譯文 | 直面明天的量子黑客
摘要
在量子技術飛速發展的時代,一臺能夠完全運作的量子計算機可以削弱當今安全數字通信的基礎——公鑰密碼系統,這只是時間問題。黑客組織有朝一日可以利用量子計算機來攻擊當前的網絡安全系統。本報告基于對全球的量子計算公司的密碼學專家、數學家、物理學家和高級管理人員的采訪,評估了一臺成熟的量子黑客計算機對當今網絡安全系統組織的威脅與影響;提出了黑客組織正在進行的“現在收集—以后解密”行為具有重大的網絡威脅隱患,并在此基礎上分析了“后量子算法”的威脅解決方案,從而呼吁政府及持有敏感信息的企業盡快提高重視,并采取相應的保護措施。
2022 年 3 月 28 日,《 麻 省 理 工 學 院 技 術評論》“洞察”發行部(MIT Technology Review Insights)與阿布扎比技術創新研究所(Technology Innovation Institute,TII)合作編寫并發布了題為《從今天起,直面明天的量子黑客》的報告。
在量子技術飛速發展的時代,一臺能完全運作的量子計算機可以削弱當前安全數字通信的基礎——公鑰密碼系統,這只是時間問題。隨著量子競爭的勢頭日益增強,科技領袖們正努力通過微調量子位助力量子優勢的實現,現在是研究后量子時代的關鍵時期,需要為此做好準備。谷歌、IBM、Rigetti、IonQ 和 Xanadu 等初創公司,正在建立可行的量子計算系統。2019 年,谷歌宣布其量子計算機解決問題的速度快于現有的最佳超級計算機,從而實現了量子優勢。2020 年,中國的學術研究人員發布報告顯示,量子計算機在為特殊優化任務而設計的算法方面優于傳統的計算機。
顯然,當一臺與密碼相關的量子計算機投入運行時,某些形式的安全加密就會受到破壞,導致安全性和機密性不復存在,而這兩個特性是當今關鍵基礎設施系統的重要特性。因此,當前企業完全具有充分的理由思考如何保護自己不受更加先進的技術的影響。各個組織必須使他們的數據和網絡安全系統能夠抵御基于量子的攻擊,而對于那些不確定如何實施后量子密碼的組織來說,混合解決方案是可用的。
自 2016 年以來,美國國家標準與技術研究所(National Institute of Standards and Technology,NIST)一直在與世界各國家和地區的密碼專家合作,開發符合嚴格測試標準的標準化抗量子算法,預計將于 2022 年公布其最終選擇結果。
TII 密碼研究中心的研究人員開發了一個后量子密碼庫,可以為公鑰加密、密鑰封裝和數字簽名提供多種方案。此外,這些研究人員還找到了一種方法來模擬量子計算機在經典計算機上破解密碼的效率。隨著量子物理學家和密碼學家之間的競爭達到臨界點,如今的企業越來越迫切地需要通過采用抗量子算法來使操作變得更加靈活。由此可見,當下采取積極行動來應對這一迫在眉睫的威脅是至關重要的。
1、背 景
1.1 量子計算機的發展
量子計算機可以存儲和處理大量的數據,使它們能夠在合理的時間內處理經典計算機無法處理的問題。量子計算機與經典計算機的區別在于其處理或傳輸數據的方式不同。其中,經典計算機使用二進制數中的比特(0 或 1),并且每次只能代表這兩個數值中的一個。然而,量子計算機使用量子比特,可以同時代表 1 或 0的多種可能狀態。
世界各國家和地區的政府及私營公司已充分認識到量子計算的潛力。據波士頓咨詢集團報道,量子計算在未來 15~30 年可以創造預計 4500億 ~8500 億美元的價值。近年來,全球多個國家紛紛出臺量子技術發展戰略和研究計劃。根據加拿大高級研究所 2021 年 5 月的一份報告,截至2021 年 1 月,17 個國家相繼出臺了“某種形式的支持量子技術研究和發展的國家倡議或戰略”(如圖 1 所示)。日本的國家私營公司已經聯合起來實施和發展他們自己的計劃。2021 年末,日立、富士通和東芝等 25 家日本公司聯合建立了一個新的戰略聯盟,名為“量子戰略產業革命聯盟”(Q-STAR)。根據富士通公司代表集團公司發表的一份聲明稱:“其使命是將日本定位為‘以量子技術創新為導向的國家’。”
