今日頭條
官方微信
官方抖音
資訊頻道量子技術(shù)與信息技術(shù)深度融合,促進(jìn)了以量子通信、量子計(jì)算和量子測(cè)量為代表的第二次量子革命蓬勃興起。量子計(jì)算是一種遵循量子力學(xué)規(guī)律調(diào)控量子信息單元進(jìn)行計(jì)算的新型計(jì)算模式,提供超強(qiáng)的計(jì)算能力,不僅能夠快速破解經(jīng)典密碼,還在生物制藥、優(yōu)化問(wèn)題、數(shù)據(jù)檢索等方面擁有廣泛的應(yīng)用前景。隨著產(chǎn)業(yè)界持續(xù)加大力度投入,量子計(jì)算機(jī)的發(fā)展已呈加速之勢(shì),這將對(duì)基于計(jì)算復(fù)雜度的經(jīng)典密碼學(xué)帶來(lái)嚴(yán)峻的挑戰(zhàn)。量子通信是利用量子態(tài)作為信息載體進(jìn)行傳遞的新型通信技術(shù),在保密通信、量子云計(jì)算、分布式量子測(cè)量、未來(lái)量子互聯(lián)網(wǎng)的構(gòu)建等方面發(fā)揮重要作用。量子密鑰分發(fā)是量子通信的典型應(yīng)用,有望為信息安全領(lǐng)域帶來(lái)可實(shí)現(xiàn)的長(zhǎng)期安全性保障。密碼是網(wǎng)絡(luò)安全的基石。量子計(jì)算與量子通信的發(fā)展為密碼安全帶來(lái)新一輪矛與盾的碰撞和演進(jìn)。
1從經(jīng)典密碼到量子密碼
密碼學(xué)擁有數(shù)千年的歷史,在數(shù)字時(shí)代之前,密碼學(xué)主要用于保護(hù)軍事、政務(wù)、外交等具有高度保密性要求的通信,在人類(lèi)歷史中扮演著重要的角色。在信息化高度發(fā)達(dá)的今天,密碼學(xué)技術(shù)的使用幾乎無(wú)處不在,特別是在互聯(lián)網(wǎng)中應(yīng)用極廣,對(duì)于保護(hù)日益數(shù)字化的世界至關(guān)重要。
密碼學(xué)是在密碼設(shè)計(jì)者和破解者的智慧較量中形成的一門(mén)藝術(shù)。每當(dāng)現(xiàn)有密碼被攻破,密碼設(shè)計(jì)者們就會(huì)重新開(kāi)發(fā)出更強(qiáng)大的密碼來(lái)保證通信安全,這又會(huì)引發(fā)密碼破譯者們不斷嘗試新的攻擊方式(見(jiàn)表1)。
密碼學(xué)的終極目標(biāo)是開(kāi)發(fā)出“絕對(duì)安全”的密碼方案,即假使敵手擁有無(wú)限強(qiáng)的計(jì)算能力,仍然無(wú)法破譯這種密碼,也就是所謂的無(wú)條件安全性。這樣的終極密碼是否存在呢?令人驚訝的是,早在1917年,Gilbert Vernam發(fā)明一次性密碼本(OTP)時(shí)就已實(shí)現(xiàn)了該目標(biāo)。信息論的創(chuàng)立者香農(nóng)(Claude Shannon,1916—2001年)1949年理論上證明了OTP密碼具有的無(wú)條件安全性,或稱信息理論安全性(Information-Theoretic Security,ITS)。
作為一種加密算法,OTP類(lèi)似于其他現(xiàn)代密碼系統(tǒng),同樣使用密鑰來(lái)進(jìn)行加密和解密,加密算法本身是公開(kāi)的,其安全性由密鑰的安全性來(lái)保證。OTP算法的實(shí)現(xiàn)需要滿足3個(gè)條件,分別是“密鑰必須完全隨機(jī)”“密鑰不能重復(fù)使用”“密鑰需與明文等長(zhǎng)”。其無(wú)條件安全性并不難以理解,因?yàn)榕c明文等長(zhǎng)的同一密鑰加密的密文只出現(xiàn)一次,這使得在無(wú)法獲知明文的情況下,任何算法即使窮舉也無(wú)法破譯出該密鑰;另外,密鑰使用一次即丟棄,因此即便破譯者得到了部分密鑰也無(wú)法用于破譯其他密文。
