量子尚未降临,但我们需要做好准备
光子盒研究院
他们称这一天为“量子日”(Q-Day):届时,一台比目前任何一台量子计算机都要强大的量子计算机将打破我们所熟知的隐私和安全世界。
这将通过数学上的一项壮举来实现:将一些长达数百位的、非常大的数字分离成它们的质因数。
这听起来可能只是一道毫无意义的除法题,但它将从根本上破坏政府和企业几十年来一直依赖的加密协议。军事情报、武器设计、工业机密和银行信息等敏感信息通常都是通过数字锁传输或存储的,而大数的因式分解行为可能会破解这些信息。
这种危险不仅存在于未来,也存在于过去:现在和未来几年收集的大量加密数据可能在Q-Day之后被解锁。美国情报官、欧洲政策研究人员在报告中都曾表达同样的担忧。
英国国家量子计算中心首席科学家Elham Kashefi表示,如果任何持有敏感数据的组织尚未对Q-day的威胁保持警惕,那将“非常令人担忧”。“你应该非常担心,”她在本月早些时候的筛选峰会上说道。
没有人知道量子计算何时才能发展到这种程度。目前,最强大的量子设备使用433个“量子比特”(Atom Computing刚刚预先发布的1225量子比特的中性原子量子计算机将于2024年推出)。事实上,这个数字可能需要达到数万,甚至数百万,今天的加密系统才会崩溃。
但在网络安全界,这一威胁被认为是真实而紧迫的。欧洲、中国、印度和美国都在赶在其地缘政治竞争对手之前开发出这种技术,但由于一些成果被保密,因此很难知道谁领先。
——但即使考虑到这种新的紧迫性,向更强大加密技术的迁移也很可能需要十年或更长的时间:一些专家担心,这种速度可能不足以避免灾难。
自20世纪90年代以来,研究人员就知道量子计算——利用亚原子粒子的特性同时进行多重计算,有朝一日可能会威胁到当今使用的加密系统。
1994年,美国数学家彼得·肖尔(Peter Shor)展示了如何实现量子计算,并公布了一种算法,当时假想的量子计算机可以利用这种算法将异常大的数字快速拆分成因数,而传统计算机在这项任务上的效率是出了名的低。由于Shor算法是一种量子算法,因此无法在传统计算机上运行。但如果真正的量子计算机出现,它们将能够运行它。
传统计算机的这一弱点正是当前许多加密技术的基础:即使在今天,将R.S.A.(基于因子的加密技术中最常见的形式之一)使用的一个大数分解成因子,也需要最强大的传统计算机花费数万亿年的时间才能完成。
在过去的30年里,计算机科学家们对肖尔算法进行了精简,以迎接量子技术成熟到足以运行该算法的那一天。但是在今年9月,纽约大学计算机科学家奥德·雷杰夫(Oded Regev)提出的一种新变体从根本上加快了这一进程:它首次改进了因式分解数字的大小与因式分解所需的量子运算次数之间的关系。
改进是深远的。当对一个n位数进行因式分解时,雷杰夫算法量子部分的基本逻辑步骤数为n^1.5,而不是肖尔算法中的n^2。该算法的量子部分要重复几十次,然后将结果组合起来,绘制出一个高维网格,从中可以推导出周期和因数。因此,整个算法可能不会运行得更快,但通过减少所需步骤的数量来加快量子部分的速度,可以使其更容易付诸实践。
幸运的是,目前存在的量子计算机原型还远远不具备实现这一技术壮举所需的能力和稳定性。“我对量子计算机破解RSA 密钥的可能性持非常怀疑和谨慎的态度。这需要量子计算机具有非常多的量子比特--至少几十万个--并且具有量子比特的质量,而我们现在还不具备这样的能力,也远未达到这样的水平。量子计算专家、《理解量子技术》一书的作者奥利维耶·埃兹拉蒂(Olivier Ezratty)解释说:“在实现这一目标之前,我们需要克服巨大的技术障碍。”
