未來已來：機密數據保護進入新時代

盡管量子計算機的面世還需要十年或更長時間，但美國國家標準與技術研究院（NIST）正在制定新的加密標準，以取代目前脆弱的保護措施。

破壞數據安全的事故幾乎每天都在發生，但更糟糕的情況可能即將到來：密碼學家一致認為，量子計算機將能夠破解當前保護電子商務交易、移動設備對話、社會保障號碼等個人標識、國家安全、工業機密以及其他機密信息的加密系統。而且，當量子解密能力達到一定程度時，網絡上已經存在的大量信息都可以得到保存并被解密。

至于量子計算機何時會使當前加密技術過時，目前還沒有達成共識。2022年，全球研究院和加拿大量子安全咨詢公司EvolutionQ進行了一項調查。在40位學術屆和工業屆量子計算領袖中，有20人表示，這種情況在10年內發生的概率超過5%，而9名受訪者表示，概率為50%或更大。14位受訪者表示，20年內出現這種情況的概率達70%，而在30年內，除5人之外，所有人給出了相同的概率。

如果這樣的計算機在未來幾十年內問世，那么今天通過網絡共享的大部分敏感信息可能會變得脆弱不堪。“想象一下，你有一些想要保存30年的機密信息，” NIST計算機安全數學家達斯汀 · 穆迪（Dustin Moody）說，“它們現在是安全的，但如果量子計算機在15年后出現，就會有人能夠破解這些機密。與你預想的時間相比，他人獲取這些信息的時間提早了15年。”

許多專家都確信，美國和其他國家的情報機構一直在大量收集和存儲他們目前無法解碼的數據，等待有朝一日用量子計算機將其解密。

另一方面，美國及其眾多盟友禁止使用華為公司的電信產品。摩斯拉（Mozilla）公司的密碼學工程師約翰 · 施坎克（John Schanck）表示，機密圈之外的人不知道實際發生了什么，但這正是在風險評估行業的密碼學家的觀點：如果有人可以做某件事，你可能就會認為他們在這么做。

來自德國馬克斯 · 普朗克研究所安全與隱私部門的彼得 · 施瓦布（Peter Schwabe）表示：“量子計算機的問世很可能是嚴格保密的。一旦這臺計算機建成，我們什么時候能知道？誰來建造它？因此，很難確定哪個國家會率先擁有量子計算機，以及它們是否會公開這一信息。”

后量子密碼

2022年12月，美國總統拜登簽署了一項法案，指示聯邦機構加快采用后量子密碼（PQC）的進程。如今，NIST即將對三種旨在保護網絡數據免受量子解密和欺騙的算法進行標準化。第四種算法預計將在2024年以草案形式提出。

雖然加密算法所保護的信息往往都是機密，但開發算法的過程則完全公開。這與德國在第二次世界大戰期間盟軍不得不破解的恩尼格瑪密碼等機要密碼形成鮮明對比。穆迪表示：“現代密碼學的有趣之處在于，你不會認為任何東西對攻擊者來說都是秘密，而會假設他們完全了解你的安全系統的運作方式。即使他們知道這些，你也希望能夠確保安全。”

NIST的后量子密碼研究工作可以追溯到2016年，當時該機構邀請了世界密碼學專家提交后量子密碼候選方案。來自學術界和工業界的團隊一共提出了69個方案。這些方案先在內部進行評估，然后發布到外部，以便進行充分分析和破解。通過三輪淘汰賽，NIST篩選出了7個方案進入最后角逐，還確定了8個備選方案。

NIST選擇了三種用于后量子密碼學的算法，預計2024年將會推出第四種。它們基于模塊格和哈希函數，這是兩個可以抵抗量子計算機攻擊的數學問題家族

2023年8月，NIST公布了三個后量子加密算法草案，并公開向公眾征求意見。2024年，NIST計劃將其作為聯邦信息處理標準、數據安全和計算機系統標準發布，聯邦機構必須遵守這些標準，與聯邦機構有業務往來的企業和其他組織也必須遵守這些標準。第四種算法預計將在2024年獲得標準草案。包括歐盟在內的許多其他政府預計將遵守NIST的標準，而不是制定自己的標準。

穆迪表示，使用經典計算機來評估后量子加密算法是一件非常棘手的事情，因為你必須嘗試評估量子計算機的運行方式。“我們不知道它的運行速度會有多快，或者成本會有多高，所以我們盡可能推斷出最好的結果，并把參數設置得足夠高。”

在2022年評選的后期，NIST的兩個候選算法被破解。一個IBM團隊在筆記本電腦上用53小時破解了進入倒數第二輪淘汰賽的Rainbow算法。進入最后一輪的SIKE算法采用了一種相對較新的橢圓曲線之間映射的數學方法，但被一臺臺式機在1小時內破解。

穆迪介紹說，NIST已經決定對SIKE進行進一步評估。該算法的失敗表明，評選過程達到了預期目的——“適者生存”。在四個標準草案中，施瓦布參與了其中三個。盡管并未專門針對SIKE，但他表示這一失敗“非常令人震驚”，而且出乎意料。但他補充說，這并不一定會排除其他采用類似數學方法的方案。

