盡管量子計(jì)算機(jī)的面世還需要十年或更長(zhǎng)時(shí)間，但美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）正在制定新的加密標(biāo)準(zhǔn)，以取代目前脆弱的保護(hù)措施。

破壞數(shù)據(jù)安全的事故幾乎每天都在發(fā)生，但更糟糕的情況可能即將到來(lái)：密碼學(xué)家一致認(rèn)為，量子計(jì)算機(jī)將能夠破解當(dāng)前保護(hù)電子商務(wù)交易、移動(dòng)設(shè)備對(duì)話、社會(huì)保障號(hào)碼等個(gè)人標(biāo)識(shí)、國(guó)家安全、工業(yè)機(jī)密以及其他機(jī)密信息的加密系統(tǒng)。而且，當(dāng)量子解密能力達(dá)到一定程度時(shí)，網(wǎng)絡(luò)上已經(jīng)存在的大量信息都可以得到保存并被解密。

至于量子計(jì)算機(jī)何時(shí)會(huì)使當(dāng)前加密技術(shù)過(guò)時(shí)，目前還沒(méi)有達(dá)成共識(shí)。2022年，全球研究院和加拿大量子安全咨詢公司EvolutionQ進(jìn)行了一項(xiàng)調(diào)查。在40位學(xué)術(shù)屆和工業(yè)屆量子計(jì)算領(lǐng)袖中，有20人表示，這種情況在10年內(nèi)發(fā)生的概率超過(guò)5%，而9名受訪者表示，概率為50%或更大。14位受訪者表示，20年內(nèi)出現(xiàn)這種情況的概率達(dá)70%，而在30年內(nèi)，除5人之外，所有人給出了相同的概率。

如果這樣的計(jì)算機(jī)在未來(lái)幾十年內(nèi)問(wèn)世，那么今天通過(guò)網(wǎng)絡(luò)共享的大部分敏感信息可能會(huì)變得脆弱不堪。“想象一下，你有一些想要保存30年的機(jī)密信息，” NIST計(jì)算機(jī)安全數(shù)學(xué)家達(dá)斯汀 · 穆迪（Dustin Moody）說(shuō)，“它們現(xiàn)在是安全的，但如果量子計(jì)算機(jī)在15年后出現(xiàn)，就會(huì)有人能夠破解這些機(jī)密。與你預(yù)想的時(shí)間相比，他人獲取這些信息的時(shí)間提早了15年?！?/p>

許多專家都確信，美國(guó)和其他國(guó)家的情報(bào)機(jī)構(gòu)一直在大量收集和存儲(chǔ)他們目前無(wú)法解碼的數(shù)據(jù)，等待有朝一日用量子計(jì)算機(jī)將其解密。

另一方面，美國(guó)及其眾多盟友禁止使用華為公司的電信產(chǎn)品。摩斯拉（Mozilla）公司的密碼學(xué)工程師約翰 · 施坎克（John Schanck）表示，機(jī)密圈之外的人不知道實(shí)際發(fā)生了什么，但這正是在風(fēng)險(xiǎn)評(píng)估行業(yè)的密碼學(xué)家的觀點(diǎn)：如果有人可以做某件事，你可能就會(huì)認(rèn)為他們?cè)谶@么做。

來(lái)自德國(guó)馬克斯 · 普朗克研究所安全與隱私部門的彼得 · 施瓦布（Peter Schwabe）表示：“量子計(jì)算機(jī)的問(wèn)世很可能是嚴(yán)格保密的。一旦這臺(tái)計(jì)算機(jī)建成，我們什么時(shí)候能知道？誰(shuí)來(lái)建造它？因此，很難確定哪個(gè)國(guó)家會(huì)率先擁有量子計(jì)算機(jī)，以及它們是否會(huì)公開(kāi)這一信息?！?/p>

后量子密碼

2022年12月，美國(guó)總統(tǒng)拜登簽署了一項(xiàng)法案，指示聯(lián)邦機(jī)構(gòu)加快采用后量子密碼（PQC）的進(jìn)程。如今，NIST即將對(duì)三種旨在保護(hù)網(wǎng)絡(luò)數(shù)據(jù)免受量子解密和欺騙的算法進(jìn)行標(biāo)準(zhǔn)化。第四種算法預(yù)計(jì)將在2024年以草案形式提出。

