首页
下载应用
提交文章
关于我们
🔥 热搜 🔥
1
上海
2
习近平
3
新疆
4
鄂州父女瓜
5
乌鲁木齐
6
疫情
7
H工口小学生赛高
8
习明泽
9
芊川一笑图包
10
印尼排华
分类
社会
娱乐
国际
人权
科技
经济
其它
首页
下载应用
提交文章
关于我们
🔥
热搜
🔥
1
上海
2
习近平
3
新疆
4
鄂州父女瓜
5
乌鲁木齐
6
疫情
7
H工口小学生赛高
8
习明泽
9
芊川一笑图包
10
印尼排华
分类
社会
娱乐
国际
人权
科技
经济
其它
”FAN某”的离婚财产分割判决书(全文)
”FAN某”的离婚财产分割判决书(全文)
哈里斯女粉搞4B运动、毒杀丈夫,回旋镖能否让美国“血流成河”
这把绝对高端局,只有中国人才懂
许纪霖:珠海驾车撞人事件的背后,弦绷得太紧了,要给人们以松弛感 | 二湘空间
生成图片,分享到微信朋友圈
查看原文
其他
爱立信报告:量子技术及其对移动网络安全的影响
Original
光子盒研究院
光子盒
2022-07-04
收录于合集 #抗量子
17个
光子盒研究院出品
面对有可能破解密码的量子计算机,虽然今天的系统在未来的许多年里仍将保持安全,但它们确实会给未来带来严重的潜在风险。最近,全球第三大电信设备商爱立信发布的一份简短报告《确保移动网络安全:后量子》指出,为了应对这一风险,可以轻松添加到现有设备和协议中的新的
后量子密码算法已经处于标准化的最后阶段。
爱立信首席技术官Erik Ekudden表示:“未来的量子技术可能会打破一些在当今移动网络中提供安全性的加密技术。虽然目前这种风险只是理论上的,而且无法确定破解密码的量子计算机是否真的会存在,但我鼓励所有的通信服务提供商都为这种可能性做好准备。由于具有解密通信、伪造证书和安装欺诈性固件更新的能力,量子攻击者可能会造成巨大的损害。”
报告首先简要概述了量子技术带来的风险,然后探讨了美国国家标准与技术研究院(NIST)和互联网工程任务组(IETF)等组织目前正在推进标准化的后量子加密解决方案。
在过去50年中,密码技术已经从军事和外交用途演变为一种丰富且广泛使用的工具,为多种应用创建复杂的加密解决方案。以信息和通信技术行业为例,对称和公钥(非对称)加密技术的有效结合对于当今使用的几乎所有产品、服务和接口的安全都至关重要。
现代关键基础设施(例如5G)采用零信任原则实施,其中加密技术用于网络堆栈的许多逻辑层上的机密性、完整性保护和身份验证,通常从设备一直到云中的软件。目前使用的加密解决方案基于人们熟知的原语、可证明安全的协议和最先进的实现,以安全地抵御各种侧信道攻击。
现代密码技术面临严重量子挑战的最初迹象出现在1994年,当时数学家Peter Shor证明量子计算机可以有效地对大整数进行因数分解,并解决离散对数问题,这被认为是普通计算机难以解决的问题。不幸的是,Shor的结果还表明,
如果能够建造足够大、足够强的量子计算机,那么今天的公钥密码技术——它依赖于这些棘手的问题——将被打破。
目前,产业界和学术界的多个组织正在参与量子计算机的制造,但是今天的量子计算机与那些可能威胁到当前公钥密码的计算机之间的差距是巨大的。人们认为,要用Shor算法破解当今的公钥密码,需要数百万量子比特。今天的量子计算机通常最多有大约100个量子比特,而且并不具有执行Shor算法所需要的鲁棒性。
虽然具有鲁棒性的量子计算机的未来发展是复杂和不确定的,但不应仅根据量子比特数等简单指标来判断。假设量子比特数呈摩尔定律式的增长,从100个量子比特到数百万个量子比特的扩展需要25-30年。最近,研究人员声称达到了量子霸权,但这并没有告诉我们任何实质性的信息——今天的量子计算机和可能威胁公钥密码的假想机器之间的差距正在以何种速度缩小。
公钥密码和量子计算机的时间线:
1976年,Diffie-Hellman密钥交换
1977年,RSA加密系统
1978年,基于代码的加密技术
1979年,基于哈希(散列)的加密技术
1980年,意识到量子计算机可以模拟经典计算机无法模拟的东西
1984年,量子密钥分发
1985年,椭圆曲线加密(ECC)
1994年,Shor量子算法
1996年,Grover量子算法
1996年,多变量二次方程加密
