澳门凯旋门官方网站

因为澳门凯旋门官网充满了多种多样的游戏,所以澳门凯旋门官网被评为世界高科技高成长的娱乐平台,享受你一定会有很大的收获的,因为从来都不掉线。

信息会更加安全了,量子密码和后量子密码

原标题:量子计算机要来了!信息会更加安全了!

1 美国国家安全局的“8.19”声明

量子计算是一种新的计算方式,可以让人类使用当今的计算技术执行根本不可能的技术。它允许非常快速的搜索,这会破环我们今天使用的一些加密算法。本文由格密链社区的刘天成翻译。量子计算可以很容易地计算大数,这会破坏任何密钥长度的RSA密码系统。这就是密码学家努力设计和分析“量子抗性”公钥算法的原因。目前,量子计算还处于起步阶段,密码学家无法确定哪些是安全的,哪些不是安全的。但即使假设外星人已经充分发挥了这项技术的作用,量子计算也并不意味着密码学的世界末日。对称加密很容易产生量子抗性,我们正致力于量子抗性公钥算法。如果根据我们的数学知识和计算能力,公钥加密最终只是一个暂时的异常,我们仍然可以生存。如果一些不可思议的外星技术可以打破所有的密码学,我们仍然可以基于信息理论保密

尽管能力有很大的损失。密码学的核心依赖于数学上的技巧,即有些事情比撤消更容易做。就像粉碎一块钢板比将所有碎片粘合在一起更容易一样,将两个素数相乘以获得一个大的数字比把这个大数字再分解成两个素数要容易得多。这种不对称

  • 单向函数和陷阱门单向函数 - 是所有密码学的基础。为了加密消息,我们将它与密钥组合以形成密文。没有密钥,逆转过程就更加困难了。不仅有点困难,而且是非常的难。现代加密算法如此之快,以至于它们可以保护您的整个硬盘驱动而不会出现任何明显的减速,但是在宇宙爆炸之前,加密是无法打破的。使用对称加密,来用于加密消息,文件和驱动器,这种不平衡性是指数级的,并且随着密钥的增大而被放大。添加一位密钥会使加密的复杂程度增加不到百分之一(略过不证明),但打破成本却增加了一倍。因此,256位密钥看起来只有128位密钥的两倍,但是(根据我们目前的数学知识),破解256位的秘钥比破解128位的秘钥要困难340, 282, 366, 920, 938, 463, 463, 374, 607, 431, 768, 211, 456倍。公钥加密(主要用于密钥交换)和数字签名更加复杂。因为它们依赖于诸如因子分解之类的困难的数学问题,所以有更多潜在的技巧来反推它们。因此,您将看到RSA的密钥长度为2,048位,基于椭圆曲线的算法的密钥长度为384位。但是,在这里,用这些密钥长度反转算法的成本超出了人类目前的承受能力。这种单向性基于我们的数学知识。当你听说密码学家“打破”一个算法时,发生的事情就是他们找到了一个新的技巧,使反推变得更容易。密码学家一直在发现新的技巧,这就是为什么我们倾向于使用长度超过严格要求的密钥长度。这对于对称和公钥算法都是如此; 我们正在努力证明它们的未来。量子计算机有望颠覆这一切。由于它们的工作方式,它们擅长扭转这些单向函数所需的各种计算。对于对称密码学,这不是太糟糕。Grover的算法表明量子计算机可以加速这些攻击,从而有效地将密钥长度减半。这意味着256位密钥与量子计算机一样强,就像128位密钥与传统计算机相比; 两者在可预见的未来都是安全的。对于公钥加密而言,结果更加可怕。Shor的算法可以很容易地破解所有常用的基于因式分解和离散对数问题的公钥算法。密钥长度加倍会增加破解难度的难度。可这还不足够持久这样。这两个段落有很多值得注意的地方,其中最大的一点是能够做这样的事情的量子计算机目前还不存在,没有人知道什么时候会出现
  • 或者即使 -

    我们能够建立一个。当我们尝试实现Grover或Shor的算法时,除了密钥大小之外,我们也不知道会出现什么样的实际困难。(量子计算机上的纠错很容易成为一个不可逾越的问题。)另一方面,一旦人们开始使用实际的量子计算机,我们不知道会发现什么其他技术。我敢打赌,我们将克服工程挑战,并将有许多进步和新技术,但他们将花时间去发现和发明。就像我们花了几十年的时间才能把超级计算机装进口袋一样,要花上几十年的时间才能解决建造大型量子计算机所需的所有工程问题。从短期来看,密码学家在设计和分析量子抗性算法方面付出了相当大的精力,而这些算法可能在几十年来都保持安全。这是必然是一个缓慢的过程,因为良好的密码分析转换标准需要时间。幸运的是,我们还有时间。实用的量子计算似乎总是在“未来十年”中,这意味着没有人可以知道。然而,在那之后,这些算法总是有可能落入具有更好量子技术的外星人。我不太担心对称加密,其中Grover的算法基本上是量子改进的上限,而不是基于数论的公钥算法,这种算法感觉更脆弱。量子计算机有可能在某一天摧毁所有这些计算机,即使是那些今天就具有量子抗性的计算机。如果发生这种情况,我们将面临一个没有强大的公钥密码学的世界。这将是对安全性的巨大打击,并且会打破我们目前所做的很多事情,但我们可以适应。在20世纪80年代,Kerberos是一个全对称的身份验证和加密系统。最近,GSM蜂窝标准只进行了对称加密进行了大规模的身份认证和密钥分发。是的,这些系统具有集中的信任和失败点,但是可以设计使用秘密拆分和秘密共享的其他系统来最小化该风险。(想象一下,一对通信者分别从五个不同的密钥服务器中获取一个会话密钥。)通信的普及也使今天的事情变得更容易。我们可以使用带外协议,例如,您的手机可以帮助您为计算机创建密钥。我们可以使用面对面注册来增加安全性,可能是在商店购买您的智能手机或初始化您的互联网服务。硬件的进步也可能有助于在这个世界中保护密钥。我不是想在这里设计任何东西,只是指出有很多设计可能性。我们知道密码学是关于信任的,而且我们有比早期的互联网更多的技术来管理信任。像前向保密这样的一些重要属性会变得迟钝而且复杂得多,但只要对称加密仍然有效,我们仍然会有安全性。这是一个奇怪的未来。也许基于数论加密的整个概念,这是我们现代公钥系统的基础,是基于我们不完整的计算模型的暂时的迂回。现在我们的模型已经扩展到包括量子计算,我们可能最终回到20世纪70年代末和80年代初的水平:对称加密,基于密码的加密,Merkle哈希签名。这既有趣又具有讽刺意味。是的,我知道量子密钥分配是公钥加密的潜在替代品。但是,拜托

