编者按:2020年4月9日,兰德公司发布报告《在量子计算时代确保通信安全》(Securing Communications in the Quantum Computing Age),旨在探讨量子计算机对当前用于保护信息和通信基础架构的数字加密系统带来的潜在风险。《报告》认为量子计算能够破解现有的加密系统,可能会对现有的通信基础设施产生颠覆性影响,身份验证的安全与通信隐私将难以保证,军事情报系统、金融交易系统乃至全球经济的支持系统都将面临潜在的巨大风险。对此,报告为美国提出了一系列针对性建议,以应对未来量子计算的安全威胁,包括加快推动后量子密码(Post Quantum Cryptography,PQC)及其标准协议的制定,增强网络弹性(Cyber Resilience)和加密敏捷性(Cryptographic Agility)等。
一.背景介绍
自互联网诞生以来,公钥加密(Public Key Cryptography,PKC)已成为所有可信数字通信的骨干,它为人们以多种数字交互方式进行重要和敏感信息共享提供足够的隐私和安全性,确保了开放式网络通信的基本信任。
在PKC中,每个用户都有两个密钥(公钥和私钥),用公钥加密的任何消息只能用私钥解密,因此可以在可观察的通道上安全地传输。尽管公钥和私钥在数学上是相关的,而且当密钥足够小时,从公钥确定私钥在技术上是可能的,但是由于导出公钥所需的操作(作为数字分解和解决离散对数问题的工具)在计算上一直具有相当大的挑战性,因而PKC在实践中可以始终实现安全性。
但是,1994年数学家彼得·索尔(Peter Shor)发表论文描述了一种被称为量子计算机(Quantum Computer)的理论设备,其能够在几天甚至几小时内完成传统计算机需要在宇宙年龄范围解决的数字分解和离散对数问题。从理论上讲,量子计算机可以通过计算能力绕过现行的防御,直接暴力破解用于保护现有几乎所有网络通信的PKC。
一方面,索尔的文章引发了随后各国在量子计算领域的研发竞赛活动,量子计算的快速发展使得PKC未来面临巨大的安全漏洞,可能彻底颠覆和完全破解现代信息和通信基础设施所依赖的数字加密系统。通过这种对密码的破坏性,将使得身份验证的安全与通信隐私难以保证,军事情报系统、金融交易系统乃至全球经济的支持系统都将面临潜在的巨大风险。
另一方面,量子计算也引起了探索新型密码系统以应对后量子时代隐私安全的需求,为未来构建一个更加安全的通信基础设施提供了改革契机。
二.量子计算的高速发展
量子计算是一种完全不同于传统二进制的计算操作。常规(二进制)计算机的最小数据单位是一位数字[off(0)或on(1)],而量子计算中的最小数据单位是基于量子力学的量子位,其将0或1显示出一种叠加状态或是两种状态的某种组合,这可以使量子计算机能够同时(而不是按顺序)执行涉及许多量子位的操作。这种架构的量子计算机在进行数据分解、离散对数解析和数据库算法检索时具备巨大的优势。
尽管经过多年的研究和大量的投资,量子计算仍是一项新兴技术。关于实现量子计算机基本架构的最佳方法,即量子比特(Quantum Qubit,又译量子位元)尚未达成共识,目前正在探索可能实现的量子比特架构,包括超导量子比特、捕获离子量子比特、自旋量子比特、光子量子比特和拓扑量子比特。
量子计算发展的长期目标是一种通用的、高容错的量子计算机(100量子比特以上),近期目标则是一种在特定问题上超过现行最强大常规计算机的中型量子计算机,这将首次验证量子霸权或量子优势。谷歌公司已于2019年宣布实现这一目标,其设备(53量子比特)能够在200秒内完成目前最先进的传统超级计算机需要1万年完成的特定计算任务。
美国国家科学院(NAS)的报告认为建造大型量子计算机所需的最短时间为八至十年,但由于存在许多未知因素,并未预测何时真正能建造出这样的系统。其他专家认为,开发出量子计算机将需要数亿美元到数十亿美元不等。2009年,一些专家预测量子计算机可以解决密码学中的实际问题大约需要15到20年,而足以打破RSA-2048(一种流行的PKC实现)的量子计算机则需要20到30年。
量子计算的发展取决于科学和工程创新速度,对量子计算庞大计算能力的需求,带动了这些基础科学的发展和投资的增长,并引发了国际竞争和相关法规的突破。但量子计算的未来发展轨迹中依然存在诸多未知因素。
三.后量子时代的密码
