行业新闻与博客

抗量子密码学将成为未来网络安全的关键部分。以下是当黑客配备量子计算机时如何保护您的数据的知识……

量子计算是一个有争议的话题，人们往往喜欢或讨厌取决于他们坐在哪里。一方面，它在数据处理速度和能力方面代表了一个难以置信的机会。另一方面，它是一种破坏我们现在赖以保持敏感数据在线安全的加密算法的手段。这就是所谓的抗量子加密发挥作用的地方。

但什么是抗量子加密？本文探讨了密码学中量子计算的历史，为什么它对现代在线安全构成威胁，以及组织可以做些什么来准备在其 IT 环境中实施量子安全密码学。

让我们把它算出来。

什么是抗量子加密？解释量子安全密码学

简而言之，抗量子加密是指一组算法，一旦量子计算走出实验室并进入现实世界，预计这些算法将保持安全。（它们将取代目前全世界数十亿人每天使用的公钥加密算法。）

顺便说一句，当人们使用以下任何术语时，他们通常谈论的是同一件事（在大多数情况下）：

• 抗量子加密
• 抗量子密码学 (QRC)
• 量子安全密码学
• 后量子密码学 (PQC)
• 后量子加密

一旦研究人员成功构建了足够大的量子计算机，我们今天所依赖的所有公钥加密算法都有望被破解。一旦发生这种情况，将需要在任何地方使用抗量子加密（“普通”[即“经典”] 和量子计算机），这样使用量子计算机的攻击者就无法破解加密来窃取数据。

为什么量子计算机会打破当前的加密标准？

量子计算机与我们今天使用的计算机有着根本的不同。这些设备使用专门的硬件组件，将量子物理学带入方程式，并允许它们执行某些计算，甚至比我们目前拥有的最快的超级计算机还要快。（我们将在本文后面详细讨论。）

当前的公钥加密算法依赖于复杂的数学运算（例如，RSA 加密算法依赖于素数分解，而 Diffie-Hellman 和椭圆曲线加密或 ECC 依赖于离散对数问题）来安全地传输数据。这意味着每次您在 Amazon 上购买商品时，您的浏览器都会通过基于这些数学方法之一的数学推导的安全通信通道与 Amazon 的 Web 服务器进行通信。

问题在于，一些量子计算机将能够如此迅速地解决这些数学问题，以至于黑客能够在几分钟内破解现代公钥加密。（基本上，使加密公钥算法提供无用。）

根据美国国家安全局 (NSA) 的说法，抗量子密码学应该“能够抵抗来自经典计算机和量子计算机的密码分析攻击”。考虑到这一点，这些算法可以在量子计算机投入实际应用之前和之后使用。它们的设计考虑到了量子计算威胁，但它们不仅限于在创建加密相关量子计算机 (CRQC) 之后使用。

现代算法与后量子加密算法

目前，在不安全的渠道（例如，互联网）上的加密依赖于被称为公钥加密的东西。传统公钥算法背后的想法是，两方（即您的网站服务器和想要连接到它的客户）可以使用两个独立但相关的密钥进行安全通信：一个加密数据的公钥和一个解密数据的私钥. 他们使用这些密钥来交换秘密信息，这些信息可以用来创建安全、对称加密的通信通道。（为什么是对称加密？因为它比公钥加密更快且资源消耗更少。）

与现代算法不同，抗量子加密算法将用被认为抗量子的加密算法取代现有的公钥规范。同样，这是因为当 CRQC 成为事物时，我们现在在公钥加密中依赖的现代数字签名和密钥建立算法将不再安全。

NIST 表示，抗量子算法通常属于三个主要阵营之一：

• 基于代码的密码学——这些算法依赖于“纠错码”。
• 基于格的密码学——这些算法涉及基于几何结构的矩阵。
• 多元公钥密码系统——这些类型的算法根据他们试图解决的问题类型而有所不同。

还有第四个类别——有状态的基于散列的签名。但根据 NIST 的 PQC 常见问题页面：

“预计 NIST 将仅批准基于状态哈希的签名标准，用于有限范围的签名应用程序，例如代码签名，其中大多数实现将能够安全地处理保持状态的要求。”

