佛山市拓洲网络科技有限公司
拓洲科技,贴近未来

数据安全和量子计算:规划下一代加密技术

当前的加密算法依赖于公钥加密来保证数据的安全。找出量子计算可能会破坏当前安全系统的原因以及如何提前计划准备。

我们经常在我们的技术中建立假设,假设我们基于它们的技术的可靠性。我们做出的最大假设之一是公钥加密的可靠性。我们最关键系统依赖于它。然而,威胁在于它的可靠性。

公钥加密也称为非对称加密,涉及两个不同的密钥 - 一个保密,一个公开 - 用于加密和解密数据并验证身份。

公钥加密依赖于非常难以解决的某些数学问题,例如将多位数的因子分解为大质数的乘积并且找到关于公知基点的随机椭圆曲线元素的离散对数。如果您可以解决问题,则可以解密数据。但是我们假设你无法解决它,或者解决它的努力程度如此之大以至于不值得。

量子计算机和算法的出现旨在利用其特殊的特性破坏了这些假设。如果能够构建足够大且可靠的量子计算机,它将能够解决数学问题并解密今天被认为是经过高度加密的数据

其他重要的加密算法,特别是对称加密和散列函数,不会像非对称加密一样受到损害。我将在下面讨论这一区别。

是否可以构建足以导致这种麻烦的量子计算机还不确定。目前已经建立了小型量子计算机的公司,最着名的是IBM,它发现了质数因子相对较小的数字。

多年来人们都知道这个问题的可能性。然而,近年来,专家们开始协同努力,以创建耐受量子计算技术的加密标准,由美国国家标准与技术研究院(NIST)协调。我们称之为后量子密码学(PQC)。

在本文的帮助下,我采访了NIST 的加密技术小组的数学家 Dustin Moody PQCrypto 2016会议的一次  演讲中,Moody简要介绍了NIST的计划。NIST同时发布了其简短的“ 后量子密码学报告 ”。该报告更详细地解释了这个问题,并包含了许多关于该问题研究的参考资料。

NIST长期以来一直是提升安全标准的主要力量,因为它已经在许多其他领域,从消防设备和技术单克隆抗体它具有美国宪法中特别提到的任务:“国会有权......确定衡量和衡量标准。”我们许多最重要的安全标准由NIST颁布,包括AES(高级加密标准)FIPS(联邦信息处理标准) 140。

什么是量子计算机?

有意义的理解需要强大的数学和物理背景。Quantum Made Simple网站包含许多科学解释,包括一些澄清动画。

也就是说,量子计算机是基于量子物理学而不是经典物理学。在传统计算中,在半导体中将比特存储为0或1。在量子计算机中不是这样。

量子计算机有可能破坏我们的密码学方法是叠加的原理。量子计算中的一点称为量子位,可以同时为0或1。这意味着n个量子位在同一时间可以代表2n状态因此,量子计算机可以在同一台机器上同时进行与许多经典计算机相当的计算。爱因斯坦会称之为“上帝用你的数据玩骰子”。

对于量子计算机和开发它们的人来说,它们也会带来巨大的好处。大多数提议的应用程序都是建模和模拟,其中大量数据在对输入的同时响应中进行管理。想想天气预报; 计量经济学建模; 分子,原子和亚原子模拟(是的,量子计算机模拟量子力学); 和金融建模的消费者,他们总是希望更快地获得结果。量子计算的固有并行化应该大大加速这些计算密集型应用程序。

量子计算为什么会成为问题?

但正是这种固有的并行性给密码学家带来了问题。人们可以将量子计算机编程为与经典计算机不同,并且在经典计算机上性能较差的算法将在量子计算机上具有优异的性能。一种这样的算法是Shor算法,它既能在合理的时间内找到数的质因子,又能打破椭圆曲线和有限域加密所依赖的离散对数问题。

 

但是,就我们现在所知,量子计算的性能优势并不会给其他重要的加密算法带来致命的问题。专家一致认为,散列函数和对称加密在后量子世界中仍然是安全的,但需要更大的密钥,如NIST报告中的表所示:

资料来源:NIST的“后量子密码学报告”

因此,如果RSA,ECC和FFC在后量子计算世界中不安全,那么取代它们的建议是什么?

