上期，我們對(duì)量子計(jì)算攻擊的特點(diǎn)和攻擊目標(biāo)進(jìn)行了剖析，了解了量子計(jì)算的“矛”。本期內(nèi)容我們就來講述量子安全的“盾”，對(duì)目前能實(shí)現(xiàn)量子安全目標(biāo)的兩類解決方案——基于數(shù)學(xué)的抗量子計(jì)算密碼算法和基于物理的量子密碼進(jìn)行介紹。

本期，國(guó)小盾繼續(xù)邀請(qǐng)康老師和各位同學(xué)聊聊“量子安全技術(shù)”

01?數(shù)學(xué)之盾——PQC基本原理與適用場(chǎng)景

后量子密碼（Post Quantum Cryptography）是基于已知量子算法無法多項(xiàng)式時(shí)間求解的數(shù)學(xué)困難問題設(shè)計(jì)的以實(shí)現(xiàn)公鑰密碼功能為主的密碼算法。對(duì)于對(duì)稱密碼的抗量子攻擊性，我們上期內(nèi)容已做闡述，一般提及PQC，都指替代現(xiàn)有公鑰密碼的后量子時(shí)代公鑰密碼。PQC是現(xiàn)代密碼學(xué)的重要研究方向，相對(duì)對(duì)稱密碼而言，公鑰密碼更需要具有強(qiáng)陷門性，構(gòu)造好的公鑰密碼等價(jià)于構(gòu)造好的單向陷門函數(shù)。代表性PQC包括：格密碼、基于哈希的密碼、基于編碼理論的密碼、多變量密碼、超奇異橢圓曲線密碼等。下面我們就主要PQC及其典型代表算法逐一介紹。

格代數(shù)結(jié)構(gòu)最早是作為一種密碼分析工具被引入密碼領(lǐng)域，格密碼就是基于SVP 問題（Shortest Vector Problem，主要思想是找格上的最短非零向量）及其它格上困難問題構(gòu)造的密碼。格密碼中較著名的LWE和NTRU算法都是基于SVP問題，1998年就被提出的NTRU (Number Theory Research Unit)公鑰密碼的優(yōu)勢(shì)是實(shí)現(xiàn)效率較高，與RSA、ECC、ElGamal密碼相比，在相同安全性條件下，NTRU算法的運(yùn)行速度要快許多倍，密鑰生成也更快且需要更小的存儲(chǔ)空間。NTRU密碼存在的主要不足是其作為基于格的密碼卻沒有嚴(yán)格的基于格問題的安全證明，基于NTRU的數(shù)字簽名方案也并不十分成功。LWE( Learning With Errors ) 問題是求解帶噪聲的線性方程組問題，該問題的形式適合構(gòu)造陷門和密碼方案，由于LWE問題尚無有效的量子求解算法, 因此基于LWE假設(shè)的加密方案被認(rèn)為是抗量子的。

基于哈希的密碼中最著名的是Merkle數(shù)字簽名方案，它基于一次簽名方案（One-time Digital Signature）和Merkle哈希樹（沒錯(cuò)，后者也就是在區(qū)塊鏈中應(yīng)用甚廣的密碼技術(shù)），因此也結(jié)合了前者簽名生成和驗(yàn)證高效，以及后者基于hash函數(shù)能有效抵御量子計(jì)算攻擊的優(yōu)點(diǎn)。Merkle數(shù)字簽名方案依據(jù)OTS一次簽名算法和Merkle哈希樹形成公鑰的原理圖如下所示。