除了政府,世界各地的公司都在不斷投入資金進行量子技術的研究(如圖 2 所示)。在私營行業方面,像美國和日本的科技公司,例如谷歌、IBM、微軟、霍尼韋爾、日立、富士通和東芝等公司,都在這場高風險競爭中進行了投資。雖然量子技術仍處于初級階段,但是在過去幾年中仍取得了重大進展。2021 年 11 月,IBM 宣布制造了 127位的量子處理器,例如,谷歌和中國科學技術大學(University of Science and Technology of China,USTC)的研究成果翻了一倍多,并被譽為“世界上最大的超導量子處理器”。在 IBM 宣布這一消息的數月前,USTC 稱其 66-qubit“祖沖之號”處理器已經超過了谷歌的 54-qubit Sycamore,而這家美國搜索引擎公司在 2019 年宣布已經實現了“量子優勢”,即量子計算機能夠解決經典計算機認為不可能解決的問題。
圖 2 量子計算的投資比例
圖 1 各國量子技術研發政策
與此同時,初創企業也加入了這一領域的激烈競爭。例如,加拿大的 Xanadu 量子技術公司正在開發一種基于光波科學的量子計算機;美國的 IonQ 公司則旨在將一臺基于原子粒子的機器商業化。兩家公司使用的芯片都可以在室溫下工作。
截至 2021 年 9 月,加拿大政府投資量子計算公司資金達 10.2 億美元,超過了前三年流入量子計算行業的資金總和。2022 年 2 月,加拿大的 D-Wave 系統公司加入了尋求在紐約上市的量子計算機開發商名單,追隨 IonQ 的腳步,IonQ 在同年 10 月成為第一家上市的純游戲量子計算初創公司。
隨著技術加速和投資資金的涌入,全面量子計算時代的到來不是假設而只是時間問題。量子技術有助于推動各個領域的進步,從材料科學到藥物研究,各個公司與領域都希望能夠利用這些技術。例如,IonQ 公司和韓國現代汽車公司在2022 年初宣布,他們已經建立了伙伴關系,專注于使用量子計算來研究鋰化合物和電池化學。
1.2 量子計算機帶來的威脅
強大的量子計算機在帶來新機遇的同時,也造成了一定威脅,因為黑客組織可以利用量子計算機打破世界上最好的數字防御系統、破解公鑰密碼系統和其他系統,例如公鑰基礎設施、代碼簽名系統、安全電子郵件和密鑰管理系統等,對當今互聯網的安全交互影響巨大。雖然當下的量子計算機尚未足夠強大,但是技術的發展將很快達到這個水平。有可能在十多年后甚至更早,黑客組織就可以利用量子計算機的處理能力打破當今保護各種基于網絡的通信和協議的加密機制。
強大到足以對公鑰密碼系統構成威脅的量子計算機稱為密碼相關的量子計算機(Cryptographically Relevant Quantum Computer,CRQC)。CRQC 需 要 數 以 百 萬 計 的 量 子 比 特來工作,而這樣的計算機目前尚未存在。除了IBM 的 127 個量子比特的量子計算機,如今的大多數量子計算機均是在 50~100 個量子比特的含 噪 聲 中 等 規 模 量 子(Noisy Intermediate Scale Quantum,NISQ)水平上。它們對環境非常敏感,容易受到干擾,這使得它們并不穩定。
中 國 科 學 技 術 大 學 的 潘 建 偉 教 授 指 出,CRQC 的發展道路將是漸進式的。“祖沖之號”和“九章”兩臺量子計算機已經實現了量子優越性,而最后和最具挑戰性的階段是建立可編程的通用量子計算機,將可能對破解經典加密系統、大數據集搜索和人工智能發展具有很大的影響,這種影響是網絡安全團隊一直關注的問題。根據目前量子計算的發展狀況,希望通過 15~20 年的努力來實現其最后一個目標。
