量子時代的網絡安全挑戰如何應對?

  點擊數:123  發布時間:2020-01-13 14:54
量子通信是利用量子態作為信息載體進行傳遞的新型通信技術,在保密通信、量子云計算、分布式量子測量、未來量子互聯網的構建等方面發揮重要作用。量子密鑰分發是量子通信的典型應用,有望為信息安全領域帶來可實現的長期安全性保障。密碼是網絡安全的基石。量子計算與量子通信的發展為密碼安全帶來新一輪矛與盾的碰撞和演進。
關鍵詞:量子通信 ,網絡安全

導語

量子技術與信息技術深度融合,促進了以量子通信、量子計算和量子測量為代表的第二次量子革命蓬勃興起。量子計算是一種遵循量子力學規律調控量子信息單元進行計算的新型計算模式,提供超強的計算能力,不僅能夠快速破解經典密碼,還在生物制藥、優化問題、數據檢索等方面擁有廣泛的應用前景。隨著產業界持續加大力度投入,量子計算機的發展已呈加速之勢,這將對基于計算復雜度的經典密碼學帶來嚴峻的挑戰。量子通信是利用量子態作為信息載體進行傳遞的新型通信技術,在保密通信、量子云計算、分布式量子測量、未來量子互聯網的構建等方面發揮重要作用。量子密鑰分發是量子通信的典型應用,有望為信息安全領域帶來可實現的長期安全性保障。密碼是網絡安全的基石。量子計算與量子通信的發展為密碼安全帶來新一輪矛與盾的碰撞和演進。

 1從經典密碼到量子密碼

密碼學擁有數千年的歷史,在數字時代之前,密碼學主要用于保護軍事、政務、外交等具有高度保密性要求的通信,在人類歷史中扮演著重要的角色。在信息化高度發達的今天,密碼學技術的使用幾乎無處不在,特別是在互聯網中應用極廣,對于保護日益數字化的世界至關重要。

密碼學是在密碼設計者和破解者的智慧較量中形成的一門藝術。每當現有密碼被攻破,密碼設計者們就會重新開發出更強大的密碼來保證通信安全,這又會引發密碼破譯者們不斷嘗試新的攻擊方式。

密碼學的終極目標是開發出“絕對安全”的密碼方案,即假使敵手擁有無限強的計算能力,仍然無法破譯這種密碼,也就是所謂的無條件安全性。這樣的終極密碼是否存在呢?令人驚訝的是,早在1917年,Gilbert Vernam發明一次性密碼本(OTP)時就已實現了該目標。信息論的創立者香農(Claude Shannon,1916—2001年)1949年理論上證明了OTP密碼具有的無條件安全性,或稱信息理論安全性(Information-Theoretic Security,ITS)。

作為一種加密算法,OTP類似于其他現代密碼系統,同樣使用密鑰來進行加密和解密,加密算法本身是公開的,其安全性由密鑰的安全性來保證。OTP算法的實現需要滿足3個條件,分別是“密鑰必須完全隨機”“密鑰不能重復使用”“密鑰需與明文等長”。其無條件安全性并不難以理解,因為與明文等長的同一密鑰加密的密文只出現一次,這使得在無法獲知明文的情況下,任何算法即使窮舉也無法破譯出該密鑰;另外,密鑰使用一次即丟棄,因此即便破譯者得到了部分密鑰也無法用于破譯其他密文。

傳統OTP加密美中不足之處是需要印刷大量的密碼本,且實際分發操作難度很大。原則上牢不可破的OTP,一旦發送方Alice和接收方Bob用盡了預先共享的安全密鑰,其安全通信將不得不中斷,直到再次獲取新的密鑰。這就是眾所周知的密鑰分發難題,它涉及到經典物理中兩個不可實現的任務:一是如何生成真正完全隨機的密鑰;二是如何在不安全的公共信道上無條件安全地分發密鑰。隨著量子信息技術的發展,人們發現基于量子物理學可以為這些問題提供答案:真正的隨機數可以通過基本的量子物理過程生成,通過量子通信技術則可實現在公共信道上也無法竊聽的密鑰分發。