糾錯(cuò)編碼公鑰密碼體制可理解為：把糾錯(cuò)的方法作為私鑰，加密時(shí)對(duì)明文進(jìn)行糾錯(cuò)編碼并主動(dòng)加入一定數(shù)量的錯(cuò)誤，解密時(shí)運(yùn)用私鑰糾正錯(cuò)誤，恢復(fù)出明文。糾錯(cuò)編碼公鑰密碼中著名的McEliece公鑰密碼算法具有安全性高且加解密運(yùn)算比較快的優(yōu)點(diǎn)，其密碼方案經(jīng)受了40多年的廣泛密碼分析，被認(rèn)為是目前安全性最高的公鑰密碼體制之一，其不足主要在于該算法公鑰尺寸太大。

多變量二次多項(xiàng)式公鑰密碼體制（簡(jiǎn)稱MQ公鑰密碼）的安全性基于有限域上多變量多項(xiàng)式方程組的求解問題（也稱MQ問題），如何構(gòu)造具有良好密碼性質(zhì)的非線性可逆變換是MQ公鑰密碼設(shè)計(jì)的核心，目前還沒有一種公認(rèn)安全的MQ公鑰密碼體制。實(shí)踐證明，MQ問題的難解性并不能完全保證MQ密碼算法的安全性。在分析MQ公鑰密碼時(shí)，往往并不是直接解公鑰方程來恢復(fù)明文或是從公鑰中求解陷門，而是根據(jù)其內(nèi)部構(gòu)造結(jié)構(gòu)中蘊(yùn)含的特殊代數(shù)性質(zhì)，以尋求明密文之間的關(guān)系或構(gòu)造同解方程來偽造簽名。MQ公鑰密碼的不足還包括：只能簽名，不能加密（加密時(shí)安全性降低）；公鑰較長(zhǎng)；很難設(shè)計(jì)出既安全又高效的多變量公鑰密碼體制。

在此將上述介紹的幾種PQC算法在密鑰長(zhǎng)度、運(yùn)算速度和功能完善性上的粗略做一定性比較。

總體上看，PQC的相對(duì)優(yōu)勢(shì)是：由于PQC的物理實(shí)現(xiàn)基本是兼容于現(xiàn)有信息產(chǎn)業(yè)技術(shù)和工藝的，較QKD和量子密碼來說，它更易于實(shí)現(xiàn)標(biāo)準(zhǔn)化、集成化、芯片化、小型化、低成本。從應(yīng)用場(chǎng)景上看，首先，正如上表所示，不同類型PQC擅長(zhǎng)的功能與適用場(chǎng)景本就有區(qū)別；其次，由于PQC在密鑰長(zhǎng)度、算法構(gòu)造等方面與現(xiàn)有公鑰密碼存在的差異較多，與應(yīng)用系統(tǒng)的接口也較多，從現(xiàn)有公鑰算法遷移到PQC算法的過程是一個(gè)較復(fù)雜的過程。

另一個(gè)需要給予重視的問題是，后量子密碼的安全性分析是十分復(fù)雜的。以發(fā)展的眼光看，PQC依賴的數(shù)學(xué)難題未來是否依然難解，算法安全性是否長(zhǎng)期有效，仍是一個(gè)開放的問題。

首先，從密碼分析學(xué)角度講，雖然密碼學(xué)家希望PQC算法一直是量子困難的問題，現(xiàn)有后量子密碼算法是針對(duì)防御已知的一部分類型的量子攻擊而設(shè)計(jì)的，對(duì)于新出現(xiàn)的攻擊可能并不免疫。例如，基于LWE問題的密碼算法其設(shè)計(jì)目標(biāo)是抵御量子選擇明文攻擊，對(duì)于量子選擇密文攻擊則不能抵御。而且，PQC的設(shè)計(jì)上還不止需要防量子計(jì)算攻擊，也要抗經(jīng)典計(jì)算攻擊。例如，今年2月，IBM科學(xué)家發(fā)表了如下圖所示的論文，公布其用筆記本電腦運(yùn)行經(jīng)典攻擊算法，用時(shí)兩天多，在算法參數(shù)選擇為SL1的情況下，成功破解了NIST（美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院）后量子密碼算法篩選中勝出的Rainbow簽名算法。

