助理研究员/武获山
知远战略与防务研究所
网络空间战略分析与评估中心
密码技术是网络安全的根基。在网络行为已经渗透到社会生活每个领域的今天,无论是网上银行、电子商务还是电子邮件、即时消息服务,密码技术无时无刻不在保护着用户的信息安全。如果当前普遍运用的密码系统遭到根本性威胁,所有网络活动的安全性无疑都将面临严峻挑战。事实上,具有强大密码破解能力的量子计算机近年来已经不断取得实质性进展,研究者们普遍认为应该尽早部署能够抵御这种威胁的后量子密码技术,从而将全球信息网络系统面临的总体风险降至最低。
一、潜在的量子计算能力将对当前普遍使用的密码系统构成颠覆性威胁
加密算法都是建立在特定数学难题的基础之上,但是这些数学问题的困难性可能会因新型计算能力或者算法的出现而削弱。由于量子计算机技术取得了出人意料的快速发展,大量仅能抵御经典计算机暴力破解的密码算法面临被提前淘汰的困境。
(一)计算安全性是密码系统正常运行的基本前提
任何密码系统的应用都需要在安全性和运行效率之间做出平衡,密码算法只要达到计算安全要求就具备了实用条件,并不需要实现理论上的绝对安全。在其年发布的《密码学的数学原理》中,美国数学家克劳德·E·香农严谨地证明了一次性密码本或者称为“弗纳姆密码”(Vernam)具有无条件安全性(unconditionallysecure)。但这种绝对安全的加密方式在实际操作中需要消耗大量资源,不具备大规模使用的可行性。事实上,当前得到广泛应用的密码系统都只具有计算安全性,即通过计算暴力破解密文所花费的时间远大于该信息的有效时间,并且破解密文的成本远高于加密信息的价值。
随着计算能力的发展,密码系统也需要做出调整和改进,从而确保其计算安全性继续成立。例如,IBM公司和美国国家安全局在20世纪70年代开发出了使用56位密钥的DES密码系统(DataEncryptionStandard),即计算机需要在的搜索空间内寻找可能的密钥,这对于当时以及此后相当长一段时间内的计算机来说都是不可能完成的任务。但到了90年代,先进的超级计算机已经开始能够在合理的时间内遍历DES密码系统的密钥空间。因此,在计算安全性遭到破坏的情况下,DES密码系统也很快被至少使用位密钥的AES密码系统(AdvancedEncryptionStandard)所取代。
一般情况下,密码系统在开发过程中都会考虑破解计算技术发展的速度和水平,因此,现代密码系统的应用都存在特定生命周期。然而,任何基于计算安全性密码系统面临的致命威胁是:计算能力出现远超正常预期的大幅跃升,而当前量子计算机技术的发展正在加速使这种隐现的威胁成为现实。
(二)量子计算能力对于现行密码系统的潜在冲击
在当前的网络通信协议中,使用范围最广的密码技术是RSA密码系统、诸如ECDSA/ECDH等ECC密码系统以及DH密钥交换技术,这些通用密码系统共同构成了确保网络信息安全的底层机制。诸如大数分解(integerfactorization)和离散对数(discretelogarithm)等经过长期深入研究的数学问题构建出上述先进加密技术的底层机制,而且此类困难问题在过去数十年间的运行过程中表现出了充分的可靠性。但随着量子计算机技术不断取得突破,特别是以肖氏算法为典型代表的量子算法的提出,相关运算操作在理论上可以实现从指数级别向多项式级别的转变,这些对于经典计算机来说足够“困难”的问题必将在可预期的将来被实用型量子计算机轻易破解。
造成这种现象的根本原因是,当现在普遍使用的密码系统被提出之时,所谓量子计算只是存在于世界上少数几位物理学家头脑中的设想,当前大多数密码系统在开发过程中都没有考虑量子算法威胁的因素。例如,罗恩·李维斯特(RonRivest)、阿迪·萨莫尔(AdiShamir)和伦纳德·阿德曼(LeonardAdleman)在年就了提出RSA公钥密码解决方案,而此时距离理查德·P·费曼(RichardP.Feynman)和保罗·贝尼奥夫(PaulBenioff)分别从理论上提出驾驭量子物理属性进行计算操作的方案尚有5年时间,贝尔实验室科学家彼得·肖直到年才提出了解决大数分解问题的肖氏算法。
