国产欧美日韩精品a在线观看-国产欧美日韩精品一区二区三区-国产欧美日韩精品综合-国产欧美中文字幕-一区二区三区精品国产-一区二区三区精品国产欧美

密碼學的終極目標是開發出“絕對安全”的密碼方案，即假使敵手擁有無限強的計算能力，仍然無法破譯這種密碼，也就是所謂的無條件安全性。這樣的終極密碼是否存在呢？令人驚訝的是，早在1917年，Gilbert Vernam發明一次性密碼本（OTP）時就已實現了該目標。信息論的創立者香農（Claude Shannon，1916—2001年）1949年理論上證明了OTP密碼具有的無條件安全性，或稱信息理論安全性（Information-Theoretic Security，ITS）。

作為一種加密算法，OTP類似于其他現代密碼系統，同樣使用密鑰來進行加密和解密，加密算法本身是公開的，其安全性由密鑰的安全性來保證。OTP算法的實現需要滿足3個條件，分別是“密鑰必須完全隨機”“密鑰不能重復使用”“密鑰需與明文等長”。其無條件安全性并不難以理解，因為與明文等長的同一密鑰加密的密文只出現一次，這使得在無法獲知明文的情況下，任何算法即使窮舉也無法破譯出該密鑰；另外，密鑰使用一次即丟棄，因此即便破譯者得到了部分密鑰也無法用于破譯其他密文。

傳統OTP加密美中不足之處是需要印刷大量的密碼本，且實際分發操作難度很大。原則上牢不可破的OTP，一旦發送方Alice和接收方Bob用盡了預先共享的安全密鑰，其安全通信將不得不中斷，直到再次獲取新的密鑰。這就是眾所周知的密鑰分發難題，它涉及到經典物理中兩個不可實現的任務：一是如何生成真正完全隨機的密鑰；二是如何在不安全的公共信道上無條件安全地分發密鑰。隨著量子信息技術的發展，人們發現基于量子物理學可以為這些問題提供答案：真正的隨機數可以通過基本的量子物理過程生成，通過量子通信技術則可實現在公共信道上也無法竊聽的密鑰分發。

但在現代密碼系統中，人們采用更簡單易行的、基于數學算法的方法來解決密鑰分發的問題。這些方法將信息理論安全要求放松為基于計算復雜度的安全性，即假設破解算法所需的計算復雜度足夠高，使得敵手在當前及可預見的未來所擁有的計算能力都無法破解即可。

為了減少隨機密鑰量的消耗以簡化密鑰分發過程，大多數現代加密系統中使用短密鑰來加密很長的消息，如DES、AES等算法。一種典型的應用場景是在手機SIM卡中預置長期不變的128位根密鑰，用于控制SIM卡整個生命周期中的數據加解密。這種方案要求信息的發送方用于加密和接收方用于解密的密鑰完全相同，通常稱為對稱密鑰密碼學。

對稱密碼雖然大大減少了隨機密鑰的消耗，但沒有解決密鑰分發問題。在公鑰密碼學出現之前，僅能通過人工預置的方式分發密鑰。為了充分解決密鑰分發問題，1977年Ron Rivest、Adi Shamir和Leonard Adleman發明了著名的RSA方案（以發明者首字母命名）。RSA是一種非對稱的密鑰算法，即加密和解密采用兩個密鑰，使用其中一個密鑰加密的信息，僅能通過唯一對應的另一個密鑰進行解密。這兩個密鑰由特殊的數學問題產生，已知其中一個密鑰很難計算出另一個密鑰，例如RSA算法建立在兩個大質數的積易于得到而難于分解的問題之上。這樣消息接收者Bob可將其中一個密鑰作為“私鑰”保存起來，將另一個密鑰作為“公鑰”通過公共信道廣播給消息發送者Alice。Alice即可用Bob的公鑰對消息加密發送，然后Bob通過其私鑰解密。

公鑰密碼算法克服了密鑰分發問題，但由于其運算量大，加密效率較低，通常用于加密傳遞（或稱分發）對稱密碼的密鑰。這種“利用公鑰算法分發對稱密鑰，然后基于對稱密鑰進行加解密”的混合方案在當今的密碼系統中得到廣泛應用。

公鑰密碼學的安全性依賴于一定的數學假設，例如RSA的安全性基于當時很難找到對大整數的素數因子進行分解的有效方法。然而，無法排除未來有人能找到這樣的方法。1994年，Peter Shor即證明了通過量子計算機可高效求解質因子分解問題和離散對數問題 。因此，只要第一臺大型量子計算機開機，當前大多數密碼系統就可能在一夜之間崩潰。

