量子计算对计算机安全的影响

周末在 ACM Queue 上读到一篇有关量子计算机的文章《The Complex Path to Quantum Resistance》，讲的是如何使用经典计算机对抗量子计算。关于量子计算和量子通信，目前看到的比较好的科普文章当属于《漫谈量子信息技术：量子通信与量子计算》。本文不再对具体细节进行翻译。

在传统计算机领域里，安全是永远绕不开的话题，而构成计算机安全领域里的最重要的两个理论基础是对称密码学和非对称密码学，都是基于密码破解的成本远远超过现有的计算机计算能力，比如常用的RSA（Rivest-Shamir-Adleman）密码系统使用两个大素数的乘积，导致一般计算机很难分解生成的乘积以找到初始素数。与其类似的还有ECC（椭圆曲线密码）。

与传统计算机不同，量子计算机对量子位在叠加态下的使用，让量子计算机比传统计算机更快。这种计算能力的加速是量子计算对信息系统的安全和隐私构成威胁的原因。

标准化的 RSA 和 ECC 密码系统是当今保护世界经济的许多网络安全工具和技术的基础。而量子计算机本身强大的计算能力使得这两个算法存在破解的可能性，虽然现有的量子计算机暂时不具备规模化的能力，也不像传统计算机有着通用化的能力，但是不排除某些人会预先会获得并存储加密数据，直到量子计算机真正的规模化和通用化再进行解密数据。

所以如何防备量子计算机的实时攻击和如何避免攻击者获得加密数据并解密是目前计算机安全领域值得思考的两个问题。

对对称密码学而言，对称密钥加密使用在两个用户之间共享的密钥。A 方可以使用密钥对数据进行加密，并将结果发送给 B 方，B 方使用相同的密钥解密和读取数据。用户之间秘密密钥的安全交换，也称为密钥管理，构成了对称密码学的安全基础。传输密钥的需要引入了传输过程中可以截获密钥的可能性，以及量子计算机可以使用格罗弗算法来提高暴力攻击的效率。对于传统计算机而言，可以算法规范可以容纳的情况下，将对称密钥大小加倍，可以让这种形式的加密方式保持安全。然而，将密钥大小加倍并非易事。当加密在软件中实现时，这是相当简单的，因为更新可能允许有效的密钥大小更改。但在加密在硬件中实现的情况下，更改大小更具挑战性且成本更高。例如，某些类型的路由器和所有硬件安全模块 (HSM) 将需要替换为能够容纳更大密钥大小的硬件。根据组织的规模及其对称密码术的使用范围，这可能是一项极其耗时且成本高昂的工作。

非对称加密使用两个密钥：公共（任何人都可以看到）和私有（只有经过授权的人才能看到）。这两个密钥在数学上是绑定的，这构成了非对称加密安全性的基础。可以使用几个计算困难的数学问题之一来绑定两个密钥并作为安全性的基础。IFP 和 DLP 是两个较常用的问题。整数分解的安全性源于分解两个大素数的乘积的难度。在所有这些密码系统中，RSA（基于IFP）和ECC（基于DLP）已经标准化并被广泛使用。事实上，它们在简单性、效率和安全性之间取得了很好的平衡。当可扩展的量子计算机可以有效地解决底层的计算难题时，攻击者可以通过应用 Shor 算法回到过去并解密已经收集到的加密数据。该算法利用这样一个事实，即在有足够多的量子比特叠加时，量子计算机可以同时并行检查无数个零和一的组合，并且正如研究表明的那样，解决构成公钥基础的计算困难的数学问题算法的安全性。

可以同时探索的组合数量取决于量子计算机可用的量子位数量。有了足够的量子比特，量子计算机就可以快速逆向计算计算难题并获得私钥。换句话说，可以从公钥中恢复私钥，并且可以解密被保护的信息。

其他同样容易受到量子攻击的算法包括数字签名算法、Diffie-Hellman、Elliptic-Curve Diffie-Hellman 和 Elliptic-Curve Digital Signature Algorithm。与 RSA 和 ECC 一起，这些算法是互联网、电子邮件、虚拟专用网络和物联网 (IoT) 安全的主要内容，使量子威胁变得非常严重并可能产生广泛影响。如果非对称密码学的漏洞同时发生，它们可能会导致保护数字社会的安全结构恶化。

无论初始参数的大小增加多少，导致更大的密钥，非对称密码系统所依赖的数学问题都可以在可扩展的量子计算机上在多项式时间内解决。因此，标准化和广泛使用的非对称密码系统将受到足够强大的量子计算机的严重影响。

对此作者给出的建议是：

• 等待标准的诞生。在某些情况下，组织可能会选择在标准化机构宣布抗量子安全的正式建议之前不采取行动，估计到 2024 年 NIST 将提供该建议。当其组织的机密信息被认为是对恶意攻击者的价值非常低，保质期非常短，或者本质上是短暂的。当他们主要或完全依赖外部供应商的安全性并相信这些供应商将迅速过渡到抗量子安全性时，这也是合理的。
• 投资于加密灵活性（Crypto-agility）。加密灵活性意味着组织能够轻松实施加密方式的更改。在存在重大风险且战略授权许可的情况下，组织应投资于加密灵活性。这一步并不是量子攻击威胁所独有的，但它是标准最终确定后有效反应的先决条件。
• 建立并维护一个抗量子路线图。组织应该建立一个路线图来跟踪这些发展，因为它们与他们自己的特定环境有关，并且他们应该在未来几年进行保持，直到量子抗性安全被标准化、采用和实施。
• 实施混合密码术。对于具有高风险、充足资源以及对其加密生态系统进行端到端控制的组织，在现有的预量子安全之上叠加一个抗量子安全层可能是有利的。它保留了针对当今经典计算机攻击的标准化和强制缓解级别，同时降低了收获然后解密攻击的风险。尽管增加了成本，但一些组织将有足够的动力和资源来推行混合战略。
• 修复项目。无论选择哪种替代方案，一旦标准发布，组织应根据随后的合规要求迅速采取行动实施它们。采用观望方法的组织将需要根据当时各自的立场研究他们的量子抵抗之路。维护路线图但未实施混合解决方案的组织将执行其路线图。那些实施混合解决方案的人只需要对他们已有的内容进行（相对较小的）调整。所有组织还需要确定其前量子加密实施（例如 RSA 和 ECC）的弃用路径，这可能会在标准化机构的建议中强制执行。

参考链接：

1. https://queue.acm.org/detail.cfm?id=3466779
2. http://blog.nsfocus.net/quantum-information-technology/