但在現代密碼系統中,人們采用更簡單易行的、基于數學算法的方法來解決密鑰分發的問題。這些方法將信息理論安全要求放松為基于計算復雜度的安全性,即假設破解算法所需的計算復雜度足夠高,使得敵手在當前及可預見的未來所擁有的計算能力都無法破解即可。

為了減少隨機密鑰量的消耗以簡化密鑰分發過程,大多數現代加密系統中使用短密鑰來加密很長的消息,如DES、AES等算法。一種典型的應用場景是在手機SIM卡中預置長期不變的128位根密鑰,用于控制SIM卡整個生命周期中的數據加解密。這種方案要求信息的發送方用于加密和接收方用于解密的密鑰完全相同,通常稱為對稱密鑰密碼學。

對稱密碼雖然大大減少了隨機密鑰的消耗,但沒有解決密鑰分發問題。在公鑰密碼學出現之前,僅能通過人工預置的方式分發密鑰。為了充分解決密鑰分發問題,1977年Ron Rivest、Adi Shamir和Leonard Adleman發明了著名的RSA方案(以發明者首字母命名)。RSA是一種非對稱的密鑰算法,即加密和解密采用兩個密鑰,使用其中一個密鑰加密的信息,僅能通過唯一對應的另一個密鑰進行解密。這兩個密鑰由特殊的數學問題產生,已知其中一個密鑰很難計算出另一個密鑰,例如RSA算法建立在兩個大質數的積易于得到而難于分解的問題之上。這樣消息接收者Bob可將其中一個密鑰作為“私鑰”保存起來,將另一個密鑰作為“公鑰”通過公共信道廣播給消息發送者Alice。Alice即可用Bob的公鑰對消息加密發送,然后Bob通過其私鑰解密。

公鑰密碼算法克服了密鑰分發問題,但由于其運算量大,加密效率較低,通常用于加密傳遞(或稱分發)對稱密碼的密鑰。這種“利用公鑰算法分發對稱密鑰,然后基于對稱密鑰進行加解密”的混合方案在當今的密碼系統中得到廣泛應用。

公鑰密碼學的安全性依賴于一定的數學假設,例如RSA的安全性基于當時很難找到對大整數的素數因子進行分解的有效方法。然而,無法排除未來有人能找到這樣的方法。1994年,Peter Shor即證明了通過量子計算機可高效求解質因子分解問題和離散對數問題 。因此,只要第一臺大型量子計算機開機,當前大多數密碼系統就可能在一夜之間崩潰。

有趣的是,當人們意識到可以使用量子計算機破解公鑰密碼體制的10年前,就已經找到了可以應對這種攻擊的解決方案,即量子密鑰分發(Quantum Key Distribution,QKD)?;诹孔游锢淼幕驹?,QKD提供了一種理論上無條件安全的密鑰分發方式,即使通過不安全的信道分發密鑰也無法被竊聽。QKD生成的安全密鑰可以進一步應用于OTP方案或其他加密算法中,以提高信息安全性。

量子算法帶來的沖擊也促進了經典密碼學的進一步演進?,F有的量子算法相對于傳統密碼算法的“指數”加速性并不是對所有數學問題都成立。緊隨Shor算法的出現,國內外密碼學家已對基于格、編碼、多元多項式等新問題的密碼方案開展了大量研究,期望設計出可對抗量子計算攻擊的新型公鑰算法,這些研究稱為后量子密碼學(Post-Quantum Cryptography,PQC)。

可以看到,量子信息科學的發展對密碼學帶來的深遠影響正在逐步顯現,圍繞量子計算機這超越經典運算能力的超強攻擊手段,密碼學領域又掀起了新一輪矛與盾的對抗。


量子安全問題及其重要性

2.1    量子計算機帶來的密碼安全威脅

量子計算機能夠以特定的計算方式有效解決一些經典計算機無法解決的數學問題。這種用于量子計算機的運算操作方法,就是所謂的“量子算法”。目前,最著名的量子算法是Shor算法和Grover算法,已經能夠威脅到當前廣泛應用的密碼體系。

