢和劣勢。我們也非常擔(dān)心我們的一些對手和競爭對手在量子計(jì)算上投入了大量資金。

而參議院情報(bào)武裝部隊(duì)和撥款委員會的里德 (Reed) 則非常擔(dān)心特朗普政府在應(yīng)對量子計(jì)算的復(fù)雜威脅時掉鏈子。

我們確實(shí)需要整個政府的通力支持。這個（特朗普）政府不屬于整個政府，支離破碎。

Pipher 博士認(rèn)為，強(qiáng)大的量子計(jì)算未來將威脅到數(shù)十年來持續(xù)開發(fā)的密碼基礎(chǔ)設(shè)施，在政府和公司競相建造量子計(jì)算機(jī)的同時，也為更快發(fā)展抗量子密碼技術(shù)提供了理由。大約四、五年前，公司和政府已經(jīng)意識到開發(fā)抗量子加密算法的緊迫性。

尋找后量子時代能夠存活的加密算法

一個多月前，美國國防部宣布淘汰核導(dǎo)彈部隊(duì)使用了快半個世紀(jì)的核彈發(fā)射指令軟盤，地球人終于長舒了一口氣，全村人的小命不再與一張隨時有可能發(fā)霉變脆的軟盤關(guān)聯(lián)。但大家彈冠相慶不到一周時間，谷歌的 “量子霸權(quán)” 計(jì)算機(jī)發(fā)布了，一瞬間，業(yè)界，尤其是安全業(yè)界，被 “量子霸權(quán)” 的陰霾籠罩了。

現(xiàn)代密碼學(xué)始于 1970 年代，基于數(shù)學(xué)家 Whitfield Diffie 和 Martin Hellman 開發(fā)的協(xié)議算法來安全地交換密碼密鑰，這些算法至今仍然是電子商務(wù)、國家安全和個人隱私的基石。

未來的量子計(jì)算機(jī)從根本上威脅著全球信息基礎(chǔ)架構(gòu)的安全性。

一旦量子計(jì)算機(jī)的發(fā)展出現(xiàn)類似 AlphaGo 那樣的跳躍性重大突破，而傳統(tǒng)加密學(xué)又沒有完成進(jìn)化，那么全球信息基礎(chǔ)設(shè)施都將進(jìn)入災(zāi)難性的 “量子冬天”。

在美國國會奔走提案的 Pipher 博士推薦一種可以在 “量子冬天” 生存的加密解決方案——她在 1996 年與數(shù)學(xué)家 Jeffrey Hoffstein 和 Joseph Silverman 一起提出的一種名為 NTRUEncrypt 的解決方案。NTRUEncrypt 是公認(rèn)的 RSA (Rivest-Shamir-Adelman) 或 ECC（橢圓曲線加密）加密方法的替代方案。

NTRUEncrypt 的目標(biāo)是找到一個能夠吃掉大量算力的 “難題”，例如 RSA 加密的 “難題” 是將大質(zhì)數(shù)的乘積分解為因數(shù)，但正如本文開頭提到的，這恰恰是量子計(jì)算唯二的優(yōu)勢之一：求解大質(zhì)數(shù)方程。但 NTRUEncrypt 試圖大幅提高題目難度，這種難題是一種基于晶格的規(guī)則點(diǎn)陣。Pipher 表示，當(dāng)維度擴(kuò)展到一千個，問題的難度極高，同時開銷又沒有 RSA 的產(chǎn)品那么大，效率明顯更高。

NTRUEncrypt 現(xiàn)在已經(jīng)在基于晶格的公共密鑰密碼規(guī)范(IEEE P1363.1) 下被 IEEE P1363 標(biāo)準(zhǔn)全盤接受，

我們建立的加密系統(tǒng)無法被量子計(jì)算機(jī)破壞。

讓 NIST 挑花眼的 26 種抗量子算法

NIST 早在 2016 年 4 月就發(fā)布了抗量子密碼技術(shù)現(xiàn)狀的報(bào)告，隨后于 2016 年 12 月進(jìn)行了跟進(jìn)，呼吁公眾提交可能抵御量子計(jì)算機(jī) “暴擊” 的后量子算法。NIST 花了一年的時間收集提交的內(nèi)容，第二年與密碼學(xué)界合作進(jìn)行了第一輪海選審核，從收到的 69 份提案中，選出了 26 種算法入圍第二輪評審。

這些算法代表了廣泛的數(shù)學(xué)想法，但大致可以分為三大族群：晶格、基于代碼的多重變量、以及其他類型。

穆迪還表示，第二輪評審將更加側(cè)重于評估入圍算法在各種系統(tǒng)平臺的性能，因?yàn)槿缃裼写罅坑?jì)算設(shè)備都需要有效的抗量子加密。

NIST 的評委們不僅要研究這些入圍算法如何在大型計(jì)算機(jī)和智能手機(jī)上工作，而且還要在處理器能力有限的設(shè)備上工作，例如智能卡、微型物聯(lián)網(wǎng)設(shè)備以及單個微芯片的設(shè)備也都需要保護(hù)。我們需要能夠執(zhí)行輕量級密碼學(xué)的抗量子算法。