    是否有人希望系统需要专门的通信硬件和电缆才能用于除小众应用之外的任何其他应用?未来是移动,永远是嵌入式计算设备。这些软件的任何安全性都必须仅限于软件。还有一个未来的方案需要考虑,一个不需要量子计算机的方案。虽然有几种数学理论支持我们在密码学中使用的单向性,但证明这些理论的有效性实际上是计算机科学中一个重大的开放性问题。正如聪明的密码学家有可能找到一种新技巧,可以更容易地破解特定算法,我们可以想象有足够数学理论的外星人可以打破所有加密算法。今天对我们来说的话,这也太荒谬了。公钥密码学是所有数论,并且可能容易受到数学倾向的外星人的影响。对称密码学是如此多的非线性混乱,因此容易变得更加复杂,并且容易增加密钥长度,这种未来是不可想象的。考虑具有512位块和密钥大小以及128循环的AES变体。除非数学与我们目前的理解有根本不同,否则在计算机由物质以外的东西构成并占据除空间之外的东西之前,这将是安全的。但是,如果这种难以想象的事情发生了,那我们将只有完全基于信息理论的加密:一次性密码本及其变体。这将是对安全的巨大打击。一次性密码本可能在理论上是安全的,但实际上它们不能用于除专门的小众应用之外的任何东西。今天,只有破解者才会试图建立基于一次性密码本的通用系统

    密码学家嘲笑他们,因为他们用密钥管理和物理安全问题(更加困难)取代了算法设计问题(简单)。在我们陌生的科幻未来中,我们可能一无所有。对于这些神一般的外星人,密码学将是我们唯一可以肯定的技术。我们的核武器可能会拒绝引爆,我们的战斗机可能会从空中坠落,但我们仍然能够使用一次性密码本安全地进行通信。这里面有一种乐观主义。

2017-12-01 上海保交所 燕宝 量子密码和后量子密码

量子计算机会带来很多的好处,但是其中一个副作用是它会打破目前用于保护信息的机制。但业界正在努力,澳大利亚的QuintessenceLabs正在发挥关键作用。

2015年7月29日,美国正式对外公布“国家战略计算倡议”。正当人们纷纷猜测该战略倡议中提到的未来新型计算是什么样的时候,二十天后的8月19日,美国国家安全局网站上发布了一则消息,开宗明义指出“由于面临量子计算机的潜在威胁”,国家安全局这个负责统管美国政府和军方密码系统的最高机构决定将联邦政府所使用的“B包密码体制”替换成“抗量子密码体制”。一石激起千层浪。首先,在现实社会当中美国国家安全局一直非常低调和神秘(这也是为什么好莱坞总是喜欢拿它来吸引眼球的原因),而这次美国国家安全局居然一反常态在互联网上公开阐明其最核心的秘密—联邦政府部门所使用的密码系统可能面临的巨大威胁,这件事情本身就非常诡异。美国国家安全局用意何在?“8.19”声明背后是否有什么“阴谋”?其次,什么是“抗量子密码”?它和“量子密码”又是什么关系?此外,量子计算机都还没有研发出来,怎样说明一个密码能够抗击量子计算机的攻击?......

近日,由中国金融科技50人论坛(CFT50)与证券信息技术研究发展中心(上海)举办的“区块链里的密码学技术”闭门研讨会议,在上海证券大厦举行。

量子计算会使世界发生彻底的变革,澳大利亚也将第一个冲向量子终点线。但是量子计算机对药物等领域带来好处的同时,也会破坏当前的安全方法。

我们先来看一看美国国家安全局这个“8.19”声明的要点。国家安全局在密码领域承担了“密码破译”和“密码设计”两大任务。密码破译的工作由国家安全局下属的“信号情报部”(Signals Intelligence Directorate,SID)负责,其前身甚至可以追溯到第二次世界大战期间破译日本的“紫密”等工作,中途岛海战大败日本帝国海军,以及日本“战神”三本五十六的座机被击落均是它立下的战功。而密码设计的工作则由美国国家安全局下属的“信息保障局”(Information Assurance Division, IAD)负责。信号情报部负责“攻”,信息保障局负责“防”,一矛一盾。此次美国国家安全局的“8.19”声明是指其下属的信息保障局研发的B包密码体制将面临量子计算机的威胁,并要求使用“抗量子密码”来替换它。一句话,这次的“8.19”声明是针对美国联邦政府部门自身的密码升级方案。那么B包密码体制为何不再安全了呢?

图片 1

澳大利亚量子网络安全公司QuintessenceLabs(以下简称为QLabs)的创始人兼首席执行官Vikram Sharma在上周的ACS堪培拉大会发表演讲后接受了ZDNet的访谈,他详细描述了全球安全行业的计划,为在接下来的十年内实现量子计算机而做准备。

B包密码体制包括了多种以现代公钥密码为基础的加密算法、数字签名算法、密钥协商算法和随机数生成算法等。而现代公钥密码诞生于上个世纪七十年代中叶,其安全性依赖于数学上的皇冠—数论中的一类困难问题。美国国家安全局组织专家对公钥密码的安全性分析了整整三十年,在确认没有什么安全漏洞之后,才于2005年允许B包密码体制在联邦政府内部的信息系统当中投入使用。根据NSA的相关规定,B包密码体制可以用于联邦政府的机密信息传递,而且和更为神秘的A包密码体制一道,可以用于处理最高密级为绝密级的信息,例如美联储等机构就可以使用B包密码体制来传递敏感信息。

主题演讲,上海保交所区块链底层首席架构师 燕宝

“在量子计算方面取得的成就会给我们以前用于保护信息安全的机制带来风险。但是有趣的是,量子技术也能够提供一些解决方案来缓解这一风险或者迎接这一挑战。”他说道。

其实,现代公钥密码不仅仅用于美国或其他国家的政府部门。在人们日常生活或工作当中,在当今互联网的正常运行与维护当中,均离不开现代公钥密码。例如,各种软件版本的自动更新,各种网络设备补丁的下载与升级,政府部门的电子政务,企业的电子商务,个人的网上消费…均依靠现代公钥密码体制来提供虚拟社会各成员之间的相互认证,只不过这些认证工作都是在后台默默的完成,无须人们动手。因此,现代公钥密码构成了网络空间的信任链之锚。可以毫不夸张的讲,人类社会从来没有像今天这样,将如此巨大的资产托付于现代公钥密码体制。所以,一旦网络空间的这个信任锚“基础不牢”,必将“地动山摇”。

以下为发言实录(经本人审核修改)。

第二次量子革命也一触即发,Sharma指出,1947年发明出了晶体管,在20世纪50年代早期,出现了很多使用晶体管的器械、设备和仪器。

那么人类对现代公钥密码的安全性如此信任,原因何在呢?