雖然加密算法所保護(hù)的信息往往都是機(jī)密，但開(kāi)發(fā)算法的過(guò)程則完全公開(kāi)。這與德國(guó)在第二次世界大戰(zhàn)期間盟軍不得不破解的恩尼格瑪密碼等機(jī)要密碼形成鮮明對(duì)比。穆迪表示：“現(xiàn)代密碼學(xué)的有趣之處在于，你不會(huì)認(rèn)為任何東西對(duì)攻擊者來(lái)說(shuō)都是秘密，而會(huì)假設(shè)他們完全了解你的安全系統(tǒng)的運(yùn)作方式。即使他們知道這些，你也希望能夠確保安全?！?/p>

NIST的后量子密碼研究工作可以追溯到2016年，當(dāng)時(shí)該機(jī)構(gòu)邀請(qǐng)了世界密碼學(xué)專家提交后量子密碼候選方案。來(lái)自學(xué)術(shù)界和工業(yè)界的團(tuán)隊(duì)一共提出了69個(gè)方案。這些方案先在內(nèi)部進(jìn)行評(píng)估，然后發(fā)布到外部，以便進(jìn)行充分分析和破解。通過(guò)三輪淘汰賽，NIST篩選出了7個(gè)方案進(jìn)入最后角逐，還確定了8個(gè)備選方案。

NIST選擇了三種用于后量子密碼學(xué)的算法，預(yù)計(jì)2024年將會(huì)推出第四種。它們基于模塊格和哈希函數(shù)，這是兩個(gè)可以抵抗量子計(jì)算機(jī)攻擊的數(shù)學(xué)問(wèn)題家族

2023年8月，NIST公布了三個(gè)后量子加密算法草案，并公開(kāi)向公眾征求意見(jiàn)。2024年，NIST計(jì)劃將其作為聯(lián)邦信息處理標(biāo)準(zhǔn)、數(shù)據(jù)安全和計(jì)算機(jī)系統(tǒng)標(biāo)準(zhǔn)發(fā)布，聯(lián)邦機(jī)構(gòu)必須遵守這些標(biāo)準(zhǔn)，與聯(lián)邦機(jī)構(gòu)有業(yè)務(wù)往來(lái)的企業(yè)和其他組織也必須遵守這些標(biāo)準(zhǔn)。第四種算法預(yù)計(jì)將在2024年獲得標(biāo)準(zhǔn)草案。包括歐盟在內(nèi)的許多其他政府預(yù)計(jì)將遵守NIST的標(biāo)準(zhǔn)，而不是制定自己的標(biāo)準(zhǔn)。

穆迪表示，使用經(jīng)典計(jì)算機(jī)來(lái)評(píng)估后量子加密算法是一件非常棘手的事情，因?yàn)槟惚仨殗L試評(píng)估量子計(jì)算機(jī)的運(yùn)行方式。“我們不知道它的運(yùn)行速度會(huì)有多快，或者成本會(huì)有多高，所以我們盡可能推斷出最好的結(jié)果，并把參數(shù)設(shè)置得足夠高?！?/p>

在2022年評(píng)選的后期，NIST的兩個(gè)候選算法被破解。一個(gè)IBM團(tuán)隊(duì)在筆記本電腦上用53小時(shí)破解了進(jìn)入倒數(shù)第二輪淘汰賽的Rainbow算法。進(jìn)入最后一輪的SIKE算法采用了一種相對(duì)較新的橢圓曲線之間映射的數(shù)學(xué)方法，但被一臺(tái)臺(tái)式機(jī)在1小時(shí)內(nèi)破解。

穆迪介紹說(shuō)，NIST已經(jīng)決定對(duì)SIKE進(jìn)行進(jìn)一步評(píng)估。該算法的失敗表明，評(píng)選過(guò)程達(dá)到了預(yù)期目的——“適者生存”。在四個(gè)標(biāo)準(zhǔn)草案中，施瓦布參與了其中三個(gè)。盡管并未專門針對(duì)SIKE，但他表示這一失敗“非常令人震驚”，而且出乎意料。但他補(bǔ)充說(shuō)，這并不一定會(huì)排除其他采用類似數(shù)學(xué)方法的方案。