除了考慮需要使用抗量子算法的各種潛在設(shè)備類型之外，NIST 團(tuán)隊(duì)還鼓勵和維護(hù)抗量子算法 “百花齊放” 的現(xiàn)狀。穆迪認(rèn)為，由于沒人能確切知道一臺真正的量子計(jì)算機(jī)的功能是什么樣，因此這 26 個候選算法有著多樣化的技術(shù)基因，即使其中一種或幾種算法被量子計(jì)算機(jī) “秒殺”，其他的算法也許可以存活。

在今年 8 月份的第二輪 PQC 標(biāo)準(zhǔn)評審會議上，NIST 也沒有急于淘汰任何算法，NIST 會后官方給出的評價是：這 26 種算法的表現(xiàn)都非常好，沒有雷同，但也沒有明顯的 “最佳選擇”。

NIST 沒有給出第二輪評審的截止日期，但是安全牛在其官網(wǎng)的調(diào)研問卷找到了線索，其中一個問題這樣寫道：未來 2-3 年，您認(rèn)為我們應(yīng)該如何做才能完成第二輪篩選？

種種跡象表明，第二輪審核完成后，NIST 公布最終的后量子算法之前很可能還會有第三輪評審。最終的獲勝者將補(bǔ)充或替換目前公認(rèn)最容易受到量子攻擊的三個標(biāo)準(zhǔn)：FIPS 186-4（數(shù)字簽名使用規(guī)范）、? NIST SP 800-56A?和?NIST SP 800-56B（后兩者定義如何在公鑰加密中創(chuàng)建密鑰）。

隨著時間的推移，量子計(jì)算的發(fā)展進(jìn)程也將在很大程度上影響 NIST 的最終選擇。穆迪的同事 Gorjan Alagic 預(yù)測說，量子計(jì)算機(jī)可能還需要幾年的時間。

只有數(shù)學(xué)家能夠拯救加密行業(yè)

Pipher 博士警告：不管量子計(jì)算的實(shí)現(xiàn)距離我們十年還是二十年，我們現(xiàn)在必須開始準(zhǔn)備我們所有的信息安全系統(tǒng)，使其能夠抵抗量子計(jì)算。我們只需要在量子密碼學(xué)中做更多的數(shù)學(xué)研究即可。一方面要借助實(shí)現(xiàn)量子計(jì)算的威力，同時，也要預(yù)防量子計(jì)算的風(fēng)險(xiǎn)。

當(dāng)談到量子計(jì)算時代密碼學(xué)的突破時，Pipher 博士強(qiáng)調(diào)，時間至關(guān)重要，因?yàn)楦鞣N系統(tǒng)的測試需要花費(fèi)大量時間，驗(yàn)證密碼系統(tǒng)的有效性需要花費(fèi)數(shù)年時間。直至今日，在計(jì)算系統(tǒng)和互聯(lián)網(wǎng)中廣泛使用的 RSA 系統(tǒng)本身仍沒有其有效性的證據(jù)。

我們只能依靠許多不同領(lǐng)域的大量專家不斷審查和努力，找到對抗方法。這就是為什么現(xiàn)在就需要開始著手開發(fā)新的密碼系統(tǒng)，因?yàn)樾旅艽a系統(tǒng)的有效性還需要很長時間檢驗(yàn)。

關(guān)于企業(yè)現(xiàn)在應(yīng)該為 “量子冬天” 做哪些準(zhǔn)備，做些什么。Pipher 推薦企業(yè)關(guān)注她開發(fā)的基于晶格的密碼技術(shù)，并說有些公司已經(jīng)開始部署基于晶格的算法，覆蓋他們現(xiàn)有的協(xié)議，這是一個好的開始。

不過，更重要的是，企業(yè)必須認(rèn)識到抗量子加密產(chǎn)品和技術(shù)的存在，并開始評估這些產(chǎn)品。每個公司都應(yīng)該聘請數(shù)學(xué)家。

信息安全主管：慌得一批？還是穩(wěn)如老狗？

根據(jù) Neustar 的研究，超過一半 (54％) 的網(wǎng)絡(luò)安全專業(yè)人員已經(jīng)開始擔(dān)心量子計(jì)算的發(fā)展將顛覆現(xiàn)有信息安全技術(shù)。

對量子計(jì)算關(guān)注度方面，有 74％ 的企業(yè)或組織表示正密切關(guān)注該技術(shù)的發(fā)展，其中 21％ 的組織已經(jīng)開始嘗試自己的量子計(jì)算策略。