1.3 公鑰密碼面臨的量子威脅
公鑰加密使實現強大的認證、加密、密鑰交換和數字簽名成為可能,并且它構成了今天眾多互聯網安全標準的基礎,其加密密鑰的標準化算法被廣泛使用并被證明有效,如圖 3 所示。公鑰加密的原理通常是基于假設私鑰是安全的,因為它們來自難以或不可能逆向運算的數學算法。例如 RSA 算法,其理論基礎是將兩個大的質數相乘來得出一個整數相乘的結果,而要反過來執行這個操作是很困難的。這就意味著給定一個大數,很難知道它將被分解成哪兩個質數。
圖 3 公鑰加密工作流程
業內專業人士擔心,黑客組織可能會利用量子計算破解公鑰加密算法的“密鑰”。事實上,在 1994 年,數學家彼得·秀爾(Peter Shor)發明了一種能夠有效削弱 RSA 的算法,唯一的條件是它需要在 CRQC 上運行。
盡管 CRQC 尚未實現,但密碼學專家警告稱,“當今的公鑰方法是脆弱的。”考慮到量子計算的發展速度和投資速度,公鑰被破解只是時間問題。這種情況一旦發生,金融交易、軍事戰略、專利信息、醫療系統、在線購物、社交媒體等應用程序都可能變得十分脆弱。采用公鑰加密技術來保護敏感信息的安全系統,如果沒有提前為 CRQC 的到來做好準備,就無異于在“玩火”。考慮到這種影響,當前重要的是做好準備,而不是抱有一種樂觀的想法認為一臺功能齊全的量子計算機很晚才會到來。威脅者現在可能已經在收集數據,以便日后解密。各聯邦機構存儲的機密信息長達數十年之久,很容易遭受這種“現在收集—以后解密”方式的攻擊影響。
2、后量子密碼的發展
,2.1 后量子密碼及其標準化
為了抵御量子黑客組織的攻擊,后量子密碼學正在成為一種高效和有效的解決方案。后量子 密 碼(Post-Quantum Cryptography,PQC) 又稱為抗量子密碼,是一套新的加密算法,其需要依賴強大的數學算法能力來抵御量子計算的攻擊。美國國家安全局(National Security Agency,NSA)、NIST 正在篩選這種算法并將其標準化。例如,2016 年,NIST 發起了公開征集后量子算法的工作。在過去幾年里,NIST 已將最初提交的 69 種算法縮小到 15 種算法,并對剩下的算法進行了進一步的審查。2022 年上半年,NIST預計將發布第一組標準化的算法,這些算法將進入第四輪的進一步研究。NIST 后量子密碼項目的負責人達斯汀·穆迪(Dustin Moody)表示,為了增加投資組合的多樣性,將發出新的呼吁,尋求更多的公鑰簽名。
近年來,盡管 NIST 算法競賽已經成為頭條新聞,但它并不是聚焦于后量子密碼學工作的唯一機構。世界各國家和地區的公司及公共機構正在創建標準化算法庫,以抵御先進量子技術帶來的威脅。2021 年 12 月,美國最大的密碼貨幣交易所比特幣公司(Coinbase)宣布推出一個開放源密碼庫,其中包含可供開發人員使用的工具,幫助提高交易的安全性。2021 年 3 月,TII 公布了阿拉伯聯合酋長國的第一個密碼庫,其中包含一系列保護機密數據和信息的算法。當前,TII 正在開發一個框架,未來政府實體和企業可以利用這個框架實現加密靈活性。在韓國,LG Plus 電信運營商一直致力于后量子密碼算法的開發。歐洲的專家也對美國在后量子密碼學方面起的帶頭作用表示關切,并敦促歐洲大陸在該領域投入力量。
隨著 NIST 競賽逐漸接近尾聲,其下一步工作是對一組初始抗量子算法進行標準化。NIST 認為標準化可以確保密碼系統的使用安全,因為使用的算法經過了嚴格的評估和審核,只有按照標準規定實現它,才可能保障算法使用的安全性。
2.2 后量子算法的衡量指標