什么会被认为是抗量子加密算法？

我们不能在这里给你一个具体的答案，因为，好吧，还没有真正决定。过去几年，美国国家标准与技术研究院 (NIST) 一直在进行大规模的密码学竞赛。竞赛为数学家、研究人员、密码学家、教育工作者和科学家提供了一个提交算法以作为未来联邦标准考虑的机会。

标准机构宣布从第三轮提交中选出七名候选人和八名备选算法候选人。但是，尚未就哪些算法将被标准化做出最终决定：

• 4 种公钥加密和密钥启用算法（Classic McEliece、 CRYSTALS -KIBER、NTRU、SABER）
• 3 种数字签名算法（CRYSTALS-DILITHIUM、FALCON、Rainbow）
• 5 种备用公钥加密和密钥启用算法
• 3 种替代数字签名算法

什么是量子计算？

为了更好地了解抗量子加密以及为什么需要它，您首先需要了解量子计算机及其对网络安全的预期影响。量子计算背后的想法是，这些设备使用量子力学来解决问题——这是所有现代计算机的总体目标——以一种全新的方式并以指数级更快的速度。

根据挪威奥斯陆大学的 Mavroeidis、Vishi、Zych 和 Jøsang 的研究，有两种类型的量子计算机：

• 通用量子计算机——顾名思义，这些设备旨在执行几乎任何任务
• 非通用量子计算机——这些机器本质上是为处理特定任务的特定目的而设计的。对于某些任务，预计它们不会比传统计算机快得多。

在基本层面上，我们今天使用的计算机（经典计算机）使用 1 和 0 的特定组合（称为位的二进制数）来传递数据。所有现代计算机都遵循这些相同的规则。例如，如果我输入单词“你好！” 计算机使用这种位组合来传达我按下的键的精确组合：01001000 01101111 01110111 01100100 01111001 00100001。

另一方面，量子计算机使用一组不同的规则在新的竞争环境中运行。它依赖于量子位或简称量子位，而不是这些传统的位（1 或 0 ）。简而言之，量子计算机不会查看 1 或 0，而是将数据视为存在于多个状态中，这意味着它可以同时为 1 和 0（这称为叠加）。它还使用其他两种量子特性——纠缠和干扰——来连接单独的数据元素并消除不相关的猜测，从而更快地解决问题。

当然，并不是所有的量子比特都是一样的。微软最近宣布，他们的 Azure Quantum 计划已经开启了开发一种称为拓扑量子比特的新型量子比特的第一步。目标是解决其他量子计算机面临的与缩放相关的问题，并最终帮助创建能够使用一百万或更多量子比特的量子计算机。（查看链接文章以获取有关 Microsoft 演示的更多信息。）

我们也不打算深入探讨我们在这里提到的其他量子特性的所有技术方面。如果你想了解更多关于叠加、纠缠和干涉的信息，请观看这段视频，它以几种不同的方式解释了这些概念：

一方面，一些量子计算机准备解决现代超级计算机无法解决的问题——但速度更快、效率更高。它们还具有其他难以想象的能力来做我们甚至还没有想到的事情。另一方面，在某些类型的任务上，一些量子计算机预计不会比经典计算机好。但试图根据量子计算机对未来的全面影响来预测未来说起来容易做起来难。

为什么量子计算被认为对现代网络安全构成威胁

我们对量子计算的理解主要是理论上的——到目前为止，由于机器的大量资源和冷却要求，量子计算机只能在实验室中使用。量子芯片必须保持超低温（-273 摄氏度，或几乎为零）才能运行，而且它们只能在非常短的时间内运行。但网络安全和行业领导者担心的是，随着量子计算机最终变得更加主流，它们将使现有的公钥加密算法——即 RSA（Rivest Shamir Adleman）——基本上无用。

这种担忧是由于一个称为 Shor 算法的概念。1994 年，创建该算法的人（数学家 Peter Shor）首次证明了对该算法的关注的基本概述是，足够强大的量子计算机将能够几乎立即破解现代公钥算法。它将如何做到这一点？通过能够以比任何现代设备都能够管理的更快的速度计算大量的因数（即现代公钥加密核心的数学运算）。

