网络洞察 2023 | 量子计算和即将到来的密码末日 - 新鲜讯息

量子计算和即将到来的密码末日——通用量子计算机的等待时间越来越短，但它们可能还需要几十年的时间。预示着密码末日的密码分析相关量子计算机 (CRQC) 的到来将会更快——可能不到十年。

关注公众号回复“202322”可自取“网络洞察 2023”合集

到那时，我们现有的受 PKI 保护的数据将以明文形式可供任何人访问；并且“现在收获，稍后解密”过程将完成。这被称为密码末日。重要的是要注意，已经被对手收集的所有 PKI 加密数据都已经丢失。我们对过去无能为力；我们只能努力保护未来。

在这里，将研究为什么、什么以及需要为密码末日做准备——但首先我们需要一些定义，以确保我们都在唱同一首歌。

CRQC：一台能够运行 Shor 算法并破解当前 PKI 加密的量子计算机。
Cryptopocalypse：CRQC 的存在能够将我们当前加密的数据转换为明文的时间点。
量子安全：被认为对 CRQC 有抵抗力但无法证明是这样的密码术。
量子安全：可证明对 CRQC 安全且无法破解的密码术。
后量子密码学 (PQC)：为后 CRQC 时代设计的密码学术语，但不区分“安全”和“安全”。

密码末日

密码末日是量子计算变得强大到足以使用秀尔算法破解 PKI 加密的时刻。由于公钥加密用于保护几乎所有传输中的数据，无论是在独立的 IT 基础设施之间，还是在单独的基础设施内，任何拥有足够强大的量子计算机的人都可以访问这些数据。

LookingGlass 的 CEO Bryan Ware 解释说：“这意味着所有的秘密都处于危险之中。” “核武器、银行、商业知识产权、情报机构等都面临失去机密性和完整性的风险。”

但这不是对未来的威胁——威胁今天就存在。众所周知，攻击者会窃取和存储加密数据，并知道在几年内他们将能够访问原始数据。这被称为“现在收获，以后解密”的威胁。当密码世界末日发生时，知识产权和商业计划——更不用说军事机密了——对对手来说仍然很有价值。

QuSecure 的联合创始人兼 CPO 丽贝卡·克劳瑟默 (Rebecca Krauthamer) 警告说：“即使密码相关的量子计算机还需要数年时间，但现在是时候开始准备了。”

我们可以肯定地说的一件事是，它绝对不会在 2023 年发生——很可能。这可能是因为不确定外国或他们的情报机构在量子计算的旅程中已经达到了哪个阶段——而且他们不太可能告诉我们。尽管如此，假设还没有人拥有强大到足以运行 Shor 算法并在有意义的时间范围内破解 PKI 加密的量子计算机。

这种计算机很可能在三到五年后就可以使用。大多数预测建议十年。请注意，专门为 Shor 设计的专用量子计算机不需要像通用量子计算机一样强大——后者更有可能在 20 到 30 年之后出现。

很难做出精确的预测，因为量子计算机的能力来自于可以使用的量子比特数。由于量子位的不稳定性需要大量额外的仅用于纠错的量子位，这进一步复杂化。因此，可以“使用”的量子比特数（逻辑量子比特）远少于所需的总数（物理量子比特）。

有人建议每个逻辑量子位可能需要多达 1,000 个物理量子位。这将取决于使用中纠错的质量——这是一个深入研究的领域。因此，在未来几年的某个时候，随着物理量子比特数量的增加，以及每个逻辑量子比特所需的物理量子比特数量的减少，量子开发人员将拥有能够破解 PKI 的量子计算机。据估计，这将需要大约 1,000 到 2,000 个逻辑量子位。

为了让这个骨架更生动一些，我们可以看看 IBM 在 2022 年 11 月 9 日发布的公告：一款新的433 量子位 Osprey 处理器。随附的路线图显示了 4,000 多个量子比特的量子计算机（代号为 Kookaburra）的进展情况，该计算机将于 2025 年到期。

IBM 的 Qskit Runtime 软件的新版本正在解决错误纠正问题，该软件允许“用户通过 API 中的一个简单选项以速度换取减少的错误数”。这得到了新的模块化 IBM Quantum System Two 的支持，它能够将多个处理器组合到一个具有通信链路的系统中。System Two 预计将于 2023 年上线，与 IBM 预计将在同一时间推出代号为 Condor 的 1k+ 量子位处理器。

