(图片来源网络,侵删)
在网络信息传输过程中,公钥密码算法是最重要的技术保障,也是互联网时代网络信息安全的基石。然而,随着量子计算机技术的迅猛发展,公钥加密技术正面临巨大安全威胁。为了提醒人们关注这一巨大隐患,数字安全专家设立了“量子年”时钟,其代表的量子计算机攻破现代密码技术的日期正在不断提前。站在这场新技术变革的边缘,发展“后量子密码”变得刻不容缓。美国国家标准与技术研究院自2016年12月起发出后量子密码学标准化流程的公开征集,今年将有三种新算法标准投入使用,各类系统将开始向后量子密码技术切换。不过,问题似乎还未就此解决。科学家仍在不懈努力,希望“量子年”危机能像“千年虫”危机一样顺利渡过。——编者如果有一台计算机,能在眨眼间解决当今速度最快的超级计算机也无法解决的数学问题;如果有一种技术,可以让观察者透过墙壁看到墙后的事物,或者看到最黑暗的海洋世界深处,还可以在构建完全不可攻破的网络的同时,破解对手最机密的数据——这就是量子计算机和量子技术。今后几十年甚至几个世纪内,它们将重新界定全球信息技术的未来。当这一天到来,当前广泛使用的加密技术将在量子计算机面前不堪一击。为此,全世界的数字安全专家都在关注“量子年”(Years to Quantum,Y2Q)时钟,它指向的时间对应的是通用量子计算机可以攻破非对称加密技术(现代密码学的一种重要加密形式)的预计日期。非对称加密技术又称公钥加密技术,因能在公开场合共享密码而得名。这种加密技术可以保证网上购物时信用卡的安全,也可确保手机软件更新来自手机公司而非黑客。但是,量子计算机会让目前广泛使用的公钥加密技术形同虚设。“量子年”时钟传统密码“最后期限”将至云安全联盟(CSA)量子安全工作组联合主席布鲁诺·胡特纳说,如果明天就有一台量子计算机出现,那所有人都将无法找到一种安全的方式在一起交谈,“这确实非常严重”。胡特纳是Y2Q时钟的创造者之一。Y2Q时钟的命名是为了纪念那个可能导致计算机崩溃但最终在技术人员努力下得以避免的Y2K(千年虫)危机。这一危机之所以得以天衣无缝地顺利渡过,主要是因为企业和政府都在抓紧时间,及时修复了“千年虫”。与“千年虫”危机不同的是,没有人确切知道,足以打破现有密码标准的量子计算机何时才能研制成功。目前,Y2Q时钟的结束日期被设置在2030年4月14日。但这只是一个猜测,胡特纳说,“Y2Q时钟是一个提醒,有助于引起人们的关注。”实际上,对保密有长期需求的政府及相关机构来说,真正的“最后期限”会比Y2Q时钟设定的早很多年到来——如果今天发送的加密数据被存储起来,那么未来的量子计算机就可追溯性地解密这些信息。美国密歇根大学的计算机科学家克里斯-佩克特说,如果一些信息需要保密20年,破解这种加密技术的量子计算机可能在20年内出现,那么现在为这些信息加密时,就不得不考虑这个问题了。正是预见到了这种威胁,美国国家标准与技术研究院(NIST)于2016年12月发起了公开竞赛,征集“后量子”或“抗量子”密码学方案——这些密码可以在目前使用的计算机上运行,但却可以强大到连量子计算机也无法破解。经过四轮提交和评审,NIST最终于2022年7月选定了四种算法作为“后量子密码学”标准化流程的成果,其中公钥封装机制为CRYSTALS—Kyber,数字签名方案为CRYSTALS—Dilithium、FALCON和SPHINCS+。NIST正在与研究人员合作,将获奖算法标准化,以便程序员可以此为基础,研发能够抵御量子计算机的密码技术。专家们确信,它们肯定都是非常难以破解的,但谁也不能保证未来的量子计算机不会破解它们。经典计算机运行的是一长串0和1,被称为“比特”,而量子计算机使用的是可以处于叠加状态的“量子比特”——通过在0和1这两种状态之间徘徊,量子计算机能够以比经典计算机快得多的速度执行某些任务。现在的量子计算机看起来就像巨大的金色吊灯一样悬挂在天花板上——令人印象深刻,但功能却还不够强大。科学家们只能控制数量不多的量子比特进行计算。2012年,英国布里斯托尔大学的研究人员利用量子计算机推算出21是7的3倍。尽管如此,许多专家还是认为,足以破解目前使用最广泛的RSA和迪菲-赫尔曼这两种加密算法的量子计算机,将在未来几十年内问世,不过时间线还不确定。对于需要与量子计算机“赶时间”的密码学家来说,这种不确定性令人担忧。IBM公司的雷-哈里尚卡尔说,几乎每个行业都会涉及到信息保密和安全。比如,医疗公司需要确保他们医学研究的数据安全,而电力公司则必须保护电网免受黑客攻击,“而最坏的情况是,这些系统一旦遭受量子计算机攻击,它们就会完全暴露”。