其次，從密碼算法設(shè)計(jì)的角度講，為了實(shí)現(xiàn)密鑰大小合適、加解密性能良好的具有使用價(jià)值的PQC算法，實(shí)際的算法設(shè)計(jì)技術(shù)往往需要對(duì)其依據(jù)的原始計(jì)算困難問題進(jìn)行改動(dòng)，這種工程技術(shù)上的改動(dòng)會(huì)可能會(huì)使得算法的安全性并不等價(jià)于數(shù)學(xué)上的困難問題，這就給算法安全性帶來可能的脆弱性和不確定性因素。

02?量子之盾——QKD基本原理與適用場(chǎng)景

量子密碼（Quantum Cryptography）基于量子物理原理實(shí)現(xiàn)經(jīng)典密碼學(xué)目標(biāo)，其中最具代表性和實(shí)用性的是量子密鑰分發(fā)（Quantum Key Distribution，QKD）技術(shù)。當(dāng)然，量子密碼能夠?qū)崿F(xiàn)的密碼功能不限于密鑰協(xié)商，還可以實(shí)現(xiàn)數(shù)字簽名、秘密共享等密碼功能，也包括量子隨機(jī)數(shù)發(fā)生器（QRNG，利用量子力學(xué)過程產(chǎn)生隨機(jī)數(shù)的物理器件）在密碼領(lǐng)域的應(yīng)用，而其中QKD的實(shí)用化進(jìn)展目前是最快的，其與量子安全的對(duì)稱密碼技術(shù)結(jié)合，可以比較便捷地將現(xiàn)有的信息系統(tǒng)安全防護(hù)提升到量子安全級(jí)別。我們應(yīng)該看到，基于量子物理的量子安全科技總體上還處于起步階段，無論是密碼功能的完整實(shí)現(xiàn)還是量子技術(shù)的能力提升，都還有很大的上升空間。

QKD是指通信雙方通過傳送量子態(tài)的方法實(shí)現(xiàn)信息論安全的密鑰生成和分發(fā)的方法和過程。QKD以量子態(tài)為信息載體進(jìn)行遠(yuǎn)程密鑰分發(fā)，它基于物理原理能夠抗截獲、抗竊聽、抗破譯的為雙方安全的分發(fā)密鑰，從而從整體上提升密鑰管理的安全性與獨(dú)立性。自1984年Bennett和Brassard提出第一個(gè)量子密鑰分發(fā)方案以來，30余年來學(xué)者們提出了多種量子密鑰分發(fā)方案。當(dāng)前，離散變量方案中的誘騙態(tài) BB84協(xié)議是安全論證成熟、應(yīng)用最廣泛的協(xié)議，基于該協(xié)議的光纖量子密鑰分發(fā)設(shè)備已經(jīng)實(shí)現(xiàn)較大規(guī)模商用。如下圖所示的BB84協(xié)議方案實(shí)現(xiàn)量子密鑰分發(fā)的工作流程包括：發(fā)送方制備編碼（對(duì)離散變量常用偏振、相位、時(shí)間進(jìn)行編碼）單量子態(tài)、傳輸、接收方測(cè)量解碼，然后雙方通過經(jīng)典通信進(jìn)行篩選比對(duì)、誤碼檢測(cè)和糾錯(cuò)、保密增強(qiáng)。

單量子制備測(cè)量方案利用了單量子不可分割、不可復(fù)制、測(cè)不準(zhǔn)的特性，使得任何來自于信道的竊聽，要么導(dǎo)致量子信號(hào)丟失，要么導(dǎo)致量子信號(hào)發(fā)生可觀測(cè)的變化，從而杜絕了從信道上實(shí)施竊聽的可能性。