System Two 将成为 IBM 所谓的以量子为中心的超级计算的基石。IBM 量子采用和业务副总裁 Scott Crowder 更详细地解释道：“以量子为中心的超级计算（它描述了一种旨在提高计算能力的模块化架构和量子通信，它采用混合云中间件来无缝集成量子和经典工作流) 是未来几年如何使用量子计算的蓝图。”

他补充说：“这种扩展量子系统的方法以及最近处理量子处理器错误的技术的显着改进是我们如何设想一条通往近期、实用量子优势的道路——量子处理器将能够执行有用的计算，比完全使用经典计算更快、更准确或更便宜。”

导航此类预测并不能准确地告诉我们什么时候可以期待密码末日，但它们清楚地表明它正在危险地接近。Vulcan Cyber 的高级技术工程师 Mike Parkin 评论说：“量子计算还没有到使传统加密无用的地步，至少我们知道，但它正在朝着那个方向发展。”

来自人工智能的额外威胁

QuSecure 的联合创始人兼首席运营官 Skip Sanzeri警告说，当前加密的威胁不仅限于量子解密。他说：“正在开发新方法，承诺与密码相关的量子计算机相同的后量子网络安全威胁，只是速度要快得多。” “人们还认为，量子进步不必直接解密当今的加密技术。如果他们通过建议或概率性地为经典算法（如筛子）找到一些更好的种子来削弱它并使其更有效，则可以导致成功的攻击。可以毫不夸张地预测，说到预测，人们会找到破解我们甚至还不知道的加密方法的方法。”

Incrypteon 的联合创始人兼首席技术官 Steve Weston 提供了一个可能的例子。“2023 年及以后的威胁在哪里？” 他问。“是来自量子计算机的威胁，还是来自人工智能的更大威胁？对过去 40 年的密码分析和密码破译的分析显示了人工智能现在是如何使用的，未来会更是如此。”

QKD

量子密钥分发 ( QKD ) 是一种使用通过光纤传输的量子特性安全地交换加密密钥的方法。在这种量子状态下，量子力学的性质确保任何访问传输的尝试都会干扰内容。它不会阻止攻击，但会确保尝试的攻击立即可见，并且可以丢弃密钥。成功的 QKD 为使用最新最好的对称加密技术传输数据铺平了道路。当前的对称算法被认为可以安全地对抗量子解密。

Quintessence Labs 首席营收官 Silvio Pappalardo 评论道：“对称加密，如 AES-256，理论上是量子安全的，但可以推测密钥大小很快就会翻倍。”

TCS 数据保护 CoE 网络安全负责人 Ganesh Subramanya 表示：“量子密码学是一种使用量子物理学原理来保护和传输数据的加密方法。” “它创造了如此强大的安全性，以至于在不通知发送者的情况下，以量子态编码的数据不会受到损害。传统密码学使用 SSL 和 TLS 等技术来保护互联网上的数据，但它们容易受到各种攻击，因为攻击者可以改变双方（如用户的浏览器和网页/应用程序）之间的通信并让他们相信他们仍在相互交流。使用量子密码术，这种数据更改是不可能的，从而加强了在线交易的安全性。”

东芝合作伙伴兼 Safe Quantum 总裁/首席执行官 John Prisco 将这些原则应用于 QKD。“量子密钥分发包含一个不能被夸大的关键安全方面，”他说，“特别是如果它与 NIST 后量子加密标准 (PQC) 一起使用。网络安全的黄金标准被认为是纵深防御，因为它利用两种具有不同故障机制的完全不同的技术来提供保护。随着 harvest now decrypt later attacks 变得越来越频繁，没有延迟时间可以安全地抵御量子攻击。使用 PQC 签名算法进行身份验证的 QKD 是唯一可以立即部署并保证成功防御现在收获、稍后解密的防御。”

负责 QKD 部门的东芝副总裁 Terry Cronin 同意这一评估。“使用 QKD 作为抗量子混合解决方案的一部分可以提供所需的安全性，确保收集和解密攻击无法成功访问数据。”

