国盾小课堂 | 了解“量子安全”,只要十分钟!
关注量子科技的你,也许早就听说过“量子安全”这个词,可是:
本期,国小盾特地邀请了
中国信息协会量子信息分会的康博士
带各位同学走近“量子安全”
01 量子安全时代已然到来
量子安全概念来源于量子科技发展引发的信息安全攻防双方的新矛盾、新博弈,量子安全是迫切需要应对的新时代信息安全新需求,漠视它必受其害。
最早正式提出量子安全(quantum safe)的概念,是见于ETSI(欧洲电信标准化协会)于2015年发布的名为“Quantum Safe Cryptography and Security: An introduction, benefits, enablers and challenges”的白皮书。量子安全的提出针对的就是来自量子计算机对密码系统可能的攻击和挑战。
近年来,量子计算的发展呈现明显的加速态势,这是不争的事实。2021年量子计算的关键词是“量子霸权”和“量子比特大战”;量子计算芯片研究成果使量子比特位数可见的不断提升,形成类似摩尔定律的“量子摩尔定律”;原型机研发上快速跨入 NISQ(中型含噪声的量子计算)时代;超导量子比特数量达到一百以上,离子阱、光量子等不同技术路线发展呈齐头并进之势;各行业应用场景与特定算法的发掘卓有成效;中国科大研发的量子计算原型机“九章”、“祖冲之”广受关注。
这些发展的背后,是实打实的需求在推动。量子计算科技不仅仅是后摩尔时代计算能力提升的有效解决方案,它所带来的算力飞跃,有可能成为未来科技加速演进的“催化剂”,一旦取得突破,可在生物医学、材料学、化学、密码破译、气象预报、空气动力学计算、武器研制、人工智能、能源与大数据等多个领域得到应用,为先进材料制造和新能源开发等奠定科学基础,对提升国家综合竞争力有战略意义。
在信息安全领域,量子计算对密码系统形成的现实威胁非常直接与明显,理论支持就是量子计算被证明能指数或多项式量级加速某些在原来使用经典计算方法非常困难问题的求解。其中著名的Shor量子算法可以在多项式时间内解决大整数分解和离散对数求解等复杂数学问题,因此可以对广泛使用的RSA、ECC、DSA、ElGamal等公钥密码算法进行比经典计算更快速高效的破解。诸多近期研究表明,破解主流的2048位RSA加密,在可预见的未来就可能实现。另一个著名的Grover量子算法能够将无序数据库的搜索时间降为平方根时间,据此,可以有效地攻破DES或轻量级算法等密钥长度较短的对称密码。
2021年,虽然全球经济受疫情影响很大,各国均面向量子安全进行了一系列战略布局操作和重大项目推进。欧盟和欧洲航天局宣布合作建设跨越欧盟全境的安全量子通信基础设施,法国宣布开展一项为期五年18亿欧元的量子技术投资计划,英国国家量子计算中心开始建设动工,计划五年内投入9300万英镑用于加速开发可扩展的、超过100个量子比特的实用量子计算机,美国能源部宣布提供6100万美元用于开发新的量子设备和发展量子互联网,美国空军和美国太空部队的量子信息科学研究中心成立以进一步推动量子技术在美空军部队的应用。
02 量子安全内涵与特性
如前所述,最早对量子安全的阐述可谓言简意赅,是指“即使面对量子计算的挑战也能得到保障的信息安全”。
由于量子计算、量子攻击本身也属发展中的新生事物,这就决定了量子安全具有“发展中的动态性”,这是由量子安全这门新学科的发展特性、以及信息安全学科的对抗特性所决定的。由此特性,我们才能说,如果某种密码算法或协议在经过充分研究后,表明其可以抵御所有已知的量子算法攻击,同时在没有证据表明其易受量子攻击前,就可以认为其是量子安全的。
当然,在经过深入研究后,目前被认为是量子安全的算法在未来不再安全的可能性依然存在,这种不安全可能来自新的量子破译算法,也可能来自新的经典密码分析技术。这番看似有点“绕”的话如果放在传统安全领域,一定要被用户腹诽“你们在搞什么自说自话?”,而用在量子安全领域,却确实阐述的是“吾生亦有涯,而知也无涯”的真理。
就如2022年2月研究者发表的论文所述,NIST(美国国家标准与技术研究院)后量子密码算法筛选中胜出的Rainbow签名算法(具体算法参数为安全等级为1),被笔记本电脑用53小时运行经典算法成功破解。
其次,量子安全虽未立可验证,但却是需要我们立刻“行动”起来的安全,无论是NSA(美国国家安全局)等信息安全国家机关的政策发布,还是学界的论文阐述,无不提到一个关键词——迁移(migration),尤其对于重要机关、行业和数据,需要立刻动手去组织进行从不抗量子密码系统到量子安全的密码系统的迁移。
究其原因,仅考虑建造大规模量子计算机的时间是不够的。还需要同时考虑信息需要保存多长时间,以及将现有通信基础设施迁移至量子安全将花费的时间。