由于現有商用密碼系統均是基于算法復雜度與當前計算能力的不匹配來保證其安全性,而Shor算法可以將對于經典計算機難以解決的大整數分解問題和離散對數問題,轉換為可在多項式時間求解的問題。這使得量子計算機可利用公鑰高效地計算得到私鑰,從而對現有的大部分公鑰算法構成實質性威脅。

Grover算法則能夠加速數據搜索過程,其將在數據量大小為N的數據庫中搜索一個指定數據的計算復雜度降低為O(根號N),從而降低了對稱密鑰算法的安全性。例如,對于AES-128算法的密鑰空間進行遍歷搜索,采用Grover算法相當于將AES-128的破解復雜度降低為AES-64的級別。

針對現有密碼算法受到量子計算影響的程度,美國國家技術標準研究所(NIST)、歐洲電信標準協會(ETSI)等組織已進行了一些評估。

2.2    量子安全問題的影響范圍

目前,已知對于量子計算機攻擊處于高危狀態的安全協議或密碼系統包括:

(1)建立在大整數因子分解和離散對數問題計算復雜度之上的公鑰密碼算法,包括RSA、DSA、Diffie-Hellman、ECDH、ECDSA及其他變種。需要指出的是,幾乎所有重要的安全產品和協議在公鑰密碼學部分都在使用這幾類算法。

(2)基于上述公鑰密碼算法的任何安全協議。

(3)基于上述安全協議的任何產品或安全系統。

如圖1所示,傳統公鑰算法(如RSA、ECC等)廣泛用于各類安全協議和應用服務,因此量子安全問題的影響范圍極廣。

2.3    量子安全問題的緊迫性

目前,可用于破解密碼的實用化量子計算機仍未出現,且距離該目標仍有相當長的距離。那么在這之前,是否可以忽視量子安全問題所帶來的風險呢?

如何應對量子安全問題,何時啟動應對措施,這不僅涉及到需要多久來研發成功量子計算機,同時還需考慮具體應用的安全性要求,以及現有網絡基礎設施遷移到新的量子安全密碼所需的代價和時間。這里引用一個簡單的公式來分析量子安全問題的緊迫性,首先假設:X = 具體應用所要求的信息保密年限(年),Y = 當前信息安全設施遷移到新的量子安全密碼方案所需的時間(年),Z = 建成可破解密碼的大型量子計算機所需時間(年)。

如果“X+Y>Z”的話,意味著該應用有部分信息將無法達到其保密年限要求。在圖2所示的MIN(X+Y-Z,Y)年內,攻擊者完全可以通過監聽在公共信道上傳輸的信息并存儲下來,然后等若干年后量子計算機實現時提前解密這些信息。從技術上來看,當前飛速發展的大數據技術為海量網絡數據的存儲和分析提供了可行性。

X的取值取決于具體應用的安全性要求,例如信用卡通常要求X=5年。實際上,還有很多應用需要保障長期的機密性。例如,醫療數據的保密年限,通常要求大于患者的壽命時長;個人的基因組數據,則需要更長的保密時間;金融、政務、軍事等高度機密的數據則往往要求更嚴格的保密期限,有些甚至需要無限期的保護。

關于大型量子計算機的構建時間Z,在2015年NIST關于后量子時代的網絡空間安全研討會上,有專家給出預測在2026年前實現的概率為1/7,在2031年前實現的概率為1/2。劍橋大學Simon Benjamin教授給出似乎更精確的預測,其認為構建可容錯的量子計算機已不存在理論上的困難,但有效破解RSA算法需要約600萬量子比特,在投資充足的情況下(約需300億美元)需6~12年即可實現,否則在現有投資水平下則需15~25年;另外,其認為一旦非容錯的量子計算機理論取得突破,則僅需數千量子比特即可破解RSA算法,粗略估計在投資充足的情況下5~7年即可實現,否則需8~12年。