《区块链技术体系中的加密技术 - 量子密码和后量子密码》

非常感谢CFT50论坛提供一个区块链技术交流的平台,白老师(白硕)、王老师(王励成)的演讲都非常精彩,我在这里跟大家简单分享一下我们近期的在区块链技术的研究方向。

我们在实际应用当中,碰到了很多像白老师前面讲解内容一样的需求,特别突出是在数据安全防护、身份和交易数据的隐私保护方面。在某些应用案例中,银行方面提出

“区块链中的数据是通过现有的加密算法是保证安全,目前是安全的,但不代表一直是安全的;数据多方存储(分布式存储),存在潜在的安全风险”。

在交流的过程中,他们提出了量子计算攻击和后量子密码算法方面的意见和看法,我们就和上海交大-密码与计算机安全实验谷老师的团队,针对于这方面去做了一些深入的交流和研究,今天将我们学习研究的内容跟大家简单分享一下。

首先和大家介绍一下分享的议程,

  • 第一阶段,背景知识(量子力学、量子通信、量子计算与量子计算机);
  • 第二阶段,量子密码与后量子密码(量子密码体系、量子攻击方法、后量子密码标准化、主流的后量子密码);
  • 第三阶段,区块链世界里的攻击与密码破译的量子算法(针对区块链基础设施、智能合约以及冷热钱包的攻击、密码破译的Grover算法、Shor算法)。

和第二次革命不同的是,第一次革命看到了自然界中发生的量子效应的被动杠杆化;第二次革命的特点是可以积极地设计自然界中不存在的量子态。

四十年前诞生的现代公钥密码体制,无论是RSA算法,ECC椭圆曲线算法,还是DH密钥协商算法,它们的安全根基都系在“一根绳上”—数论中的“大数素因子分解/离散对数”困难问题之上。由于人们相信仅凭现在的计算机(即使是比现有最强大的超级计算机还快千百万倍)都难以在数十年甚至上百年之内破译这些公钥密码算法,因此世人一直高枕无忧。

一、背景知识

图片 2

在分享量子密码与后量子密码之前,了解一下量子相关的背景知识。先从量子力学说起吧,量子力学里面描述微观物质理论,与相对论一起被认为是现代物理学的两大基础支柱。

微观世界里,粒子嗡嗡跳跃的概率云,它们不只存在一个位置,也不会从一个A点通过一条单一路径到达B点;此外,微观粒子具有波粒二象性。微观体系里的状态的有两种变化,

  • 一种是按运动方程式演进,这种是可逆的变化;
  • 另一种是测量改变体系状态不可逆的变化。

量子就是量子世界中物质客体的总称,他既可以是光子、电子、原子、原子核、基本粒子等微观粒子,也可以是波色-爱因斯坦凝聚、超导体、“薛定谔猫”等宏观尺度下的量子系统,他们的共同特征就是必须遵从量子力学的规律。

后面我们看一下从量子力学里几个重要理论。

  • 第一个理论:量子态叠加原理,量子态是量子力学里边来描述量子系统的状态,其运动规律遵循薛定鳄的方程;量子态也被称为波函数或几率幅,记为|ψ⟩,假定量子客体有两个确定的可能状态0或者1,通常写成|0⟩、|1⟩,由于量子状态是不确定的,它一般不会处于|0⟩或|1⟩的确定态上,只能处于这两种确定态按某种权重叠加起来的状态上,这就是量子世界独有的量子态叠加原理,用数学表示即为:|ψ⟩=|0⟩ |1⟩,其中,为复数,且满足 =1。
  • 第二个理论:海森堡测不准原理,在经典力学中,测量对物理系统本身没有任何影响,可以无限精确地进行;在量子力学中,测量过程本身对系统造成影响;对于两个不同的物理量A和B(如坐标和动量,时间和能量等),不可能同时具有确定的测量值,这是由于测量过程对微观粒子行为的“干扰”,致使测量顺序具有不可交换性。
  • 第三个理论:量子纠缠,对于由多个粒子组成的系统,其每个粒子的状态往往无法被分离出来,因此,单个粒子的状态被称为是纠缠的;纠缠的粒子有惊人的特性,例如:对一个粒子的测量,可以导致整个系统的波包立刻塌缩,因此也影响到另一个、遥远的、与被测量的粒子纠缠的粒子。
  • 第四个理论:量子退相干,当两个粒子互相纠缠时,即使距离遥远,一个粒子的状态变化将会影响另一个粒子的状态变化;量子纠缠是量子技术的重要资源,是量子计算机、量子模拟等重大应用的物理基础;量子纠缠尽管奇妙无比,用途广泛,但它却有天然的致命伤——量子纠缠十分脆弱,环境会破坏其量子特性而使“纠缠”消失掉,即两个纠缠的量子客体最终会演化为不纠缠的状态,非局域关联或完全断开;环境不仅包括经典噪声,诸如热运动、吸收、散射等,还包括量子噪声,即真空起伏。这种环境引起的量子性消失,被称为量子退相干。

基于量子力学的理论基础,后面介绍一下量子通讯、量子计算与量子计算机。

  • 量子通信是指利用量子纠缠效应或海森堡测不准原理进行信息传递的一种通讯方式。
  • 量子计算是一种遵循量子力学规律调控量子信息单元进行计算的新型计算模式。

量子计算机是一类遵循量子力学规律进行高速数学和逻辑运算、存储及处理量子信息的物理装置,该装置处理和计算的是量子信息、运行的是量子算法。

量子计算机使用的是量子比特,量子计算机能秒杀传统计算机得益于两个独特的量子效应:量子叠加和量子纠缠

  • 量子叠加能够让一个量子比特同时具备0和1的两种状态,
  • 量子纠缠能让一个量子比特与空间上独立的其他量子比特共享自身状态,创造出一种超级叠加,实现量子并行计算,其计算能力可随着量子比特位数的增加呈指数增长。

