編者按:2020年4月9日,蘭德公司發佈報告《在量子計算時代確保通信安全》(Securing Communications in the Quantum Computing Age),旨在探討量子計算機對當前用於保護信息和通信基礎架構的數字加密系統帶來的潛在風險。《報告》認為量子計算能夠破解現有的加密系統,可能會對現有的通信基礎設施產生顛覆性影響,身份驗證的安全與通信隱私將難以保證,軍事情報系統、金融交易系統乃至全球經濟的支持系統都將面臨潛在的巨大風險。對此,報告為美國提出了一系列針對性建議,以應對未來量子計算的安全威脅,包括加快推動後量子密碼(Post Quantum Cryptography,PQC)及其標準協議的制定,增強網絡彈性(Cyber Resilience)和加密敏捷性(Cryptographic Agility)等。
本文字數:4543字
閱讀時間:12分鐘
1 背景介紹
自互聯網誕生以來,公鑰加密(Public Key Cryptography,PKC)已成為所有可信數字通信的骨幹,它為人們以多種數字交互方式進行重要和敏感信息共享提供足夠的隱私和安全性,確保了開放式網絡通信的基本信任。
在PKC中,每個用戶都有兩個密鑰(公鑰和私鑰),用公鑰加密的任何消息只能用私鑰解密,因此可以在可觀察的通道上安全地傳輸。儘管公鑰和私鑰在數學上是相關的,而且當密鑰足夠小時,從公鑰確定私鑰在技術上是可能的,但是由於導出公鑰所需的操作(作為數字分解和解決離散對數問題的工具)在計算上一直具有相當大的挑戰性,因而PKC在實踐中可以始終實現安全性。
但是,1994年數學家彼得·索爾(Peter Shor)發表論文描述了一種被稱為量子計算機(Quantum Computer)的理論設備,其能夠在幾天甚至幾小時內完成傳統計算機需要在宇宙年齡範圍解決的數字分解和離散對數問題。從理論上講,量子計算機可以通過計算能力繞過現行的防禦,直接暴力破解用於保護現有幾乎所有網絡通信的PKC。
一方面,索爾的文章引發了隨後各國在量子計算領域的研發競賽活動,
量子計算的快速發展使得PKC未來面臨巨大的安全漏洞,可能徹底顛覆和完全破解現代信息和通信基礎設施所依賴的數字加密系統。通過這種對密碼的破壞性,將使得身份驗證的安全與通信隱私難以保證,軍事情報系統、金融交易系統乃至全球經濟的支持系統都將面臨潛在的巨大風險。另一方面,量子計算也引起了探索新型密碼系統以應對後量子時代隱私安全的需求,為未來構建一個更加安全的通信基礎設施提供了改革契機。
2 量子計算的高速發展
量子計算是一種完全不同於傳統二進制的計算操作。常規(二進制)計算機的最小數據單位是一位數字[off(0)或on(1)],而量子計算中的最小數據單位是基於量子力學的量子位,其將0或1顯示出一種疊加狀態或是兩種狀態的某種組合,這可以使量子計算機能夠同時(而不是按順序)執行涉及許多量子位的操作。這種架構的量子計算機在進行數據分解、離散對數解析和數據庫算法檢索時具備巨大的優勢。
儘管經過多年的研究和大量的投資,量子計算仍是一項新興技術。關於實現量子計算機基本架構的最佳方法,即量子比特(Quantum Qubit,又譯量子位元)尚未達成共識,目前正在探索可能實現的量子比特架構,包括超導量子比特、捕獲離子量子比特、自旋量子比特、光子量子比特和拓撲量子比特。
量子計算發展的長期目標是一種通用的、高容錯的量子計算機(100量子比特以上),近期目標則是一種在特定問題上超過現行最強大常規計算機的中型量子計算機,這將首次驗證量子霸權或量子優勢。谷歌公司已於2019年宣佈實現這一目標,其設備(53量子比特)能夠在200秒內完成目前最先進的傳統超級計算機需要1萬年完成的特定計算任務。
美國國家科學院(NAS)的報告認為建造大型量子計算機所需的最短時間為八至十年,但由於存在許多未知因素,並未預測何時真正能建造出這樣的系統。其他專家認為,開發出量子計算機將需要數億美元到數十億美元不等。2009年,一些專家預測量子計算機可以解決密碼學中的實際問題大約需要15到20年,而足以打破RSA-2048(一種流行的PKC實現)的量子計算機則需要20到30年。
量子計算的發展取決於科學和工程創新速度,對量子計算龐大計算能力的需求,帶動了這些基礎科學的發展和投資的增長,並引發了國際競爭和相關法規的突破。但量子計算的未來發展軌跡中依然存在諸多未知因素。
3 後量子時代的密碼