引入基于大规模光纤的 QKD 的实际困难意味着它不能在所有地方实施。它的直接使用可能仅限于高价值站点之间的点对点通信——例如一些政府机构和主要银行办公室之间。

后量子密码学

美国国家标准与技术研究院

NIST 于 2016 年开始了一项选择和标准化后量子加密算法的竞赛。当时 NIST 数学家达斯汀·穆迪 (Dustin Moody) 表示：“我们正在寻求替换三个最容易受到量子计算机攻击的 NIST 密码标准和指南。” “他们处理加密、密钥建立和数字签名，所有这些都使用公钥加密的形式。”

2022 年 7 月，NIST 宣布了前四名入围者。然而，2022 年 8 月出现了另一个入围者，超奇异同源密钥封装 (SIKE) 算法已经被破解。SIKE 旨在通过不受信任的网络将密钥从源安全地传递到目的地。然而，研究人员已经证明，该算法可以在一个多小时内在一台经典 PC 上破解。

这说明了所有安全专业人员都需要面对的问题。任何加密算法只有在被破解之前才是安全的。白帽研究人员会告诉你他们是否可以破解算法——外国政府不会。实际上，这意味着“现在收获，稍后解密”的“后期”部分是一种乐观的观点。我们认为，今天被盗的加密 IP 尚无法解密——但我们不能确定。

然而，我们确实知道，在相对不久的将来，当前的 PKI 加密肯定会被量子计算机破解。NIST 的解决方案是用更复杂的算法替换当前易受攻击的 PKI 算法——即通过使用更强大的算法来解决更强大的计算。

最终，我们将处于与今天相同的境地。我们相信受 NIST 后量子算法保护的 IP 将是安全的——但我们不能确定。请记住，至少有一种提议的后量子算法已在 PC 上被破坏。因此，即使我们明天改用 NIST 批准的后量子加密标准，我们也不能确定现在的收获解密后来的哲学是否已被击败。

一次性垫

NIST 的 PQC 算法是“量子安全的”，它们不是“量子安全的”。前者被认为对量子解密是安全的，但无法证明是安全的（因为它们本质上是数学的并且容易受到数学解密的影响）。可以被证明是安全的密码学被称为“量子安全”——实现这一点的唯一方法是从等式中去除数学。

唯一已知的量子安全密码是一次性一密，因为它依赖于信息安全而不是数学安全。从技术上讲，QKD 可以用类似的安全术语来描述，因为任何获取用于数学解密的密钥的尝试都可能导致密钥立即被破坏（阻止它们被有用地解密）。我们已经看到 QKD 在广泛使用方面存在问题——但现代技术是否能够提供可用的一次性一密本仍然是一个悬而未决的问题。

从历史上看，OTP 被认为不适合互联网时代，因为它需要与加密消息长度相同或更长的密钥。尽管如此，一些公司一直在探索新技术的可能性。

Qrypt的出发点是量子威胁来自从源到目的地的加密密钥通信。如果可以避免传递密钥的必要性，就可以消除威胁。因此，它开发了一种过程，允许在源和目的地同时生成相同的量子随机数。量子随机数是利用量子力学原理生成的真正随机数。然后可以使用这些数字生成相同的密钥，而无需通过互联网传输它们。

然而，由于数字的生成可以在使用前执行和存储，因此仍然有可能将过程链接起来，为密钥提供真正的 OTP，而不需要将它们通过互联网传输。基于此过程的解决方案是量子安全的。

英国初创公司Incrypteon走了一条不同的路，将香农的信息理论应用到一次性垫上。这门科学有点令人费解，但它是基于香农在 1949 年发表的保密系统通信理论中的模棱两可。“完美保密的定义是基于统计数据和概率，”Incrypteon 说。“如果攻击者对消息内容的了解在对手检查密文之前和之后都是相同的，那么密文将保持完美的保密性，并使用无限的资源对其进行攻击。”

Incrypteon 使用自己的专利软件和“Perpetual Equivocation”，“确保条件熵永远不会为零，从而实现完美保密。” 结果是自动实现了量子安全（不仅仅是量子安全）——并且今天就可以使用。

联合创始人 Helder Figueira 曾是一名电子战信号官，负责指挥南非军队的密码分析部门。香农模棱两可的概念为军方所熟知，他长期以来一直担心商业市场被迫接受根据定义是“不安全”的加密——如果某物不能被证明是安全的，它必须没有安全感。