傳統(tǒng)OTP加密美中不足之處是需要印刷大量的密碼本,且實(shí)際分發(fā)操作難度很大。原則上牢不可破的OTP,一旦發(fā)送方Alice和接收方Bob用盡了預(yù)先共享的安全密鑰,其安全通信將不得不中斷,直到再次獲取新的密鑰。這就是眾所周知的密鑰分發(fā)難題,它涉及到經(jīng)典物理中兩個(gè)不可實(shí)現(xiàn)的任務(wù):一是如何生成真正完全隨機(jī)的密鑰;二是如何在不安全的公共信道上無(wú)條件安全地分發(fā)密鑰。隨著量子信息技術(shù)的發(fā)展,人們發(fā)現(xiàn)基于量子物理學(xué)可以為這些問(wèn)題提供答案:真正的隨機(jī)數(shù)可以通過(guò)基本的量子物理過(guò)程生成,通過(guò)量子通信技術(shù)則可實(shí)現(xiàn)在公共信道上也無(wú)法竊聽(tīng)的密鑰分發(fā)。
但在現(xiàn)代密碼系統(tǒng)中,人們采用更簡(jiǎn)單易行的、基于數(shù)學(xué)算法的方法來(lái)解決密鑰分發(fā)的問(wèn)題。這些方法將信息理論安全要求放松為基于計(jì)算復(fù)雜度的安全性,即假設(shè)破解算法所需的計(jì)算復(fù)雜度足夠高,使得敵手在當(dāng)前及可預(yù)見(jiàn)的未來(lái)所擁有的計(jì)算能力都無(wú)法破解即可。
為了減少隨機(jī)密鑰量的消耗以簡(jiǎn)化密鑰分發(fā)過(guò)程,大多數(shù)現(xiàn)代加密系統(tǒng)中使用短密鑰來(lái)加密很長(zhǎng)的消息,如DES、AES等算法。一種典型的應(yīng)用場(chǎng)景是在手機(jī)SIM卡中預(yù)置長(zhǎng)期不變的128位根密鑰,用于控制SIM卡整個(gè)生命周期中的數(shù)據(jù)加解密。這種方案要求信息的發(fā)送方用于加密和接收方用于解密的密鑰完全相同,通常稱為對(duì)稱密鑰密碼學(xué)。
對(duì)稱密碼雖然大大減少了隨機(jī)密鑰的消耗,但沒(méi)有解決密鑰分發(fā)問(wèn)題。在公鑰密碼學(xué)出現(xiàn)之前,僅能通過(guò)人工預(yù)置的方式分發(fā)密鑰。為了充分解決密鑰分發(fā)問(wèn)題,1977年Ron Rivest、Adi Shamir和Leonard Adleman發(fā)明了著名的RSA方案(以發(fā)明者首字母命名)。RSA是一種非對(duì)稱的密鑰算法,即加密和解密采用兩個(gè)密鑰,使用其中一個(gè)密鑰加密的信息,僅能通過(guò)唯一對(duì)應(yīng)的另一個(gè)密鑰進(jìn)行解密。這兩個(gè)密鑰由特殊的數(shù)學(xué)問(wèn)題產(chǎn)生,已知其中一個(gè)密鑰很難計(jì)算出另一個(gè)密鑰,例如RSA算法建立在兩個(gè)大質(zhì)數(shù)的積易于得到而難于分解的問(wèn)題之上。這樣消息接收者Bob可將其中一個(gè)密鑰作為“私鑰”保存起來(lái),將另一個(gè)密鑰作為“公鑰”通過(guò)公共信道廣播給消息發(fā)送者Alice。Alice即可用Bob的公鑰對(duì)消息加密發(fā)送,然后Bob通過(guò)其私鑰解密。
公鑰密碼算法克服了密鑰分發(fā)問(wèn)題,但由于其運(yùn)算量大,加密效率較低,通常用于加密傳遞(或稱分發(fā))對(duì)稱密碼的密鑰。這種“利用公鑰算法分發(fā)對(duì)稱密鑰,然后基于對(duì)稱密鑰進(jìn)行加解密”的混合方案在當(dāng)今的密碼系統(tǒng)中得到廣泛應(yīng)用。
公鑰密碼學(xué)的安全性依賴于一定的數(shù)學(xué)假設(shè),例如RSA的安全性基于當(dāng)時(shí)很難找到對(duì)大整數(shù)的素?cái)?shù)因子進(jìn)行分解的有效方法。然而,無(wú)法排除未來(lái)有人能找到這樣的方法。1994年,Peter Shor即證明了通過(guò)量子計(jì)算機(jī)可高效求解質(zhì)因子分解問(wèn)題和離散對(duì)數(shù)問(wèn)題 。因此,只要第一臺(tái)大型量子計(jì)算機(jī)開(kāi)機(jī),當(dāng)前大多數(shù)密碼系統(tǒng)就可能在一夜之間崩潰。
