凛冬已至:寻找能在 “量子冬天” 存活的加密算法
信息安全行业一只脚已经迈入后量子计算时代,接下来是冬天还是春天?我们可以开始恐慌了吗?安全牛与您一道全盘解读。
留给信息安全界的时间不多了
今天,如果你问量子霸权和量子冬天离我们有多远,在河对岸还是家门口?三个月还是三十年?专业人士的口径兴许还不如大妈统一。
但有一点是毋庸置疑的:虽然量子计算严重 “偏科”,相比传统 “机械计算” 适用范围有限,但不幸的是,破解加密密钥是其唯二擅长的领域之一。足够强大的量子计算机几乎能够 “秒杀” 当下流行的加密方法。在接下来十到二十年中,一旦高性能量子计算机成为现实,互联网上受加密系统保护的所有数据将被解密,所有个人、组织或国家都无法抵御量子霸权的 “万点暴击”。
上个月谷歌发布了 53 个量子位的量子计算机并一度宣布取得量子霸权。安全业界闻讯一片哗然,量子冬天真的要来了吗?根据康奈尔大学发表相关研究论文:
一个 160 位的椭圆曲线密码密钥需要一个大约 1000 量子位的量子计算机才能破解,而安全方面等效的 1024 位 RSA 模数则需要 2000 个量子位。
显然,谷歌仅有的 53 个量子位仍然无法与这种加密技术相提并论,差距远比 53 到 1000 两个数字之间的距离大。因为量子计算在抗干扰、纠错和正确输出三个方面还存在技术瓶颈,量子位越多,上述问题就越棘手。
但是,业界对量子计算信息安全威胁的担忧却丝毫也未减轻,抗量子加密技术的开发已经提上日程。
上周,美国数学协会主席,研究副总裁 Jill Pipher 博士和布朗大学数学系的 Elisha Benjamin Andrews 教授在国会山为国会议员作了题为《不再安全:量子时代的密码学》的简报。描述了量子计算对支撑国家安全与经济安全的现有密码系统构成的威胁。参议员杰克·里德 (D-RI) 在通报会开始时说:
我们敏锐地意识到量子技术的潜在优势和劣势。我们也非常担心我们的一些对手和竞争对手在量子计算上投入了大量资金。
而参议院情报武装部队和拨款委员会的里德 (Reed) 则非常担心特朗普政府在应对量子计算的复杂威胁时掉链子。
我们确实需要整个政府的通力支持。这个(特朗普)政府不属于整个政府,支离破碎。
Pipher 博士认为,强大的量子计算未来将威胁到数十年来持续开发的密码基础设施,在政府和公司竞相建造量子计算机的同时,也为更快发展抗量子密码技术提供了理由。大约四、五年前,公司和政府已经意识到开发抗量子加密算法的紧迫性。
寻找后量子时代能够存活的加密算法
一个多月前,美国国防部宣布淘汰核导弹部队使用了快半个世纪的核弹发射指令软盘,地球人终于长舒了一口气,全村人的小命不再与一张随时有可能发霉变脆的软盘关联。但大家弹冠相庆不到一周时间,谷歌的 “量子霸权” 计算机发布了,一瞬间,业界,尤其是安全业界,被 “量子霸权” 的阴霾笼罩了。
现代密码学始于 1970 年代,基于数学家 Whitfield Diffie 和 Martin Hellman 开发的协议算法来安全地交换密码密钥,这些算法至今仍然是电子商务、国家安全和个人隐私的基石。
未来的量子计算机从根本上威胁着全球信息基础架构的安全性。
一旦量子计算机的发展出现类似 AlphaGo 那样的跳跃性重大突破,而传统加密学又没有完成进化,那么全球信息基础设施都将进入灾难性的 “量子冬天”。
在美国国会奔走提案的 Pipher 博士推荐一种可以在 “量子冬天” 生存的加密解决方案——她在 1996 年与数学家 Jeffrey Hoffstein 和 Joseph Silverman 一起提出的一种名为 NTRUEncrypt 的解决方案。NTRUEncrypt 是公认的 RSA (Rivest-Shamir-Adelman) 或 ECC(椭圆曲线加密)加密方法的替代方案。
