【大咖观点】李智虎专家:拥抱量子 你最经典
编者按
量子科技发展突飞猛进,受到各界的广泛关注。其中量子保密通信技术,可以与经典信息安全技术融合,服务于政务、金融、交通等行业,对于提升国家网络安全保障水平具有重要作用。
2022国家网络安全周量子安全分论坛很荣幸的邀请到经典密码领域的专家中国密码学会理事、中国电力科学研究院高级专家李智虎,带来以“量子密码安全性探索”为主题的演讲,介绍在经典信息技术发展已完备的情况下,为什么还要发展量子信息技术?二者的关系又是如何?
李智虎
中国密码学会理事、中国电力科学研究院高级专家
以下为李智虎老师演讲内容速记
//
很高兴能在金秋九月与大家相聚在江淮大地,庐州新府。合肥是国家高科技的圣地,更是量子科技的全球高地。我们有潘院士、郭院士牵头引领的各项理论成果,也有国盾量子、问天量子等企业做了很多的实际落地成果。今天,我斗胆在合肥探讨量子技术确实是班门弄斧。
我今天演讲题目是《拥抱量子 你最经典》。这个话题我一直想给它加一个场景,假设我们对300年前的经典物理学家牛顿说“拥抱量子你最经典”,估计牛顿的棺材板都盖不住了,起来就要把我们呵斥一顿。他老人家是经典物理的集大成者,站在伽利略等大咖的肩膀上完成了三大定律,连宇宙星辰都按照他总结出来的法则运行,跟他说量子是没有任何基础的。
我觉得更适合的场景应该是,玻尔等哥本哈根派的物理学家对爱因斯坦等物理学家提出上帝掷不掷骰子的问题。爱因斯坦是决定论,他说上帝是不会掷骰子的。当然了,霍金说上帝不但掷骰子,还把骰子掷到我们看不见的地方。但是,我们要特别感谢像爱因斯坦这种站在量子力学对立面的人。因为他在量子理论还没有完全成熟的时候,不是去拥抱量子,而是在对立面助力量子理论逐步完善。
100年以后的今天,我们跟一些理论的物理学家或者物理学者说这句话,好像也有点不适合。因为量子的很多理论,比如纠缠、多态、隧穿,这些问题大家都已经清楚,并且已经应用到实际当中了,但工程技术和应用还没有达到完备的程度,所以我们还需要说“拥抱量子,你最经典”。
经典VS量子:对抗or融合
关于量子,从1901年普朗克引入量子概念解决黑体辐射问题,一直到1927年至1935年,历届索尔维会议对量子争论达到白热化。尤其是第五届索尔维会议,当时的参会者中有17位物理学家获得了诺贝尔奖。争论的两派主要是哥本哈根派和反对派,当然还有一些像康普顿的实验派只关注实验的结果。但在这一场旷日持久的争论中,很多东西都尘埃落地,我们在争论当中越辩越明。
今天,在工程实践当中经典密码和量子密码也有这样的争论。量子主要应用于量子测量、量子通信、量子计算这三个领域。其中最难的是量子计算,但大家对量子计算的争论好像不多。我们现在的半导体工艺从微米级到了纳米级,然后到10纳米以下,最后到2纳米以下的话,实际上摩尔定律已经就不再起作用了,可以说我们遇到了一个“铜墙铁壁”。我们知道原子的尺寸是0.1纳米量级。半导体里面,最常用的材料硅,它的晶核常数是0.56纳米,如果我们把工艺再往上提高到1纳米以下的话,会形成量子隧穿效应,所以说我们的半导体工艺已经走到极限了,摩尔定律更不要说发展了,直接就停滞了。在这种情况下,大家当然是对量子计算充满了期待。
量子密码的演化过程
量子通信这一领域有很多的质疑。我个人是做经典密码的,能够理解经典密码人对量子会有一些抗拒。
我们知道,量子密码主要运用在量子通信这个领域,最著名的BB84协议从理论上来说是一个完备的、先进的理论。因为量子是不可克隆的,单光子不可再分割。如果一个光子在发送的过程当中被截获了,马上就能够被发现。但在工程技术方面会有一些问题需要完善。
举个例子,我要用弱光源去发送一个光子,但是发的时候万一发了两个光子或者多个光子,那么就会出现分束攻击,也就是说我们在工程实践当中,不可能达到理论上的单光子。为了解决这个问题,清华大学王向斌教授以及中科大陈凯老师就提出了诱骗态的理论:有的光子用来通信,有的光子用来身份验证。还比如说,我们单光子通信衰减可能比较厉害,只能达到70公里到80公里。我可以想别的办法,一是增强它的功率,二是中继做的更安全,三是用自由空间来通信,比如“墨子号”“济南一号”。我们不断地去尝试新的技术,比如核心器件工程化、小型化、国产化,实现了高集成、高性能和可移动等各种优势,不断迭代。
经典密码的演化过程
量子密码拥有先进的理论、不断完善的工程技术,经典密码的理论不如量子先进,但工程也一直在完善的过程中。