有趣的是,當(dāng)人們意識(shí)到可以使用量子計(jì)算機(jī)破解公鑰密碼體制的10年前,就已經(jīng)找到了可以應(yīng)對(duì)這種攻擊的解決方案,即量子密鑰分發(fā)(Quantum Key Distribution,QKD)。基于量子物理的基本原理,QKD提供了一種理論上無(wú)條件安全的密鑰分發(fā)方式,即使通過(guò)不安全的信道分發(fā)密鑰也無(wú)法被竊聽(tīng)。QKD生成的安全密鑰可以進(jìn)一步應(yīng)用于OTP方案或其他加密算法中,以提高信息安全性。
量子算法帶來(lái)的沖擊也促進(jìn)了經(jīng)典密碼學(xué)的進(jìn)一步演進(jìn)。現(xiàn)有的量子算法相對(duì)于傳統(tǒng)密碼算法的“指數(shù)”加速性并不是對(duì)所有數(shù)學(xué)問(wèn)題都成立。緊隨Shor算法的出現(xiàn),國(guó)內(nèi)外密碼學(xué)家已對(duì)基于格、編碼、多元多項(xiàng)式等新問(wèn)題的密碼方案開(kāi)展了大量研究,期望設(shè)計(jì)出可對(duì)抗量子計(jì)算攻擊的新型公鑰算法,這些研究稱為后量子密碼學(xué)(Post-Quantum Cryptography,PQC)。
可以看到,量子信息科學(xué)的發(fā)展對(duì)密碼學(xué)帶來(lái)的深遠(yuǎn)影響正在逐步顯現(xiàn),圍繞量子計(jì)算機(jī)這超越經(jīng)典運(yùn)算能力的超強(qiáng)攻擊手段,密碼學(xué)領(lǐng)域又掀起了新一輪矛與盾的對(duì)抗。
2 量子安全問(wèn)題及其重要性
2.1 量子計(jì)算機(jī)帶來(lái)的密碼安全威脅
量子計(jì)算機(jī)能夠以特定的計(jì)算方式有效解決一些經(jīng)典計(jì)算機(jī)無(wú)法解決的數(shù)學(xué)問(wèn)題。這種用于量子計(jì)算機(jī)的運(yùn)算操作方法,就是所謂的“量子算法”。目前,最著名的量子算法是Shor算法和Grover算法,已經(jīng)能夠威脅到當(dāng)前廣泛應(yīng)用的密碼體系。
由于現(xiàn)有商用密碼系統(tǒng)均是基于算法復(fù)雜度與當(dāng)前計(jì)算能力的不匹配來(lái)保證其安全性,而Shor算法可以將對(duì)于經(jīng)典計(jì)算機(jī)難以解決的大整數(shù)分解問(wèn)題和離散對(duì)數(shù)問(wèn)題,轉(zhuǎn)換為可在多項(xiàng)式時(shí)間求解的問(wèn)題。這使得量子計(jì)算機(jī)可利用公鑰高效地計(jì)算得到私鑰,從而對(duì)現(xiàn)有的大部分公鑰算法構(gòu)成實(shí)質(zhì)性威脅。
Grover算法則能夠加速數(shù)據(jù)搜索過(guò)程,其將在數(shù)據(jù)量大小為N的數(shù)據(jù)庫(kù)中搜索一個(gè)指定數(shù)據(jù)的計(jì)算復(fù)雜度降低為O(根號(hào)N),從而降低了對(duì)稱密鑰算法的安全性。例如,對(duì)于AES-128算法的密鑰空間進(jìn)行遍歷搜索,采用Grover算法相當(dāng)于將AES-128的破解復(fù)雜度降低為AES-64的級(jí)別。
針對(duì)現(xiàn)有密碼算法受到量子計(jì)算影響的程度,美國(guó)國(guó)家技術(shù)標(biāo)準(zhǔn)研究所(NIST)、歐洲電信標(biāo)準(zhǔn)協(xié)會(huì)(ETSI)等組織已進(jìn)行了一些評(píng)估,其結(jié)論參見(jiàn)表2。