“通过设计新的量子态或者效应,已经展现出了很多的量子所具备的能力,并且在未来的几十年内,使我们生活的很多方面都发生阶跃变化。”Sharma解释道。

然而,1994年,美国贝尔实验室的数学家Peter Shor发明了一种破解算法,从理论上证明了这种算法能够在很短的时间内完成对上面的数学困难问题的求解,从而宣布了现代公钥密码已经不再安全。只不过他的这个破解算法有一个前提,那就是必须使用“大规模的量子计算机”,而这在当时纯属天方夜谭。因为在二十多年前,造出一台能够达到破解现代公钥密码水平的量子计算机所面临的困难就如同让一名幼儿园小朋友马上完成博士论文一样不可思议。

二、量子密码与后量子密码

图片 3

第二阶段,大家简单分享一下量子密码和后量子密码知识。

Shannon证明,若密钥为长度不小于待加密的明文长度的随机序列,且任何一密钥仅使用一次,该加密体制(C=PK)是无条件安全的(Perfect Secrecy)。

为何“一次一密”密码迄今未被广泛使用呢?主要原因是,“一次一密”要大量消耗“密钥”,需要通信双方不断地更新密码本,而“密码本”的传送(称为“密钥分配”)是关键问题所在。

  • 量子密码体系采用量子态作为信息载体,经由量子通道在合法的用户之间传送密钥;
  • 量子密码的本质是用于解决密钥分配问题 ,从该意义上说,量子密码即为量子密钥分配,为“一次一密”加密体制在公开信道进行安全、高效的密钥分配提供很好的解决方案。

量子密码的安全性由量子力学原理所保证,具体来说,其安全性依赖于:

  • 1)量子不可克隆性:窃听者无法克隆出正确的量子比特序列;
  • 2)海森堡测不准原理:基于单光子量子信道的量子密码
  • 3)量子纠缠:基于量子相关信道的量子密码。

量子密码在理想状态下可以确保密钥的安全性,但实际上量子密码系统绝对达不到理想状态,例如单粒子探测效率不是百分百的,它会产生传输损耗,各种器件不完善等等问题,这些非理想漏洞就可能被窃听者用来窃取密钥,但却不会被合法用户发现。同时,量子密码体系必须确保安全密钥的生成率足够高,以达到信息“一次一密”加密的需求。

目前,在百公里范围的城域网,量子密码体系可以做到密钥分配在现有的各种攻击下是安全的,安全密钥生成率在25公里内可确保高清视频“一次一密”。

量子攻击方法可分为非相干攻击和相干攻击。

  • 非相干攻击:攻击者独立地给每一个截获到的量子态设置一个探测器,然后测量探测器中的粒子,从而获取信息;
  • 相干攻击:攻击者通过某种方法使多个粒子比特关联,从而可相干地测量或处理这些粒子比特,进而获取信息。

由于量子信息的奇妙特性,使得量子计算具有天然的并行性,且其计算能力可随着量子比特位数的增加呈指数增长;量子计算机的这种超强计算能力,使得基于某些数学难题的传统公钥密码的安全受到挑战;然而,量子计算机并不能解决电子计算机难于求解的所有数学问题。基于量子计算机不擅长计算的那些数学问题构造密码,就可以抵抗量子计算的攻击,我们称能够抵抗量子计算机攻击的密码为抗量子计算密码,或后量子密码

出于对抗量子计算密码需求的紧迫性,国际上从2006年开始举办"抗量子计算密码学术会议(Post-QuantumCryptography)",每两年举行一次,至今已举办了4届,已经产生了一批重要的研究成果,让人们看到了抗量子计算密码的新曙光。

  • 2015 年 8 月,美国国家安全局公开宣布由于面临量子计算的威胁,其计划将联邦政府各部门目前使用的ECC/RSA 算法体系向后量子算法进行迁移。
  • 而负责标准制定的美国国家标准与技术局也在2016 年 2 月正式面向全球公开了后量子密码标准化的路线图,并在同年秋正式公布征集密码系统建议的计划,其中包括公钥密码、数字签名以及密钥交换算法,建议征集的截止日期定于2017年12月;此后,国家标准与技术局会利用3-5年时间分析这些建议并发布相关分析报告,最终的标准拟制工作也将耗时1-2年。
  • 换言之,国家标准与技术局后量子密码算法标准最终将在2021-2023年出台;而考虑到其具备较好的安全性能以及国际互联网工程任务组已经着手展开了标准化工作,基于哈希算法的签名标准可能会更快地推出。
  • 除此之外,欧洲量子密码学术和工业界研究者联合组织“后量子密码”项目(PQCrypto)也在2015年发布了一份初始报告,在对称加密、对称授权、公钥加密以及公钥签名系统领域都提出了相关标准化建议。
  • 针对受到量子计算技术严重威胁的RSA/ECC密码系统,该报告认为麦克利斯密码系统具有发展成为新的公钥加密标准的潜力。

图片 4

在后面和大家分享一下四种主流的后量子密码算法及其优缺点。

第一种是基于哈希算法签名(Hash-based signatures),安全依赖于底层的哈希函数的抗碰撞性;
优点:安全要求是最小的;
缺点:只能用于量子签名方案(签名/验签)。

第二种是基于多元二次方程式密码(Multivariate-quadratic-equations-cryptography),多变量密码体制(MPKC)被认为是能够抵御基于量子计算机攻击的新型公钥密码体制之一,利用减扰动方法构造出了一种基于MPKC的新型签名方案,其计算效率,主要指中心映射求逆的效率高于两个著名的多变量签名体制Sflash和Quartz;
优点:与基于hash的签名方案相比,签名较短;
缺点:与传统的RSA、ECC等系统相比,密钥非常大;还有在MPKCs的可证明安全性没有实质性的结果。

第三种是基于编码密码(Code-basedcryptography),算法原语(底层单向函数)使用纠错码,第一个基于编码密码(公钥加密方案)是由Robert J. McEliece在1978年提出的;
优点:加解密速度快;
缺点:大型公钥大小(100KBS-几MBS),签名/验签成本大,