有趣的是，當人們意識到可以使用量子計算機破解公鑰密碼體制的10年前，就已經找到了可以應對這種攻擊的解決方案，即量子密鑰分發（Quantum Key Distribution，QKD）?；诹孔游锢淼幕驹?，QKD提供了一種理論上無條件安全的密鑰分發方式，即使通過不安全的信道分發密鑰也無法被竊聽。QKD生成的安全密鑰可以進一步應用于OTP方案或其他加密算法中，以提高信息安全性。

量子算法帶來的沖擊也促進了經典密碼學的進一步演進?，F有的量子算法相對于傳統密碼算法的“指數”加速性并不是對所有數學問題都成立。緊隨Shor算法的出現，國內外密碼學家已對基于格、編碼、多元多項式等新問題的密碼方案開展了大量研究，期望設計出可對抗量子計算攻擊的新型公鑰算法，這些研究稱為后量子密碼學（Post-Quantum Cryptography，PQC）。

可以看到，量子信息科學的發展對密碼學帶來的深遠影響正在逐步顯現，圍繞量子計算機這超越經典運算能力的超強攻擊手段，密碼學領域又掀起了新一輪矛與盾的對抗。

2.1    量子計算機帶來的密碼安全威脅

量子計算機能夠以特定的計算方式有效解決一些經典計算機無法解決的數學問題。這種用于量子計算機的運算操作方法，就是所謂的“量子算法”。目前，最著名的量子算法是Shor算法和Grover算法，已經能夠威脅到當前廣泛應用的密碼體系。

由于現有商用密碼系統均是基于算法復雜度與當前計算能力的不匹配來保證其安全性，而Shor算法可以將對于經典計算機難以解決的大整數分解問題和離散對數問題，轉換為可在多項式時間求解的問題。這使得量子計算機可利用公鑰高效地計算得到私鑰，從而對現有的大部分公鑰算法構成實質性威脅。

Grover算法則能夠加速數據搜索過程，其將在數據量大小為N的數據庫中搜索一個指定數據的計算復雜度降低為O(根號N)，從而降低了對稱密鑰算法的安全性。例如，對于AES-128算法的密鑰空間進行遍歷搜索，采用Grover算法相當于將AES-128的破解復雜度降低為AES-64的級別。

針對現有密碼算法受到量子計算影響的程度，美國國家技術標準研究所（NIST）、歐洲電信標準協會（ETSI）等組織已進行了一些評估。

2.2    量子安全問題的影響范圍

目前，已知對于量子計算機攻擊處于高危狀態的安全協議或密碼系統包括：

（1）建立在大整數因子分解和離散對數問題計算復雜度之上的公鑰密碼算法，包括RSA、DSA、Diffie-Hellman、ECDH、ECDSA及其他變種。需要指出的是，幾乎所有重要的安全產品和協議在公鑰密碼學部分都在使用這幾類算法。

（2）基于上述公鑰密碼算法的任何安全協議。

（3）基于上述安全協議的任何產品或安全系統。

如圖1所示，傳統公鑰算法（如RSA、ECC等）廣泛用于各類安全協議和應用服務，因此量子安全問題的影響范圍極廣。

2.3    量子安全問題的緊迫性

目前，可用于破解密碼的實用化量子計算機仍未出現，且距離該目標仍有相當長的距離。那么在這之前，是否可以忽視量子安全問題所帶來的風險呢？

如何應對量子安全問題，何時啟動應對措施，這不僅涉及到需要多久來研發成功量子計算機，同時還需考慮具體應用的安全性要求，以及現有網絡基礎設施遷移到新的量子安全密碼所需的代價和時間。這里引用一個簡單的公式來分析量子安全問題的緊迫性，首先假設：X = 具體應用所要求的信息保密年限（年），Y = 當前信息安全設施遷移到新的量子安全密碼方案所需的時間（年），Z = 建成可破解密碼的大型量子計算機所需時間（年）。

如果“X+Y>Z”的話，意味著該應用有部分信息將無法達到其保密年限要求。在圖2所示的MIN（X+Y-Z，Y）年內，攻擊者完全可以通過監聽在公共信道上傳輸的信息并存儲下來，然后等若干年后量子計算機實現時提前解密這些信息。從技術上來看，當前飛速發展的大數據技術為海量網絡數據的存儲和分析提供了可行性。

作者簡介：

馬彰超，國科量子通信網絡有限公司標準總監，高級工程師，博士。中國通信標準化協會ST7量子信息處理組副組長，ITU-T FG QIT4N量子密鑰分發網絡工作組主席。

來源：《信息通信技術與政策》