2.2 量子安全問(wèn)題的影響范圍
目前,已知對(duì)于量子計(jì)算機(jī)攻擊處于高危狀態(tài)的安全協(xié)議或密碼系統(tǒng)包括:
(1)建立在大整數(shù)因子分解和離散對(duì)數(shù)問(wèn)題計(jì)算復(fù)雜度之上的公鑰密碼算法,包括RSA、DSA、Diffie-Hellman、ECDH、ECDSA及其他變種。需要指出的是,幾乎所有重要的安全產(chǎn)品和協(xié)議在公鑰密碼學(xué)部分都在使用這幾類(lèi)算法。
(2)基于上述公鑰密碼算法的任何安全協(xié)議。
(3)基于上述安全協(xié)議的任何產(chǎn)品或安全系統(tǒng)。
如圖1所示,傳統(tǒng)公鑰算法(如RSA、ECC等)廣泛用于各類(lèi)安全協(xié)議和應(yīng)用服務(wù),因此量子安全問(wèn)題的影響范圍極廣。
2.3 量子安全問(wèn)題的緊迫性
目前,可用于破解密碼的實(shí)用化量子計(jì)算機(jī)仍未出現(xiàn),且距離該目標(biāo)仍有相當(dāng)長(zhǎng)的距離。那么在這之前,是否可以忽視量子安全問(wèn)題所帶來(lái)的風(fēng)險(xiǎn)呢?
如何應(yīng)對(duì)量子安全問(wèn)題,何時(shí)啟動(dòng)應(yīng)對(duì)措施,這不僅涉及到需要多久來(lái)研發(fā)成功量子計(jì)算機(jī),同時(shí)還需考慮具體應(yīng)用的安全性要求,以及現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)設(shè)施遷移到新的量子安全密碼所需的代價(jià)和時(shí)間。這里引用一個(gè)簡(jiǎn)單的公式來(lái)分析量子安全問(wèn)題的緊迫性,首先假設(shè):X = 具體應(yīng)用所要求的信息保密年限(年),Y = 當(dāng)前信息安全設(shè)施遷移到新的量子安全密碼方案所需的時(shí)間(年),Z = 建成可破解密碼的大型量子計(jì)算機(jī)所需時(shí)間(年)。
如果“X+Y>Z”的話,意味著該應(yīng)用有部分信息將無(wú)法達(dá)到其保密年限要求。在圖2所示的MIN(X+Y-Z,Y)年內(nèi),攻擊者完全可以通過(guò)監(jiān)聽(tīng)在公共信道上傳輸?shù)男畔⒉⒋鎯?chǔ)下來(lái),然后等若干年后量子計(jì)算機(jī)實(shí)現(xiàn)時(shí)提前解密這些信息。從技術(shù)上來(lái)看,當(dāng)前飛速發(fā)展的大數(shù)據(jù)技術(shù)為海量網(wǎng)絡(luò)數(shù)據(jù)的存儲(chǔ)和分析提供了可行性。
X的取值取決于具體應(yīng)用的安全性要求,例如信用卡通常要求X=5年。實(shí)際上,還有很多應(yīng)用需要保障長(zhǎng)期的機(jī)密性。例如,醫(yī)療數(shù)據(jù)的保密年限,通常要求大于患者的壽命時(shí)長(zhǎng);個(gè)人的基因組數(shù)據(jù),則需要更長(zhǎng)的保密時(shí)間;金融、政務(wù)、軍事等高度機(jī)密的數(shù)據(jù)則往往要求更嚴(yán)格的保密期限,有些甚至需要無(wú)限期的保護(hù)。
關(guān)于大型量子計(jì)算機(jī)的構(gòu)建時(shí)間Z,在2015年NIST關(guān)于后量子時(shí)代的網(wǎng)絡(luò)空間安全研討會(huì)上,有專家給出預(yù)測(cè)在2026年前實(shí)現(xiàn)的概率為1/7,在2031年前實(shí)現(xiàn)的概率為1/2。劍橋大學(xué)Simon Benjamin教授給出似乎更精確的預(yù)測(cè),其認(rèn)為構(gòu)建可容錯(cuò)的量子計(jì)算機(jī)已不存在理論上的困難,但有效破解RSA算法需要約600萬(wàn)量子比特,在投資充足的情況下(約需300億美元)需6~12年即可實(shí)現(xiàn),否則在現(xiàn)有投資水平下則需15~25年;另外,其認(rèn)為一旦非容錯(cuò)的量子計(jì)算機(jī)理論取得突破,則僅需數(shù)千量子比特即可破解RSA算法,粗略估計(jì)在投資充足的情況下5~7年即可實(shí)現(xiàn),否則需8~12年。
