周末在 ACM Queue 上读到一篇有关量子计算机的文章《The Complex Path to Quantum Resistance》,讲的是如何使用经典计算机对抗量子计算。关于量子计算和量子通信,目前看到的比较好的科普文章当属于《漫谈量子信息技术:量子通信与量子计算》。本文不再对具体细节进行翻译。
在传统计算机领域里,安全是永远绕不开的话题,而构成计算机安全领域里的最重要的两个理论基础是对称密码学和非对称密码学,都是基于密码破解的成本远远超过现有的计算机计算能力,比如常用的RSA(Rivest-Shamir-Adleman)密码系统使用两个大素数的乘积,导致一般计算机很难分解生成的乘积以找到初始素数。与其类似的还有ECC(椭圆曲线密码)。
与传统计算机不同,量子计算机对量子位在叠加态下的使用,让量子计算机比传统计算机更快。这种计算能力的加速是量子计算对信息系统的安全和隐私构成威胁的原因。
标准化的 RSA 和 ECC 密码系统是当今保护世界经济的许多网络安全工具和技术的基础。而量子计算机本身强大的计算能力使得这两个算法存在破解的可能性,虽然现有的量子计算机暂时不具备规模化的能力,也不像传统计算机有着通用化的能力,但是不排除某些人会预先会获得并存储加密数据,直到量子计算机真正的规模化和通用化再进行解密数据。
所以如何防备量子计算机的实时攻击和如何避免攻击者获得加密数据并解密是目前计算机安全领域值得思考的两个问题。
对对称密码学而言,对称密钥加密使用在两个用户之间共享的密钥。A 方可以使用密钥对数据进行加密,并将结果发送给 B 方,B 方使用相同的密钥解密和读取数据。用户之间秘密密钥的安全交换,也称为密钥管理,构成了对称密码学的安全基础。传输密钥的需要引入了传输过程中可以截获密钥的可能性,以及量子计算机可以使用格罗弗算法来提高暴力攻击的效率。对于传统计算机而言,可以算法规范可以容纳的情况下,将对称密钥大小加倍,可以让这种形式的加密方式保持安全。然而,将密钥大小加倍并非易事。当加密在软件中实现时,这是相当简单的,因为更新可能允许有效的密钥大小更改。但在加密在硬件中实现的情况下,更改大小更具挑战性且成本更高。例如,某些类型的路由器和所有硬件安全模块 (HSM) 将需要替换为能够容纳更大密钥大小的硬件。根据组织的规模及其对称密码术的使用范围,这可能是一项极其耗时且成本高昂的工作。
非对称加密使用两个密钥:公共(任何人都可以看到)和私有(只有经过授权的人才能看到)。这两个密钥在数学上是绑定的,这构成了非对称加密安全性的基础。可以使用几个计算困难的数学问题之一来绑定两个密钥并作为安全性的基础。IFP 和 DLP 是两个较常用的问题。整数分解的安全性源于分解两个大素数的乘积的难度。在所有这些密码系统中,RSA(基于IFP)和ECC(基于DLP)已经标准化并被广泛使用。事实上,它们在简单性、效率和安全性之间取得了很好的平衡。当可扩展的量子计算机可以有效地解决底层的计算难题时,攻击者可以通过应用 Shor 算法回到过去并解密已经收集到的加密数据。该算法利用这样一个事实,即在有足够多的量子比特叠加时,量子计算机可以同时并行检查无数个零和一的组合,并且正如研究表明的那样,解决构成公钥基础的计算困难的数学问题算法的安全性。
可以同时探索的组合数量取决于量子计算机可用的量子位数量。有了足够的量子比特,量子计算机就可以快速逆向计算计算难题并获得私钥。换句话说,可以从公钥中恢复私钥,并且可以解密被保护的信息。
其他同样容易受到量子攻击的算法包括数字签名算法、Diffie-Hellman、Elliptic-Curve Diffie-Hellman 和 Elliptic-Curve Digital Signature Algorithm。与 RSA 和 ECC 一起,这些算法是互联网、电子邮件、虚拟专用网络和物联网 (IoT) 安全的主要内容,使量子威胁变得非常严重并可能产生广泛影响。如果非对称密码学的漏洞同时发生,它们可能会导致保护数字社会的安全结构恶化。
无论初始参数的大小增加多少,导致更大的密钥,非对称密码系统所依赖的数学问题都可以在可扩展的量子计算机上在多项式时间内解决。因此,标准化和广泛使用的非对称密码系统将受到足够强大的量子计算机的严重影响。
对此作者给出的建议是:
参考链接: