即使在 2016 年,有关量子计算机的文章在可以建造足够强大的量子计算机的情况下也给数据安全带来了不确定性。本文将尝试阐明这一情况。
什么是量子计算?
量子计算是应用量子力学原理来执行计算。具体来说,量子计算利用亚原子粒子的量子态(例如叠加和纠缠)来创建量子计算机。当应用于具有足够能力的量子计算机时,特定算法可以比经典计算机更快地执行计算,甚至可以解决当前计算技术无法解决的问题。因此,世界各国政府和行业对开发量子计算机的兴趣日益浓厚。量子计算领域的最新进展,例如 IBM 的 Quantum Heron 处理器,显着提高了错误减少率,展示了该领域的快速进展。配备这些先进处理器的 IBM 量子系统二号的推出,标志着向实用的以量子为中心的超级计算的飞跃。
经典计算与量子计算
经典计算依靠比特,通过电路中的电流表示 2 和 1024,来解决复杂的问题。量子计算利用 IBM Quantum Heron 中的量子位,通过增强的纠错和量子位稳定性,在计算能力上超越了经典计算。与比特不同,量子比特可以叠加存在,同时体现为一和零。此功能允许单个量子位同时表示两个状态,并且每增加一个量子位,可表示的状态就会呈指数倍增加(n 个量子位为“10^n”)。例如,与经典计算中的 XNUMX 位不同,具有 XNUMX 个量子位的量子计算机可以表示 XNUMX 个状态。量子纠缠是一种复杂且尚未完全理解的现象,它允许量子位互连,从而提高计算效率。通过利用叠加和纠缠,量子计算机在多维空间中运行,执行并行计算,这与经典计算中的顺序方法不同。这种先进的计算能力使量子计算机能够解决经典计算机范围之外的问题,例如准确模拟化学反应中的分子相互作用。这对科学和技术具有深远的影响,包括比传统计算机更快地解决问题的潜力,影响密码学等领域。量子计算如何影响密码学?
如上所述,密码学基于难以解决的数学问题的存在,这并不意味着它们无法解决,而是需要时间和资源来逆转它们,使它们实际上是安全的。
量子计算通过应用特定算法最大限度地减少解决此类问题所需的时间,从而改变了这个生态系统。
例如,发现的算法 以及 Shor 等算法在 IBM Quantum Heron 等先进量子处理器背景下的影响,强调了对抗量子密码系统的迫切需求。
1994年,贝尔实验室的彼得·肖尔(Peter Shor)证明,量子计算机是一种利用物质和能量的物理特性进行计算的新技术,可以有效地解决上述每一个问题,从而使所有基于此类假设的公钥密码系统变得无效。因此,一台足够强大的量子计算机将使多种形式的现代通信——从密钥交换到加密到数字认证——陷入危险。”
简而言之,足够强大的量子计算机可能会彻底破坏公钥基础设施,从而需要重新设计整个网络安全生态系统。
后量子密码学的最新应用正在消费领域中出现,例如 Chrome 对 PQC 算法的支持,表明量子计算对当前密码系统的实际影响。
但这并不是全部。另一种算法,该算法由 ” 可能对对称密码学构成威胁,尽管不像 Shor 那样严重。当应用于足够强大的量子计算机时,格罗弗的算法可以以传统计算四倍的速度破解对称密钥。通过使用更大的密钥并保持当前的安全级别可以抵消这一显着的改进。
量子计算会很快到来吗?