“基于编码密码体系没有实际应用是知道”;二元Goppa码是安全的(似乎是),而其他基于编码密码体系适用应仔细考虑,有些方案看上去并不是很牢靠的。

第四种是基于格密码(Lattice-basedcryptography),安全性是基于最坏情况下格问题的困难,Ajtai在1996年提出“Collision-ResistantHash Function”,Goldreichet al.在1997年提出“PKE and signature schemes”,Ajtai和Dwork在1997年提出“PKE scheme”;
优点:可证明安全:基于最坏情况硬度的强安全性证明;相对高效的实现;非常简单;多用途,许多先进的密码体制的提出,例如:IBE、ABE、FHE;
缺点:暂无。

现在密码学术界,对于后量子密码的方案基本上是基于哈希函数签名基于格密码两者结合的,基于哈希函数签名用于抗量子密码体系的签名/验签,基于格密码用于抗量子密码体系的加密/解密。

QLabs于2008年成立,是堪培拉澳大利亚国立大学物理学院的剥离部门,QLabs的产品组合都是独立于澳大利亚国立大学而开发出来的。

但是人类追求技术进步的步伐有时候也超出了自身的预料。进入本世纪之后,特别是2012年之后,设计制造量子计算机的关键技术接二连三取得突破。尽管现在人们研发量子计算机的原动力已经远远超越了破解公钥密码算法,而是更加急迫的希望能够把它用于先进材料、新药设计、基因工程等领域来提升人类社会的生活品质,甚至探索宇宙的终极秘密,如量子场论等。然而,量子计算机一旦真的制造出来,毫无疑问将对现有公钥密码体制带来毁灭性的打击,如果人们不能尽快找到替代方案,那么当今的网络空间也必将荡然无存。一句话,设计“新型抗量子公钥密码”的队伍现在必须和那些研发量子计算机的队伍赛跑。

三、区块链世界里的密码攻击以及量子密码破译算法

第三阶段,和大家分享一下在区块链世界里的密码攻击以及量子密码破译算法。针对现有区块链技术,攻击主要集中在四个方面:

  • 第一,针对区块链基础设施的攻击
  • 第二,针对智能合约的攻击
  • 第三,针对热钱包的攻击
  • 第四,针对冷钱包的攻击,代表性的攻击事件如图所示。

图片 5

目前,可用于密码破译的量子计算算法主要有Grover算法Shor算法

对于密码破译来说,

  • Grover算法的作用相当于把密码的****密钥长度减少一半
  • Shor算法适用于解决大整数分解、离散对数求逆等困难数学问题,对目前广泛使用的RSA、EIGamal、ECC公钥密码和DH密钥协商协议可以进行有效攻击。

因此,在量子计算环境下,RSA、EIGamal、ECC公钥密码和DH密钥协商协议将不再安全

我们设计新区块链底层的时候,着重考虑数据隔离、数据安全防护以及隐私保护方面。今天准备并不是非常充分,简单大家分享到此,非常感谢!

QLabs特别关注的是网络安全和通讯领域的应用,并从澳大利亚政府获得资金,以帮助它在国防级别上实现这一目标。

2 量子密码与抗量子密码的区别

如今,信息的商业交换主要是由PKI(公钥构架)来保护的,PKI的安全性则是依赖于特定数学运算的计算复杂性。

2015年8月19日,美国国家安全局在其官方网站上宣布正式启动“抗量子密码体制”,即“8.19”声明。事隔整整一年之后,2016年8月16号,中国的量子科学实验卫星“墨子号”在酒泉卫星发射中心成功发射,而“量子通信”这一概念落入普通大众的视野,而“量子通信”其实就是密码领域常说的“量子密码”。对此,我们很有必要厘清一下量子密码与抗量子密码的区别。

Sharma表示,重要的是,这一系统依赖的是易于单向解决的数学问题,但是想要反向解密还是有点难度的,当前的网络安全也是如此。这种用于PKI交换的系统是一种RSA(非对称加密)算法。

量子密码本身并不是一种密码算法,而是利用量子物理,特别是量子纠缠的神奇特点来实现传统的加密算法的密钥协商,简称量子密钥分发(Quantum Key Distribution,QKD)。由于这种特点,QKD主要的应用是不断给用户更新密钥,而不能像公钥密码体制那样进行数字签名和用户身份认证。现阶段世界各国建设的各类量子通信网络,均是指上述的QKD。通信双方在进行保密通信之前,可以依靠QKD系统来“分发”这次加密算法所使用的密钥。由于量子纠缠状态的“不可测性”这一基本物理定律的保障,使得人们从理论上得到了安全性保障,即如果有人企图“偷听”密钥的传递,那么处于纠缠态的量子对就会发生坍塌,从而让通信双方得知此次密钥的传递发生了问题,于是可以再次协商、再次传递…(当然,如果窃听方就是存心捣乱,持续通过这种“偷听方式”来干扰你进行密钥分发,这又带来新的安全隐患)。

Sharma解释道:“一旦有了量子计算机,那么RSA秘钥交换的数学性将会被破坏,因为它的反向计算速度要比传统的计算机,甚至比超级计算机更快。”

在现阶段,量子密码QKD面临的主要技术障碍有两个:一个是纠缠态的量子对的传输距离有限,需要进行“中继传输”,就像奥运火炬一样一棒一棒的接力下去。这就要求每一个“火炬手/二传手”都必须是可靠、可信的。如果某个火炬手“狸猫换太子”,那么整个通信安全就受到破坏。因此如何解决“二传手”本身的可信问题?目前一种解决办法是用公钥密码来对量子通信的各个节点进行“身份认证”。一个典型的例子是世界上着名的量子通信产品生产厂商,瑞士的IQD公司所生产的量子通信设备,就是使用现代公钥密码来对传输节点进行身份认证的。但如果现代公钥密码在量子计算机面前不堪一击,那么节点的身份依然可能被冒充。事实上,人们正在考虑使用抗量子公钥密码来替换上一代公钥密码,为量子通信网络中的各个节点提供身份认证。

“这也是威胁所在...我们需要在下一个十年内认识到这些威胁,大多数人或许会争辩道,我们已经有了可用且有用的量子计算机。”