NTRUEncrypt 的目标是找到一个能够吃掉大量算力的 “难题”,例如 RSA 加密的 “难题” 是将大质数的乘积分解为因数,但正如本文开头提到的,这恰恰是量子计算唯二的优势之一:求解大质数方程。但 NTRUEncrypt 试图大幅提高题目难度,这种难题是一种基于晶格的规则点阵。Pipher 表示,当维度扩展到一千个,问题的难度极高,同时开销又没有 RSA 的产品那么大,效率明显更高。
NTRUEncrypt 现在已经在基于晶格的公共密钥密码规范(IEEE P1363.1) 下被 IEEE P1363 标准全盘接受,
我们建立的加密系统无法被量子计算机破坏。
让 NIST 挑花眼的 26 种抗量子算法
NIST 早在 2016 年 4 月就发布了抗量子密码技术现状的报告,随后于 2016 年 12 月进行了跟进,呼吁公众提交可能抵御量子计算机 “暴击” 的后量子算法。NIST 花了一年的时间收集提交的内容,第二年与密码学界合作进行了第一轮海选审核,从收到的 69 份提案中,选出了 26 种算法入围第二轮评审。
这些算法代表了广泛的数学想法,但大致可以分为三大族群:晶格、基于代码的多重变量、以及其他类型。
穆迪还表示,第二轮评审将更加侧重于评估入围算法在各种系统平台的性能,因为如今有大量计算设备都需要有效的抗量子加密。
NIST 的评委们不仅要研究这些入围算法如何在大型计算机和智能手机上工作,而且还要在处理器能力有限的设备上工作,例如智能卡、微型物联网设备以及单个微芯片的设备也都需要保护。我们需要能够执行轻量级密码学的抗量子算法。
除了考虑需要使用抗量子算法的各种潜在设备类型之外,NIST 团队还鼓励和维护抗量子算法 “百花齐放” 的现状。穆迪认为,由于没人能确切知道一台真正的量子计算机的功能是什么样,因此这 26 个候选算法有着多样化的技术基因,即使其中一种或几种算法被量子计算机 “秒杀”,其他的算法也许可以存活。
在今年 8 月份的第二轮 PQC 标准评审会议上,NIST 也没有急于淘汰任何算法,NIST 会后官方给出的评价是:这 26 种算法的表现都非常好,没有雷同,但也没有明显的 “最佳选择”。
NIST 没有给出第二轮评审的截止日期,但是安全牛在其官网的调研问卷找到了线索,其中一个问题这样写道:未来 2-3 年,您认为我们应该如何做才能完成第二轮筛选?
种种迹象表明,第二轮审核完成后,NIST 公布最终的后量子算法之前很可能还会有第三轮评审。最终的获胜者将补充或替换目前公认最容易受到量子攻击的三个标准:FIPS 186-4(数字签名使用规范)、? NIST SP 800-56A?和?NIST SP 800-56B(后两者定义如何在公钥加密中创建密钥)。
随着时间的推移,量子计算的发展进程也将在很大程度上影响 NIST 的最终选择。穆迪的同事 Gorjan Alagic 预测说,量子计算机可能还需要几年的时间。
只有数学家能够拯救加密行业
Pipher 博士警告:不管量子计算的实现距离我们十年还是二十年,我们现在必须开始准备我们所有的信息安全系统,使其能够抵抗量子计算。我们只需要在量子密码学中做更多的数学研究即可。一方面要借助实现量子计算的威力,同时,也要预防量子计算的风险。
当谈到量子计算时代密码学的突破时,Pipher 博士强调,时间至关重要,因为各种系统的测试需要花费大量时间,验证密码系统的有效性需要花费数年时间。直至今日,在计算系统和互联网中广泛使用的 RSA 系统本身仍没有其有效性的证据。
我们只能依靠许多不同领域的大量专家不断审查和努力,找到对抗方法。这就是为什么现在就需要开始着手开发新的密码系统,因为新密码系统的有效性还需要很长时间检验。
关于企业现在应该为 “量子冬天” 做哪些准备,做些什么。Pipher 推荐企业关注她开发的基于晶格的密码技术,并说有些公司已经开始部署基于晶格的算法,覆盖他们现有的协议,这是一个好的开始。
不过,更重要的是,企业必须认识到抗量子加密产品和技术的存在,并开始评估这些产品。每个公司都应该聘请数学家。
信息安全主管:慌得一批?还是稳如老狗?