1998年,基于格的加密
1998年,拥有两个物理量子比特的量子计算机
2001年,第一个量子密钥分发网络
2011年,超奇异椭圆曲线同源加密
2015年,美国国家安全局(NSA)宣布,计划在“不太遥远的未来”从B/CNSA套件过渡到一个能够抵抗量子攻击的新套件
2017年,NIST宣布后量子密码(PQC)标准化计划
2018年,IRTF加密论坛研究小组和NIST对基于全原态哈希的签名(XMSS和LMS)进行标准化
2019年,拥有53个物理量子比特的量子计算机
2022年,NIST宣布第一套标准化PQC算法的目标日期,以及NSA用PQC更新CNSA套件的目标日期
2022-23,NIST PQC标准草案的目标日期
2024年——最终NIST PQC标准的目标日期
没有人知道能够攻击公钥密码的大规模、鲁棒的量子计算机——有时被称为密码相关量子计算机(CRQC)——是否会建成。一个专家委员会在2019年发布的一项估计称,未来十年CRQC的出现将是非常出乎意料的。该委员会还指出,中等规模量子计算机在未来几年还没有任何已知的应用。
对于大多数类型的问题解决,量子计算机比普通计算机慢得多,因为量子纠错会将时钟速度和可用量子比特的数量减少几个数量级,见图1。因此,量子计算机不是通用超级计算机,而是用于物理模拟和某些需要智能量子算法的问题的潜在专用计算机。
图1:未来量子计算机的设想结构
一些评论人士认为,由于缺乏短期应用或进展太慢,量子计算的发展可能会失去动力。尽管如此,从安全角度来看,这种机器成功的后果将非常严重,任何使用RSA和椭圆曲线加密(ECC)等公钥加密技术的人都应该现在就开始准备,以防有朝一日会制造出这样的大规模机器。
毕竟,量子攻击者不仅可以解密通信,还可以伪造证书并安装欺诈性固件更新。这将彻底破坏大多数消费电子产品、企业网络、工业物联网和关键基础设施的安全。更糟糕的是,
今天使用公钥加密技术加密的信息可能会被攻击者记录下来,并在未来出现大规模、鲁棒的量子计算机时用于攻击。
幸运的是,对于非常长的签名密钥,例如固件更新中使用的签名密钥,已经有了替代方案。基于全原态哈希的签名已经具有很好的安全性,且已经被互联网工程任务组(IETF)和美国国家标准与技术研究院(NIST)标准化。但基于全原态哈希的签名有一个严重的限制。因为它们是全原态的(Stateful),所以只适合非常特定的应用程序。
NIST的后量子密码(PQC)标准化是正在进行的最重要的项目,旨在保护公钥加密技术免受量子计算机的威胁。该项目的目的是标准化被认为对量子计算机安全的新算法。标准化后,这些新原语可以取代今天用于密钥交换、公钥加密和数字签名的公钥密码。
新算法通常与今天的ECC一样快,但公钥、密钥封装和签名要大得多。
NIST的目标是在2022-2023年发布首个新PQC算法的标准草案。
1.基于格的算法
最重要的一类后量子密码算法是基于格的。它们具有600-900字节范围内的公钥、密钥封装和签名。当前使用的ECC通常为32-64字节。在标准化过程中,针对基于格的建议没有出现新的重大攻击,在过去二十年中,相关的数学问题得到了广泛的研究。基于格的方案,如Kyber/Dilithium为PQC提供了一种很好的中间方法,具有高效的运行时间和平均大小的通信开销。
2.潜在的密钥封装机制和候选数字签名
图2中的两个表列出了NIST PQC标准化中一些密钥封装机制(KEM)和数字签名候选(包括入围算法和候补算法)在其最小参数集下的性能和通信开销。LMS算法是一种基于全原态哈希的签名方案,密钥生成速度较慢,在与表中其他算法使用平台类似的平台上,签名和验证最多需要几毫秒。由于是全原态的,LMS不在NIST PQC标准化的范围内。为了便于比较,我们将其与当今最重要的公钥加密算法一起包含在表中。
图2:NIST标准化中一些KEM和数字签名候选方案的性能和通信开销
3.爱立信的角色
爱立信正在参与NIST的PQC标准化和IETF、3GPP和ETSI的PQC讨论,并将在5G中使用的标准如TLS(传输层安全)、IKEv2(互联网密钥交换版本2)、X.509、JOSE(JavaScript对象签名和加密)和5G SUCI(订阅隐藏标识符)使用最终的NIST算法进行更新。虽然标准可能会更新以支持新的NIST PQC算法,但我们目前的公钥加密技术以何种速度弃用仍有待观察。在某种程度上,这可能取决于未来几年建造量子计算机的进展。需要在谨慎准备转向PQC和确保实施PQC的投资之间进行权衡。