第二个问题是兼容性。现阶段用于传递密钥的量子通信网络是一个独立运行的、中继节点必须是可信的通信网络。而人类社会在过去三十多年来投入了巨大的软硬件资源建设了另一张网络:基于TCP/IP协议的计算机网络,而且还在不断快速扩张当中,如移动互联网、物联网等等。这张网最大的特点就是“天生不可信”。因此人们一直以来就以“网络环境不安全为前提假设”来追求计算机网络通信的安全,例如采用上面提到的现代公钥密码来提供网络成员之间的相互信任问题,从而解决“不可信环境下的可信认证问题”。因此在量子通信获得更广泛的应用之前,如何解决“可信的量子网络”与“不可信的互联网”这两张网的兼容问题?或者说如何解决量子通信的标准问题?这对于量子通信产业化是必不可少的。还需要指出的是,无论从工程造价以及全球网络互联互通的角度来看,世界上任何一个国家都不可能废弃现有的计算机网络,而花费巨资来重新打造一张“纯量子通信网络”。因此,在可以预见的未来,这两张网必定会共生共存,相互补充。

“这就是威胁,但是我们当前面临的挑战是,虽然量子计算机能够为我们带来的所有的好处,但是有一个副作用是它会打破我们如今用于商业交换中保护电子商务和金钱的机制。”

顺便说一句,人们有时候也将量子密码称为“硬密码”,主要是说它依赖于量子物理的铁律,以及在实现它的时候需要大量专用硬件设备。与之相对的是“软密码”,即我们人类历史上延续了数千年并且将继续传承下去的“数学密码”。四十年前诞生的第一代公钥密码就是“软密码”家庭中的“新生成员”。遗憾的是,它们即将退出历史舞台,新一代公钥密码—抗量子密码呼之欲出了。

根据Sharma和他的同事,现在有三种方式能够缓解这一问题,第一个是找到会被破坏的数学问题,然后用更加复杂的数学问题进行替换。

3抗量子密码大家族

他说:“我们希望量子计算机不会破坏这些机制。”

抗量子密码(Quantum Resistant Cryptography,QRC)是目前最新的提法,但还有其他很多同义词,比如“后量子密码”(Post Quantum Cryptography, PQC),这是使用时间最长的术语、“抗量子算法”(Quantum Resistant Algorithm,QRA,这是美国国家安全局“8.19”声明中的用法)。这些名称目前在业界当中均在交替使用。这也恰恰说明这是一个“群雄并起”的美好时代。无论它们叫什么,本质上都是指“能够抵御量子计算机攻击的数学密码”。由于现阶段遭受量子计算机攻击的密码系统主要是第一代公钥密码,包括上面提到的RSA/ECC/DH这几类。而这些公钥密码恰恰又构成了当代网络空间的信任链之锚。因此,人们现阶段关注的焦点也是尽快拿出能够替换第一代公钥密码的方案,重新固定网络空间信任之锚。

美国国家标准与技术研究院(NIST)一直在实行一个项目,来决定下一组算法,以保护量子安全的数据。

首先需要指出的是,抗量子密码是泛指,它们大体上可以分为四大类,这四大类之间没有什么“血缘关系”,至少现在人们还没有发现它们之间有何关联。为了叙述简便,我们可以把它们分为基于编码的算法(Code-based Encryption,C类)、基于多变量多项式的加密算法(Multi-variable polynomial,M类)、基于安全散列函数的算法,以及格基加密算法(Lattice-based Encryption,L类)。这些加密算法发明出来的时间前后不一,例如C类算法甚至可以追溯到上个世纪七十年代,即发明第一代公钥密码算法的时代。只是因为当时C类算法加密的性能要比第一代公钥密码算法慢很多,因此并未引起人们太多的关注。M类算法诞生于上个世纪八十年代中叶,之后经过了诸多变形。S类算法中最典型的一例是SHA-3,它诞生的时间相对较晚,直至2015年才成为美国国家标准;L类算法是目前最受关注的一类算法,最早产生于1994年(居然与破解第一代公钥密码体制的Shor算法同时诞生!),后来又开枝散叶衍生了诸多分枝,包括现在炙手可热的全同态加密算法,其基本原理也属于L类。

美国国家标准与技术研究院选出了90名候选人来帮助开发量子抵抗算法(QRA),这表明到2022年-2023年,将会推出第一个量子抵抗算法。

大约在2006年左右,国际密码学界开始把上述4大类数学密码统称为“后量子密码”。之所以给它们整体冠以“抗量子”这顶桂冠,主要原因有二:一、它们所依赖的数学上的困难问题均与第一代公钥密码算法所依赖的,被Shor算法破解了的那类困难问题无关。换言之,Shor算法对它们都不起作用;二、它们各自依赖的数学困难问题之间没有什么关联关系,“鸡蛋没有放在一个篮子里面”。即不存在这种风险,将来如果发现它们当中某一个困难问题能够被求解出来,于是就“株连九族”,就像第一代公钥密码那样,RSA算法、ECC算法,以及DH算法,都被Shor破解算法连锅端了。

美国国家安全局也参与其中,要求机构使用大型对称性秘钥,而不是PKI使用的非对称性秘钥。

人们可能会感到奇怪,既然已经有这么多形态各异的抗量子算法存在,为什么我们不立即用它们来替换现有的公钥密码系统,形成网络空间新的信任锚。这样一来,即使将来量子计算机研发出来了,人们不是也可以继续高枕无忧吗?

“这应该就是他们所说的高熵,因为这一编码都是完全随机的。”Sharma在谈论量子安全的第二种方式时说道。

4抗量子密码标准化

这也是QLabs当前正在着手解决的问题。

凡事有利必有弊。上述这些抗量子密码算法,虽然各自依赖不同的数学上的困难问题,因而从理论上具备抗量子计算机攻击的特性,但与第一代公钥密码算法相比,它们又有一些缺陷。例如,它们目前普遍效率较低:或者密钥规模较大,或者加解密速度太慢…。一旦贸然将它们投入到当今的互联网当中,有可能会带来运行效率大幅下降。毫无疑问,人们肯定不愿意使用这样一种加密算法,它会花上好几个小时来认证微软的官方网站是否可信,然后才决定是否下载最新的补丁吧?另外一个缺陷是目前这些算法当中,没有一个能够集“加密、签名、认证于一身”。而这恰恰是上一代公钥密码算法的一大优点。更为重要的是,任何密码算法的最终目标是应用,而要应用到现代互联网乃至将来更多更新的网络当中,就必须对它们制订标准,从而使得全世界的软硬件开发厂商遵循同样的标准体系来设计密码应用产品。而这一点正是目前国际密码学界,特别是各大国际标准化机构关注的核心。