從量子密鑰分發(fā)方案的總體分類上看，可以依據(jù)分發(fā)模式分為制備測(cè)量（prepare and measure）和糾纏測(cè)量（entanglement-based）兩大類，由于糾纏測(cè)量方案實(shí)現(xiàn)難度大，又衍生出一種糾纏反演測(cè)量方案。下表對(duì)現(xiàn)有各QKD方案分發(fā)模式進(jìn)行分類對(duì)照，比較了這三種分發(fā)模式中分發(fā)及測(cè)量量子態(tài)的特點(diǎn)和通過校驗(yàn)分析獲得安全密鑰的原理。

表注：記分發(fā)密鑰的雙方為A和B。A和B使用的量子態(tài)分發(fā)或測(cè)量設(shè)備可能是不可信的，但是他們進(jìn)行結(jié)果校驗(yàn)的行為是安全可信的。

糾纏測(cè)量方案利用了兩體最大糾纏態(tài)沒有第三方關(guān)聯(lián)、LOCC操作（局域操作和經(jīng)典通信）無法制造遠(yuǎn)程糾纏的特性，確保了糾纏制備方無法預(yù)知協(xié)商雙方測(cè)量結(jié)果，本地測(cè)量裝置也無法偽造糾纏，實(shí)現(xiàn)器件無關(guān)安全性。如下圖所示，我國(guó)在基于“墨子號(hào)”衛(wèi)星的星地一體的QKD網(wǎng)絡(luò)中，已經(jīng)實(shí)現(xiàn)了基于糾纏測(cè)量的量子隱形傳態(tài)實(shí)驗(yàn)驗(yàn)證。

第二種分類方式是基于量子態(tài)載體及其調(diào)制方式上的分類，主要可以分為離散變量和連續(xù)變量兩種。制備-測(cè)量、糾纏測(cè)量和糾纏反演這三種分發(fā)模式均可以有離散變量和連續(xù)變量的實(shí)現(xiàn)方式，這種分類下兩種方式的調(diào)制特點(diǎn)和技術(shù)實(shí)現(xiàn)優(yōu)缺點(diǎn)比較如下表所示。

從上表可見，QKD協(xié)議種類繁多，在技術(shù)實(shí)現(xiàn)難度、性能指標(biāo)、安全要求等方面存在諸多差異、優(yōu)劣勢(shì)各異，就總體特征而言，QKD具有光通信系統(tǒng)的一般特征，隨著傳輸距離增大，信號(hào)丟失、信噪比下降等情況會(huì)導(dǎo)致成碼率下降，QKD與傳統(tǒng)光通信系統(tǒng)的核心差異在于使用量子態(tài)來保證安全性，代價(jià)是只能概率性地成功接收信號(hào)。而從QKD的適用場(chǎng)景來看，QKD協(xié)議協(xié)商生成密鑰的對(duì)稱性等功能特點(diǎn)，決定了當(dāng)前其應(yīng)用限于對(duì)稱密碼，無法直接結(jié)合非對(duì)稱體制密碼的應(yīng)用諸如基于公鑰的數(shù)字簽名，適用場(chǎng)景上的另外一個(gè)限制是它需要部署架設(shè)專用QKD硬件設(shè)備和量子信道（在光纖網(wǎng)情況下量子信道可以與經(jīng)典信道共纖傳輸）。當(dāng)然，量子密碼仍在不斷發(fā)展，未來，在相關(guān)協(xié)議、器件等取得進(jìn)展的情況下，還能夠?qū)崿F(xiàn)數(shù)字簽名等功能，而且還將能夠與現(xiàn)有密碼系統(tǒng)、密碼協(xié)議及應(yīng)用系統(tǒng)更直接地以模塊化方式結(jié)合，實(shí)現(xiàn)“即插即用”。