後量子密碼是PKC的一個分支,其利用基於格(Lattice-based)、基於編碼(Code-based)、基於哈希(Hash-based)或者多元混合的方式來抵抗量子計算對於密碼學的衝擊。目前已經有了大量針對PQC的研究,但大部分新密碼沒有經過廣泛的測試,因而可能會產生一些無法預知的風險。
美國國家標準技術研究院(NIST)高度重視PQC算法開發和標準化工作,包括2016年正式徵集PQC算法標準提案並收到了兩輪意見書,2018年4月組織PQC的主題會議等。國際標準化組織(ISO)等其他標準化組織也在開展類似的測試和分析工作。
PQC標準的成功發佈並不意味著應對量子計算威脅的結束,相反只是第一步。組織向新系統的過渡包括軟件、硬件和嵌入式數據架構的全面更改,並涉及到高昂的轉換成本。從歷史來看,密碼轉換和過渡的時間線一般是以10年為單位的。 此外,當下新購買的設備(特別是國家安全系統設備)有著較長的使用壽命(通常為30年以上),這些使用相對量子計算過時的密碼設備很難被替代。最後,對於一些國家(地區)乃至全球而言,大規模的完全替代更是一個漫長過程。
密碼轉換工作的難度使得越來越多的人把重點放在網絡彈性(Cyber Resilience)和加密敏捷性(Cryptographic Agility)的工作上。網絡彈性是指網絡在遇到災難事件時快速恢復和繼續運行的能力。加密敏捷性是指在計算能力提高導致密碼過時的情況下更換密碼系統的能力,包括算法的敏捷性(轉換新密碼的能力),協議的敏捷性(選擇協議的不同版本的能力,例如從TLS 1.1到TLS 1.2)以及實現的敏捷性(更新或替換包含缺陷的軟件、硬件的能力)。
4 量子計算的安全風險
量子計算在數字分解和數據庫算法檢索中能極大提高算力,減少計算時間和資源,使得量子計算機能夠暴力破解這兩個領域的PKC的公共秘鑰,使通信的身份驗證和訪問控制失去安全性。
另外,PKC通常使用更長的密鑰長度來提高安全性,但更長的秘鑰需要更多的計算資源才能進行常規的加密或解密操作。量子計算從根本上改變了破解秘鑰的資源規模,如果試圖通過加長秘鑰長度來確保在量子計算中的等效安全,則對這些秘鑰進行常規加密或解密操作所需要的計算資源將是完全不切實際的大體量。
最後,所有在當下被認為是安全的數據傳輸有可能被保存到未來量子計算成熟的時間點,從而被量子計算攻破。
量子計算未來的威脅風險將取決於三條時間線:
(1)量子計算機的開放和應用速度。
(2)能夠抵禦量子計算攻擊或破密的PQC及其標準協議的開發和應用速度。
(3)如何快速地、廣泛地、平滑地向PQC過渡。
5 報告調研形成的主要觀點
本報告基於文獻梳理、專家徵詢和問卷調查,認為:
(1)對能夠實現破密的量子計算機問世時間的預計平均在15年後,即大約在2033年。但更早和更晚的開發都是可能的。
(2)PQC的標準協議預計將在未來5年內起草併發布,而PQC的完全採用將可能在2030年代中期或更晚,因為執行標準協議和減輕量子計算的脆弱性所必需的全國性或全球性過渡時間可能達到數十年之久。
(3)如果在有能力(破密)的量子計算機開發後尚未充分實施PQC,則在不對現有基礎設施進行重大顛覆性更改的情況下,無法確保身份驗證的安全和通信的隱私,系統漏洞不僅比當前網絡安全漏洞更加嚴重,種類和路徑也會相對不同。
(4)消費者總體上對量子計算和有關風險的認識不足。這種意識不高的問題普遍存在各類人口統計中,包括最瞭解風險情況的年齡段(18至35歲)。
(5)消費者對量子計算潛在威脅的反應顯示出邏輯上的一致性,即威脅越接近,反應就越大。此外,某些消費者可能會對那些應對安全更充分的公司表現出更強的傾向性。
(6)儘管如此,消費者缺乏對量子計算及相關風險的認識,表明消費者選擇可能不會成為此問題上政策變化的主要驅動力,需要政府的倡導和行動來應對風險。
6 美國應當如何應對
量子計算的風險威脅將影響每個政府機構、關鍵基礎設施和行業,這將構成全面的國家安全威脅。因此需要整個國家採取集中協調的方法來應對風險。美國政府最近採取了多項行動,旨在維持和確保其在量子信息科學和技術領域的全球領導者地位,包括通過《國家量子計劃法案》(the National Quantum Initiative Act)和成立美國國家量子協調辦公室(National Quantum Coordination Office,NQCO)。結合之前應對“千年蟲”問題(Year 2000 Problem,Y2K)的經驗,報告認為
