量子安全技术蓝皮书发布:量子安全迁移的四大关键问题
量子安全技术蓝皮书发布:量子安全迁移的四大关键问题
近日,由量子科技产学研创新联盟牵头,中国信息协会量子信息分会、中国通信标准化协会量子通信与信息技术特设任务组、中国电子学会量子信息分会、国盾量子等单位参与编写的“量子安全技术蓝皮书”正式发布。
作为融合量子物理、信息技术以及密码技术的交叉创新科技,量子安全是量子信息科技的重要领域,也成为新一代密码技术发展的重要方向。量子安全已开始从理论、原理性技术向实践转化,在技术标准、产品、解决方案等各方面都完成初步准备。但与此同时,向量子安全迁移仍存在值得关注的一些开放性问题。
Q1用户向量子安全迁移的最佳时机
安全总是相对的,信息安全也不例外。在实际构建信息安全保障时,用户必然也须去考虑安全威胁的程度、技术措施有效性以及成本之间的平衡。原理上,向量子安全迁移的最佳时机就在这一平衡刚好建立的时刻。但这一平衡应在何种程度上达成,却取决于用户对于安全的认知程度。而对于量子安全的认知又受到诸多主观和客观因素的制约,使得最佳时机的选择变成不存在标准答案的开放性问题。
由于量子科技仍在快速发展,基于已有的有限知识很难对量子计算带来的安全威胁做出恰如其分的估计。此外,一些研究者的言过其实和产业人士的肆意炒作,使情况更加复杂。反过来带来如“量子计算实现永远在下一个十年”之类的讥诮,让一部分人错误地坚信量子计算不会对现有密码带来实际性的威胁,向量子安全迁移的最佳时间当然是在接近于无穷远的未来。
围绕量子安全问题,虚假的炒作只能造成类似量子计算进展忽左忽右,忽而激进忽而激退的信息淆乱,让大多数用户更难以准确地认识量子计算对信息安全的威胁程度。
Q2用户向量子安全迁移的最佳技术路线
一般地说,向量子安全迁移的技术路线可大致地分为三大类:基于数学的后量子密码(Post QuantumCryptography,PQC)路线、基于物理的量子密钥分发(Quantum Key Distribution,QKD)路线、以及融合PQC和QKD的路线。
PQC路线可以进一步细分,即基于单向函数的签名认证算法,与基于数学上NP问题的公钥密码算法。
NP问题指目前不清楚是否能在多项式计算复杂度内算出正确答案,但可以在多项式计算复杂度内验证给定的答案是否正确的一类问题。与之对应有P问题,指能在多项式计算复杂度内算出正确答案的问题。若NP≠P,即问题不能在多项式计算复杂度内得到答案,那么它就能用来构造可靠的公钥密码。再考虑NPC问题和NP-hard问题。所有的NP问题都能归约为NPC问题,即任何一个NP问题都可以通过某种多项式复杂度的算法,转化为求解某一个NPC问题。因此NPC问题是最有可能确实不能在多项式计算复杂度内求解的。而NP-hard问题甚至都不清楚是否能在多项式计算复杂度内验证答案,并不能用于构造公钥密码。
量子力学的引入,为计算复杂度理论研究带来一些新变化,但尚不足以解决NP是否等于P这样的问题。量子Shor算法能破解RSA公钥密码所依赖的大整数分解问题,但这不表明量子计算机能解决NP问题。因为大整数分解问题不是一个NP问题。在目前的计算复杂度理论中,将量子计算机能在多项式复杂度内解决的问题归类为BQP(有界误差量子多项式时间)问题,并认为BQP问题包含P问题和BPP(有界误差概率多项式时间)问题(BPP问题被认为是经典计算能以多项式复杂度求解的所有问题)。也就是说,量子计算机应该比经典计算机强一些。
所以量子计算机能不能在多项式复杂度内解决NP问题并不清楚,而计算复杂度专家们的答案应该倾向于不能。因此,密码学家相信可以利用NPC问题设计抗量子公钥密码算法。
但严格地从一个NP问题出发构造密码不是轻而易举的事情,尤其是在考虑到计算速度、计算资源等实用性问题带来的条件限制之后。在一个实际可用的密码算法中,必须对原始的NPC问题进行特殊化,在特殊化过程中安全性往往难以证明和保障。这也是为什么在美国NIST征集PQC标准的过程中,不断有候选算法被曝出存在安全隐患而被淘汰的原因。欧洲也有很多密码学研究专家认为PQC不具备长期安全性。总体而言,当前这些名义上以NPC困难问题为基础的公钥,我们既不能肯定地说它是可证明的量子安全,也不好说它是经验式的量子安全,其抗攻击能力的理论保证和实践结论,或许还需要进一步的观察。
基于物理的QKD路线
QKD路线面临的局面和PQC完全不同。QKD的安全性在理论上有完备的证明,所面临的挑战则完全来自于物理层面。主要是两个方面:QKD的物理实现是否严格符合理论要求,或是需在多高的精度内符合理论要求?如何应对物理攻击以保证QKD设备在工作时仍然处于符合理论要求的状态?
