關(guān)注量子科技的你，也許早就聽(tīng)說(shuō)過(guò)“量子安全”這個(gè)詞，可是：

本期，國(guó)小盾特地邀請(qǐng)了

中國(guó)信息協(xié)會(huì)量子信息分會(huì)的康博士

帶各位同學(xué)走近“量子安全”

01?量子安全時(shí)代已然到來(lái)

量子安全概念來(lái)源于量子科技發(fā)展引發(fā)的信息安全攻防雙方的新矛盾、新博弈，量子安全是迫切需要應(yīng)對(duì)的新時(shí)代信息安全新需求，漠視它必受其害。

最早正式提出量子安全（quantum safe）的概念，是見(jiàn)于ETSI（歐洲電信標(biāo)準(zhǔn)化協(xié)會(huì)）于2015年發(fā)布的名為“Quantum Safe Cryptography and Security: An introduction, benefits, enablers and challenges”的白皮書(shū)。量子安全的提出針對(duì)的就是來(lái)自量子計(jì)算機(jī)對(duì)密碼系統(tǒng)可能的攻擊和挑戰(zhàn)。

近年來(lái)，量子計(jì)算的發(fā)展呈現(xiàn)明顯的加速態(tài)勢(shì)，這是不爭(zhēng)的事實(shí)。2021年量子計(jì)算的關(guān)鍵詞是“量子霸權(quán)”和“量子比特大戰(zhàn)”；量子計(jì)算芯片研究成果使量子比特位數(shù)可見(jiàn)的不斷提升，形成類似摩爾定律的“量子摩爾定律”；原型機(jī)研發(fā)上快速跨入 NISQ（中型含噪聲的量子計(jì)算）時(shí)代；超導(dǎo)量子比特?cái)?shù)量達(dá)到一百以上，離子阱、光量子等不同技術(shù)路線發(fā)展呈齊頭并進(jìn)之勢(shì)；各行業(yè)應(yīng)用場(chǎng)景與特定算法的發(fā)掘卓有成效；中國(guó)科大研發(fā)的量子計(jì)算原型機(jī)“九章”、“祖沖之”廣受關(guān)注。

這些發(fā)展的背后，是實(shí)打?qū)嵉男枨笤谕苿?dòng)。量子計(jì)算科技不僅僅是后摩爾時(shí)代計(jì)算能力提升的有效解決方案，它所帶來(lái)的算力飛躍，有可能成為未來(lái)科技加速演進(jìn)的“催化劑”，一旦取得突破，可在生物醫(yī)學(xué)、材料學(xué)、化學(xué)、密碼破譯、氣象預(yù)報(bào)、空氣動(dòng)力學(xué)計(jì)算、武器研制、人工智能、能源與大數(shù)據(jù)等多個(gè)領(lǐng)域得到應(yīng)用，為先進(jìn)材料制造和新能源開(kāi)發(fā)等奠定科學(xué)基礎(chǔ)，對(duì)提升國(guó)家綜合競(jìng)爭(zhēng)力有戰(zhàn)略意義。

在信息安全領(lǐng)域，量子計(jì)算對(duì)密碼系統(tǒng)形成的現(xiàn)實(shí)威脅非常直接與明顯，理論支持就是量子計(jì)算被證明能指數(shù)或多項(xiàng)式量級(jí)加速某些在原來(lái)使用經(jīng)典計(jì)算方法非常困難問(wèn)題的求解。其中著名的Shor量子算法可以在多項(xiàng)式時(shí)間內(nèi)解決大整數(shù)分解和離散對(duì)數(shù)求解等復(fù)雜數(shù)學(xué)問(wèn)題，因此可以對(duì)廣泛使用的RSA、ECC、DSA、ElGamal等公鑰密碼算法進(jìn)行比經(jīng)典計(jì)算更快速高效的破解。諸多近期研究表明，破解主流的2048位RSA加密，在可預(yù)見(jiàn)的未來(lái)就可能實(shí)現(xiàn)。另一個(gè)著名的Grover量子算法能夠?qū)o(wú)序數(shù)據(jù)庫(kù)的搜索時(shí)間降為平方根時(shí)間，據(jù)此，可以有效地攻破DES或輕量級(jí)算法等密鑰長(zhǎng)度較短的對(duì)稱密碼。