聯邦政府的領導力與成熟的合作機制是成功應對風險的關鍵,特別是行政部門的協調和兩黨制國會的監督,還包括與州、城市和行業團體的成功合作,以及能夠為實體準備和應對工作提供人力資本和資源分配的有效立法和授權等,雖然Y2K威脅與量子計算的風險存在顯著差異,但是應對Y2K時所採取的方法可以相當減輕向量子計算過渡期間的風險和問題。
1.總體策略
基於上訴研究,美國應當在以下三個策略方向上,開展量子計算準備和安全應對工作:
(1)採取各種措施推動PQC的開發和普及
廣泛、適當地過渡到PQC將是減輕量子計算安全風險的最有效手段,PQC的研製速度、普及規模和標準協議將是決定潛在風險大小的關鍵性因素。PQC的可互操性標準實施和普及的越早,最終風險就會越小。
(2)在數字基礎架構中構建網絡彈性和加密敏捷性
通過對數字基礎架構進行調整以應對不斷髮展的當前威脅和未來威脅(例如量子計算),新系統的目標應當是:①保持足夠的與量子計算及其標準的預期演進和PQC未來更高要求的兼容性;②通過模塊化實現對新威脅或漏洞的快速響應和低成本的密碼適應。總之,過渡到PQC所需的系統性更新提供了在原有通信和信息系統中使用新密碼和安全結構的契機,這將有利於提高我們對當前和未來網絡威脅的響應能力。推動PQC應用和進行量子計算準備的工作應當具有使用新系統的連續性階段目標,以實現更大的網絡彈性和加密敏捷性。
(3)為不確定的未來做好準備
量子計算的發展時間節點帶有較大的不確定性,這將會產生一個難以預測和不太安全的未來。因此在對公眾進行量子計算風險的普及時,應當在誇大威脅和忽視真實風險之間尋求平衡。美國的風險預案和控制能力可以確保在最壞的情況也不會導致數字信息安全的終結,而在最佳情況下,全球網絡安全性可能會提高。
2. 白宮和行政部門應對措施
(1)確保聯邦協調機構充分地優先考慮威脅
美國政府的應對措施需要一個專門應對量子計算威脅的聯邦機構,負責協調政府各部門和整個行業的行動。鑑於美國國家量子協調辦公室(NQCO)的其他優先事項,目前無法確定NQCO是否能夠重視和應對量子計算威脅,政府應當在其(無法重視)情況下考慮設立其他機構或者路徑。
(2)制定促進量子計算和PQC採用的標準
美國國家標準技術研究院(NIST)應對相關算法標準進行梳理和精煉,並基於此逐步創建國際標準。同時要確保創建的國際標準與當前NIST評估標準一致,儘量避免市場的分散化,確保互操作性的最大化和廣泛普及。
(3)制定強制性向PQC過渡的政策
美國國家安全局網絡安全理事會(NSA Cybersecurity Directorate)應當考慮制定一個政府各個部門、關鍵基礎設施和其他組織向PQC過渡的政策方案,並確保足夠的執法權限和極少的豁免例外。
(4)聯邦協調機構應當推動改革並提高意識
擴大聯邦協調機構的代表範圍,使聯邦政府中更多部門和機構的人員參與進來。機構應當:①召集政府和私營部門的利益相關者,提高意識並共同解決量子計算帶來的風險;②發佈有關PQC過渡和加密敏捷性的最新指南;③推動廣泛的信息技術變革。
3.國會應對措施
(1)通過聽證會提高人們的認識並保持監督
國會聽證會能夠提高各方對量子計算風險的認識,建立相應監督機制,並審查量子計算準備工作的進度。國會應特別注意國家安全組織與非國家安全組織之間的模糊界限。
(2)通過立法激勵公共和私營部門向PQC過度
國會的立法選擇包括:①對政府各部門和關鍵基礎設施的PQC過渡和加密敏捷性進行進一步的立法和授權;②增加或集中相關的人力和資金,確保政府的PQC過渡和量子準備工作;③制定一系列PQC過渡的商業激勵措施;④適當實施PQC的認證計劃。
4.相關組織應對措施
(1)評估並跟蹤量子計算的未來風險
將量子計算的潛在風險整合到組織的風險評估和管理體系中。整合並儲備目前已有的相關信息以備未來開放時使用,評估當下和未來可能的漏洞。
(2)制定密碼公鑰的使用清單
梳理組織、合作伙伴和第三方供應商在組織內使用公鑰加密的每個環節,在未來具備可行性技術和標準時全部過渡到PQC。
(3)建立網絡彈性和加密敏捷性
組織應當計劃建立更大的網絡彈性和加密敏捷性,以改善整體網絡安全性,確保向未來PQC的平滑過渡。
編譯 | 石英村/賽博研究院研究員
【報告】《麻省理工技術評論》:2020年全球十大突破性技術展望
【報告】法國國際關係研究所:中國、技術標準化與新地緣政治
本報告為賽博研究院編譯出品,僅用於公益交流,非商業目的。文中觀點不代表本機構立場,內容和圖片如有知識產權問題,請及時聯繫我們修改刪除,如需轉載請獲得授權。聯繫方式:[email protected]
閱讀更多 賽博安全 的文章