我们准备爱立信产品的一种方法是与NIST迁移到后量子加密项目的实践保持一致。一个关键是加密灵活性——例如,升级加密技术并为PQC中使用的较大公钥做好准备的能力。美国国家安全局(NSA)的商用国家安全算法(CNSA)加密套件用于保护国家安全系统(NSS)中的信息。CNSA套件仍然不能抵抗量子,NSS中的信息可能需要几十年的保护。这表明,美国国家安全局有信心,大规模、鲁棒的量子计算机在未来几十年内不会成为威胁。
在很大程度上,标准化组织、政府和行业都在等待NIST PQC标准化的最终结果,然后再采取行动。NSA是一个例外,它最近宣布计划在计划于2022年初进行的第三轮NIST标准化结束时,在CNSA套件中增加对一些基于格的提案的支持。
4.后量子密码算法部署
新的PQC算法的初始部署可结合当前公钥密码技术来完成,例如攻击者将需要打破传统的椭圆曲线Diffie-Hellman KEM和其中一个新的PQC KEM来学习通信协议中已建立的会话密钥。
在很大程度上,向PQC的迁移是一个算法更新,就像以前从DES(数据加密标准)到AES(高级加密标准)和SHA(安全哈希算法)-1到SHA-2的更新一样,但更大的密钥大小和受到限制的属性可能需要更改协议和应用程序编程接口(API)。
例如,新算法的通信开销可能导致网络通信中的数据包碎片化。
1996年,计算机科学家Lov Grover开发的一种算法补充了Shor的结果,该算法表明,量子计算机可以搜索黑盒函数的可能输入,以找到给出所寻求输出的输入。虽然Grover算法比任何普通算法都能在更少的黑盒函数计算中实现这一点,但与Shor量子算法相比仍然非常缓慢。(黑盒的含义是Grover算法不依赖于函数的任何内部结构——这是一种通用方法。)
理论上,使用量子计算机的攻击者可以使用Grover算法通过由264个串行AES-128加密组成的量子计算来破解对称密码AES-128。每个这样的AES-128密码依次由大约211个串行量子门组成。这给出了长度为275个量子门的总串行计算。然而,量子门会引入错误,并且量子纠错会进一步增加开销。所有这一切在实践中意味着攻击者必须在多台量子计算机上分割计算。
由于Grover算法不能有效地并行化,使用100台量子计算机只能将计算速度提高10倍,见图3。
图3:使用(a)普通计算机和(b)量子计算机以及Grover算法的密钥搜索并行化
因此,Grover算法不会对对称加密造成任何明显的威胁。几年前,有一个共识的概念,Grover算法要求对称密钥大小加倍——要求使用AES-256而不是AES-128。但现在看来这是一种误解——例如,NIST现在表示,尽管Grover算法存在,但AES-128可能在未来几十年内仍然保持安全。
事实上,NIST PQC标准中的一个安全级别相当于AES-128。NIST认为在量子攻击下与AES-128一样强的PQC参数标准化是相关的。当然,可能还有其他原因需要更长的密钥,例如合规性,而使用更长的密钥对性能的影响很小。
总之,我们最重要的对称密码工具(AES、SNOW 3G、SHA2、SHA3等)在量子计算机面前仍然是安全的。这也适用于完全依赖对称加密的3G、4G和5G中的认证、密钥生成、加密和完整性。
量子密码的思想是利用量子力学来构建密码。这与NIST正在标准化的后量子密码非常不同,后者可以像任何其他传统密码一样完全在软件中运行。虽然量子密码是一个令人兴奋的学术研究课题,但它的实际安全应用尚不确定。到目前为止,量子密钥分发(QKD)和量子随机数发生器(QRNG)是引发人们最大兴趣的两种量子密码。然而,当前的实现在经过强化和认证以供实际使用之前还有很长的路要走。
1.量子密钥分发
QKD是一种抗量子的密钥分发机制,其中双方通过第二个(普通的)认证通信信道在他们之间发送光子,从而就密钥达成一致,如图4下半部分所示。众所周知,QKD的理想化数学抽象是绝对安全的。虽然理论构造的安全证明也是传统密码的一个重要组成部分,但重要的是要理解
