信息化觀察網(wǎng)

每個小學生都知道，有些數(shù)學科目比其他科目更難。在教室里，這很煩人。在外面，它可能有用。例如，給定兩個素數(shù)，不管它們有多大，將它們相乘得到它們的乘積是很容易的。但是，如果不事先知道這些質(zhì)數(shù)是什么，就把這些乘積反分解成組成質(zhì)數(shù)，這是很困難的，而且隨著要分解的數(shù)越來越大，情況會迅速變得更困難。

將數(shù)字分解成質(zhì)數(shù)可能聽起來很深奧，但這個問題的單向性質(zhì)——以及其他一些密切相關(guān)的數(shù)學任務(wù)——是許多現(xiàn)代加密技術(shù)所依賴的基礎(chǔ)。這種加密技術(shù)有很多用途。它捍衛(wèi)國家機密和公司機密。它保護資金流動和醫(yī)療記錄。這也使得價值2萬億美元的電子商務(wù)產(chǎn)業(yè)成為可能。沒有它，信用卡信息、銀行轉(zhuǎn)賬、電子郵件和類似的東西就會在互聯(lián)網(wǎng)上不受保護地快速傳播，任何有意看到或竊取這些信息的人都是如此。

然而，沒有人能確定這一切的基礎(chǔ)是健全的。雖然數(shù)學家們沒有找到快速解決質(zhì)因數(shù)問題的方法，但他們也沒有證明沒有這樣的方法。理論上，世界上數(shù)以百萬計的專業(yè)或業(yè)余數(shù)學家中的任何一個人都可能在明天靈機一擊，發(fā)布一個破解互聯(lián)網(wǎng)密碼和大多數(shù)互聯(lián)網(wǎng)商務(wù)的公式。

發(fā)送量子位

事實上，類似的事情已經(jīng)發(fā)生了。1994年，當時在美國貝爾實驗室工作的數(shù)學家彼得·肖爾想出了一種快速有效的方法來求一個數(shù)的質(zhì)因數(shù)。唯一的缺陷是，他的方法——被稱為肖爾算法——需要量子計算機才能工作。

量子計算機依靠著名的量子力學的奇異特性來執(zhí)行某些類型的計算，其速度遠遠快于任何可以想象得到的經(jīng)典機器。它們的基本單位是“量子位”，這是經(jīng)典機器所操縱的1和0的量子模擬。通過利用疊加和糾纏的量子力學現(xiàn)象，量子計算機可以執(zhí)行某些形式的數(shù)學運算——盡管只是某些形式——比任何可以想象的經(jīng)典機器都要快得多。

當肖爾博士發(fā)現(xiàn)這些計算機時，它們還只是科幻小說里的東西。但在2001年，IBM的研究人員宣布他們已經(jīng)造出了一個，用肖爾的算法編寫了程序，并用它計算出15的質(zhì)因數(shù)是3和5。這臺機器可以說是可以想象到的最原始的量子計算機。但自那以來，這方面一直在穩(wěn)步取得進展。阿里巴巴、Alphabet（谷歌的母公司）、IBM、微軟和其他公司都在競相開發(fā)商用版本。

大型量子計算機將應(yīng)用于人工智能和化學等領(lǐng)域。但肖爾算法帶來的威脅吸引了最多的公眾關(guān)注。大型組織或許可以使用所謂的量子密碼來繞過這個問題。它以一種無法被對抗的方式檢測竊聽者。但由于必須在一個特殊的、專用的網(wǎng)絡(luò)上運行，它的價格昂貴，而且是試驗性的，而且不適合在互聯(lián)網(wǎng)上使用。因此，對于大多數(shù)人來說，要想繞過肖爾的算法，最好的辦法就是找到一點單向的數(shù)學方法，使量子計算機無法獲得優(yōu)勢。

有一些候選方案。密碼學家們正在討論這些數(shù)學奇點的相對優(yōu)點，如超奇異等征，結(jié)構(gòu)化和非結(jié)構(gòu)化格，以及作為量子證明密碼學基礎(chǔ)的多元多項式。但是，將一段數(shù)學轉(zhuǎn)化為可用的計算機代碼，然后將其傳送到需要更新的無數(shù)機器上并不容易。

一個問題是，截止日期是什么時候?什么時候才會有一臺能破網(wǎng)的電腦呢?今天最好的機器可以操縱幾十個量子位元。微軟研究院安全與密碼學團隊負責人布萊恩•拉瑪奇亞認為，一臺“對密碼學感興趣”的量子計算機可能能夠處理大約1000到10000個這樣的數(shù)據(jù)。預測進展是困難的。但是拉瑪奇亞博士估計這樣的機器可能在2030年到2040年之間的某個時間準備就緒。

這聽起來很遙遠，令人安心。但一些研究人員認為，事情已經(jīng)太遲了。雖然許多通信都是短暫的，但有些人對他們希望長時間保持秘密的信息進行加密。世界各地的間諜和警察已經(jīng)儲存了大量的在線數(shù)據(jù)，他們希望即使現(xiàn)在不能解密，將來也能這樣做。正如荷蘭內(nèi)梅亨大學密碼學家彼得•施瓦布觀察到的那樣：“如果10年或20年后，有人能破解我現(xiàn)在與銀行之間的通信，那么，我可能就不會太在意了。”但如果我是某個專制國家的異見人士，和其他異見人士交談？這可能是另一個故事。”