在對專業(yè)人士的調(diào)查中，有 35％ 的專家聲稱正在制定量子策略，只有 16％ 的專家表示他們尚未考慮。絕大多數(shù)網(wǎng)絡(luò)安全專業(yè)人員 (73％) 預(yù)測量子計(jì)算能夠在未來五年內(nèi)攻陷包括加密在內(nèi)的多種信息安全技術(shù)。

幾乎所有受訪者 (93％) 相信下一代（量子）計(jì)算機(jī)將碾壓現(xiàn)有的安全技術(shù)，只有 7％ 的人認(rèn)為真正的量子霸權(quán)永遠(yuǎn)不會發(fā)生。

值得注意的是，雖然擔(dān)心其他安全技術(shù)會被淘汰，但仍有 87％ 的 CISO，CSO，CTO 和安全主管對量子計(jì)算的應(yīng)用潛力和積極影響感到興奮。其余 13％ 的技術(shù)主管則較為悲觀，認(rèn)為量子計(jì)算來弊大于利。

冬天之后的春天：量子密碼學(xué)

即使量子計(jì)算的發(fā)展速度遠(yuǎn)遠(yuǎn)超出人們的預(yù)期，量子計(jì)算也并非是加密學(xué)的毒藥，反而可能是長生不老藥，同時也將讓業(yè)界徹底擺脫 RSA 的加密霸權(quán)。因?yàn)閷⒄Q生一個更加牢不可破的加密技術(shù)：量子密碼學(xué)。

量子密碼學(xué)顧名思義，是基于量子計(jì)算和物理學(xué)來開發(fā)一種完全 “無解” 的密碼系統(tǒng)。

量子密碼學(xué)不同于傳統(tǒng)的密碼學(xué)系統(tǒng)，因?yàn)樗嗟匾蕾囄锢矶皇菙?shù)學(xué)作為其安全模型的關(guān)鍵基礎(chǔ)。

常規(guī)的非量子加密可以以多種方式工作，但是，消息通常是加擾的，并且只能使用密鑰來解密。訣竅是確保密鑰不會泄露。在現(xiàn)代加密系統(tǒng)中破解私鑰通常需要計(jì)算一個大數(shù)的質(zhì)數(shù)因子。

但傳統(tǒng)加密技術(shù)存在漏洞，某些產(chǎn)品（例如弱密鑰）恰好比其他產(chǎn)品更易于破解（安全牛提示：也包括 RSA 產(chǎn)品的人為后門）。而且，摩爾定律正不斷提高我們計(jì)算力，數(shù)學(xué)家們也正在不斷開發(fā)新的算法，以簡化質(zhì)數(shù)分解。

量子密碼學(xué)避免了所有這些問題。量子密鑰被加密為一系列光子，這些光子在共享秘密信息的雙方之間傳遞，根據(jù)海森堡不確定性原則，第三方無法在不改變或破壞它們狀態(tài)的情況下查看這些光子的狀態(tài)。

從事量子密碼學(xué)研究的新墨西哥州洛斯阿拉莫斯國家實(shí)驗(yàn)室的物理學(xué)家理查德·休斯肯定地說道：

在這種情況下，對手的解密技術(shù)再高明也沒有用，他們永遠(yuǎn)也無法打破物理定律。

值得關(guān)注的5家抗量子安全創(chuàng)業(yè)公司

安全牛查閱量子計(jì)算報(bào)告網(wǎng)站后，從 100 多家量子創(chuàng)業(yè)公司中挑出了 5 家有代表性的抗量子信息安全創(chuàng)業(yè)公司：

1. CryptoNest Security：成立于 2018 年，開發(fā)了抗量子算法安全庫 CryptoNext Quantum-SafeLibrary（提供基本的加密公鑰功能）、抗量子數(shù)字簽名以及抗量子密鑰交換（密鑰封裝）。其抗量子算法被IETF選中，并已進(jìn)入 NIST 的第二輪評審，是目前最有希望的抗量子算法之一。

2. QuantiCor Security：成立于 2017 年，主要開發(fā)面向物聯(lián)網(wǎng)設(shè)備和區(qū)塊鏈的抗量子加密方案。曾獲得埃森哲 2018 年度創(chuàng)新獎。

3. ID Quantique：總部位于瑞士，開發(fā)抗量子網(wǎng)絡(luò)加密、安全量子密鑰生成以及量子密鑰分發(fā)方案和服務(wù)。目標(biāo)客戶是全球范圍的金融、大企業(yè)和政府組織。

4. ISARA：成立于 2015 年，總部位于加拿大滑鐵盧市。主要開發(fā)抗量子軟件產(chǎn)品，同時也向客戶提供量子就緒安全規(guī)劃服務(wù)。核心產(chǎn)品是 ISARA Radiate 安全方案套件，該方案提供的公鑰加密和數(shù)字簽名算法能夠抵御量子計(jì)算機(jī)的Shor算法。

5. Post-Quantum：總部位于倫敦，提供一系列的量子計(jì)算相關(guān)信息安全產(chǎn)品和服務(wù)，包括抗量子加密算法。