物理学已经证明量子计算是可行的。 现在,这是一个工程问题,尽管是一个非常困难的问题。 量子计算机的构建涉及最先进技术的实施,例如超流体和超导体等。 创建稳定且可扩展的量子力学系统的挑战是巨大的,它带领世界各地的团队追求不同的道路。 量子计算机有多种类型,包括量子电路模型、量子图灵机、绝热量子计算机、单向量子计算机和各种量子细胞自动机。 应用最广泛的是量子电路。
任何量子计算机模型的一个重要问题是,就其性质而言,量子位一旦被测量就会失去叠加状态,因此对外部干扰非常敏感。 因此,量子位保持其量子态是具有挑战性的。 一些解决方案包括使用离子阱,但可能无法完全消除外部干扰。 因此,创建量子计算机最关键的问题之一是强大的纠错机制。
随着最近的突破,例如 IBM 在量子计算方面的进步,该领域已经超越了理论模型,转向了更实用、更强大的量子系统,使量子时代比之前预期的更近了。
总体而言,突破可能正在发生,或者可能需要几年时间才能创建出具有足够计算能力的工作原型。 已经有几个原型,IBM Q System One 是最著名的,但它们的计算能力仍然太小,不能成为加密系统的问题。 当然,绝不允许网络安全社区放松。 即使我们有一个高效的后量子安全方案,将整个生态系统迁移到这个新标准也是一项艰巨的任务。 因此,一些努力正在为后量子时代做好准备。
后量子时代有前景的技术
随着我们越来越接近量子技术的广泛应用(IBM 的量子系统二号等进步证明了这一点),对抗量子技术的需求 PKI 随着量子计算技术的广泛应用,这一问题变得更加紧迫。下面,我们将尝试总结最有前途的技术,并简要回顾正在进行的建立后量子密码学的集体项目,以及未来的挑战。
后量子算法家族
过去 15 到 20 年的研究证明了抵抗量子攻击的算法的存在。 下面我们简要描述了最有前途的算法系列,它们可以为后量子世界的安全性提供解决方案。
基于代码的密码学
该领域的最新发展是基于代码的密码学使用纠错码来构建公钥密码学。它由 Robert McEliece 于 1978 年首次提出,是最古老、研究最多的非对称加密算法之一。签名方案可以基于 Niederreiter 方案(McEliece 方案的对偶变体)构建。迄今为止,McEliece 密码系统一直无法抵抗密码分析。原始系统的主要问题是私钥和公钥大小过大。
基于哈希的密码学
随着实际应用中的不断增长,基于哈希的密码学代表了一种有前途的后量子密码学数字签名方法。哈希函数是将任意长度的字符串映射为固定长度的字符串的函数。它们是较旧的公钥加密方案之一,并且它们针对经典和基于量子的攻击的安全评估是众所周知的。哈希函数已经是最广泛使用的密码工具之一。众所周知,它们可以在很长一段时间内用作构建公钥密码学的唯一工具。此外,基于哈希的密码学非常灵活,可以满足不同的性能期望。缺点是,基于哈希的签名方案主要是有状态的,这意味着私钥在每次使用后都需要更新;否则,安全性得不到保证。有些基于哈希的方案是无状态的,但它们的代价是签名更长、处理时间更长,并且签名者需要跟踪一些信息,例如使用密钥创建签名的次数。
基于格的密码学
现在正在考虑更先进的密码解决方案,基于格的密码是基于子集和问题的密码的一个特例,由 Ajtai 于 1996 年首次提出。它是使用格构建的密码原语的通用术语。其中一些结构似乎可以抵抗量子计算机和经典计算机的攻击。此外,它们还有其他吸引人的功能,例如最坏情况的硬度难度。它们还具有简单性和并行性,并且具有足够的通用性来构建强大的加密方案。最后,它们是唯一包含构建后量子公钥基础设施所需的全部三种原语的算法系列:公钥加密、密钥交换和数字签名。
多元密码学
多元密码术是指公钥密码术,其公钥表示多元和非线性(通常为二次)多项式映射。 解决这些系统被证明是 NP 完全的,从而使这一系列算法成为后量子密码学的良好候选者。 目前,多变量加密方案已被证明不如其他方案有效,因为它们需要大量的公钥和较长的解密时间。 另一方面,它们被证明更适合构建签名方案,因为它们提供了后量子算法中最短的签名大小,尽管它们会产生相当大的公钥。