第二個問題是修復需要多長時間。國家標準與技術(shù)協(xié)會(NIST)是一個美國的標準組織，其決策經(jīng)常被世界各地遵循，該組織正在舉辦一場競賽，以淘汰各種量子抗擾提案。但其結(jié)論要到2024年才能得出。正如互聯(lián)網(wǎng)基礎(chǔ)設(shè)施公司Cloudflare負責密碼學的尼克•沙利文所觀察到的那樣，歷史表明，即使新標準達成一致，升級也將是緩慢而混亂的。盡管——或者可能是因為——信息技術(shù)產(chǎn)業(yè)對新奇事物的癡迷，互聯(lián)網(wǎng)就像古羅馬和伊斯坦布爾那樣的古城，現(xiàn)代建筑建立在被遺忘的舊的、未維護的代碼層之上。

例如，1996年研究人員報告了MD5的第一個弱點，這是一種被稱為哈希函數(shù)的廣泛使用的加密算法。另一種名為SHA-1的算法形式很容易提供替代算法。經(jīng)過二十多年的升級勸告，更不用說利用MD5弱點進行高調(diào)的網(wǎng)絡(luò)攻擊，舊算法仍然經(jīng)常被使用。類似地，2015年發(fā)現(xiàn)的一個名為FREAK的漏洞依賴于這樣一個事實，即許多現(xiàn)代應(yīng)用程序，包括谷歌的安卓操作系統(tǒng)和白宮網(wǎng)站的默認瀏覽器，可能會被說服恢復到舊的、為了遵守早已廢棄的美國出口法規(guī)，安裝了容易破解的密碼系統(tǒng)。

測試，測試

那些擁有最大權(quán)力的人是那些控制著大部分互聯(lián)網(wǎng)管道的大公司。即使在NIST慎重考慮的時候，他們也開始進行自己的測試。在微軟，拉瑪奇亞博士計劃在連接公司數(shù)據(jù)中心的鏈路上測試抗量子加密技術(shù)。谷歌已經(jīng)嘗試將不同種類的量子抗密碼學集成到其網(wǎng)頁瀏覽器Chrome的實驗版本中，并與Cloudflare合作測試其在現(xiàn)實世界中的影響。

結(jié)果大多令人鼓舞，但也不完全如此。加密的改變改變了瀏覽器與網(wǎng)站協(xié)商連接的方式。谷歌對2500個最受歡迎的網(wǎng)站進行了測試，其中約21個網(wǎng)站——包括社交網(wǎng)絡(luò)LinkedIn和域名注冊商Godaddy.com——無法處理額外的數(shù)據(jù)，并拒絕連接。與傳統(tǒng)密碼學相比，所有提出的量子抗方案都有明顯的延遲。

大公司也將在其他方面擁有權(quán)力。IBM的量子計算研究員瓦迪姆·尤巴舍夫斯基指出，量子計算機需要大量的呵護。大多數(shù)必須冷卻到接近絕對零度的溫度。這意味著，在可預見的未來，對機器的訪問將以云計算服務(wù)的形式出售，用戶可以從機器所有者那里租用時間。尤巴舍夫斯基博士說，這給了公司在代碼運行前審查代碼的權(quán)力，這可能有助于限制惡意使用。

還有其他的問題。沙利文博士說，新的密碼方案通常比舊的需要更多的計算工作量。對于臺式機和智能手機來說，這不太可能成為問題。但是嵌入從工業(yè)控制系統(tǒng)到傳感器等小發(fā)明中的小型芯片可能會遇到困難。另一個擔憂是，新的算法可能會有自己無法預見的弱點。數(shù)學家們已經(jīng)花了幾十年的時間來解決素因子問題，專注于加密的安全公司Cryptosense的老板格拉漢姆·斯蒂爾說。作為后量子計劃基礎(chǔ)的數(shù)學也沒有經(jīng)過類似的實戰(zhàn)檢驗。出于這個原因，第一個實現(xiàn)可能會同時使用新舊兩種密碼學來對沖風險。

在NIST決定新標準之前，大公司不太可能完全承諾進行升級。即便如此，這項任務(wù)的規(guī)模也是令人生畏的。斯蒂爾表示，他的一個客戶有數(shù)以千計的應(yīng)用程序需要更新。隨著芯片應(yīng)用于從汽車、兒童玩具到照明系統(tǒng)和智能電表的所有領(lǐng)域，工作量只會增加。

所有這些都意味著，對互聯(lián)網(wǎng)進行量子防護將成為一項昂貴、耗時且可能不完整的工作。斯蒂爾博士將其比作處理千年蟲，當時很多程序在處理日期時都有一個怪癖，這意味著它們必須以巨大的代價進行改造，以應(yīng)對從1999年到2000年的過渡。結(jié)果，多虧了數(shù)千名程序員的努力，千年蟲基本上被避開了。如今，風險更高了。當今世界的計算機化程度要比當時高得多。不管怎樣，這都意味著密碼學家有大量穩(wěn)定的工作要做。