后量子密码是PKC的一个分支,其利用基于格(Lattice-based)、基于编码(Code-based)、基于哈希(Hash-based)或者多元混合的方式来抵抗量子计算对于密码学的冲击。目前已经有了大量针对PQC的研究,但大部分新密码没有经过广泛的测试,因而可能会产生一些无法预知的风险。
美国国家标准技术研究院(NIST)高度重视PQC算法开发和标准化工作,包括2016年正式征集PQC算法标准提案并收到了两轮意见书,2018年4月组织PQC的主题会议等。国际标准化组织(ISO)等其他标准化组织也在开展类似的测试和分析工作。
PQC标准的成功发布并不意味着应对量子计算威胁的结束,相反只是第一步。组织向新系统的过渡包括软件、硬件和嵌入式数据架构的全面更改,并涉及到高昂的转换成本。从历史来看,密码转换和过渡的时间线一般是以10年为单位的。此外,当下新购买的设备(特别是国家安全系统设备)有着较长的使用寿命(通常为30年以上),这些使用相对量子计算过时的密码设备很难被替代。最后,对于一些国家(地区)乃至全球而言,大规模的完全替代更是一个漫长过程。
密码转换工作的难度使得越来越多的人把重点放在网络弹性(Cyber Resilience)和加密敏捷性(Cryptographic Agility)的工作上。网络弹性是指网络在遇到灾难事件时快速恢复和继续运行的能力。加密敏捷性是指在计算能力提高导致密码过时的情况下更换密码系统的能力,包括算法的敏捷性(转换新密码的能力),协议的敏捷性(选择协议的不同版本的能力,例如从TLS 1.1到TLS 1.2)以及实现的敏捷性(更新或替换包含缺陷的软件、硬件的能力)。
四.量子计算的安全风险
量子计算在数字分解和数据库算法检索中能极大提高算力,减少计算时间和资源,使得量子计算机能够暴力破解这两个领域的PKC的公共秘钥,使通信的身份验证和访问控制失去安全性。
另外,PKC通常使用更长的密钥长度来提高安全性,但更长的秘钥需要更多的计算资源才能进行常规的加密或解密操作。量子计算从根本上改变了破解秘钥的资源规模,如果试图通过加长秘钥长度来确保在量子计算中的等效安全,则对这些秘钥进行常规加密或解密操作所需要的计算资源将是完全不切实际的大体量。
最后,所有在当下被认为是安全的数据传输有可能被保存到未来量子计算成熟的时间点,从而被量子计算攻破。
量子计算未来的威胁风险将取决于三条时间线:
(1)量子计算机的开放和应用速度。
(2)能够抵御量子计算攻击或破密的PQC及其标准协议的开发和应用速度。
(3)如何快速地、广泛地、平滑地向PQC过渡。
五.报告调研形成的主要观点
本报告基于文献梳理、专家征询和问卷调查,认为:
(1)对能够实现破密的量子计算机问世时间的预计平均在15年后,即大约在2033年。但更早和更晚的开发都是可能的。
(2)PQC的标准协议预计将在未来5年内起草并发布,而PQC的完全采用将可能在2030年代中期或更晚,因为执行标准协议和减轻量子计算的脆弱性所必需的全国性或全球性过渡时间可能达到数十年之久。
(3)如果在有能力(破密)的量子计算机开发后尚未充分实施PQC,则在不对现有基础设施进行重大颠覆性更改的情况下,无法确保身份验证的安全和通信的隐私,系统漏洞不仅比当前网络安全漏洞更加严重,种类和路径也会相对不同。
(4)消费者总体上对量子计算和有关风险的认识不足。这种意识不高的问题普遍存在各类人口统计中,包括最了解风险情况的年龄段(18至35岁)。
(5)消费者对量子计算潜在威胁的反应显示出逻辑上的一致性,即威胁越接近,反应就越大。此外,某些消费者可能会对那些应对安全更充分的公司表现出更强的倾向性。
(6)尽管如此,消费者缺乏对量子计算及相关风险的认识,表明消费者选择可能不会成为此问题上政策变化的主要驱动力,需要政府的倡导和行动来应对风险。
六.美国应当如何应对
量子计算的风险威胁将影响每个政府机构、关键基础设施和行业,这将构成全面的国家安全威胁。因此需要整个国家采取集中协调的方法来应对风险。美国政府最近采取了多项行动,旨在维持和确保其在量子信息科学和技术领域的全球领导者地位,包括通过《国家量子计划法案》(the National Quantum Initiative Act)和成立美国国家量子协调办公室(National Quantum Coordination Office,NQCO)。结合之前应对“千年虫”问题(Year 2000 Problem,Y2K)的经验,报告认为联邦政府的领导力与成熟的合作机制是成功应对风险的关键,特别是行政部门的协调和两党制国会的监督,还包括与州、城市和行业团体的成功合作,以及能够为实体准备和应对工作提供人力资本和资源分配的有效立法和授权等,虽然Y2K威胁与量子计算的风险存在显著差异,但是应对Y2K时所采取的方法可以相当减轻向量子计算过渡期间的风险和问题。
