如今,幾乎所有的網際網路資料,包括銀行交易、病歷和安全聊天在內,都受到了非對稱加密(RSA)演算法的保護,這種加密方案以其建立者李維斯特(Rivest)、薩莫爾(Shamir)和阿德爾曼(Adleman)名字的首字母命名。這種方案基於一簡單的事實:即便使用世界上最強大的超級計算機,也幾乎不可能在合理的時間內計算出一個大數字的質因數。然而,如果大型量子計算機建成,完成這項任務就變得輕而易舉了,而這也會動搖整個網際網路的安全性。另一種常見的加密方案則是橢圓曲線加密(ECC),它同樣容易受到量子計算機的影響。
但是,量子計算機只在解決特定問題上優於經典計算機,對於許多加密方案,量子計算機沒有任何優勢。2024年8月中旬,美國國家標準與技術研究院(NIST)宣佈了3種後量子密碼(PQC)方案的標準。有了這些標準後,美國國家標準與技術研究院鼓勵計算機系統管理員儘快開始過渡到抗量子計算機的安全措施。
這些標準很可能是未來網際網路的重要組成部分。美國國家標準與技術研究院負責加密小組並領導標準化程序的陳麗麗(Lily Chen,音)說,美國國家標準與技術研究院之前的加密標準是在20世紀70年代制定的,幾乎用於所有裝置,包括網際網路路由器、電話和筆記型電腦。採用新方案不可能一蹴而就。
“如今,公鑰加密在所有裝置中可謂無處不在。”陳麗麗說,“現在,我們的任務是替換所有裝置上的協議,這並非易事。”
大多數專家認為,至少未來十年內不會建成大規模的量子計算機。那麼為什麼美國國家標準與技術研究院現在就擔憂?主要有兩個原因。
首先,許多使用非對稱加密或橢圓曲線加密安全方案的裝置(如汽車和某些物聯網裝置)預計將繼續使用至少十年。因此,在投入實際應用之前,需要為其配備量子安全加密技術。
其次,惡意個人可能會下載並存儲加密資料,並在足夠大的量子計算機上線後破解這些資料。這個概念被稱為“先獲取,後解密”,實質上,它對現有的敏感資料構成了威脅,哪怕未來才能破解這些資料。
恩智浦半導體公司的首席安全架構師、密碼學家約斯特•雷內斯(Joost Renes)說,多個行業的安全專家已經開始認真對待量子計算機的威脅了。“2017和2018年時,人們會問:‘什麼是量子計算機?’”雷內斯說,“而現在,人們問的是:‘後量子密碼標準什麼時候出臺,應該實施哪一種?’”
LGT金融服務公司的首席技術官理查德•馬蒂(Richard Marty)對此表示贊同:“我們不能靜坐旁觀。我們希望儘快作好準備,並實施解決方案,避免‘先獲取,後解密’。”
早在2016年,美國國家標準與技術研究院就宣佈了一項最佳後量子密碼演算法的公開競賽。該競賽收到了來自25個不同國家和地區的82份參賽作品。之後,美國國家標準與技術研究院透過4輪淘汰賽,最終在2022年將候選池中的演算法縮減到4個。
這個漫長的過程是一次群體性的努力,美國國家標準與技術研究院獲得了來自密碼學研究、業界和政府利益相關者的支援。“業界提供了非常有價值的反饋。”美國國家標準與技術研究院的陳麗麗說。
4種獲勝演算法最初的名字都各有特色:CRYSTALS-Kyber、CRYSTALS-Dilithium、Sphincs+和Falcon。現在,這些演算法被稱為聯邦資訊處理標準(FIPS)203到206。根據美國國家標準技術研究所在2024年8月份釋出的公告,FIPS 203、204和205標準已經可以實施;FIPS 206,即之前被稱為Falcon的演算法,預計將在今年年底前實現標準化。
這些演算法分為兩類:FIPS 203的用途是一般加密,用於保護透過公共網路傳輸的資訊;FIPS 204、205和206的用途是數字簽名,用於驗證個人身份。陳麗麗說,數字簽名在防止惡意軟體攻擊中至關重要。
雖然每個加密協議基礎都是一個很難解決的數學問題,但一旦有了正確答案,就很容易進行核對。在非對稱加密中,這個數學問題是將大數字分解成兩個質數,經典計算機很難計算出這兩個質數是什麼,但一旦有了一個質數,就很容易用除法運算並得到另一個質數。
FIPS 203和204(以及即將實施的FIPS 206)則基於不同的難題,即格密碼學。格密碼學依賴於一個棘手的問題:在一組數字中找到最小公倍數。通常這是在多維度上實現的,即在格中,最小公倍數是一個向量。
第三種標準化方案FIPS 205則是基於雜湊函式,即將訊息轉換為難以逆轉的加密字串。
這些標準包括加密演算法的計算機程式碼、實現方法的說明,以及其預期用途。每個協議都有3個級別的安全措施,目的是在發現演算法中的一些弱點或漏洞時,確保標準不會過時。
在2024年早些時候,一篇發表在arXiv上的預印本論文引起了後量子密碼界人士的警覺。這篇論文的作者是北京清華大學的陳一鐳,這篇論文指出,基於格密碼學的密碼技術(FIPS 203、204和206的基礎)也不能免受量子攻擊的影響。但進一步的稽核發現,陳一鐳的論點存在漏洞。
“那篇論文的結論是無效的。這意味著基於格密碼學的密碼學譜系仍然是安全的。”國國家標準與技術研究院的陳麗麗說。
另一方面,這一事件凸顯了所有加密方案的核心問題,即沒有證據證明這些方案所基於的數學問題確實是“難解的”。即使是對標準非對稱加密演算法,唯一的證據也只是人們長期以來一直試圖破解密碼,但總是失敗。由於包括格密碼學在內的後量子密碼學標準較新,因此並不確定有人會找到破解它們的方法。
也就是說,這次最新嘗試的失敗只建立在演算法的可信度之上。論文的漏洞在一週之內就被發現了,這表明有一個活躍的專家群體在研究這個問題。“人們在努力打破這個演算法。許多人都在嘗試,他們非常努力,實際上這給了我們信心。”國國家標準與技術研究院的陳麗麗說。
國國家標準與技術研究院的標準只是未來將所有裝置過渡到安全後量子密碼任務的開始。要完全保護世界免受量子計算機帶來的威脅,還需要投入時間和金錢。
在LGT金融服務公司,“我們花了18個月的時間進行過渡,投入了大約50萬美元。”馬蒂說,“雖然我們有一些(後量子密碼的)例項,但要實現全面過渡,我無法給出具體數字,我們要做的還有很多。”
作者:Dina Genkina