该公司在二月份宣布利用二极管中的裂纹来开发一个全局熵量子随机数字生成器。裂纹是二极管的一个特性,也被称为量子隧穿,即粒子能够穿入或穿越位势垒的量子行为,但是在经典力学里,这是不可能发生的。

美国国家安全局在2015年“8.19”声明当中,除了提出要替换现有的B包密码体制之外,还要求美国国家标准局尽快启动抗量子密码标准的制订工作。对于美方如此急迫的行为,人们尽管有各种各样的分析或猜测,但有一点是无需置疑的,那就是美国方面将毫不掩饰的继续引领新一代抗量子密码的发展趋势,掌控其标准制订框架,并进而影响其他国际标准化组织。

Sharma注意到,重要的是,QStream每秒会产生数十亿个随机数字,用于支持美国国家安全局推荐的高熵对称性秘钥。

美国有关机构,特别是NSA和NIST的密码管理部门早在十年前就开始关注国际上各类抗量子密码算法的研发进展。随着这些算法逐步成型,以及2012年之后量子计算机关键技术不断取得突破,美国方面开始利用一些着名的专业国际会议来进行“标准化布局”。2013年9月,在欧洲电信标准化委员会召开的第一届“量子安全密码”(Quantum Safe Cryptography, QSC)国际会议上,美国NIST抗量子密码组首次向世人展示了他们将上述四类抗量子密码家族纳入标准化的想法。随后几年当中,美国方面加大了对抗量子密码标准化的宣传工作。2015年11月,NIST颁布了《加密算法与密钥长度在过渡期的使用建议》。在该建议当中,立即禁用了一款随机数生成算法,对于其他未经授权的密钥协商/交换算法,最多给出两年的暂缓期,至2017年年底全面禁用。该建议进一步收紧了第一代公钥密码算法的使用期限,为下一步转向抗量子密码做了铺垫。

第三个方式是量子秘钥分发,它并没有使用数学问题来保护秘钥的传输,QLabs和其他公司则使用了物理学原理。

2016年2月,在日本召开的PQCrypto 2016年会上,NIST正式向世人公布了他们关于抗量子密码标准化的路线图。4月NIST又公布了关于对以上四类抗量子密码算法框架的总体评估报告。8月,该机构又公布了一份指导性文件,详细阐述对新一轮抗量子密码进行标准化的若干细节,包括递交候选算法的各种要求,对候选算法进行安全和性能评估的各种考虑。9月,在ETSI召开的第四次量子安全密码年会上,NIST的官方代表再次解释了“集全球之力”推动抗量子密码标准化的决心。美方抗量子密码标准化工作的要点可以归纳如下:

“如果我要给你发送一个量子级别编译的代码,我会在每秒进行亿万次的发送,如果有人试图拦截这一传输过程,量子物理学定律会将他们窃取或者拦截的行为展示给你和我。”他解释道。

首先,NIST将自己定位为全球抗量子标准化工作的“带头大哥”,希望整合世界各国关于抗量子密码研究的力量,并按照美方给出的时间表、路线图进行标准制订工作。在二月份日本PQCrypto 2016会议上,各国密码学家,包括欧洲、日本、韩国等国也纷纷表示了对参与美方标准制订极大的兴趣。事实上,美国方面在密码标准制订方面,在事先进行预判的基础上来整合国际上的科研力量,并在幕后推动和引领密码算法的走向这一策略早已有成功的案例,包括2003年“高级加密算法标准”和2015年“安全散列函数标准”的制订均是这种情况。

“我们会放弃这一秘钥,然后只使用我们确认安全的且不会被干涉的秘钥,从而能够为传输秘钥提供一个完全安全的方式。”

其次,NIST给出了明确的抗量子密码标准化时间表,一共分为三个阶段:算法征集阶段。从2016年2月至2017年11月为面向全球进行抗量子算法的征集阶段。尽管NIST/NSA对上述四类算法进行了多年的内部研究,但他们仍然希望通过“算法公开征集”这种措施来达到两大目的:一是看看是否尚有“漏网之鱼”,二是增加那些将来获得最后批准的算法的公信力。这一点在“斯诺登事件”之后对“重塑美方的威信”而言尤为重要。算法评估阶段。从2018年开始,预计安排3-5年时间进行候选算法的安全和性能评估。考虑到目前抗量子算法远比当年评选单一的AES或SHA-3算法要复杂,但评选时间却更短,这将在未来几年当中充满挑战。算法制标阶段。最后计划安排两年左右的时间对最终入选的各类抗量子密码算法制订相应的美国国家标准。从上述时间安排可以看出,大致上到2020年或稍后一点的时间,美国方面将完成对各类抗量子密码算法族的评估,从而为“抗量子密码”赢得对“量子计算机研发”的竞赛奠定基础。

这三个方法受到了广泛的认可,因为它们能够保证量子安全。Sharma也指出,将这三种方式整合到一起,则会构成未来网络安全系统的基础,从而对敏感信息进行存储和传输。

第三,既然是打“抗量子密码”牌,NST要求所有算法候选者均要“双肩挑”,即既能抵抗各种经典的密码破译分析,又能抵御“量子计算机的攻击”。而且在美方公布的指导性文件当中还特别注明:算法设计者们应当把“大型通用量子计算机获得广泛应用”作为设计算法的前提假设。这一点对于全球密码专家而言都提出了全新的挑战。

“多层防御也会协同工作。”他补充道。

5标准化工作面临的挑战与机遇

原文作者:Asha McLean

毫无疑问,美方抗量子标准化路线图的企图是雄心勃勃的。然而,它也面临若干挑战。对此,美国国家标准技术研究所抗量子密码组的专家们也毫不讳言。

声明:本文系信息化观察网编译文章,转载请注明出处、作者和本文链接。若违规转载使用,本网站将保留追究的权利。返回搜狐,查看更多

首先,就是任务繁重。如上所述,抗量子密码包括了C、S、M和L等若干种类,每一类都衍生了若干具体的算法。要在这些算法当中遴选出替代第一代公钥密码算法的候选者,仅凭NIST的抗量子密码组的十余位管理者和专家要在短短的三五年时间之内完成此项工作,这是一项不可能的任务。而尽管人们相信NSA强大的密码专家团队在整个标准制订过程中将扮演极为重要的角色,但世界各国各界对NSA这个机构的顾忌也是不言而喻的。因此,在NIST的制标过程中,必将很大程度上采取“公开透明”的方式来说服世界各地的研究人员参与其中。