2021年，雖然全球經(jīng)濟(jì)受疫情影響很大，各國(guó)均面向量子安全進(jìn)行了一系列戰(zhàn)略布局操作和重大項(xiàng)目推進(jìn)。歐盟和歐洲航天局宣布合作建設(shè)跨越歐盟全境的安全量子通信基礎(chǔ)設(shè)施，法國(guó)宣布開(kāi)展一項(xiàng)為期五年18億歐元的量子技術(shù)投資計(jì)劃，英國(guó)國(guó)家量子計(jì)算中心開(kāi)始建設(shè)動(dòng)工，計(jì)劃五年內(nèi)投入9300萬(wàn)英鎊用于加速開(kāi)發(fā)可擴(kuò)展的、超過(guò)100個(gè)量子比特的實(shí)用量子計(jì)算機(jī)，美國(guó)能源部宣布提供6100萬(wàn)美元用于開(kāi)發(fā)新的量子設(shè)備和發(fā)展量子互聯(lián)網(wǎng)，美國(guó)空軍和美國(guó)太空部隊(duì)的量子信息科學(xué)研究中心成立以進(jìn)一步推動(dòng)量子技術(shù)在美空軍部隊(duì)的應(yīng)用。

02?量子安全內(nèi)涵與特性

如前所述，最早對(duì)量子安全的闡述可謂言簡(jiǎn)意賅，是指“即使面對(duì)量子計(jì)算的挑戰(zhàn)也能得到保障的信息安全”。

由于量子計(jì)算、量子攻擊本身也屬發(fā)展中的新生事物，這就決定了量子安全具有“發(fā)展中的動(dòng)態(tài)性”，這是由量子安全這門(mén)新學(xué)科的發(fā)展特性、以及信息安全學(xué)科的對(duì)抗特性所決定的。由此特性，我們才能說(shuō)，如果某種密碼算法或協(xié)議在經(jīng)過(guò)充分研究后，表明其可以抵御所有已知的量子算法攻擊，同時(shí)在沒(méi)有證據(jù)表明其易受量子攻擊前，就可以認(rèn)為其是量子安全的。

當(dāng)然，在經(jīng)過(guò)深入研究后，目前被認(rèn)為是量子安全的算法在未來(lái)不再安全的可能性依然存在，這種不安全可能來(lái)自新的量子破譯算法，也可能來(lái)自新的經(jīng)典密碼分析技術(shù)。這番看似有點(diǎn)“繞”的話如果放在傳統(tǒng)安全領(lǐng)域，一定要被用戶腹誹“你們?cè)诟闶裁醋哉f(shuō)自話？”，而用在量子安全領(lǐng)域，卻確實(shí)闡述的是“吾生亦有涯，而知也無(wú)涯”的真理。

就如2022年2月研究者發(fā)表的論文所述，NIST（美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院）后量子密碼算法篩選中勝出的Rainbow簽名算法（具體算法參數(shù)為安全等級(jí)為1），被筆記本電腦用53小時(shí)運(yùn)行經(jīng)典算法成功破解。

其次，量子安全雖未立可驗(yàn)證，但卻是需要我們立刻“行動(dòng)”起來(lái)的安全，無(wú)論是NSA（美國(guó)國(guó)家安全局）等信息安全國(guó)家機(jī)關(guān)的政策發(fā)布，還是學(xué)界的論文闡述，無(wú)不提到一個(gè)關(guān)鍵詞——遷移（migration），尤其對(duì)于重要機(jī)關(guān)、行業(yè)和數(shù)據(jù)，需要立刻動(dòng)手去組織進(jìn)行從不抗量子密碼系統(tǒng)到量子安全的密碼系統(tǒng)的遷移。

究其原因，僅考慮建造大規(guī)模量子計(jì)算機(jī)的時(shí)間是不夠的。還需要同時(shí)考慮信息需要保存多長(zhǎng)時(shí)間，以及將現(xiàn)有通信基礎(chǔ)設(shè)施遷移至量子安全將花費(fèi)的時(shí)間。