当您尝试使用经典计算机破解非对称加密（例如 RSA）时，您实际上是在尝试猜测这些超大整数的因数。可以想象，使用普通计算机将需要很长时间。但是随着叠加、纠缠和干涉等量子特性的发挥作用，它可以将做出这些猜测（或完全不需要猜测某些数字）所需的时间减少到基本上没有。例如，虽然传统计算机需要数百万年才能计算出 2,000 多个比特数的质因数，但量子计算机可以在几分钟内完成相同的任务。

虽然这种提高的速度对于为问题创造积极的解决方案非常有用——例如提出革命性的新疗法或治疗疾病的方法——但如果这些设备落入坏人之手，也会带来问题。

看看 PQC 时间线

现在，我们告诉你这一切并不是为了吓唬你。事实是，量子计算所代表的威胁并不是新概念，它们现在也不代表对您的业务和客户的威胁。量子计算的概念——以及它的所有好处和危险——已经存在了几十年，预计还不会实现。

以下是对量子计算历史的概述，以及抗量子密码学的发展如何在其中发挥关键作用：

以下是与上述时间线上的一些点相关的链接： 

• 1980 年代：研究人员（包括 Richard Feynman）帮助实现了对量子计算的研究
• 1994 年：Peter Shor 发表了他的论文“ Polynomial-Time Algorithms for Prime Factorization and Discrete Logarithms on a Quantum Computer ”
• 1997 年：研究人员创建了第一台 2 位量子计算机
• 2016：NIST 发布 IR 8105（关于后量子密码学的报告）
• 2019年：PQC 第一轮候选人公示
• 2020年：PQC 声音轮候选人公告
• 2021年：PQC 第三轮候选人公示

那么，这一切预计需要多长时间？答案取决于你问的是谁以及在什么情况下：

• 美国国家标准与技术研究院 (NIST) 表示， “从确定一个密码系统是好的，直到我们真正将它作为市场上产品的传播标准推出”可能需要 10 到 20 年的时间。
• 美国国家安全局表示，“新密码学可能需要 20 年或更长时间才能完全开发到所有国家安全系统。”

正如您可能已经看到的那样，密码世界中的变化往往相对缓慢。让我们换一种方式考虑。在开发 TLS 1.2 时，TLS 版本 1.1 和 1.0 已经过时，但它们仍在网络上使用，并没有完全消失。（自 TLS 1.2 最初发布以来，我们已经 14 年了，而且我们现在有了 TLS 1.3，它于 2018 年发布！）

正如我们之前提到的，NIST 正在努力最终确定将成为标准化的最终算法的选择。一旦选择了最终的 PQC 算法，下一步就是将 PQC 标准发布为联邦信息处理标准 (FIPS) 并继续实施和部署。一旦发生这种情况，密码算法验证程序 (CAPV) 将为这些已批准的 PQC 算法的批准实施提供认证。

我们现在提出这一切是因为我们越来越接近量子计算机有望成为主流的未来。它不会在今天、明天甚至五年后发生。但当它发生时，组织将需要能够支持和使用必要的抗量子加密算法，以帮助在这个未来的超级计算机处理世界中保持数据安全。现在情况正在发生变化，为不可避免的未来做准备。

看看围绕抗量子加密的不断变化的环境

2022 年 1 月 19 日，白宫发布了一份备忘录，规定各机构有 180 天的时间来“识别任何不符合 NSA 批准的抗量子算法或 CNSA 的加密实例 [...]”，并且必须向全国经理：

• 哪些系统不合规（包括有例外或豁免的系统）
• 这些系统如何过渡到合规加密的时间表，以及
• 任何系统应免于合规的任何原因

所有这些在您的组织或公司层面意味着什么？实际上，对于日常业务而言，目前并不多。但让我们现实一点——遵守尚未实施的规则几乎是不可能的。这有点像玩一项新运动——比如足球——当你还不知道规则或如何玩它的时候。当然，您可以通过动作将球移到场上。但是，如果你不知道你应该如何去做，或者不知道具体要达到哪个目标，那么你就无法知道你做的是否正确，或者你是否朝着正确的方向前进。