1、总体策略
基于上诉研究,美国应当在以下三个策略方向上,开展量子计算准备和安全应对工作:
(1)采取各种措施推动PQC的开发和普及
广泛、适当地过渡到PQC将是减轻量子计算安全风险的最有效手段,PQC的研制速度、普及规模和标准协议将是决定潜在风险大小的关键性因素。PQC的可互操性标准实施和普及的越早,最终风险就会越小。
(2)在数字基础架构中构建网络弹性和加密敏捷性
通过对数字基础架构进行调整以应对不断发展的当前威胁和未来威胁(例如量子计算),新系统的目标应当是:①保持足够的与量子计算及其标准的预期演进和PQC未来更高要求的兼容性;②通过模块化实现对新威胁或漏洞的快速响应和低成本的密码适应。总之,过渡到PQC所需的系统性更新提供了在原有通信和信息系统中使用新密码和安全结构的契机,这将有利于提高我们对当前和未来网络威胁的响应能力。推动PQC应用和进行量子计算准备的工作应当具有使用新系统的连续性阶段目标,以实现更大的网络弹性和加密敏捷性。
(3)为不确定的未来做好准备
量子计算的发展时间节点带有较大的不确定性,这将会产生一个难以预测和不太安全的未来。因此在对公众进行量子计算风险的普及时,应当在夸大威胁和忽视真实风险之间寻求平衡。美国的风险预案和控制能力可以确保在最坏的情况也不会导致数字信息安全的终结,而在最佳情况下,全球网络安全性可能会提高。
2、白宫和行政部门应对措施
(1)确保联邦协调机构充分地优先考虑威胁
美国政府的应对措施需要一个专门应对量子计算威胁的联邦机构,负责协调政府各部门和整个行业的行动。鉴于美国国家量子协调办公室(NQCO)的其他优先事项,目前无法确定NQCO是否能够重视和应对量子计算威胁,政府应当在其(无法重视)情况下考虑设立其他机构或者路径。
(2)制定促进量子计算和PQC采用的标准
美国国家标准技术研究院(NIST)应对相关算法标准进行梳理和精炼,并基于此逐步创建国际标准。同时要确保创建的国际标准与当前NIST评估标准一致,尽量避免市场的分散化,确保互操作性的最大化和广泛普及。
(3)制定强制性向PQC过渡的政策
美国国家安全局网络安全理事会(NSA Cybersecurity Directorate)应当考虑制定一个政府各个部门、关键基础设施和其他组织向PQC过渡的政策方案,并确保足够的执法权限和极少的豁免例外。
(4)联邦协调机构应当推动改革并提高意识
扩大联邦协调机构的代表范围,使联邦政府中更多部门和机构的人员参与进来。机构应当:①召集政府和私营部门的利益相关者,提高意识并共同解决量子计算带来的风险;②发布有关PQC过渡和加密敏捷性的最新指南;③推动广泛的信息技术变革。
3、国会应对措施
(1)通过听证会提高人们的认识并保持监督
国会听证会能够提高各方对量子计算风险的认识,建立相应监督机制,并审查量子计算准备工作的进度。国会应特别注意国家安全组织与非国家安全组织之间的模糊界限。
(2)通过立法激励公共和私营部门向PQC过度
国会的立法选择包括:①对政府各部门和关键基础设施的PQC过渡和加密敏捷性进行进一步的立法和授权;②增加或集中相关的人力和资金,确保政府的PQC过渡和量子准备工作;③制定一系列PQC过渡的商业激励措施;④适当实施PQC的认证计划。
4、相关组织应对措施
(1)评估并跟踪量子计算的未来风险
将量子计算的潜在风险整合到组织的风险评估和管理体系中。整合并储备目前已有的相关信息以备未来开放时使用,评估当下和未来可能的漏洞。
(2)制定密码公钥的使用清单
梳理组织、合作伙伴和第三方供应商在组织内使用公钥加密的每个环节,在未来具备可行性技术和标准时全部过渡到PQC。
(3)建立网络弹性和加密敏捷性
组织应当计划建立更大的网络弹性和加密敏捷性,以改善整体网络安全性,确保向未来PQC的平滑过渡。
编译 | 石英村/赛博研究院研究员
本文由赛博研究院出品,转载请注明:本文来源于赛博研究院公众号。
更多精彩内容请关注“赛博研究院”公众号。