一次性一密本的第三种和未来可能的方法可能会从当前令牌化的进步发展而来——更具体地说，由不可变服务器保护的基于云的无保险库令牌化。

另一家初创公司Rixon涉足这一领域。它的主要目的是保护具有网络存在的组织存储的 PII——但这些原则可以很容易地扩展。明文立即在云端标记化，现场没有明文。云中的标记化引擎中也没有保存明文——存储的只是每个标记化字符的标记化路径（为了比较，此标记化路径等同于加密密钥，但对于每个字符都是随机的）。

这提供了与 OTP 的主要并行——“密钥”与消息的长度相同。目前，Rixon 专注于标记化 PII；但同样的概念可以扩展到保护高价值的静态文件，例如知识产权和商业计划。

过渡到后量子密码学

即将到来的密码灾难要求组织从已知的量子易受攻击的加密（例如当前的 PKI 标准）过渡到即使不是量子安全也至少是量子安全的加密。这将是一个漫长的过程，到 2023 年，企业将需要开始更详细地规划他们的路线。

大多数公司将从 NIST 后量子算法是唯一的前进方向这一观点出发。我们已经深入讨论了 OTP 的发展，以表明 NIST 路线不是唯一可用的路线——我们预计 2023 年将有进一步的 OTP 发展。

完全过渡到后量子准备就绪将需要很多年，并且不会通过从经典转换到 PQC 来实现。这导致了“加密敏捷性”的概念。Quintessence Labs 首席营收官西尔维奥·帕帕拉多 (Silvio Pappalardo) 解释说：“至关重要的是，量子就绪算法 (QRA) 能够以混合方式与现有加密功能共存，同时实现向量子安全的完全过渡。”

“加密敏捷性使应用程序能够在密钥类型和加密算法之间迁移，而无需更新应用程序软件——从同构架构过渡到微服务架构，”他说。“随着加密密码因量子威胁、寿命缩短、密钥大小增加以及保护更多数据的需求不断增加而发生变化，更有效地，加密敏捷性成为业务推动者和捍卫者，以跟上不断创新的步伐并实现更大的灵活性未来。” 如果正在使用的算法被破坏，这种敏捷性还允许公司从一种量子安全算法切换到另一种。

目前，政府机构别无选择，只能遵循 NIST。2022 年 11 月 18 日，白宫向行政部门和机构负责人发布了一份备忘录，要求 CRQC 准备工作从盘点易受攻击的资产开始。“到 2023 年 5 月 4 日，此后每年直到 2035 年”，备忘录指出，“指示各机构向 ONCD 和部门提交包含 CRQC 易受攻击的密码系统的信息系统和资产的优先清单，不包括国家安全系统国土安全部网络安全和基础设施安全局 (CISA)。”

（这证实了早先在 2022 年 5 月 4 日发布的国家安全备忘录 NSM/10 中公布的细节。）

2022 年 12 月 21 日，拜登将《量子计算网络安全准备法》签署为法律。Sanzeri 评论道：“量子计算机正在全球范围内开发，一些敌对的国家投入数百亿美元用于创建这些非常强大的机器的项目，这些机器将打破我们今天使用的加密。” “虽然现在还没有，但量子计算机将在未来几年内上线，但我们的联邦机构和商业企业需要几年以上的时间才能将他们的系统升级到后量子网络安全。”

他继续说，该法案“要求联邦机构将系统迁移到后量子密码学，这种密码学能够抵御来自量子计算机的攻击。管理和预算办公室还需要向国会提交一份年度报告，描述如何评估整个联邦政府的后量子密码学风险的战略。”

政府显然坚持 NIST 的提议。这可能是因为 NIST 关于 OTP 不现实的断言是正确的。NIST 计算机安全数学家 Dustin Moody 在 2022 年 10 月告诉SecurityWeek，“一次性一密本必须由真正随机源生成，而不是伪随机过程。” 但是有许多来源可以使用量子力学生成真正的随机数。

“一次性一密本必须与要加密的消息一样长，”穆迪补充道。“如果你想加密一条长消息，一次性一密的大小将比我们 [NIST] 选择的算法的密钥大小大得多。” 这也被 Qrypt 和 Incrypteon 以及像 Rixon 这样的潜在标记化公司挑战为一个问题。

尽管如此，如果只是因为 NIST 的声誉和政府支持，大多数公司将遵循 NIST 的渐进过程，而不是 OTP 的更具革命性的过程。到 2023 年，将有更多的公司开始为 CRQC 做好准备——但选择比显而易见的要多。