根据 Neustar 的研究,超过一半 (54%) 的网络安全专业人员已经开始担心量子计算的发展将颠覆现有信息安全技术。
对量子计算关注度方面,有 74% 的企业或组织表示正密切关注该技术的发展,其中 21% 的组织已经开始尝试自己的量子计算策略。
在对专业人士的调查中,有 35% 的专家声称正在制定量子策略,只有 16% 的专家表示他们尚未考虑。绝大多数网络安全专业人员 (73%) 预测量子计算能够在未来五年内攻陷包括加密在内的多种信息安全技术。
几乎所有受访者 (93%) 相信下一代(量子)计算机将碾压现有的安全技术,只有 7% 的人认为真正的量子霸权永远不会发生。
值得注意的是,虽然担心其他安全技术会被淘汰,但仍有 87% 的 CISO,CSO,CTO 和安全主管对量子计算的应用潜力和积极影响感到兴奋。其余 13% 的技术主管则较为悲观,认为量子计算来弊大于利。
冬天之后的春天:量子密码学
即使量子计算的发展速度远远超出人们的预期,量子计算也并非是加密学的毒药,反而可能是长生不老药,同时也将让业界彻底摆脱 RSA 的加密霸权。因为将诞生一个更加牢不可破的加密技术:量子密码学。
量子密码学顾名思义,是基于量子计算和物理学来开发一种完全 “无解” 的密码系统。
量子密码学不同于传统的密码学系统,因为它更多地依赖物理而不是数学作为其安全模型的关键基础。
常规的非量子加密可以以多种方式工作,但是,消息通常是加扰的,并且只能使用密钥来解密。诀窍是确保密钥不会泄露。在现代加密系统中破解私钥通常需要计算一个大数的质数因子。
但传统加密技术存在漏洞,某些产品(例如弱密钥)恰好比其他产品更易于破解(安全牛提示:也包括 RSA 产品的人为后门)。而且,摩尔定律正不断提高我们计算力,数学家们也正在不断开发新的算法,以简化质数分解。
量子密码学避免了所有这些问题。量子密钥被加密为一系列光子,这些光子在共享秘密信息的双方之间传递,根据海森堡不确定性原则,第三方无法在不改变或破坏它们状态的情况下查看这些光子的状态。
从事量子密码学研究的新墨西哥州洛斯阿拉莫斯国家实验室的物理学家理查德·休斯肯定地说道:
在这种情况下,对手的解密技术再高明也没有用,他们永远也无法打破物理定律。
值得关注的5家抗量子安全创业公司
安全牛查阅量子计算报告网站后,从 100 多家量子创业公司中挑出了 5 家有代表性的抗量子信息安全创业公司:
1. CryptoNest Security:成立于 2018 年,开发了抗量子算法安全库 CryptoNext Quantum-SafeLibrary(提供基本的加密公钥功能)、抗量子数字签名以及抗量子密钥交换(密钥封装)。其抗量子算法被IETF选中,并已进入 NIST 的第二轮评审,是目前最有希望的抗量子算法之一。
2. QuantiCor Security:成立于 2017 年,主要开发面向物联网设备和区块链的抗量子加密方案。曾获得埃森哲 2018 年度创新奖。
3. ID Quantique:总部位于瑞士,开发抗量子网络加密、安全量子密钥生成以及量子密钥分发方案和服务。目标客户是全球范围的金融、大企业和政府组织。
4. ISARA:成立于 2015 年,总部位于加拿大滑铁卢市。主要开发抗量子软件产品,同时也向客户提供量子就绪安全规划服务。核心产品是 ISARA Radiate 安全方案套件,该方案提供的公钥加密和数字签名算法能够抵御量子计算机的Shor算法。
5. Post-Quantum:总部位于伦敦,提供一系列的量子计算相关信息安全产品和服务,包括抗量子加密算法。
本文来自信息化观察者网,转载请注明出处。