然而,我们必须为真正量子计算机的到来做好准备,专家们将其称为CRQC——即加密相关量子计算机,而不是目前的NISQ量子计算机。
我们需要“做最坏打算”的原因很简单:攻击者可能会发起追溯攻击。这些“现在存储,稍后解密”攻击涉及现在捕获加密通信,以便稍后解密。在某些罕见的情况下,这可能会对需要长期保护的信息(如国防和医疗保健领域的数据)构成威胁。
这就是为什么所有处于该领域前沿的国家都非常重视量子威胁。
自20世纪70年代以来,美国国家标准与技术研究院(NIST)的科学家们一直肩负着维护加密标准的重任,当时该机构研究并发布了首个通用密码,用于保护民用机构和承包商使用的信息,即数据加密标准。随着加密需求的发展,NIST定期与军事机构合作制定新标准,为全球的科技公司和IT部门提供指导。
在2010年代,NIST和其他机构的官员开始相信,量子计算在十年内实现大幅飞跃的可能性,以及这将对国家加密标准带来的风险,已经高到不容审慎忽视的程度。
美国国家安全局前副局长小理查德·H·莱杰特(Richard H. Ledgett Jr.)说:“我们的人正在做基础性工作,他们说,嘿,这变得太接近了。”
由于意识到新标准的推出将是多么困难和耗时,人们的紧迫感更加强烈。根据过去迁移的部分经验,官员们估计,即使确定了新一代算法,也可能还需要10到15年的时间才能广泛实施。
这不仅仅是因为从科技巨头到小型软件供应商等所有参与者都必须在一段时间内整合新标准。NIST的数学家达斯汀·穆迪(Dustin Moody)指出,甚至太空中的卫星也可能受到影响。“发射了卫星之后,硬件就在那里,短时间内不可能替换它。”
根据NIST的说法,联邦政府已经设定了一个总体目标,即在2035年之前尽可能多地迁移到这些新的抗量子算法,许多官员都承认这是一个雄心勃勃的目标。
这些算法并非曼哈顿计划的产物,也不是一家或多家科技公司主导的商业努力。相反,它们是通过密码学家们在一个多样化的国际社区内多年的合作而产生的。
在2016年的全球征集活动之后,NIST收到了82份提交材料,其中大部分是由学者和工程师组成的小型团队开发的。与过去一样,NIST依靠的是一种玩法,即征集新的解决方案,然后将其发布给政府和私营部门的研究人员,让他们提出质疑并挑出弱点。
专注于软件安全的非营利组织SAFECode的执行董事Steven B. Lipner解释道:“这是以一种开放的方式进行的,这样学术界的密码学家,那些正在创新破解加密方法的人,就有机会对什么是强的、什么是弱的进行权衡。”
“后量子加密技术是包括密钥建立和数字签名在内的一系列加密算法,除了传统的安全性之外,还提供了针对量子威胁的推测安全性(目前还不存在有效的量子攻击,编者注)。后量子算法可以在传统设备和计算机上运行。因此,与量子密钥分发不同,它们可以部署在现有的基础设施和通信信道上,无需对硬件进行任何重大改动。此外,这些算法不仅可以在CRQC建成后使用,还可以提前部署。”
“当量子计算机有能力破解RSA密钥时,全世界都已经部署了必要的防范技术。NIST的标准化工作旨在用现代公开密钥取代RSA密钥,这些密钥可以经受住任何量子计算机的攻击。”
最终,NIST选择了四种算法,推荐在更大范围内使用。
今年8月24日,NIST 发布了2022年选定的四种算法中三种算法的标准草案;第四种算法FALCON的标准草案将在一年后发布。项目组还选定了第二组算法进行持续评估,旨在增强第一组算法;NIST将于明年公布这些算法中任何一种算法的标准草案。
好吧,我们明白了:量子计算机将破解当今的公开密钥加密技术。那么,现在该怎么办?