關于現有系統向量子安全方案升級所需的時間Y,需要針對不同的遷移路線分別考慮。NIST目標重新設計新型的后量子公鑰算法(PQC),其標準發布的預計時間在2023—2025年。而新的密碼算法標準推向市場,通常還需要多年的時間才能完成應用整體的遷移,這樣Y將很可能在10年以上。另外,采用量子密鑰分發替代基于公鑰的密鑰交換也是可選的方案之一,但其對網絡和設備的特殊要求,使得目前僅能適用于一些特殊業務場景。

可見,目前ICT應用所面臨的量子計算安全挑戰已十分嚴峻。對于一些保密年限要求較長的信息系統,應該立即考慮啟用抗量子計算機攻擊的保密通信技術。


 3 量子安全問題的應對措施

量子計算帶來的潛在安全威脅已經引起了全球性的廣泛重視。如何應對“量子安全”問題,設計能夠抵御量子計算攻擊的量子安全密碼,已成為下一代信息通信系統必須考慮的問題。目前,業界考慮的應對措施主要包括基于現有密碼的加強、研發新型的后量子公鑰密碼和基于量子物理的量子密鑰分發技術。

3.1    現有密碼的加強

由于目前可用于破解對稱密鑰算法的Grover量子算法,在搜索密鑰空間時相比經典搜索算法僅能提供平方加速能力。這意味著一旦量子計算機強大到可以破解N位密鑰長度的對稱密碼時,只需要將密鑰的長度擴大至原來的兩倍,量子計算機的破解難度就會上升至與經典計算機類似水平。例如,AES-128對于當前的經典計算機來說難以破解,而AES-256對于量子計算機來說同樣也很難破解。

在美國國家安全局(NSA)2016年發布的“關于量子計算攻擊的答疑以及新的政府密碼使用指南”中,明確指出未來量子計算機的實現將威脅當前所有廣泛使用的密碼算法,并重新定義了其國家商用安全算法集合。

在對稱密碼方面,棄用了原有的AES-128和SHA-256算法,使用更長密鑰的AES-256和更長輸出的SHA-384算法,以應對將來可能出現的量子計算攻擊。在公鑰密碼方面,由于目前還沒有很好的量子安全解決方案,其僅是增加了原有RSA和ECC算法的密鑰長度,并提請美國國家技術標準研究所(NIST)盡快建立后量子時代的公鑰算法密碼標準(PQC)。

3.2    后量子公鑰密碼學(PQC)

Shor算法能夠破解公鑰密碼主要是針對兩個特定的計算問題——即整數因子分解和離散對數問題,找到了遠超越經典計算機的量子計算方案。事實上對于某些數學問題,Shor量子算法相對于傳統算法并沒有明顯的優勢。

目前,認為可抵抗量子算法攻擊的數學問題主要來源于格理論、編碼理論、多元多項式理論等數學領域的研究。但是,以這些新方法為基礎構建量子安全的公鑰密碼也還面臨一些新的挑戰,例如與傳統公鑰算法相比,它們往往需要更長的密鑰和數字簽名。

當前的互聯網及很多其他系統所使用的安全協議及產品,對于公鑰密碼學的依賴程度很高。采用基于新的數學問題的公鑰算法來應對量子安全問題,無疑是一種對現行密碼體制影響較小、易于現有網絡安全基礎實施遷移的解決方案。

目前,國際上PQC技術仍處于研究及標準化初期。美國NIST于2015年起針對后量子時代的密碼技術開展了大量預研工作,并于2016年年底正式啟動PQC項目,目標制定可抵抗已知量子算法攻擊的新型公鑰算法標準,其工作計劃如下:

(1)2016年12月:面向公眾征集PQC提案(量子安全的公鑰加密、密鑰協商、數字簽名方案)。

(2)2017年11月30日:PQC提案征集截止。

(3)歷時3~5年的方案評估期。

(4)評估完成的2年后發布標準草案(即2023—2025年)。

NIST首輪征集到來自全球密碼學家提出的69種算法,正在開展緊鑼密鼓的安全性評估工作。但可以看到,用于破解密碼的量子算法也在不斷演進,如何保證可抵御現有Shor算法的PQC不被隨時可能出現的新型量子算法攻破,亦成為密碼學界面臨的難題。

3.3    量子密鑰分發(QKD)