拣选加密“基石”新算法何以青睐格理论每一种公钥密码学都会以一个困难的数学问题为基础。为了确保密码系统不受未来量子计算机的影响,研究人员在设计后量子密码时,需要使用那些即使量子计算机也无法在合理时间内破解的难题。NIST发起的征集要求所提交的方案必须是可以在标准计算机上广泛实施的公钥加密算法,从而能够替代目前的RSA和迪菲-赫尔曼算法。NIST的数学家陈莉莉表示,这种新型密码必须满足人们在许多不同网络系统和设备上都能互相交流的需求。在征集所规定的第一轮截止日2017年11月前,研究人员共提交了82份不同方案。此后一年,研究人员对这些算法进行了测试,NIST专家从中选出了26种算法在2019年1月进入下一轮测试。在NIST的测试过程中,研究人员会试图从候选算法中不断找出漏洞。有一种候选算法使用了“基于同源性”的加密技术,这种技术已经被研究了十年,似乎很有前途。但两位研究人员注意到,利用一个已经被确认25年的数学定理就能破解这种算法——他们使用一台笔记本电脑,仅花了一个小时就完成了破解。在被选出的四种算法中,有三种基于的都是格理论。CRYSTALS-Kyber的作者之一、IBM公司的瓦迪姆·柳巴舍夫斯基认为,选择格理论作为后量子密码算法基础很自然,因为“20多年来,人们一直在以各种形式研究这个问题”。在格理论中,格点是由点组成的重复阵列,其中最简单的格子看起来就像一块钉板——圆点排列在一个正方形网格中。数学家认为,这种“格”是由两条基本线构成的:等长的垂直线和水平线。假设有人在一张纸上画了两条线,并告诉你这两条线是网格的组成部分,然后再在纸上某处画一个点,你能找出离那个点最近的格点吗?或许在一张纸这样的二维平面上最终可以找到,但如果将这个点放在三维空间中呢?人类的视觉想象力一般仅限于三维空间,但数学家却可以描述数百维的网格。在这些网格中,要找到最近的点是非常困难的。研究人员利用这种巨型网格构建密码系统。例如,在一个1000维的网格中,从这些点中选择一个点,这个点的精确位置代表秘密信息,然后从这个点开始一点点移动,浮出网格,进入环境空间。你可以在不泄露秘密点位置的情况下公开分享新位置——寻找附近的网格点是一道非常难的数学题。几十年来,计算机科学家一直在研究这类问题,并相信它们很难解决。但在设计新算法时,密码学家还需要考虑安全性之外的许多其他问题,并在这些问题间取得平衡,例如两台计算机需要交换的信息量以及加密和解密信息所需的计算难度。在这方面,基于格理论的密码学非常出色。有学者调侃说,格理论之于新型密码学就像一位“金发女郎”恋人——没什么太差,也没什么太好,一切都在合理的点上。密码代际切换“后量子”时代即将开启然而,没有人能保证基于格理论的加密技术永远安全。为了防止数学基础研究上某次根本性突破使得“抗量子”密码全线覆灭,密码学家需要使用各种类型的算法。NIST的竞赛征集为数字签名算法设立了一个类别。数字签名算法可以保证信息是由谁发送的,并且没有被修改过。美国加州蒙特雷海军研究生院的密码学家布里塔·黑尔解释,加密算法回答的是“我可以知道没有其他人会读到这个信息”,而数字签名回答的是“我能相信这些数据没有被修改过”。此次,NIST选择将三种数字签名算法标准化,其中有两种基于格理论。然而,如此严重依赖单一类型的数学问题是有风险的。首先,没人能保证数学家最终不会破解它。其次,它也没有给用户提供任何选择余地——或许另一种加密技术更契合他们的特定需求。出于以上这些原因,NIST希望标准化方案可以拓展到基于格理论以外的其他数学基石上。即使是已经被选中进行标准化的算法,也需要不断调整。德国马普安全与隐私研究所的彼得·施瓦贝是CRYSTALS-Kyber的创建者之一。第一轮提交后,研究人员发现该算法有一个小问题,随后作者就把它解决了。在下一轮竞赛中,作者又找到了一些方法来对算法进行微调。去年8月,NIST正式发布了三种入选算法的标准化草案,第四种算法FALCON的标准化草案则会在今年发布。目前,NIST正在制定前三种算法的标准,这些标准将逐条详细地描述程序员应如何实现这些算法。“互联网上的一切都必须有极其具体、详细的标准。否则,计算机之间就无法相互对话。”柳巴舍夫斯基说。这些标准制定后,每个计算机系统都将开始向后量子加密技术切换。各大软件公司也得开始升级相关产品的协议,不少硬件设备也需要更换。整个社会系统要完成向后量子加密技术的过渡,可能需要很多年。在此之前,任何使用旧式加密技术发送的信息都有可能被未来的量子计算机读取。你期望的保密时限是多久?或许,“量子年”时钟忽然就提醒你“密码过期了”。
0 评论