公鑰和私鑰

加密可以是非對(duì)稱的，也可以是對(duì)稱的。在非對(duì)稱加密系統(tǒng)（也稱為公鑰加密系統(tǒng)）中，構(gòu)成加密密鑰的數(shù)字或字母字符串是公開(kāi)的，任何人都可以使用它來(lái)對(duì)消息進(jìn)行編碼。只有接收方才有權(quán)訪問(wèn)解密密鑰，從而讀取消息。在對(duì)稱加密系統(tǒng)中，則使用相同的密鑰對(duì)消息進(jìn)行編碼和解碼。發(fā)送方和接收方一旦使用公鑰加密進(jìn)行通信，他們就會(huì)交換一個(gè)用于后續(xù)消息的對(duì)稱加密密鑰。

施坎克說(shuō)，通常非對(duì)稱系統(tǒng)比對(duì)稱系統(tǒng)更不安全?！胺菍?duì)稱系統(tǒng)是公鑰系統(tǒng)，這意味著你連接的服務(wù)器可以公開(kāi)密鑰。任何人都可以看見(jiàn)它，任何人都可以對(duì)其進(jìn)行加密，因此無(wú)法做到絕對(duì)安全?！?/p>

從根本上來(lái)說(shuō)，所有加密算法都是數(shù)學(xué)問(wèn)題。今天廣泛使用的公鑰加密算法通常具有128位加密的安全性，這意味著如果使用暴力攻擊，破解加密密鑰需要計(jì)算機(jī)進(jìn)行2128次操作。相比之下，據(jù)估計(jì)，地球上有2166個(gè)原子。國(guó)家安全數(shù)據(jù)需要更強(qiáng)大的256位加密。

RSA公鑰算法基于將大整數(shù)因子分解成質(zhì)數(shù)的難度——NIST建議使用超過(guò)600位的大整數(shù)。從理論上說(shuō)，使用當(dāng)今高性能計(jì)算機(jī)并通過(guò)暴力攻擊進(jìn)行因子分解不是不可能，但保守估計(jì)，一臺(tái)超級(jí)計(jì)算機(jī)也需要運(yùn)行1600萬(wàn)年才能完成。目前使用的其他加密方法具有相似的安全級(jí)別，它們使用了不同的計(jì)算難題。

但專家們一致認(rèn)為，如果在足夠強(qiáng)大的量子計(jì)算機(jī)上運(yùn)行數(shù)學(xué)家彼得 · 肖爾（Peter Shor）30年前開(kāi)發(fā)的算法，密碼學(xué)家在幾分鐘內(nèi)就可以破解當(dāng)前非對(duì)稱加密系統(tǒng)。他們表示，肖爾的算法是一個(gè)簡(jiǎn)單的量子算法，而解密應(yīng)該是量子計(jì)算機(jī)最容易執(zhí)行的任務(wù)之一。

對(duì)于對(duì)稱密鑰加密，NIST于2001年首次批準(zhǔn)的256位高級(jí)加密標(biāo)準(zhǔn)版本已經(jīng)被認(rèn)為具有量子抗性。雖然量子計(jì)算機(jī)無(wú)法破解對(duì)稱加密，但可能只是需要一個(gè)稍長(zhǎng)的密鑰?！暗覀儾槐馗鼡Q整個(gè)加密系統(tǒng)。”穆迪說(shuō)。

混合加密

對(duì)于一般加密目的的后量子加密，NIST會(huì)選擇Kyber——它是代數(shù)晶格密碼學(xué)套件（CRYSTALS）的一部分。作為眾多合著者之一，施坎克正在努力將其整合到火狐網(wǎng)絡(luò)瀏覽器中。他說(shuō)，在瀏覽器和Web服務(wù)器之間建立安全連接的網(wǎng)絡(luò)協(xié)議（如傳輸層安全協(xié)議）已經(jīng)得到調(diào)整，以適應(yīng)采用Kyber加密的實(shí)驗(yàn)。許多企業(yè)，包括IBM、谷歌、亞馬遜網(wǎng)絡(luò)服務(wù)和云火炬（Cloudflare），已經(jīng)在它們的網(wǎng)絡(luò)中部署了某個(gè)版本的Kyber。一旦NIST制定了正式標(biāo)準(zhǔn)，很可能會(huì)對(duì)傳輸層安全協(xié)議做出進(jìn)一步調(diào)整。