一 個 好 的 后 量 子 算 法 需 要 哪 些 指 標 呢?NIST 后量子密碼項目對穩健的后量子算法提出了如下要求。
(1)安全性。使一種算法具有抗黑客組織攻擊以抵御全功能的量子計算機的能力,這是一項基本要求。(2)性能。一種算法的效率決定了采用的難易程度。密鑰大小是效率的重要考慮因素,因為完成數據傳輸所需的帶寬隨著密鑰大小而變化。當前的算法低至 100 多字節,而 NIST 的后量子最終方案將是這個大小的 10 倍。(3)速度。密鑰大小也決定了數據傳輸的速度,這是決定采用的又一個重要因素。密鑰越大,數據傳輸的速度就越慢。由于用戶優先考慮速度,他們可能會傾向于更快但不太安全的選擇。(4)可共享性。后量子算法需要自由共享,但如果解決方案受到知識產權和專利法的約束,企業就不太可能采用它們。(5)成本。大企業可能不太擔心采用后量子算法的相關成本,但這會帶來公平問題。因為并非所有的企業和政府組織都能負擔得起為確保數據安全所需的投入。低成本的解決方案是減少采用這一障礙的理想選擇。
2.3 潛在的威脅和挑戰
與后量子密碼相關的威脅和挑戰可分為與算法本身的開發直接相關的挑戰,以及與廣泛采用后量子密碼時遇到的障礙相關的挑戰兩類。具體問題如下文所述。
一是在沒有開發出完全可用的量子計算機的情況下,很難真正衡量一個后量子算法的強度。這意味著使用計算機來測試穩健性,模擬是最好的辦法。事實上,為了解決這個問題,后量子算法的發展將是反復和持續的。專家預測,NIST 預計將繼續進行算法的第一輪審核,并隨著更多研究的開展將繼續進行標準化工作。第一批標準化算法預計用于初級的一般用途。
二是在應用方面的問題,雖然 NIST 征集公鑰密碼標準的過程得到普遍認可,但是后量子算法采用的類似過程并未得到保證。最大的挑戰將是溝通,讓人們了解威脅和解決方案,并鼓勵采用標準化的算法。
切換到后量子密碼系統,這項工作將是資源密集型,并要付出極高的成本。新的算法可能會減慢交易的速度,網絡和支持基礎的設施可能需要同時發展,以滿足在不影響速度的情況下對資源的更大需求。轉型將付出極高的代價,也不會是一件容易的事,但必須盡早完成。NIST 計劃發布算法應用指南,世界各國家和地區都有候選算法參與了 NIST 公開征集的抗量子算法競賽,但并非所有國家都會采用 NIST 標準化算法。其中有少數國家,例如,韓國、中國和阿聯酋 3 個國家,“走的是自己的一條道路”,即建立一個抗量子算法庫,這是讓最好的算法獲勝的一種典型示范方法。
三是采用抗量子算法將極具挑戰性,因為其好處并不明顯。這是所有網絡安全都面臨的問題,也就是說,當系統安全運行時,一切都是正常的,但是當某些事情發生導致故障時,每個人都會抱怨。盡管如此,抗量子算法的應用仍至關重要。如果等量子計算機建成后再采用抗量子算法,成本將會急劇膨脹。
2.4 后量子算法的過渡路徑:混合過渡
為了更好地向后量子密碼過渡,業界和政府正在關注一種混合模式方法,即將后量子算法與目前已經使用的算法分層應用。其邏輯是如果一個安全層被破壞,那么仍然可以依靠另一層的保護。向后量子愿景過渡需要大量的基礎準備工作,企業需要確保密碼敏捷性,這樣才能更容易地采用新的抗量子算法,而今天的大多數系統甚至都沒有實現代碼模塊化,這意味著不能簡單地分層或切換代碼。因此,這些系統必須重構代碼庫才能用混合密碼取代經典的密碼體制。
同時,打算依靠混合模式來實現抗量子密碼的企業和政府也需要一個明確的退出策略來擺脫現有模式。那么將會有這樣一個階段,即企業可以采用混合解決方案,在過渡到后量子時代的同時保持兼容性。除非必要情況,企業不應長時間地將傳統的和不安全的算法作為安全網絡措施。
3、建 議