量子密碼學的研究源于Bennett和Brassard的開創性工作。不同于經典密碼學,量子密碼學的安全性保障并不來自于數學算法的計算復雜度,而是建立在量子物理學的基本定律之上。這些物理定律可以認為是永久有效的,使得QKD能夠提供獨特的長期安全性保障,這是量子密碼學的重要特征和優勢。

所謂的長期安全性理念,來自信息論的鼻祖香農(C. Shannon)1949年提出的信息理論安全模型,其證明在一次性密碼本(OTP)的加密下,即使敵手的算力無限強,也無法從密文中竊取任何信息,這使得竊聽者的存在毫無意義。通過OTP加密與信息理論安全密鑰交換的組合,即構成了可實現長期安全性的密碼方案,而這正是量子密鑰分發(QKD)發揮其獨特優勢的地方。無論是從理論還是實踐來看,QKD都是迄今為止實現長期安全性密鑰交換的最佳選擇。從實踐上來看,基于QKD的保密通信技術已經在美國、奧地利、中國、日本、瑞士、英國等國家得到了廣泛的試驗部署和應用驗證。

基于OTP+QKD的長期安全性保密通信方案距離廣泛應用仍然有很長的路要走。首先,OTP加密要求密鑰與明文數據等長且只能使用一次,這要求QKD產生的密鑰速率必須與經典通信的信息速率相當,顯然目前QKD的成碼率無法滿足除語音之外的大多數業務進行OTP加密的需求。但是可以看到,QKD技術仍然在快速發展,未來點對點QKD可以達到更高的速率、更遠的傳輸距離;另外,基于量子糾纏實現量子態存儲和轉發的量子中繼器也正在加速研制,已經不存在理論上的瓶頸。

在QKD的性能瓶頸真正解決之前,人們還可以采用QKD與對稱密鑰算法混合使用的過渡方案,實際上這種混合方案已經在QKD試驗及商用系統中廣泛使用。通過QKD代替公鑰算法來保證對稱密鑰的安全分發,然后再通過對稱密鑰算法來保護大量信息傳輸的機密性,即可同時兼顧傳輸性能和安全需求。這種混合解決方案也是當前對抗量子計算攻擊的可選方案之一。

 4 結束語

量子信息技術的發展必將為信息社會的演進注入新動力。然而,量子計算帶來的密碼安全威脅則不容忽視,特別是對于一些保密年限要求較長的場景,亟需立即采取應對措施。目前,一方面建議對于經典對稱密鑰密碼體制進行加固,同時應加快抗量子攻擊的公鑰密碼算法研發及標準化進程。另外,對于采用基于量子物理的QKD等新型量子密碼方案,同樣應予以足夠重視。作為人類首次利用量子物理手段來實現保密通信的創新實踐,QKD的發展面臨著成本經濟、商業模式等諸多挑戰,但同時也得到了產業界和學術界的大力支持。

在設備層面,QKD的性能增強、小型化,甚至芯片化已在不斷迭代升級;在組網層面,基于可信中繼的QKD網絡也在不斷地擴展完善;在標準層面,ITU、ISO/IEC JTC1、ETSI、CCSA等國內外標準組織正在加速制定相應的技術標準;在應用層面,QKD在需要長期安全性保障的領域,例如金融、政務、醫療等方面的商業應用已在逐步成形??梢钥吹?,量子保密通信技術呈現出蓬勃發展的勢頭,隨著技術和產品的不斷發展成熟,將來必然擁有廣闊的應用前景。

作者簡介:

馬彰超,國科量子通信網絡有限公司標準總監,高級工程師,博士。中國通信標準化協會ST7量子信息處理組副組長,ITU-T FG QIT4N量子密鑰分發網絡工作組主席。

來源:《信息通信技術與政策》



相關文章


熱點新聞
推薦產品
 
篮球小说 山东十一选五一定牛 国内有什么好的股票配资平台 吉林快3预测豹子今日 福彩官网论坛 10万理财一年多少收益 安徽十一选五走势图开奖结果 鑫牛配资 广东快乐10分 今天开盘的股票 002349股票分析