责任编辑:

其次,是算法成熟度。由于各类抗量子密码算法发明的时间各有先后,有的早在上个世纪七十年代就已经出现了,有的则在近几年才引起人们的关注,因此,一个算法是否已经经过了各国密码学家充分的研究,这对于制标工作而言非常重要。人们肯定不希望看到一款入选的算法公布出来不久之后,就面临严重的安全隐患吧?需要指出的是,并非出现得越久的算法,受到的关注就越广泛。事实上,整个抗量子密码家族也是近几年才引起全球密码学界的广泛关注和研究的。此外,此次抗量子密码制标工作,NIST要求是“纯抗量子密码标准”。换言之,不采用第一代公钥密码与新一代抗量子密码“混编”的方式,即不制订第一代公钥密码向抗量子密码“平滑过渡”的标准。这对抗量子密码的成熟度提出了更高的要求。

第三,是算法覆盖面。由于目前没有一种抗量子密码算法能够很好的兼顾“加密”、“签名”、“认证”等功能点,而这恰恰是第一代公钥密码的优势,因此NIST必将会针对每一个功能点来筛选相应的算法,而且每一个功能点可能还会遴选两种以上的算法。这毫无疑问又加大了工作量。

第四,是算法适应性。与第一代公钥密码出现后,主要面向互联网应用不同。抗量子密码算法必将面临更多、更新、更复杂的网络应用,包括移动互联网、卫星通信、物联网、大数据、云计算等等。例如各种用于物联网终端的“轻量级抗量子密码”是否足够抵抗“普遍使用的量子计算机攻击”同时又有很快的加解密速度?又例如这些抗量子密码如何平滑过渡到现有的网络安全协议栈而不会影响网络的运行效率?

第五,是安全新概念。现阶段人们对密码算法安全性的认识主要是基于所谓的“比特安全”,因为可以用它来“量化”一个加密算法抵御现有计算机攻击的能力。例如AES-128就是指该算法的密钥长度为128比特。它意味着如果使用电子计算机来进行“暴力破解”,也就是穷举所有密钥的可能性的话,计算机需要计算2的128次方种可能性。按照现有的计算能力,即使到数百亿年之后宇宙终结之时也计算不完。但是,“量子计算机依然遵循比特安全”这种规律吗?NIST提出了这样的疑问。

最后,但也非常实际和重要的一点就是算法的专利问题。这个问题尤其突出体现在抗量子密码的“密钥协商”算法上(与之对应的第一代公钥密码体制当中,就是在当今网络空间当中得以广泛应用的着名的DH算法,遗憾的是该算法在量子计算机出现后已经不堪一击)。与其他可以用于“加密”、“签名”的抗量子算法候选种类相对较多不同,目前唯一能够用于“密钥协商”的抗量子算法从本质上来讲只有一款算法。这是一类基于L类密码(格基密码以及一种所谓“基于错误学习”的方法)算法发明的“密钥协商算法”。这种算法是由一位在美国的华人密码学家JINTAI DING于2012年发明的,并且已经获得了美国专利。而基于其他类型的抗量子密码来设计“密钥协商算法”的种种努力到目前为止都以失败而告终。这对于NIST希望推进的标准化工作而言是一个极大的障碍,因为它要求所有算法入选者必须声明放弃算法专利才能入选其“候选算法池”。如果该专利的持有者拒绝放弃专利,那么在将来抗量子密码标准的功能点上就缺少了“密钥协商算法”这一环,这将成为抗量子算法族的一大缺陷。由于目前Google推出的一款基于该密钥协商算法的试用软件—“新希望”正面临可能的法律诉讼,以及其他厂商,如微软等对该算法知识产权表现出来的关注和尊重,这都提醒人们未来抗量子密码及其应用所面临的挑战不仅是技术层面的,也包括知识产权保护方面的。

作为迫切想“弯道超车”的我们,更应该特别冷静地注意到目前国际上主要的IT企业对抗量子密码的高度重视,就如同它们对量子计算机研发的重视一样。在2016年2月的PQCrypto 2106会议上,在9月ETSI的“量子安全密码年会”上,除了欧美各国政府代表纷纷“以本色示人”积极参会和发表主旨演讲之外,Cisco、Google、Microsoft、Intel、Amazon等全球着名企业均高调参加,甚至在会上发表专题演讲,力图在抗量子密码的制标过程中反映出各自的利益。首先是全球瞩目的网络设备厂商Cisco,该企业目前正在积极考虑在其网络设备当中嵌入抗量子密码算法,从而为未来激烈的市场竞争埋下伏笔。微软则特别强调抗量子密码的加密功能(这也是为什么他们会高度专注上述的“密钥协商算法专利”的原因),Intel则扬言到2020年之际准备在其芯片上嵌入抗量子密码算法......

“山雨未来风满楼”。目前世界各国,特别是欧美各国标准化机构纷纷加大了对新一代抗量子密码的研究工作,力图在标准层面抢占战略制高点。值得一提的是,日、韩等亚洲国家对此也高度关注,例如他们派出专家参加了今年6月在我国召开的“首届亚洲抗量子密码论坛”之后,韩国原定为明年的东道国,但他们已经决定提前在今年十一月底在召开第二届亚洲抗量子密码论坛......

密码算法自古以来就是直接与应用相关的。随着计算机网络的快速发展,密码应用也从传统的仅仅用于那些“神秘的部门”走向了千家万户,甚至进一步成为了当今网络空间安全的基石。我们希望在人类即将进入新的“量子时代、智能社会”之际,我国的密码科学工作者也能充分认知量子密码与抗量子密码的本质,摒弃狭隘的个人及小团体利益,以国家与民族大业为重,尽可能避免低水平的重复,立足高远,从容布局,力争新高地。

[责任编辑:诺方知远]

欢迎订阅知远防务快讯 我们在第一时间报导全球最新防务动态,关注世界热点事件,追踪防务发展方向。

本文由澳门凯旋门官网发布于互联网,转载请注明出处:信息会更加安全了,量子密码和后量子密码

TAG标签:
Ctrl+D 将本页面保存为书签,全面了解最新资讯,方便快捷。