第一个方面关系到两个问题,一是如何精确量化分析误差对于安全性的影响?二是制造技术能否满足相应的精度要求?QKD业界认为,对于前者,这样的方法框架已经建立,并正不断改进以提高分析方法的紧致程度;对于后者,则不存在原理上的困难。
第二个方面的问题更开放一些,特别是如果对于攻击者实施物理攻击的能力不做任何限定的话。但物理攻击终归要受到一定的物理规则束缚,通过攻击改变设备工作状态也必定需要留下痕迹。因此在实践中,原理上总是可以发现攻击,并相应地进行保护。所以QKD的理论安全性,以及这一理论安全的实际实现的可保障性,是QKD业界将QKD技术实用化的底气。
然而,QKD的功能仅是实现密钥分发,利用QKD可以建设新型的密钥基础设施,如何有效地利用这一设施以实现安全功能?利用“一次一密”的方式可以实现信息论安全的加密和认证。这是安全性最好的方式,但QKD的密钥分发速度目前还难以支持大带宽的“一次一密”加密通信。结合对称密码,可以解决加密带宽的问题,但也使得加密安全性较信息论安全有所下降。另一方面,如何用量子方式来实现安全的数字签名?这一方面的研究还处于非常初步的阶段,尽管原理上可行,能否有效地应用于实际场景或如何改进方案以应用于实际场景,还需进一步研究。
融合QKD和PQC的路线
融合QKD和PQC是一种折衷的技术路线。PQC用于解决签名认证问题,QKD解决密钥分发问题。但从安全逻辑的自洽性上来说,并非所有PQC都可以用来和QKD融合,至少我们需要PQC具有经验式的量子安全。在这一前提下,QKD和PQC的融合系统才具有至少经验式的量子安全保障能力。
Q3向量子安全迁移的最佳实践
对于量子安全,关系到“最佳”实践判定的因素较为复杂。对量子计算威胁紧迫性和危害性的认识、解决方案和需求的适配度、部署和运维成本都会影响到使用者对于“最佳”的判断。
对于量子计算威胁危害性的认识,目前也存在不甚清晰之处。特别是,尽管可能越来越多的人了解到“先存储、后攻击”的方式,使得量子计算攻击对于需要长期保密的数据具有格外严重的威胁。然而对于每个用户而言长期究竟是多长?究竟哪些数据需长期保密?已产生的数据中是否存在需要长期保密的数据?面临的风险如何?这些问题尚需结合具体系统和应用场景的研究。
对于特定的安全需求来说,如何判断解决方案的适配度也存在一定困难。这种困难大部分来自于技术自身的不确定性。例如,当前这些名义上基于NP问题的PQC所提供的安全保障期到底有多长?是否足够保护信息的安全?QKD是否能及时发现物理攻击,并保证输出的密钥不受影响?
在部署成本和运维成本方面,目前无论是部署PQC还是QKD,都存在从现有系统迁移到新系统的成本问题。使用QKD技术,意味着要新建一套QKD系统、全面更换加密设备或更新加密设备的接口,以使用QKD分发的密钥;使用PQC技术,则需要对于原有密码系统进行全面的软件更新和硬件更换,还涉及密钥管理基础设施的对应迁移;此外,无论是哪一种技术,或许都还要考虑技术迭代升级的风险。如果迁移成本过高,会遏制用户使用量子安全技术的愿望。究竟哪一种方案的迁移全生命周期成本更高?目前没有非常清晰的答案。
Q4通向开放性问题答案的途径
向量子安全迁移中存在的这些开放性问题,答案不会一下子就清晰,但通向答案的途径并非茫然无迹。这需要整个业界的共同努力:
1)净化环境,尽力杜绝炒作,尽早挤去技术泡沫,使产业界和用户了解到真实准确的技术进展,深入理解量子安全的底层原理和安全基础,从而建立科学、客观的量子安全共识。
2)深化开展量子安全技术的攻防演练、测试评估等工作,用深入、精准的评测推动我国量子安全密码能力建设及相关标准化工作,建立体系化的技术标准。
3)深入开展量子安全系统的评估研究,以详实、客观的测试数据为基础,对量子安全系统的效能和全生命周期成本进行评估,并能用易于理解的方式展示评估结果。
4)加快推动量子技术的发展,发展量子中继、共纤复用、芯片化技术等,拓展QKD网络的覆盖能力,进一步加强量子密码以及自主化PQC密码研究,深入开展量子安全的应用场景研究,在此基础上形成差异化的解决方案。
近年来,我国在QKD技术的远距离、高速率、小型化、安全攻防以及标准化方面,在量子隐形传态、量子中继等面向未来量子网络的核心技术方面取得一系列重大成果,在与光通信基础设施及密码应用融合方面也在积极探索,并初步形成产业生态。在PQC领域,我国密码算法设计竞赛和标准化工作已经展开,除大学和研究机构加大投入,一批致力于PQC应用的创新创业团队也在积极作为。在QKD与PQC融合应用方向上,中国的科研和产业化团队已迈出步伐。毫无疑问,量子安全的全球“最佳”实践已在中国践行。
未来,我国宜继续发挥在量子技术方面的领先优势,基于“密码技术是密码算法和密钥管理有机整体”的科学认识,实施以“量子安全的密码算法”结合“量子密钥分发为核心的密钥管理系统”为基础,形成自主可控的量子安全密码方案。从机密性、完整性、真实性、不可否认性等方面,全面实现密码功能的量子安全升级,从而实现量子安全的信息安全体系。
本文原文来自中国信息协会量子信息分会