關(guān)于現(xiàn)有系統(tǒng)向量子安全方案升級(jí)所需的時(shí)間Y,需要針對(duì)不同的遷移路線分別考慮。NIST目標(biāo)重新設(shè)計(jì)新型的后量子公鑰算法(PQC),其標(biāo)準(zhǔn)發(fā)布的預(yù)計(jì)時(shí)間在2023—2025年。而新的密碼算法標(biāo)準(zhǔn)推向市場(chǎng),通常還需要多年的時(shí)間才能完成應(yīng)用整體的遷移,這樣Y將很可能在10年以上。另外,采用量子密鑰分發(fā)替代基于公鑰的密鑰交換也是可選的方案之一,但其對(duì)網(wǎng)絡(luò)和設(shè)備的特殊要求,使得目前僅能適用于一些特殊業(yè)務(wù)場(chǎng)景。
可見(jiàn),目前ICT應(yīng)用所面臨的量子計(jì)算安全挑戰(zhàn)已十分嚴(yán)峻。對(duì)于一些保密年限要求較長(zhǎng)的信息系統(tǒng),應(yīng)該立即考慮啟用抗量子計(jì)算機(jī)攻擊的保密通信技術(shù)。
3量子安全問(wèn)題的應(yīng)對(duì)措施
量子計(jì)算帶來(lái)的潛在安全威脅已經(jīng)引起了全球性的廣泛重視。如何應(yīng)對(duì)“量子安全”問(wèn)題,設(shè)計(jì)能夠抵御量子計(jì)算攻擊的量子安全密碼,已成為下一代信息通信系統(tǒng)必須考慮的問(wèn)題。目前,業(yè)界考慮的應(yīng)對(duì)措施主要包括基于現(xiàn)有密碼的加強(qiáng)、研發(fā)新型的后量子公鑰密碼和基于量子物理的量子密鑰分發(fā)技術(shù)。
3.1 現(xiàn)有密碼的加強(qiáng)
由于目前可用于破解對(duì)稱密鑰算法的Grover量子算法,在搜索密鑰空間時(shí)相比經(jīng)典搜索算法僅能提供平方加速能力。這意味著一旦量子計(jì)算機(jī)強(qiáng)大到可以破解N位密鑰長(zhǎng)度的對(duì)稱密碼時(shí),只需要將密鑰的長(zhǎng)度擴(kuò)大至原來(lái)的兩倍,量子計(jì)算機(jī)的破解難度就會(huì)上升至與經(jīng)典計(jì)算機(jī)類(lèi)似水平。例如,AES-128對(duì)于當(dāng)前的經(jīng)典計(jì)算機(jī)來(lái)說(shuō)難以破解,而AES-256對(duì)于量子計(jì)算機(jī)來(lái)說(shuō)同樣也很難破解。
在美國(guó)國(guó)家安全局(NSA)2016年發(fā)布的“關(guān)于量子計(jì)算攻擊的答疑以及新的政府密碼使用指南”中,明確指出未來(lái)量子計(jì)算機(jī)的實(shí)現(xiàn)將威脅當(dāng)前所有廣泛使用的密碼算法,并重新定義了其國(guó)家商用安全算法集合。
在對(duì)稱密碼方面,棄用了原有的AES-128和SHA-256算法,使用更長(zhǎng)密鑰的AES-256和更長(zhǎng)輸出的SHA-384算法,以應(yīng)對(duì)將來(lái)可能出現(xiàn)的量子計(jì)算攻擊。在公鑰密碼方面,由于目前還沒(méi)有很好的量子安全解決方案,其僅是增加了原有RSA和ECC算法的密鑰長(zhǎng)度,并提請(qǐng)美國(guó)國(guó)家技術(shù)標(biāo)準(zhǔn)研究所(NIST)盡快建立后量子時(shí)代的公鑰算法密碼標(biāo)準(zhǔn)(PQC)。