如下图中Mosca教授提出的XYZ理论所示,X代表“数据需要保密的时间”,Y代表“更新我们的通信基础设施至量子安全所需要的时间”,Z代表“建造大规模量子计算机所需要的时间”。如果X+Y>Z,意味着重新部署具有量子安全的基础设施和信息安全需要持续的时间之和大于建造大型量子计算机的时间Z,那么在X+Y-Z这段时间内加密的信息将不再安全,攻击者可以利用量子计算轻易破解加密信息。反之如果X+Y<z, 攻击者不会得到利用量子计算机破解加密信息的机会。虽然目前大规模量子计算机还未到来,但是对于对信息安全保障有需求的行业以及政策决策者而言,需要进行前瞻性分析和思考,而最为保险的做法当然是尽快就开始考虑升级到量子安全的信息通信系统和基础设施。
第三点特性,就要说到量子安全的复杂性,其包含的两大关键词:量子计算、信息安全,单独拿出哪一个来都足够烧脑、足够专业,这也就是大众对量子安全理解不够的一大原因。量子计算太抽象,信息安全太丰富,两者加在一块,足够让人“敬而远之”或“退避三舍”。涉及的技术因素太多,我们在此不提,仅从信息安全这一领域的对抗特性略做阐述。
信息安全是攻防两方不停斗争博弈中的动态平衡。由于信息及信息基础设施在现代社会的重要性所致,信息安全在国家利益博弈上扮演着越来越重要的角色。信息安全的竞争是于无声处听惊雷、未见硝烟却可决胜千里的战争。美国依靠其强大的监听站、侦察卫星、侦察机/船、互联网嗅探机器人等组成的侦听网络无时无刻不在全方位窃听全球各国各地军事、政治、经济等方面的情报,同时又假以保护本国信息安全的名义制裁打击任何可能的对手。
带着“高科技”和“安全”标签的量子安全从出生起就没法不敏感、不低调,别的领域全球合作可能是正常与自然的选择,而信息安全领域,对抗、竞争恐怕是强于合作的主旋律,各国提出的技术路线恐怕也难于简单横向比较。“看家本领不易见,各怀心思憋大招”恐怕更是常态。
03 量子安全能解决什么问题,不能解决什么问题
我们已经看到,量子安全有效也有用——尤其当前,是发挥积累优势,加快推进量子安全的信息安全系统更新,形成信息安全防护较好态势的时机。但是,量子安全不会是信息安全防护的“银弹”,将来也不会有信息安全的“银弹”,道高一尺、魔高一丈,要是期望有“银弹”、期望能一劳永逸的、“毕其功于一役”式的解决当前复杂多样的诸如APT(高级持续性威胁)攻击等信息安全威胁,本身就是安全观念上真正的落后,是违背科学规律的。
课堂延伸
银弹(silver bullet)泛指“包打天下”、“以一敌百”的“神兵利器”——在信息产业最早是IBM大型机之父佛瑞德·布鲁克斯利用了这个梗,说软件工程“没有银弹”。
应清醒地看到,在信息安全科学发展的道路上,需要避免对某一安全技术过度炒作、扩大其适用范围、模糊相关科学理念的现象。这可能会造成用户决策或安全厂商在安全体系结构设计上忽视贯彻纵深防御、综合防护的原则,乃至削弱了其它安全技术的作用。
从技术上、从安全体系结构上我们需要理顺各类安全技术、安全机制之间的关联。首先,既然量子攻击针对的是密码系统,量子安全技术也是增强现有密码、并基于密码实现对信息和信息系统安全防护的技术,它没有脱离密码技术的“主赛道”,密码技术以外的其它信息安全技术,对于量子安全技术来讲可以说是“平行赛道”,并不是相互挤占、影响或替代的关系。
从信息安全保障的基本要素来说,量子安全技术能够实现更好的机密性保障、可认证性保障,完整性保障和不可否认性保障。
从具体安全技术分类来说,量子安全技术与诸如访问控制、安全审计、攻击行为分析与预警、语义安全、完整性验证与保护、信任管理、开发与实施过程安全等其它信息安全机制关系就不大。其次,进入量子安全时代,很多传统的安全原则,例如最小特权、权限分离、保持管理机制如密码管理的独立性等仍然适用和需要实施与贯彻,而不是唯算法论,认为靠研发出新的算法,就万事大吉了。
量子计算的威胁是明确和影响广泛的,如果说对非从业者来说对量子安全时代的到来、量子攻击威胁的存在还不敏感,信息安全从业者对量子安全概念的科学性和严谨性有着较高的认可度,不同意见更多的在于应采取什么样的技术措施来实现量子安全。
精彩预告
实现量子安全的方式主要分为两类:一类是可以抵御已知量子计算攻击的经典密码算法,该类密码算法的安全性同样依赖于计算复杂度,这类算法或协议通常称为抗量子计算密码(QRC ) 或 后 量 子 密 码 (PQC)。另一类量子安全的密码则是基于量子物理原理实现经典密码学目标的量子密码(Quantum Cryptography),其中最具代表性和实用性的是量子密钥分发(QKD)技术。
这些以PQC、QKD为代表的量子安全技术的核心内容,后面我们会继续跟大家分享。