如下圖中Mosca教授提出的XYZ理論所示，X代表“數(shù)據(jù)需要保密的時(shí)間”，Y代表“更新我們的通信基礎(chǔ)設(shè)施至量子安全所需要的時(shí)間”，Z代表“建造大規(guī)模量子計(jì)算機(jī)所需要的時(shí)間”。如果X+Y>Z，意味著重新部署具有量子安全的基礎(chǔ)設(shè)施和信息安全需要持續(xù)的時(shí)間之和大于建造大型量子計(jì)算機(jī)的時(shí)間Z，那么在X+Y-Z這段時(shí)間內(nèi)加密的信息將不再安全，攻擊者可以利用量子計(jì)算輕易破解加密信息。反之如果X+Y<z, 攻擊者不會(huì)得到利用量子計(jì)算機(jī)破解加密信息的機(jī)會(huì)。雖然目前大規(guī)模量子計(jì)算機(jī)還未到來(lái)，但是對(duì)于對(duì)信息安全保障有需求的行業(yè)以及政策決策者而言，需要進(jìn)行前瞻性分析和思考，而最為保險(xiǎn)的做法當(dāng)然是盡快就開(kāi)始考慮升級(jí)到量子安全的信息通信系統(tǒng)和基礎(chǔ)設(shè)施。

第三點(diǎn)特性，就要說(shuō)到量子安全的復(fù)雜性，其包含的兩大關(guān)鍵詞：量子計(jì)算、信息安全，單獨(dú)拿出哪一個(gè)來(lái)都足夠燒腦、足夠?qū)I(yè)，這也就是大眾對(duì)量子安全理解不夠的一大原因。量子計(jì)算太抽象，信息安全太豐富，兩者加在一塊，足夠讓人“敬而遠(yuǎn)之”或“退避三舍”。涉及的技術(shù)因素太多，我們?cè)诖瞬惶?，僅從信息安全這一領(lǐng)域的對(duì)抗特性略做闡述。

信息安全是攻防兩方不停斗爭(zhēng)博弈中的動(dòng)態(tài)平衡。由于信息及信息基礎(chǔ)設(shè)施在現(xiàn)代社會(huì)的重要性所致，信息安全在國(guó)家利益博弈上扮演著越來(lái)越重要的角色。信息安全的競(jìng)爭(zhēng)是于無(wú)聲處聽(tīng)驚雷、未見(jiàn)硝煙卻可決勝千里的戰(zhàn)爭(zhēng)。美國(guó)依靠其強(qiáng)大的監(jiān)聽(tīng)站、偵察衛(wèi)星、偵察機(jī)/船、互聯(lián)網(wǎng)嗅探機(jī)器人等組成的偵聽(tīng)網(wǎng)絡(luò)無(wú)時(shí)無(wú)刻不在全方位竊聽(tīng)全球各國(guó)各地軍事、政治、經(jīng)濟(jì)等方面的情報(bào)，同時(shí)又假以保護(hù)本國(guó)信息安全的名義制裁打擊任何可能的對(duì)手。

帶著“高科技”和“安全”標(biāo)簽的量子安全從出生起就沒(méi)法不敏感、不低調(diào)，別的領(lǐng)域全球合作可能是正常與自然的選擇，而信息安全領(lǐng)域，對(duì)抗、競(jìng)爭(zhēng)恐怕是強(qiáng)于合作的主旋律，各國(guó)提出的技術(shù)路線恐怕也難于簡(jiǎn)單橫向比較。“看家本領(lǐng)不易見(jiàn)，各懷心思憋大招”恐怕更是常態(tài)。

03?量子安全能解決什么問(wèn)題，不能解決什么問(wèn)題

我們已經(jīng)看到，量子安全有效也有用——尤其當(dāng)前，是發(fā)揮積累優(yōu)勢(shì)，加快推進(jìn)量子安全的信息安全系統(tǒng)更新，形成信息安全防護(hù)較好態(tài)勢(shì)的時(shí)機(jī)。但是，量子安全不會(huì)是信息安全防護(hù)的“銀彈”，將來(lái)也不會(huì)有信息安全的“銀彈”，道高一尺、魔高一丈，要是期望有“銀彈”、期望能一勞永逸的、“畢其功于一役”式的解決當(dāng)前復(fù)雜多樣的諸如APT（高級(jí)持續(xù)性威脅）攻擊等信息安全威脅，本身就是安全觀念上真正的落后，是違背科學(xué)規(guī)律的。