公鑰和私鑰

加密可以是非對稱的，也可以是對稱的。在非對稱加密系統（也稱為公鑰加密系統）中，構成加密密鑰的數字或字母字符串是公開的，任何人都可以使用它來對消息進行編碼。只有接收方才有權訪問解密密鑰，從而讀取消息。在對稱加密系統中，則使用相同的密鑰對消息進行編碼和解碼。發送方和接收方一旦使用公鑰加密進行通信，他們就會交換一個用于后續消息的對稱加密密鑰。

施坎克說，通常非對稱系統比對稱系統更不安全。“非對稱系統是公鑰系統，這意味著你連接的服務器可以公開密鑰。任何人都可以看見它，任何人都可以對其進行加密，因此無法做到絕對安全。”

從根本上來說，所有加密算法都是數學問題。今天廣泛使用的公鑰加密算法通常具有128位加密的安全性，這意味著如果使用暴力攻擊，破解加密密鑰需要計算機進行2128次操作。相比之下，據估計，地球上有2166個原子。國家安全數據需要更強大的256位加密。

RSA公鑰算法基于將大整數因子分解成質數的難度——NIST建議使用超過600位的大整數。從理論上說，使用當今高性能計算機并通過暴力攻擊進行因子分解不是不可能，但保守估計，一臺超級計算機也需要運行1600萬年才能完成。目前使用的其他加密方法具有相似的安全級別，它們使用了不同的計算難題。

但專家們一致認為，如果在足夠強大的量子計算機上運行數學家彼得 · 肖爾（Peter Shor）30年前開發的算法，密碼學家在幾分鐘內就可以破解當前非對稱加密系統。他們表示，肖爾的算法是一個簡單的量子算法，而解密應該是量子計算機最容易執行的任務之一。

對于對稱密鑰加密，NIST于2001年首次批準的256位高級加密標準版本已經被認為具有量子抗性。雖然量子計算機無法破解對稱加密，但可能只是需要一個稍長的密鑰。“但我們不必更換整個加密系統。”穆迪說。

混合加密

對于一般加密目的的后量子加密，NIST會選擇Kyber——它是代數晶格密碼學套件（CRYSTALS）的一部分。作為眾多合著者之一，施坎克正在努力將其整合到火狐網絡瀏覽器中。他說，在瀏覽器和Web服務器之間建立安全連接的網絡協議（如傳輸層安全協議）已經得到調整，以適應采用Kyber加密的實驗。許多企業，包括IBM、谷歌、亞馬遜網絡服務和云火炬（Cloudflare），已經在它們的網絡中部署了某個版本的Kyber。一旦NIST制定了正式標準，很可能會對傳輸層安全協議做出進一步調整。

量子計算機能夠解密采用當今加密算法保護的信息，但仍可能需要十年甚至更長時間。但是專家警告稱，它們可以輕而易舉地解碼現在正在收集和存儲的敏感信息

其中兩項標準草案適用于數字簽名，用于驗證身份，并阻止虛假網頁和惡意軟件更新。像Kyber一樣，Dilithium也是代數晶格密碼學套件的一部分，它使用了一種被稱為模塊格的數學框架。SPHINCS+ 是一種執行哈希函數的無狀態簽名方案。

標準制定互聯網工程任務組建議將Kyber等后量子加密方案與預量子加密結合使用，以確保部署新開發的算法不會降低安全性。Chrome網絡瀏覽器目前正在將Kyber與現有預量子算法融為一體。

“這些標準將在2024年發布，屆時它們還需要得到實施并進行測試，審計人員必須編寫認證準則，”荷蘭埃因霍溫科技大學密碼學家、SPHINCS+的共同開發者安德烈亞斯 · 赫辛（Andreas Hülsing）說道，“要將它們部署到關鍵基礎設施部門，至少還需要三到四年的時間。”

穆迪表示，NIST正在考慮另外兩種標準化算法。這兩種算法都用于通用加密，并且都基于糾錯碼（糾錯碼應用的基本原理是在數據傳輸和存儲以及移動通信網絡中不斷發生錯誤）。在這些加密方案中，錯誤會在傳輸之前被故意插入，然后在解碼期間得到糾正。

Kyber在一些平臺上的運行速度比目前廣泛使用的預量子算法要快，但采用Kyber公鑰算法的傳輸層安全性消息容量很大——大約為1千字節——而目前的方案則使用兩位數的字節。谷歌和云火炬公司表示，它們已經證明了Web服務器可以輕松處理容量較大的信息。但是一些網絡“中間盒”設備（例如防火墻）如果未經更新，會拒絕采用Kyber編碼的消息。目前，Chrome瀏覽器為受影響的網絡管理員提供了禁用Kyber的功能。

另一個尚待解決的問題是后量子加密將如何影響“物聯網”，即控制汽車功能和傳感器以及開關等許多工業和基礎設施流程（包括電力傳輸、水處理、石油和天然氣管道運營）的網絡微處理器設備。穆迪表示：“雖然筆記本電腦和手機可以輕松處理較大的后量子加密，但許多較小的物聯網設備卻無法做到這一點。在這一方面，有很多研究正在進行。”

“一些（物聯網）系統需要更換，一些系統將進行軟件更新，還有一些系統在使用壽命結束之前都會很不安全。”施坎克總結道。

資料來源 Physics Today