美国国家标准与技术研究院 (NIST) 预计其 PQC 第 3 轮报告将在 2022 年 3 月底或 4 月初发布。（也有关于宣布第四轮研究的讨论。）现在，总的来说公平地说，我们一周前刚刚开始四月。但考虑到机构预计将在 2022 年 7 月之前完全符合量子抗性算法，而算法本身还没有正式确定……嗯，这肯定会让必须遵守的组织变得更加困难。

但是，一旦 NIST 决定哪些算法将成为标准，那么企业和组织就需要确保他们不使用或依赖任何可能已被弃用的算法。该标准机构预计将在 2023 年底之前提供 PQC 标准草案以供公众评议，并计划在次年准备好最终标准。

虽然天没有塌……但是——现在是准备的时候了

您会发现，在谈到量子计算和抗量子密码学的主题时，许多专家通常属于两个阵营之一。在光谱的一端，第一个阵营——在上图中被恰当地命名为“Panicville”——基本上是在临近结束的假设下运作的！我们所知道的网络安全随时都会在我们周围崩溃！谨防！

第二个阵营，我们在上图中命名为“Chillville”，往往采取非常不同的方法。这里的观点通常是量子计算还有很长的路要走，它对于现实世界的应用来说太不切实际了，或者我们可能在未来几年内都不需要处理它，所以没有必要担心现在它。

不用说，这些方法都不是特别健康或有利于您的组织及其数据的安全性。不过，值得庆幸的是，其他专家往往处于中间位置——让我们称之为“Preparationville”。坐在两个主要阵营之间的这个空间内的专家的供应心态是：

• 量子计算对现代基于公钥的安全性构成严重威胁（认识到威胁），
• 这种威胁仍然需要一段时间才能在现实世界中出现（保持冷静，不要惊慌），并且
• 组织现在应该采取措施开始为它做准备（制定计划并立即开始实施）。

在 Hashed Out，我们肯定更多地处于中间位置。我们并不对即将发生的变化感到恐慌，而是强烈鼓励客户现在就开始尽其所能做好准备。美国国家安全局在其后量子网络安全资源网站上分享说，虽然它不知道“何时甚至是否”能够破解公钥加密的系统将首次亮相。然而，它确实清楚地表明，为“最终过渡”到后量子加密标准做准备是未来数据安全的必要条件。

安全总比后悔好，对吧？

现在是时候开始通过规划和投资资源来为不可避免的事情做准备了

伟大的。所以，你被告知要做好准备，但是当你真的不知道你可以使用哪些工具时，很难为某事做好准备。这就像作为房主试图为灾难做准备——你可能不知道什么时候会发生不好的事情，但你会采取措施尽可能减轻潜在的影响。

同样的概念也适用于准备量子密码学。虽然您可能不知道具体哪些算法将被标准化，或者具体何时需要实施抗量子密码学，但您知道这很可能会发生，您现在应该采取措施做好准备。

制定组织的 PQC 计划（确保包括特定的里程碑日期）

我们明白了——这里肯定有“你不知道你不知道什么”的强烈案例。但是，您现在可以花时间研究和计划您的策略，从而尽可能地保持领先地位。该计划的一部分应包括：

• 优先考虑首先过渡的系统，从最敏感和最危险的资源开始，以及就组织的目标和需求而言不可或缺的资源
• 指定谁负责实施的不同方面

审核您的 IT 环境和加密系统

我们不能夸大这项任务的重要性，因为无论如何你都应该这样做。出于多种原因，审核您组织的加密系统、IT 基础架构和应用程序至关重要。此外，它还可以帮助您制定 PQC 计划并决定升级的内容和时间。

开始升级您的 IT 基础架构和相关资源

如果您的组织在较旧的服务器和其他相关基础设施上运行，您可能需要在量子密码学首次亮相之前进行升级。需要考虑的事情包括具有冗余分布式数据库的服务器，这些数据库使用通过量子密钥分布式 (QKD) 连接连接的 PQC 数字签名算法。（QKD 是一个自 80 年代以来一直存在的概念，涉及使用量子力学在传统对称算法保护连接中的通信方之间分配密钥。）这里的想法是，这可能有助于防止量子攻击并帮助从成功中恢复攻击。

