密码学家们担心一个不可避免的现实:能够破解互联网安全性的强大量子计算机即将到来。尽管人们认为这些设备还需要十年或更长时间才能出现,但研究人员坚决认为必须现在就开始准备。
计算机安全专家本周在德国举行会议,讨论量子抗性系统来替代当今的密码系统——这些协议用于在私人信息在网络和其他数字网络中传输时对其进行加密和保护。尽管今天的黑客可以而且经常通过猜测密码、冒充授权用户或在计算机网络上安装恶意软件来窃取私人信息,但现有的计算机无法破解用于通过互联网发送敏感数据的标准加密形式。
但是,一旦第一台大型量子计算机上线,一些广泛使用且至关重要的加密方法将变得过时。量子计算机利用了支配亚原子粒子的定律,因此它们可以轻易击败现有的加密方法。
支持科学新闻事业
如果您喜欢这篇文章,请考虑支持我们屡获殊荣的新闻事业,方式是 订阅。通过购买订阅,您将帮助确保未来能够继续讲述关于塑造我们当今世界的发现和想法的具有影响力的故事。
“我真的担心我们无法及时做好准备,”加拿大滑铁卢大学量子计算研究所 (IQC) 联合创始人兼网络安全咨询公司 evolutionQ 首席执行官米歇尔·莫斯卡 (Michele Mosca) 说。
政府和行业需要数年时间才能确定量子安全替代方案来替代当今的加密方法。任何提议的替代方案——即使乍一看似乎坚不可摧——也必须经受住无数真实和理论上的挑战,才能被认为足够可靠,以保护知识产权、金融数据和国家机密的传输。
美国国家标准与技术研究院 (NIST) 位于马里兰州盖瑟斯堡的物理学家斯蒂芬·乔丹 (Stephen Jordan) 说:“要信任一个密码系统,你需要很多人仔细审查它,并尝试设计针对它的攻击,看看它是否有任何缺陷。“这需要很长时间。”
本周在奥克塔维-阿利大街的莱布尼茨信息学中心举行的研讨会是今年举行的几次研讨会之一,这些研讨会汇集了密码学家、物理学家和数学家,以评估和开发不易受量子计算机攻击的密码工具。NIST 在 4 月份举办了自己的研讨会,IQC 将与欧洲电信标准协会合作,于 10 月初在首尔举办另一次研讨会。
情报机构也已注意到这一点。8 月 11 日,美国国家安全局 (NSA) 在向其供应商和客户发布安全建议时,透露了其过渡到量子抗性协议的意图。荷兰通用情报和安全局今年早些时候在其网站上发布的一份备忘录中,特别指出了一个迫在眉睫的威胁,这更加突显了对量子安全加密的需求的紧迫性。在它称之为“现在拦截,稍后解密”的场景中,一个邪恶的攻击者可能会开始拦截和存储金融交易、个人电子邮件和其他敏感的加密流量,然后在量子计算机可用时解密所有这些流量。“如果有人正在这样做,我一点也不会感到惊讶,”乔丹说。
早在 1994 年,数学家彼得·肖尔就证明,量子计算机能够快速破解当今使用的主要安全措施之一“RSA 加密”(P. W. Shor 预印本可在 http://arxiv.org/abs/quant-ph/9508027v2; 1995) 上找到)。莫斯卡说,当时尚不清楚是否会制造出这样的机器,因为研究人员认为它需要完美运行。但 1996 年的一项理论发现表明,在一定限度内,一台存在一些缺陷的量子计算机可能与一台完美的量子计算机一样有效。
莫斯卡指出,已发表的关于小型量子设备的实验开始接近这种容错阈值。由于像 NSA 这样的秘密组织对这项技术非常感兴趣,因此人们普遍认为,这些已发表的结果并不能代表研究的最前沿。“我们必须假设会有人比公开文献中可获得的技术领先几年,”莫斯卡说。“你不能等到《<0xC2><0xA0>纽约时报》的头条新闻出来才制定你的计划。”
当今互联网流量的安全性部分依赖于一种称为公钥密码学的加密类型(包括 RSA)来建立用户之间的秘密通信。发送者使用一个免费提供的数字密钥来锁定消息,该消息只能用接收者持有的秘密密钥来解锁。RSA 的安全性取决于将一个大数分解为其质因数的难度,而质因数充当其秘密密钥。一般来说,数字越大,这个问题就越难解决。
研究人员认为,现有计算机需要很长时间才能分解大数,部分原因是还没有人发现如何快速做到这一点。但是,量子计算机可以比任何传统计算机更快地指数级分解一个大数,这使得 RSA 对分解难度的依赖失效。
已经存在几种用于新型公钥密码系统的选项。这些系统用其他预计量子计算机无法解决的难题来代替分解问题。尽管这些系统并非完全安全,但研究人员认为,对于所有实际目的而言,它们都足够安全,可以保护秘密免受量子计算机的攻击。
其中一个系统是基于格的密码学,其中公钥是高维数学空间中点的网格状集合。发送秘密消息的一种方法是将消息隐藏在格中某个点的一定距离处。对于任何计算机(无论是传统计算机还是量子计算机)来说,计算加密消息到格点的距离都是一个难题。但秘密密钥提供了一种简单的方法来确定加密消息与格点的距离有多近。
第二种选择,称为 McEliece 加密,通过首先将消息表示为简单线性代数问题的解来隐藏消息。公钥将简单问题转换为看起来困难得多的问题。但只有知道如何撤销这种转换的人——即拥有私钥的人——才能读取秘密消息。
这些替代方案的一个缺点是,它们存储公钥所需的内存是现有方法的 1,000 倍,尽管某些基于格的系统的密钥并不比 RSA 使用的密钥大多少。但是,这两种方法加密和解密数据的速度都比当今的系统快,因为它们依赖于简单的乘法和加法,而 RSA 使用更复杂的算术。
PQCRYPTO 是一个由学术界和工业界的量子密码学研究人员组成的欧洲联盟,于 9 月 7 日发布了一份初步报告,推荐了能够抵抗量子计算机的密码技术(参见 go.nature.com/5kellc)。它倾向于 McEliece 系统,该系统自 1978 年以来一直抵御攻击,用于公钥密码学。这个耗资 390 万欧元(430 万美元)的项目的负责人 Tanja Lange 赞成早期采用者做出最安全的选择。“在项目期间,尺寸和速度将会提高,”她说,“但现在进行转换的任何人都会获得最佳安全性。”
本文经许可转载,并于 2015 年 9 月 8 日首次发表。