課堂延伸

銀彈（silver bullet）泛指“包打天下”、“以一敵百”的“神兵利器”——在信息產(chǎn)業(yè)最早是IBM大型機(jī)之父佛瑞德·布魯克斯利用了這個(gè)梗，說(shuō)軟件工程“沒(méi)有銀彈”。

應(yīng)清醒地看到，在信息安全科學(xué)發(fā)展的道路上，需要避免對(duì)某一安全技術(shù)過(guò)度炒作、擴(kuò)大其適用范圍、模糊相關(guān)科學(xué)理念的現(xiàn)象。這可能會(huì)造成用戶決策或安全廠商在安全體系結(jié)構(gòu)設(shè)計(jì)上忽視貫徹縱深防御、綜合防護(hù)的原則，乃至削弱了其它安全技術(shù)的作用。

從技術(shù)上、從安全體系結(jié)構(gòu)上我們需要理順各類安全技術(shù)、安全機(jī)制之間的關(guān)聯(lián)。首先，既然量子攻擊針對(duì)的是密碼系統(tǒng)，量子安全技術(shù)也是增強(qiáng)現(xiàn)有密碼、并基于密碼實(shí)現(xiàn)對(duì)信息和信息系統(tǒng)安全防護(hù)的技術(shù)，它沒(méi)有脫離密碼技術(shù)的“主賽道”，密碼技術(shù)以外的其它信息安全技術(shù)，對(duì)于量子安全技術(shù)來(lái)講可以說(shuō)是“平行賽道”，并不是相互擠占、影響或替代的關(guān)系。

從信息安全保障的基本要素來(lái)說(shuō)，量子安全技術(shù)能夠?qū)崿F(xiàn)更好的機(jī)密性保障、可認(rèn)證性保障，完整性保障和不可否認(rèn)性保障。

從具體安全技術(shù)分類來(lái)說(shuō)，量子安全技術(shù)與諸如訪問(wèn)控制、安全審計(jì)、攻擊行為分析與預(yù)警、語(yǔ)義安全、完整性驗(yàn)證與保護(hù)、信任管理、開(kāi)發(fā)與實(shí)施過(guò)程安全等其它信息安全機(jī)制關(guān)系就不大。其次，進(jìn)入量子安全時(shí)代，很多傳統(tǒng)的安全原則，例如最小特權(quán)、權(quán)限分離、保持管理機(jī)制如密碼管理的獨(dú)立性等仍然適用和需要實(shí)施與貫徹，而不是唯算法論，認(rèn)為靠研發(fā)出新的算法，就萬(wàn)事大吉了。

量子計(jì)算的威脅是明確和影響廣泛的，如果說(shuō)對(duì)非從業(yè)者來(lái)說(shuō)對(duì)量子安全時(shí)代的到來(lái)、量子攻擊威脅的存在還不敏感，信息安全從業(yè)者對(duì)量子安全概念的科學(xué)性和嚴(yán)謹(jǐn)性有著較高的認(rèn)可度，不同意見(jiàn)更多的在于應(yīng)采取什么樣的技術(shù)措施來(lái)實(shí)現(xiàn)量子安全。

精彩預(yù)告

實(shí)現(xiàn)量子安全的方式主要分為兩類：一類是可以抵御已知量子計(jì)算攻擊的經(jīng)典密碼算法，該類密碼算法的安全性同樣依賴于計(jì)算復(fù)雜度，這類算法或協(xié)議通常稱為抗量子計(jì)算密碼（QRC ） 或 后 量 子 密 碼 （PQC）。另一類量子安全的密碼則是基于量子物理原理實(shí)現(xiàn)經(jīng)典密碼學(xué)目標(biāo)的量子密碼（Quantum Cryptography），其中最具代表性和實(shí)用性的是量子密鑰分發(fā)（QKD）技術(shù)。

這些以PQC、QKD為代表的量子安全技術(shù)的核心內(nèi)容，后面我們會(huì)繼續(xù)跟大家分享。