量子計(jì)算機(jī)能夠解密采用當(dāng)今加密算法保護(hù)的信息，但仍可能需要十年甚至更長(zhǎng)時(shí)間。但是專家警告稱，它們可以輕而易舉地解碼現(xiàn)在正在收集和存儲(chǔ)的敏感信息

其中兩項(xiàng)標(biāo)準(zhǔn)草案適用于數(shù)字簽名，用于驗(yàn)證身份，并阻止虛假網(wǎng)頁(yè)和惡意軟件更新。像Kyber一樣，Dilithium也是代數(shù)晶格密碼學(xué)套件的一部分，它使用了一種被稱為模塊格的數(shù)學(xué)框架。SPHINCS+ 是一種執(zhí)行哈希函數(shù)的無(wú)狀態(tài)簽名方案。

標(biāo)準(zhǔn)制定互聯(lián)網(wǎng)工程任務(wù)組建議將Kyber等后量子加密方案與預(yù)量子加密結(jié)合使用，以確保部署新開(kāi)發(fā)的算法不會(huì)降低安全性。Chrome網(wǎng)絡(luò)瀏覽器目前正在將Kyber與現(xiàn)有預(yù)量子算法融為一體。

“這些標(biāo)準(zhǔn)將在2024年發(fā)布，屆時(shí)它們還需要得到實(shí)施并進(jìn)行測(cè)試，審計(jì)人員必須編寫(xiě)認(rèn)證準(zhǔn)則，”荷蘭埃因霍溫科技大學(xué)密碼學(xué)家、SPHINCS+的共同開(kāi)發(fā)者安德烈亞斯 · 赫辛（Andreas Hülsing）說(shuō)道，“要將它們部署到關(guān)鍵基礎(chǔ)設(shè)施部門，至少還需要三到四年的時(shí)間?！?/p>

穆迪表示，NIST正在考慮另外兩種標(biāo)準(zhǔn)化算法。這兩種算法都用于通用加密，并且都基于糾錯(cuò)碼（糾錯(cuò)碼應(yīng)用的基本原理是在數(shù)據(jù)傳輸和存儲(chǔ)以及移動(dòng)通信網(wǎng)絡(luò)中不斷發(fā)生錯(cuò)誤）。在這些加密方案中，錯(cuò)誤會(huì)在傳輸之前被故意插入，然后在解碼期間得到糾正。

Kyber在一些平臺(tái)上的運(yùn)行速度比目前廣泛使用的預(yù)量子算法要快，但采用Kyber公鑰算法的傳輸層安全性消息容量很大——大約為1千字節(jié)——而目前的方案則使用兩位數(shù)的字節(jié)。谷歌和云火炬公司表示，它們已經(jīng)證明了Web服務(wù)器可以輕松處理容量較大的信息。但是一些網(wǎng)絡(luò)“中間盒”設(shè)備（例如防火墻）如果未經(jīng)更新，會(huì)拒絕采用Kyber編碼的消息。目前，Chrome瀏覽器為受影響的網(wǎng)絡(luò)管理員提供了禁用Kyber的功能。

另一個(gè)尚待解決的問(wèn)題是后量子加密將如何影響“物聯(lián)網(wǎng)”，即控制汽車功能和傳感器以及開(kāi)關(guān)等許多工業(yè)和基礎(chǔ)設(shè)施流程（包括電力傳輸、水處理、石油和天然氣管道運(yùn)營(yíng)）的網(wǎng)絡(luò)微處理器設(shè)備。穆迪表示：“雖然筆記本電腦和手機(jī)可以輕松處理較大的后量子加密，但許多較小的物聯(lián)網(wǎng)設(shè)備卻無(wú)法做到這一點(diǎn)。在這一方面，有很多研究正在進(jìn)行。”

“一些（物聯(lián)網(wǎng)）系統(tǒng)需要更換，一些系統(tǒng)將進(jìn)行軟件更新，還有一些系統(tǒng)在使用壽命結(jié)束之前都會(huì)很不安全?！笔┛部丝偨Y(jié)道。

資料來(lái)源 Physics Today