3.2 后量子公鑰密碼學(xué)(PQC)
Shor算法能夠破解公鑰密碼主要是針對(duì)兩個(gè)特定的計(jì)算問(wèn)題——即整數(shù)因子分解和離散對(duì)數(shù)問(wèn)題,找到了遠(yuǎn)超越經(jīng)典計(jì)算機(jī)的量子計(jì)算方案。事實(shí)上對(duì)于某些數(shù)學(xué)問(wèn)題,Shor量子算法相對(duì)于傳統(tǒng)算法并沒(méi)有明顯的優(yōu)勢(shì)。
目前,認(rèn)為可抵抗量子算法攻擊的數(shù)學(xué)問(wèn)題主要來(lái)源于格理論、編碼理論、多元多項(xiàng)式理論等數(shù)學(xué)領(lǐng)域的研究。但是,以這些新方法為基礎(chǔ)構(gòu)建量子安全的公鑰密碼也還面臨一些新的挑戰(zhàn),例如與傳統(tǒng)公鑰算法相比,它們往往需要更長(zhǎng)的密鑰和數(shù)字簽名。
當(dāng)前的互聯(lián)網(wǎng)及很多其他系統(tǒng)所使用的安全協(xié)議及產(chǎn)品,對(duì)于公鑰密碼學(xué)的依賴程度很高。采用基于新的數(shù)學(xué)問(wèn)題的公鑰算法來(lái)應(yīng)對(duì)量子安全問(wèn)題,無(wú)疑是一種對(duì)現(xiàn)行密碼體制影響較小、易于現(xiàn)有網(wǎng)絡(luò)安全基礎(chǔ)實(shí)施遷移的解決方案。
目前,國(guó)際上PQC技術(shù)仍處于研究及標(biāo)準(zhǔn)化初期。美國(guó)NIST于2015年起針對(duì)后量子時(shí)代的密碼技術(shù)開(kāi)展了大量預(yù)研工作,并于2016年年底正式啟動(dòng)PQC項(xiàng)目,目標(biāo)制定可抵抗已知量子算法攻擊的新型公鑰算法標(biāo)準(zhǔn),其工作計(jì)劃如下:
(1)2016年12月:面向公眾征集PQC提案(量子安全的公鑰加密、密鑰協(xié)商、數(shù)字簽名方案)。
(2)2017年11月30日:PQC提案征集截止。
(3)歷時(shí)3~5年的方案評(píng)估期。
(4)評(píng)估完成的2年后發(fā)布標(biāo)準(zhǔn)草案(即2023—2025年)。
NIST首輪征集到來(lái)自全球密碼學(xué)家提出的69種算法,正在開(kāi)展緊鑼密鼓的安全性評(píng)估工作。但可以看到,用于破解密碼的量子算法也在不斷演進(jìn),如何保證可抵御現(xiàn)有Shor算法的PQC不被隨時(shí)可能出現(xiàn)的新型量子算法攻破,亦成為密碼學(xué)界面臨的難題。
3.3 量子密鑰分發(fā)(QKD)
量子密碼學(xué)的研究源于Bennett和Brassard的開(kāi)創(chuàng)性工作。不同于經(jīng)典密碼學(xué),量子密碼學(xué)的安全性保障并不來(lái)自于數(shù)學(xué)算法的計(jì)算復(fù)雜度,而是建立在量子物理學(xué)的基本定律之上。這些物理定律可以認(rèn)為是永久有效的,使得QKD能夠提供獨(dú)特的長(zhǎng)期安全性保障,這是量子密碼學(xué)的重要特征和優(yōu)勢(shì)。
所謂的長(zhǎng)期安全性理念,來(lái)自信息論的鼻祖香農(nóng)(C. Shannon)1949年提出的信息理論安全模型,其證明在一次性密碼本(OTP)的加密下,即使敵手的算力無(wú)限強(qiáng),也無(wú)法從密文中竊取任何信息,這使得竊聽(tīng)者的存在毫無(wú)意義。通過(guò)OTP加密與信息理論安全密鑰交換的組合,即構(gòu)成了可實(shí)現(xiàn)長(zhǎng)期安全性的密碼方案,而這正是量子密鑰分發(fā)(QKD)發(fā)揮其獨(dú)特優(yōu)勢(shì)的地方。無(wú)論是從理論還是實(shí)踐來(lái)看,QKD都是迄今為止實(shí)現(xiàn)長(zhǎng)期安全性密鑰交換的最佳選擇。從實(shí)踐上來(lái)看,基于QKD的保密通信技術(shù)已經(jīng)在美國(guó)、奧地利、中國(guó)、日本、瑞士、英國(guó)等國(guó)家得到了廣泛的試驗(yàn)部署和應(yīng)用驗(yàn)證。