“抵抗量子计算的加密算法”有几种方法。其思想是保持公钥密码学的基本方法,即依赖于一个方向容易且另一个方向很难的数学运算。因此,研究人员寻找的算法似乎在量子计算机和经典计算机上都具有这种难以处理的特性。正在研究的主要算法系列是:

  • 基于格的密码学
  • 基于代码的密码学
  • 多元多项式密码学
  • 基于哈希的签名

NIST报告有很多相关的参考文献; Wolfram MathWorld也是一个了解数学定义的好地方。

测试

正如谷歌加密工程师Adam Langley所描述的那样,谷歌已开始在Chrome浏览器中试验NIST提案不要做太多的实验; 这是一个非常早期的工作,主要是为了测试更大的PQC密钥大小对实际TLS实现的性能影响。这些实现中有相当一部分完全失败了。

谷歌没有测试所有的PQC提案。即使在乐观的假设下,其中一些确实测试了潜在的延迟。通常情况下,具有更大延迟的实现在测试的计算方面表现更好。Langley的初步结论是,结构化格子具有最佳的协议性能特征,但同时有许多未知因素,目前的结果还不值得采取任何行动。

对于刚刚推出TLS 1.3规范的工程师而言,PQC朝向更大密钥的方向是令人沮丧的,因为其主要目标是提高安全通信的性能。

正如我所暗示的那样,量子计算机不会成功发展到他们威胁我们的公钥算法的程度,但潜力是存在的。已经进行了许多实验,小规模量子计算机已经在小规模上证明了这个问题。我们不知道将量子计算机发展到所需的规模的可能性,但是NIST的Dustin Moody告诉我,该领域的人相信它可能在10到15年内完成。只要存在可能性,谨慎将导致我们继续进行此类研究,因为如果我们在问题出现时毫无准备,结果将是灾难性的。

休眠数据问题

在当前的基础上更新系统以使用新协议和密钥大小将是一个足够重要的决定,但还有另一个需要考虑的问题。

毫无疑问,您需要对大量数据进行加密和静态处理。您认为这些数据是安全的,因为至少在某种程度上它是加密的。但是在后量子世界中,这种保护更少或可能没有价值。

最多的回应是计划使用量子抗性加密技术重新加密所有数据。这并不容易。您需要维护好的数据以及解密和重新加密数据的能力。如果它在应用程序级别加密,则应用程序可能无法使用新方法进行加密。使用基于驱动器的全盘加密进行加密,可能无法升级到后量子加密。

请注意,静态数据不是使用公钥加密加密,而是使用AES等对称密钥算法加密。NIST报告称,这些算法并不像公钥算法那样受到损害,但它确实需要更大的密钥,这意味着您的静态数据会被潜在的弱密钥加密。

即使加密专家可能会告诉您重新加密是正确的(并且确实如此),但显然还有一个额外的问题需要解决,在这个重新加密过程中保护数据安全。保护休眠数据很重要,但它肯定比保护当前数据的优先级低。在决定是否或何时重新加密时,应该多考虑保护数据的其他方法(例如物理安全方法)。

所以现在怎么办?

基于量子计算的前景和目前的情况,谁也没有实践经验,因此现在可能并且应该做的事情并不多。一个很好的例子是您的数据的详细清单以及用于保护它的加密方法。

从技术角度来看,10到15年似乎很长一段时间。即便如此,为此进行某种程度的规划也很重要。现在把PQC放在长期议程上是确保你不会被量子效应所蒙蔽的最好方法。

就目前而言,这对数学家来说是一个大问题,但不管您是做软件开发的程序员,系统架构师还是网络工程师,都可以将想法通过pqc-comments@nist.gov发送给NIST的PQC人员

 量子安全:领导者的经验教训

  • 为保证数据安全而提前十年规划。
  • 您无需完全了解量子计算即可了解潜在的安全问题。
  • 休眠数据安全可能突然受影响。

邮箱:vyloy@yiqishare.com

地址:广东省佛山市顺德区容桂街道高黎村19号首层之二 邮编:528303

Copyright © 2014-2018 yiqishare.com. All rights reserved. 粤ICP备15033752号