基于同构的密码学
基于同基因的密码学使用椭圆曲线之间的映射来构建公钥密码学。 后量子密码学的候选算法是 2011 年推出的超奇异同基因 Diffie-Hellman 密钥交换 (SIDH),使该方案成为候选方案中最新的。 SIDH 需要提议的密钥交换方案中最小的密钥之一,并支持完美的前向保密。 但其相对年轻意味着基于此概念的方案并不多,对其可能存在的漏洞进行检查的也并不多。
后量子密码学项目
后量子密码方案有多个工作组,例如开放量子安全 (OQS) 项目和 ENISA。尽管如此,最连贯的举措还是 NIST 后量子密码学标准化项目,该项目自 2021 年以来取得了重大进展,新算法成为后量子时代行业标准化的领跑者。该过程从 69 个候选算法开始,其中 26 个进入第二轮评估。 2020年3月,公布了第XNUMX轮候选者,如下表所示。共有七名决赛入围者和八名替代候选人。表中注明了它们是否被考虑用于加密或签名方案、算法系列以及它们所基于的难题。
| 方案 | 编码/信号 | 家庭 | 难题 |
|---|---|---|---|
| 经典麦克莱丝 | 恩科 | 基于代码 | 解码随机二进制 Goppa 码 |
| 水晶-Kyber | 恩科 | 基于晶格 | 循环模块-LWE |
| 全国通行证 | 恩科 | 基于晶格 | Cyclotomic NTRU 问题 |
| 知道 | 恩科 | 基于晶格 | 循环模块-LWR |
| 晶体-二锂 | SIG | 基于晶格 | Cyclotomic Module-LWE 和 Module-SIS |
| 鹘 | SIG | 基于晶格 | 圆环系统 |
| 彩虹 | SIG | 基于多变量 | 油醋活板门 |
第三轮候补候选人
| 方案 | 编码/信号 | 家庭 |
|---|---|---|
| 自行车 | 恩科 | 基于代码 |
| 总部 | 恩科 | 基于代码 |
| 佛罗多-凯姆 | 恩科 | 基于晶格 |
| NTRU-总理 | 恩科 | 基于晶格 |
| 赛克 | 恩科 | 基于同源性 |
| 质谱仪 | SIG | 基于多变量 |
| 野餐 | SIG | 对称加密 |
| SPHINCS + | SIG | 基于哈希的 |
算法评估基于以下三个标准。
-
安保行业: 这是最重要的标准。 NIST 已经确定了评估每个候选算法所提供的安全性时需要考虑的几个因素。除了算法的量子抗性之外,NIST 还定义了不属于当前网络安全生态系统的额外安全参数。这些都是完美的前向保密,
-
成本和性能:算法根据其性能指标进行评估,例如密钥大小、公钥和私钥操作和生成的计算效率以及解密失败。
-
算法及实现特点:假设算法提供良好的整体安全性和性能,则根据其灵活性、简单性和采用难易程度(例如是否存在涵盖该算法的知识产权)对其进行评估。
加密敏捷性
设计信息安全协议的一个重要范例是加密敏捷性。它规定协议应该支持多种加密原语,允许实现特定标准的系统选择合适的原语组合。加密敏捷性的主要目标是允许使用健壮的加密原语和算法快速适应易受攻击的加密原语和算法,而无需对系统基础设施进行破坏性更改。事实证明,这种范式在后量子密码学设计中至关重要,并且至少需要部分自动化。例如,一个普通企业拥有数十万个证书和密钥,而且这个数字还在持续增长。拥有如此多的证书,如果组织所依赖的加密技术变得不安全,组织必须部署自动化方法来快速替换这些证书。
对于组织来说,一个很好的第一个措施是开始实施混合密码术,其中量子安全的公钥算法与传统的公钥算法(如 RSA 或椭圆曲线)一起使用,因此该解决方案的安全性至少不低于现有的传统公钥算法。密码学。
展望未来
量子计算正在从理论可能性转变为现实,量子处理器和系统的最新发展就是例证。因此,网络安全领域需要快速适应这些变化。