量子計算的進步可能會極大地破壞公鑰密碼系統。為了防止現有的經典設備受量子黑客組織的毀滅性攻擊,需要提前實施保護措施,需要公共和私營部門雙方的共同努力,制訂嚴格的計劃,采納后量子密碼并采用適用于其技術系統的標準化算法。
3.1 政府應對措施
世界各國政府已經意識到,必須加強對先進量子計算機的網絡安全防御。主要行動遵循以下路徑。
(1)為量子計算相關立法鋪平道路。美國聯邦政府與量子相關的活動大多源于 2018 年發布的《國家量子倡議法案》,該法案在五年內撥款 12.5 億美元,以提高量子研發的速度。美國的量子協調辦公室(National Quantum Coordination Office,NQCO)是該法案的產物之一,協調美國聯邦政府、產業界和學術界的量子信息科學活動。2021年發布的《2021財年國防授權法案》(NDAA),旨在授權對國家安全系統的威脅進行評估,推動了量子研究,并提供了與威脅有關的資金。(2)為向后量子加密過渡準備好網絡。確保所有國家的網絡安全系統在類似的路徑上發展,將是全世界網絡安全防御的關鍵。各國政府應積極分享資源和觀點。2019 年,日本和美國簽署了一項協議,合作開展量子科學和技術研究。同時,相當多的政府正在通過建立自己的計劃來開發后量子算法。政府可以通過激勵措施鼓勵采用這種算法,提高人們對未來量子計算機帶來的威脅的認識,鼓勵向后量子密碼過渡,并通過倡導向標準化的后量子算法過渡來建立信任。
此外,政府還需要對該研究領域進行投資,從而為技術進步創造條件。雖然企業已開展了自己的量子計算項目研究,但政府還必須支持量子計算的發展。另外,政府還需要對目前的庫存資產進行徹底評估,要了解在過渡期間哪些系統需要有更大提升,完全掌握哪些是易受攻擊的資產,這是向后量子密碼轉型的早期非常關鍵的一步。
3.2 企業應對措施
2021 年,IBM 商業價值研究所(Institute forBusiness Value,IBV)在調查了 3 000 多名高管后表示,89% 的高管沒有將量子計算與未來 2~3 年業務成果直接相關。由此可見,這種認識完全沒有正視量子計算的威脅能力。網絡安全業界得到警告,“你認為 10~20 年后才可以發生的事情,實際上可能會在 3~4 年內發生,并將帶來全新的挑戰,我們必須應對這些挑戰。”在量子時代,任何人都有可能陷入復雜的網絡戰對抗之中。
因此,企業尤其是那些持有敏感信息的企業,需要從現在開始為向后量子密碼過渡做準備。措施包括:選擇實施需求方案、制定明確的算法生命周期管理策略、建立專門機構、評估自己的資產并將其納入向后量子系統過渡計劃,以及建立一個程序來跟蹤數據是從哪里來的,如何流動的,企業是如何存儲的,這適用于傳輸中的數據(包括處理和傳輸數據)。
從技術角度來說,企業和組織可以通過模塊化、加密友好、后量子密碼技術整合的方式重新優化其安全系統。
當前,創建一個采用抗量子算法的框架,可以加速企業和公共機構向后量子密碼學過渡。
4、結 語
后量子算法的應用雖然不會一蹴而就,但它需要未雨綢繆,且越早越好。“現在收集—以后解密”的方法非常現實,當下企業和組織亟須保障其數據和網絡系統能夠抵抗基于量子的攻擊,雖然密碼相關量子計算機的到來可能還需要數年的時間,但企業和組織不能坐等量子計算領域的發展。網絡威脅行為者現在就可能在獲取敏感數據,未來對其進行解密,這意味著保護需要在今天啟動。基于量子的攻擊可能會削弱企業的底線,鑒于風險很大,對此類威脅采取主動而非被動的立場變得至關重要。混合過渡可能是一個很好的解決方案。不確定如何實施后量子密碼的企業和組織可以選擇一種混合解決方案,將一種抗量子算法分層運用到一個經典的算法上,從而讓企業可以逐步適應新的密碼框架。當然,混合模式法只是一種謹慎的早期措施,企業和組織不應將其作為一個永久性的安全辦法,需要有一個明的計劃,即從混合模式過渡到后量子密碼模式。