考慮QKD的安全性，首先，其顯著優(yōu)勢(shì)在于它具有基于自身量子物理實(shí)現(xiàn)原理即單量子不可分割、量子態(tài)不可克隆所實(shí)現(xiàn)的抗量子計(jì)算攻擊能力，不僅于此，QKD作為新型的密鑰分發(fā)手段，具有能實(shí)現(xiàn)信息論安全的顯著優(yōu)勢(shì)。QKD具備信息論安全性，意味著QKD即使在攻擊者擁有無限強(qiáng)的計(jì)算資源下也仍然安全，這其中自然也包含了面對(duì)經(jīng)典和量子計(jì)算的安全性。QKD的功能是實(shí)現(xiàn)對(duì)稱密鑰的協(xié)商和生成，與對(duì)稱密碼算法結(jié)合可實(shí)現(xiàn)加解密和認(rèn)證等功能。與一次一密（One-Time Pad）結(jié)合可實(shí)現(xiàn)信息加密的信息論安全性，而結(jié)合量子安全的對(duì)稱密碼算法，就能在當(dāng)前技術(shù)條件下代價(jià)較小的實(shí)現(xiàn)量子安全。

對(duì)QKD安全性的研究當(dāng)前主要集中在物理安全性，例如器件的可靠性和穩(wěn)定性等因素造成的安全問題。攻擊方式也是既有傳統(tǒng)的如經(jīng)典側(cè)信道攻擊等方式，又包括很多量子安全學(xué)者新發(fā)明的量子攻擊方式。后者被稱為“量子黑客攻擊”，是當(dāng)前量子安全研究的熱點(diǎn)。例如，由于QKD器件的一些脆弱性，可能會(huì)導(dǎo)致某種“后門”。攻擊者可以通過一些物理的技術(shù)手段利用這些“后門”，從而繞過QKD量子層面的防護(hù)攻擊QKD。又例如，黑客通過向QKD系統(tǒng)注入強(qiáng)光，以刺探QKD內(nèi)部設(shè)置，或者改變QKD設(shè)備的工作狀態(tài)進(jìn)而暴露出可利用的漏洞。下圖展現(xiàn)了量子黑客攻擊的基本原理，Eve是攻擊者，由于Alice和Bob設(shè)備的非理想性，Eve可以通過外部控制設(shè)備發(fā)送光、電磁等信號(hào)到Alice和Bob的設(shè)備中，以篡改或者監(jiān)聽Alice和Bob設(shè)備的工作狀態(tài)，從而獲取密鑰信息。并且，Eve也可以通過分析Alice和Bob設(shè)備在非編碼維度的側(cè)信道信息泄露，以獲取額外的密鑰信息。

對(duì)于量子黑客攻擊的威力，有不同的看法。一種看法會(huì)傾向于認(rèn)為，為了達(dá)到更廣泛的無條件安全，需要假設(shè)通過物理技術(shù)手段攻擊的量子黑客具有無限強(qiáng)大的物理實(shí)現(xiàn)能力；此時(shí)將無法證明漏洞能被防御者窮盡，或者防御手段絕對(duì)有效，并因此否定QKD的實(shí)用價(jià)值。而第二種看法是從被攻擊系統(tǒng)角度來看，認(rèn)為對(duì)于一個(gè)有限的物理系統(tǒng)，可利用的漏洞是有限的；經(jīng)過充分地分析，這些漏洞總會(huì)被發(fā)現(xiàn)和彌補(bǔ)，最終可以達(dá)到有保障的安全性。近年來，關(guān)于QKD系統(tǒng)的量子黑客攻擊研究并沒有發(fā)現(xiàn)什么新類型的漏洞，也就是說，從研究現(xiàn)狀而言，很大程度上支持了第二種觀點(diǎn)的適用性。

下期預(yù)告

既然量子安全科技內(nèi)涵是如此豐富，那么，現(xiàn)今它到底發(fā)展到了什么程度呢？下期內(nèi)容，康老師將對(duì)當(dāng)前量子安全技術(shù)的發(fā)展現(xiàn)狀和應(yīng)用場(chǎng)景給同學(xué)們進(jìn)行一個(gè)全景闡述。