经典密码经历了三个时代:古典密码、机械密码和现代密码。古典密码用替换字母等方式,但没办法抵抗简单的频率统计。机械密码,我们知道最有名的就是二战时期的Enigma密码,在德军里盛行,但是它也被一代代破获。现代密码从1949年香农提出来,保密系统通信原理在1976至1978年这几年有了长足的发展。美国公开征集的DES算法;Diffie Hellman发表了密码学新方向,提出了DH协议;还有Rivest, Shamir和Adleman三位专家提出了RSA的公钥算法。理论上说,它基本没有什么大破绽,但实际上DH算法以及后续的RSA在工程实践当中还是有不少问题的。举个例子,RSA的签名过程当中一开始是没有用杂凑算法。杂凑算法在后续比较有名,像MD5、SHA-1,然而这些被我们国家的密码学家王小云院士在2004年前后破译了。
所以可以看出来,在经典密码的发展过程中也是有很多问题需要去解决的,但是有一个问题实际上是没法解决,就是1994年Peter Shor,提出了Shor算法,它对公钥算法会有毁灭性的打击。因为公钥密码算法是基于困难问题,即在有限的时间内,多项式时间内是计算不出来的,但是如果给你无限的资源的话,就可以计算出来了。比如RSA算法,实际上是基于大数分解,就是n=p×q,“p”和“q”都是素数,没法分解。但真的没法分解吗?可以采取穷举,从“1”穷举到“p”,实际上都不用到p,我们还有其他方法。如果说有量子计算机那就不一样了,这种np问题可能马上就变成p问题了。
当然我们有做后量子密码,后量子密码也是基于困难问题的,如SVP、CVP这种困难问题。量子计算和Shor算法目前还不适合,至于未来有没有,我们现在是不清楚的。所以在经典密码当中,它的理论是基于你在计算上面不可达,也就说是一个困难问题在np是否等于p的这个场景下,我们一直都没有得到证明。一旦证明了,基本上所有的公钥算法基都崩塌了。所以从理论角度来看,我们并不是特别安全。
工程角度的话,我们在RSA做芯片实现的时候,一开始谁都没有防护,RSA的私钥里面的0和1的计算功耗差别特别大,把能量曲线拿出来一看就读得出来,后来对于这个问题只能去补救了。用各种各样功耗平衡、随机插入指令等方式来做弥补,但是之前已经在用的一些产品可能就泄露了当时的信息。所以经典密码和量子密码在工程领域都会有不同的问题。当然遇到问题我们就给它解决。
从理论上来说,量子密码不敢说它绝对安全、无条件安全,但至少能够达到信息论安全这个等级,所以我觉得量子密码还是有优越性的。
另外一个就是公钥密码,随着我们计算能力的提升,它会快速的把有些原来用的算法都破解。RSA512在1999年被破解,RSA768在2009年被破解,这期间也就10年时间,但如果你从理论上来看肯定得经过好几万亿年才有可能破解。所以说,如果我们1999年做了一款RSA512的算法芯片,正常情况下2009年还在销售,就算销售完不再销售了,还会有可能继续使用。即使全都换掉,当初我们采用的这些芯片、产品保护的信息,在互联网上是留痕的,万一被拿到藏起来,等过几年算法破解之后再进行信息解密。从这个角度来看经典密码,我们还真得未雨绸缪,因为我们永远不知道明天会有什么新的东西出现。
经典密码与量子密码融合
量子计算发展的很快,目前我们认为现代公钥密码对量子计算机抗破译能力在是10年之内,关于量子计算形成实质性的破译能力,有专家提到会在2030年左右。比如说RSA1024其实已经不算难题了,它的安全程度大概就是112,如果穷举了“2”的112次方,基本上RSA1024就不算安全了。包括后续好多的算法,在量子计算的影响下几乎都是不再安全的,但是量子密码它是不可克隆、不可分割的,所以量子通信相对来说还是比较安全的。
比较量子密码和经典密码在理论和工程实践上的相同点、不同点,可以看出量子密码固然很重要,但是不能摒弃经典密码,经典密码应该拥抱量子密码。目前采用的经典密码不知道未来会有什么破译方法,所以在高安全等级的数据安全要求和需求下,需要我们通过量子密码和经典密码的融合达到真正的安全。
比如通过波分复用的方式,我们在同一个光纤里面既能够走经典,也能够走量子,这就是一个很好的融合。再有,量子密码主要是解决在密钥协商过程中的一些安全性问题,而数据加密或是一些完整性保护,还是需要通过经典的密码来实现。两个密码同时用,能够保证更高强度安全的处理防护。
构建大规模、实用化的量子计算可能需要很长的时间,在这段时间里我们有足够的能力去更新量子密码基础设施,比如说更新到抗量子。因为后量子需要的存储空间非常大,在一些终端芯片、终端设备上面可能做不到很高等级的防护,这就形成了工程上新的困难问题。但我们利用这个时间,肯定能够在量子计算实用化之前达到。
美国NIST从2016年就已经开始征集下一代的算法,但是比较遗憾,到第四轮公开的时候马上就出现了破解方法。所以究竟怎么样是安全的,理论和工程实践上都需要时间来检验。
总结一下,经典肯定是要接纳量子,量子也离不开经典,二者是一枚硬币的两面,但绝对不是对立面,它们是可以融合的。
最后送上一首诗与量子密码、经典密码人共勉:
弹指一挥四百年,
两朵乌云已成烟。
量子经典今何去?
相逢一笑泯恩怨。