硬件安全模块呢？您的组织是否在内部使用一台？是否依赖第三方系统？确保您使用的任何 HSM 都有支持量子安全加密的路线图。

我们理解您的犹豫和恐惧——更新您现有的基础设施是一项艰巨的任务。它涉及对金钱、时间和人员相关资源的重大投资。但这就是为什么现在就开始计划并开始实施这些升级至关重要的原因。如果您随着时间的推移对系统进行升级，这意味着您不必在一两年内耗尽所有资本预算，也不必冒着急于实施（可能导致错误）的风险，因为您决定等到废话击中风扇。

从本质上讲，您正在为即将到来的风暴提前做好准备（尽可能多地）。这样，您的组织就不太可能陷入其他人将被卷入的倾盆大雨中。

升级您现有的加密安全措施

NSA 还提供商业国家安全算法套件 (CNSA Suite)，这是国家安全系统政策委员会 15 (CNSSP-15) 确定的用于保护机密信息的一组算法（按字母顺序列出）：

破碎的密码系统是量子计算必须提供的所有进步的丑陋伴侣。这就是为什么 DigiCert 和 Sectigo 等主要证书颁发机构现在正在努力通过创建 PQC 证书颁发机构 (CA) 和证书来帮助他们为 PQC 世界做好准备。

在多个 PQC 项目中发挥关键作用的 DigiCert 为 Secure Site Pro 客户提供了 PQC 工具包。该工具包提供混合 RSA/PQC 证书，将 PQC 算法与经典算法配对。这里的目标是一旦量子计算机最终推出，这些证书就可以在遗留系统（以提供向后兼容性）和量子系统上工作。

DigiCert 估计传统计算机需要“数万亿年”才能破解现代 2048 位加密。但考虑到我们不确切知道量子设备何时会出现在现场，现在开始为它何时发生做准备是个好主意。这就是 CA 还创建了分解后量子密码成熟度模型的资源的原因。您可以使用它来确定您的组织对即将发生的事情做好了（或没有做好）准备。

Sectigo 的产品管理高级副总裁 Lindsay Kent 在公司 2022 年身份优先峰会关于证书生命周期管理的演讲中发表了讲话。Kent 表示，证书颁发机构预计到 2026 年将实现量子安全。该计划还包括为客户提供“量子安全工具包”，旨在帮助公司：

• 评估与应用程序的量子安全互操作性
• 创建量子安全证书颁发机构以使用量子安全证书链颁发证书
• 颁发可安装到应用程序中的证书

这两个 CA 的目标是帮助公司使用这些证书来促进基于量子安全应用程序的身份验证（而不是基于网络的身份验证）和通过 TLS 会话的安全通信。这也是为了确保组织可以拥有支持 PQC 算法和我们现在拥有的传统算法的证书。

等等，提供向后兼容性不是意味着一旦量子计算机成为主流，传统设备上的用户仍将通过依赖不安全算法的协议进行连接吗？是的。但是，如果您想继续为使用遗留系统的客户提供服务，那将一直持续到他们最终做出改变为止。

查看和更新您的安全程序和协议资源文件

我们之前谈到的计划的一个重要部分是花时间审查和更改您组织现有的内部安全程序和相关文档。您需要考虑的一些事情是您需要实施哪些抗量子安全访问控制和身份验证措施。正如您可能已经猜到的那样，您现有的控件不会在 PQC 世界中削减它，因此一旦 NIST 发布其标准，所有内容都需要更新以抵抗量子。

关于准备您的组织以支持抗量子加密的最终想法

正如我们之前谈到的，量子计算的广泛使用——以及因此，抗量子密码学的部署——仍然在地平线上，但可能至少需要十年左右的时间。但这就是为什么现在是准备 PQC 以帮助您的企业保持领先地位的时候了。当量子计算机首次亮相主流时，您不想成为措手不及的组织之一。