基于OTP+QKD的長(zhǎng)期安全性保密通信方案距離廣泛應(yīng)用仍然有很長(zhǎng)的路要走。首先,OTP加密要求密鑰與明文數(shù)據(jù)等長(zhǎng)且只能使用一次,這要求QKD產(chǎn)生的密鑰速率必須與經(jīng)典通信的信息速率相當(dāng),顯然目前QKD的成碼率無(wú)法滿足除語(yǔ)音之外的大多數(shù)業(yè)務(wù)進(jìn)行OTP加密的需求。但是可以看到,QKD技術(shù)仍然在快速發(fā)展,未來(lái)點(diǎn)對(duì)點(diǎn)QKD可以達(dá)到更高的速率、更遠(yuǎn)的傳輸距離;另外,基于量子糾纏實(shí)現(xiàn)量子態(tài)存儲(chǔ)和轉(zhuǎn)發(fā)的量子中繼器也正在加速研制,已經(jīng)不存在理論上的瓶頸。
在QKD的性能瓶頸真正解決之前,人們還可以采用QKD與對(duì)稱密鑰算法混合使用的過(guò)渡方案,實(shí)際上這種混合方案已經(jīng)在QKD試驗(yàn)及商用系統(tǒng)中廣泛使用。通過(guò)QKD代替公鑰算法來(lái)保證對(duì)稱密鑰的安全分發(fā),然后再通過(guò)對(duì)稱密鑰算法來(lái)保護(hù)大量信息傳輸?shù)臋C(jī)密性,即可同時(shí)兼顧傳輸性能和安全需求。這種混合解決方案也是當(dāng)前對(duì)抗量子計(jì)算攻擊的可選方案之一。
4 結(jié)束語(yǔ)
量子信息技術(shù)的發(fā)展必將為信息社會(huì)的演進(jìn)注入新動(dòng)力。然而,量子計(jì)算帶來(lái)的密碼安全威脅則不容忽視,特別是對(duì)于一些保密年限要求較長(zhǎng)的場(chǎng)景,亟需立即采取應(yīng)對(duì)措施。目前,一方面建議對(duì)于經(jīng)典對(duì)稱密鑰密碼體制進(jìn)行加固,同時(shí)應(yīng)加快抗量子攻擊的公鑰密碼算法研發(fā)及標(biāo)準(zhǔn)化進(jìn)程。另外,對(duì)于采用基于量子物理的QKD等新型量子密碼方案,同樣應(yīng)予以足夠重視。作為人類(lèi)首次利用量子物理手段來(lái)實(shí)現(xiàn)保密通信的創(chuàng)新實(shí)踐,QKD的發(fā)展面臨著成本經(jīng)濟(jì)、商業(yè)模式等諸多挑戰(zhàn),但同時(shí)也得到了產(chǎn)業(yè)界和學(xué)術(shù)界的大力支持。
在設(shè)備層面,QKD的性能增強(qiáng)、小型化,甚至芯片化已在不斷迭代升級(jí);在組網(wǎng)層面,基于可信中繼的QKD網(wǎng)絡(luò)也在不斷地?cái)U(kuò)展完善;在標(biāo)準(zhǔn)層面,ITU、ISO/IEC JTC1、ETSI、CCSA等國(guó)內(nèi)外標(biāo)準(zhǔn)組織正在加速制定相應(yīng)的技術(shù)標(biāo)準(zhǔn);在應(yīng)用層面,QKD在需要長(zhǎng)期安全性保障的領(lǐng)域,例如金融、政務(wù)、醫(yī)療等方面的商業(yè)應(yīng)用已在逐步成形。可以看到,量子保密通信技術(shù)呈現(xiàn)出蓬勃發(fā)展的勢(shì)頭,隨著技術(shù)和產(chǎn)品的不斷發(fā)展成熟,將來(lái)必然擁有廣闊的應(yīng)用前景。
來(lái)源:中國(guó)信通院CAICT
北京市公安局海淀分局備案號(hào):11010802023656號(hào)