密码技术最重要的威胁面始终存在于实现细节中。
在传统密码技术中,管理这种威胁的主要原则是使用经过充分审查的实现,这些实现基于几十年来获得的集体知识。
图4:应用于网络基础设施时PCQ和QKD之间的差异
与传统密码和PQC相比,QKD的安全性与物理层有着内在的联系,这使得QKD和传统密码的威胁面截然不同。美国国家安全局指出,相比QKD,传统密码的风险概况可以更好地理解。传统密码和PQC是在比物理层更高的层上实现的,这意味着PQC可用于通过不受信任的中继安全地发送受保护的信息,如图4上半部分所示。这与QKD形成鲜明对比,QKD依赖于中间可信节点之间的逐跳安全性。PQC方法更好地与现代技术环境保持一致,在现代技术环境中,越来越多的应用程序正朝着端到端安全和零信任原则发展。
还需要注意的是,PQC可以作为软件更新部署,但QKD需要新的硬件。
关于QKD实施细节,美国国家安全局指出,QKD中的通信需求和安全需求存在冲突,平衡它们所需的工程设计对错误的容忍度极低。在某些情况下,由于性能或其他原因,传统密码可以在硬件中实现,而QKD与硬件有着内在的联系。美国国家安全局指出,这使得QKD在升级或安全补丁方面的灵活性降低。由于QKD基本上是一种点对点协议,美国国家安全局还指出,QKD网络通常需要使用可信中继,这增加了内部威胁带来的安全风险。
由于需要通过传统加密技术进行外部认证,英国国家网络安全中心警告说不要只依赖于QKD,特别是在关键的国家基础设施部门,并表示NIST标准化的PQC是更好的解决方案。同时,
法国国家网络安全局决定,只要所产生的成本不会对缓解当前IT系统面临的威胁产生不利影响,QKD可被视为补充传统密码技术的深度防御措施。
2.量子随机数发生器
安全随机性在密码系统中至关重要——如果随机性发生器的质量很差,那么许多加密协议将无法提供安全性。尽管传统的硬件随机性发生器技术对量子计算机具有鲁棒性和安全性,但近年来QRNG仍然引起了一些关注。
QRNG的工作原理是根据一个量子模型的物理实现,而不是在传统的硬件随机性生成器中使用的其他物理过程。
QRNG被认为可以生成完美的无偏随机比特,而不是来自传统生成器的有偏比特。然而,在现实中,通过应用伪随机数发生器,传统发生器输出的比特中的任何偏差都会在后处理过程中变得平滑。伪随机数发生器的工作原理与单个128比特AES密钥生成大量千兆字节随机加密数据的机制相同。
如果QRNG技术在未来能像我们目前的硬件随机性发生器技术一样得到充分的理解,那么原则上,它可以在相同的基础上得到认证、验证和评估。
虽然我们预计在未来多年内不会出现具有攻击当前密码技术能力的量子计算机,但我们强烈鼓励通信服务提供商开始规划迁移到后量子密码技术的过程。在爱立信等供应商的支持下,美国国家标准与技术研究院(NIST)、互联网工程任务组(IETF)和3GPP等标准开发组织正在致力于开发新的后量子算法和更新的协议,这些协议可以轻松地添加到现有设备和接口中。目前正处于标准化的最后阶段,这些算法将在未来几年内提供,以帮助我们的行业缓解未来对移动基础设施和服务的潜在威胁。
报告原文:
https://www.ericsson.com/4ae3c7/assets/local/reports-papers/ericsson-technology-review/docs/2021/ensuring-security-in-mobile-networks-post-quantum.pdf
—End—
相关阅读:
国际货币基金组织报告《量子计算与金融系统》
NIST白皮书:后量子密码的挑战
美国国家安全局发布《量子计算和后量子密码》
NIST最新报告:向后量子密码迁移
抵抗量子计算攻击的后量子密码,市场规模近百亿美元
国内首份“量子安全”白皮书发布,探索QKD和PQC融合发展
#
诚邀共建国内首个量子垂直招聘平台
#
光子盒将为中国境内的研究机构和企业提供一个免费的垂直招聘信息发布渠道,欢迎有需求的机构或企业直接联系光子盒。(微信:Hordcore)
你可能会错过:
您可能也对以下帖子感兴趣
{{{title}}}
文章有问题?点此查看未经处理的缓存