尽管主流的密码系统目前依然能够有效运行,但是在量子计算技术的潜在冲击下,几乎所有的加密算法都需要进行改进甚至必须进行迁移。在年4月的内部报告中,美国国家标准与技术局对当前主要的密码技术将受量子计算能力影响的情况进行了预测(见表1)。其他研究者也普遍认为,尽管对于某些对称密钥加密技术来说,增加密钥长度可能是对抗量子威胁的有效手段;但对于RSA和ECC密码系统来说,上述做法显然不足以继续确保其安全性,密码开发人员需要在公钥密码系统中运用生成密钥的全新方法。
表1:量子计算能力对于当前通用加密系统的影响
(三)量子计算的前溯性威胁使部署后量子密码技术需求更加紧迫
真正全功能型量子计算机何时才能出现尚没有准确的预期,但研究者普遍认为如果当前不采取实质性预防措施,网络安全体系的崩溃很可能就是不远将来的确定性事件,而且量子计算威胁的前溯性还将使网络安全防御者面临更加复杂的局面。
在年的“密码标准工作组”(AWorkshopAboutCryptographicStandards,AWACS)会议上,量子计算和密码学专家米凯利·莫斯卡(MicheleMosca)用一组时间不等式反映了部署后量子密码技术的紧迫需求。假设当前密码系统的生命周期为X,从当前密码系统迁移至后量子密码系统的时间为Y,实用型量子计算机研制的时间为Z;其得到的结论是:(1)只有X+Y<Z成立才能确保密码系统安全的底线,即现行密码生命周期与系统迁移时间之和必须小于量子计算机投入实际应用的时间;(2)如果Y>Z,即迁移时间大于量子计算机研制时间,那么网络安全系统必将面临崩溃。
图1:量子计算能力威胁时间不等式图解
在此基础上,网络安全领域研究者还应该考虑“现在拦截,将来破解”(interceptnow,decryptlater)的威胁模式。如果现在的通信网络流量遭到窃听并被存储下来,未来潜在的对手利用量子计算能力,就能对这些通常处于加密状态的信息进行破解,从而在多年以后将威胁范围追溯到当前。因此,在上述时间不等式模型的基础上,应该引入量子计算技术的前溯性威胁时间范围变量R。由于秘密收集信息工作的开始时间并不确定,当前很难判断量子计算技术的前溯性威胁时间范围,但假设潜在对手已经或者准备着手进行相关工作并非无稽之谈。
图2:引入前溯变量R的量子计算能力威胁时间不等式图解
在年的报道中,《自然》杂志引用荷兰情报与安全总局(DutchGeneralIntelligenceandSecurityService)负责人的观点认为,不法攻击者现在开始拦截和存储金融交易数据、个人电子邮件及其他互联网加密流量行为,“并不会让人感到意外”。除此之外,大规模数据收集毫无疑问已经成为某些国家政府组织的例行性工作。根据斯诺登揭露的资料,美国和英国情报机构正在通过“上游”计划,利用海底光缆登陆站毫无遗漏地收集约占全球联网流量99%的光缆通信信息。《连线》杂志早在年就披露美国国家安全局已经开始在犹他州新建一座数据中心,其有能力将互联网自诞生以来产生的所有流量全部保存下来,从而使其成为一种战略资源,供美情报机构在掌握量子计算能力后进行开发。因此,虽然量子计算机的出现可能还需要数十年,但这种能力本身已经具有了现实性威胁。
二、后量子密码是量子安全选项的重要组成部分
作为功能对立的两个领域,量子计算能力与量子安全选项的发展呈现出双螺旋上升的趋势,一方的显著进步必然带动另一方的迫切需求。在量子计算机发展受到业内广泛甲氧沙林溶液可以治疗白癜风白癜风如何复色