在我们NIST选定的后量子加密算法标准化的同时,全球各个机构、标准组织和行业并没有停滞不前。行业和政府内部有许多正在进行的计划,这些计划将帮助社区开始准备和实施量子安全加密解决方案。
让我们来了解一些正在推出的工具,以应对公共部门的量子威胁。
1)密码学过渡指南
在公共部门,2022年5月白宫发布的《量子国家安全备忘录》推动了大量有关量子计算环境安全的工作。
在备忘录的要求中,密码解决方案占有相当大的分量。备忘录规定,美国“必须优先考虑将密码系统及时、公平地过渡到抗量子密码技术”。各机构有责任对“已实施预先标准化的抗量子加密算法”的商业解决方案进行测试。
这类解决方案的概念强调密码学的灵活性,“既要减少过渡所需的时间,又要允许对未来密码标准进行无缝更新”。
2022年晚些时候,管理和预算办公室发布了一份备忘录,就各机构如何迁移到后量子加密技术提供指导,该备忘录被称为OMB M-23-02。这份文件的重点是确定各机构对加密相关量子计算机(CRQC)的易感性,这些计算机可以破解公钥加密和其他安全保护的算法。该指南规定,各机构应在2023年5月4日前提交一份“包含 CRQC 易受攻击的密码系统的信息系统和资产(不包括国家安全系统)的优先级清单”。
美国国家安全局(NSA)随后推出了针对国家安全系统的商用国家安全算法套件2.0(CNSA 2.0),再次强调了私营和公共部门之间的合作。根据美国国家安全局的文件,“鼓励各机构,特别是CISA,与软件供应商合作,确定用于测试 PQC(后量子加密)的候选环境、硬件和软件”。
从需求的角度来看,CNSA 2.0是最有影响力的工具之一,可提高向抗量子加密技术顺利迁移的可能性。该文件就使用哪些算法以及部署这些算法以保护国家安全系统的时间框架提出了建议:主要建议各机构在2025年至2030年的时间框架内过渡到PQC,并在2030年至2033年的时间框架内开始完全使用 PQC。
2)标准化和当前建议
我们现在处于什么阶段?标准化工作需要时间,但有些标准已经被作为公共部门防范潜在量子安全漏洞的必要标准加以推广。
其中包括NIST特别出版物800-208,该出版物建议将“基于状态散列的签名方案”作为生成数字签名的一种手段。不过,这项建议并非没有挑战。
例如,SP 800-208(以及CNSA 2.0)要求在硬件(如硬件安全模块)中实施。根据该建议,有状态HBS方案的私钥不能以任何方式复制,不能在多个硬件安全模块之间克隆,也不能备份。不过,NIST确实描述了两种实现冗余的方法。在第一种情况下,可以配置终端接受来自独立根的密钥。在第二种情况下,分层树可以分布在硬件安全模块上。
值得注意的是,该建议基于相对较新的技术(SP 800-208 于2020年10月才发布)。该技术并未与代码签名工具一起广泛部署,可能需要DevSecOps重新调整行业的代码签名方法。
另一个有用的工具是保密商业解决方案(CSfC)密钥管理附件。CSfC量子抵抗需要对称密钥,国家安全局批准的密钥生成解决方案可生成和管理CSfC安全设备的预共享密钥。
这里的重要意义在于,政府主要根据量子威胁制定新的安全政策,强调了对称密钥的必要性。(换句话说,如果数据在20年或更长时间内都是有价值的,那么对称密钥就是必不可少的)。
3)业内的努力
长寿命数据需要对称密钥管理,这就需要FIPS和NSA批准的密钥生成解决方案。具体而言,CSfC文件指出,“应使用对称预共享密钥(PSK)代替或补充非对称公钥/私钥对,以便在CSfC解决方案中为机密信息提供抗量子加密保护。该指南继续指出:“国家安全局批准的密钥生成解决方案(KGS),使用经FIPS 140-2/3验证或国家安全局批准的随机数生成器(RNG),用于生成和管理CSfC解决方案的PSK。”
“一些现有的供应商解决方案目前正在进行扩展,以适用于CSfC。根据CSfC对称密钥管理附件的要求,现有工具正在更新,以管理IPsec和MACsec设备的预共享密钥。密钥管理服务器和硬件安全模块为文件加密、数据库保护和企业密钥管理提供加密连接器。这些解决方案提供基于云的密钥管理,可在虚拟环境中运行。供应商目前正在研究相关要求,以确保其解决方案能通过CSfC项目管理办公室的验证,成为经批准的KGS。”
除了这些以外,根据标准文档RFC 8784 ,自2020年以来,实现VPN量子安全的直接途径已经准备就绪;对称密钥协商 (SKA) 方法可以安全地抵御量子攻击,并且可以利用现代互联网的高可用性来大规模建立必要的预共享密钥。
这在NIST SP800-71草案中得到了很好的阐述:“在信息安全非常重要的情况下......使用对称密钥包装方案保护对称密钥,并用对称密钥消息身份验证方案取代非对称数字签名方案是在相对近期内取代公钥加密密钥管理的一种方法。”
......
当其他拟议的量子安全之旅预计需要数十年时间并且需要对标准进行多次更改时,现在是时候了,可用的直接解决方案正逐步出炉。
尽管量子计算在很大程度上属于未来范畴,但对于一小部分蓬勃发展的公司来说,未来已经到来。
例如,IBM、谷歌和其他公司在构建更大、功能更强的模型方面取得了稳步进展,这让专家们得出结论:只要取得一些关键的技术进步,量子计算的扩展不仅在理论上是可能的,而且是可以实现的。
德克萨斯大学奥斯汀分校量子信息中心主任斯科特·阿伦森(Scott Aaronson)表示:“如果量子物理学按照我们的预期运行,这就是一个工程问题。”
——事实上,量子计算有望为化学、材料科学和人工智能等领域带来根本性的好处。未来的设备可以模拟复杂的化学反应,加速新药物和新材料的发现,从而生产出更耐用的电动汽车电池或可持续塑料替代品。
与IBM或谷歌试图破解退相干问题的科学家相比,D-Wave等公司也正采用不同的技术方法,从而避开了这一尚未真正解决的事实。
例如,量子计算公司(或QCI)采用的技术接受了量子系统固有的不稳定性,然后利用光子将这种不稳定性转化为能够计算的东西,正如该公司首席运营官兼首席技术官比尔·麦根(Bill McGann)在演讲中描述的那样。D-Wave使用一种称为量子退火的过程,它比传统或“基于门”的量子系统具有更高的稳定性,但其应用仅限于医学或金融等行业的定量问题。(他们在2021年宣布,他们现在也在开发基于门的量子计算机)。
这些项目引人入胜,但也引出了量子开发和决策中的一个重要问题:量子计算机能否可靠地超越我们今天使用的经典计算机?到目前为止,答案是否定的。
量子计算正在努力克服“退相干”问题,即无法保持量子比特足够稳定以执行计算,这一过程面临着巨大的科学和后勤挑战。
前面的道路充满了挑战,从优化障碍到量子难题,但它所带来的希望是无与伦比的。它召唤着勇敢者、好奇者和有远见的人,敦促他们勇往直前,深入量子领域的光明深渊,并获得转变。
参考链接(上下滑动查看更多):
[1]https://www.ft.com/content/9ac38cf4-874e-4842-8be9-8fac2a3e898d
[2]https://incyber.org/en/quantum-apocalypse-is-not-yet-upon-us-but-we-need-to-be-ready-for-it/
[3]https://media.defense.gov/2022/Sep/07/2003071834/-1/-1/0/CSA_CNSA_2.0_ALGORITHMS_.PDF
[4]https://www.forbes.com/sites/forbestechcouncil/2023/10/23/mitigating-the-quantum-threat-today/?sh=592c5fb012aa
[5]https://www.nytimes.com/2023/10/22/us/politics/quantum-computing-encryption.html
[6]https://washingtontechnology.com/opinion/2023/10/race-quantum-proof-encryption/391446/
[7]https://federalnewsnetwork.com/commentary/2023/10/3-reasons-swift-action-is-needed-to-prepare-for-a-quantum-cyberattack/
[8]https://www.politico.com/newsletters/digital-future-daily/2023/10/26/the-quantum-here-and-now-00123818
|qu|cryovac>