总结量子计算机将对网络安全构成重大威胁。一旦构建了大型容错量子计算机,最常用的密码系统就会分崩离析。这种威胁的风险很高,其响应具有紧迫性。可以保护完全经典的协议免受配备量子技术的对手的攻击,但需要非常小心,不能仅限于谨慎选择密码系统。量子技术也可能对网络安全产生积极影响。最先进的量子设备可用于提高安全性并完成传统上不可能完成的任务,例如具有完美安全性的密钥扩展。量子计算机将成为未来通信和计算网络不可或缺的一部分,我们需要开发实用的方法来使用量子计算机,并提供与安全经典计算相同的安全保证。计算机系统和攻击者在硬件和软件方面都与时俱进,不断创新很重要。人们可以想象的最引人注目的发展是计算建模范式的变化。量子技术似乎让我们更接近这种变化。本文探讨了网络安全与量子技术研究的交叉点。量子技术时代的开始。量子理论的发展是20世纪最伟大的科学革命之一。量子理论在许多不同的背景下都非常成功,从早期到完整的数学形式的发展,以及随后的晶体管和超导体等首次应用。然而,按预期控制量子系统的能力有限,限制了技术应用的多样性。这种情况在最近几年发生了变化,对量子系统的控制能力大大增强,并且由于兴趣和投入的增加,加上已经取得的科学突破,似乎有希望在不太遥远的地方取得进一步进展未来。全球多个国家纷纷启动国家量子科技计划,投入巨资。谷歌、IBM、微软和BAT等主要工业公司以及许多量子初创公司都建立了实验室来开发量子硬件。这开启了所谓的“第二次量子革命”:按预期操纵量子系统的能力开创了新技术的新时代,在某些情况下有望取代现有的解决方案。可以说,最重要的量子技术将是开发利用量子现象的计算设备(即量子计算机)。量子计算机可能是颠覆性的创新,提供比传统计算机强大得多的计算能力。已经取得了突出的量子技术成果。仅举两个例子:谷歌最新的量子处理器Bristlecone拥有创纪录的72个量子比特和非常低的错误率。实现了卫星量子密钥分发,跨洲际7600公里可实现信息论安全加密。量子网络安全。大型量子计算机的发展及其带来的额外计算能力可能会对网络安全产生可怕的后果。例如,如果开发出足够大的“容错”通用量子计算机,它可以有效地解决诸如因式分解和离散对数等重要问题——这些问题的难度确保了许多广泛使用的协议(如RSA、DSA和ECDSA)安全性。然而,解决采用量子技术带来的重大风险并不是网络安全社区唯一关心的问题,量子技术肯定会在其中发挥作用。量子网络安全领域的研究影响到通信和计算安全与隐私的方方面面,都离不开量子技术的发展。量子技术在被对手使用时会对网络安全产生负面影响,但在被诚实方使用时会产生积极影响。量子安全研究通常分为三类,具体取决于谁可以使用量子技术以及它的先进程度(见图1)。在第一类中,我们确保当前可以执行的任务保持安全;在其他两个类别中,我们探索了量子技术带来的新视角。图1量子网络安全研究领域示意图与密码学一样,首先假设资源方面的最坏情况:诚实方完全依赖经典技术(没有量子能力),对手可以使用任何量子技术(不管技术的电流是否存在)。特别是,假设对手有一台大型量子计算机。确保经典协议的安全和隐私保证保持不变称为后量子安全。在第二类中,我们允许诚实的各方使用量子技术来获得增强的属性,但只限制使用那些现有的量子技术。同样,对手可以使用任何量子技术。在这一类别中,我们专注于获得经典功能,但能够通过使用最先进的量子设备来增强经典协议的安全性或效率。第三类,着眼于更长远的未来,分析了量子计算机带来的协议安全和隐私问题。届时将有涉及量子计算机和通信、处理量子信息的任务。相关方希望维护数据的隐私,希望处理任务的安全得到保障。这个时期已经不远了,因为今天发展起来的量子设备已经超出了量子计算的极限,经典的超级计算机可以模拟量子计算。这三个类别涵盖了网络组网的方方面面。本文重点介绍量子计算机对密码攻击和利用新量子硬件漏洞的攻击的影响。至于利用现有经典硬件中其他漏洞的方法(例如定时攻击),我们预计不会从量子技术中获益,因此我们不会深入探讨。量子计算的神话与现实量子计算机通常被描述为可以瞬间解决几乎任何问题的神奇计算设备。事实上,量子计算机的能力并没有那么夸张。让我们澄清一下量子计算机和量子对手的计算能力,以及四个最常见的误解。误区1.量子计算机执行计算的速度比经典计算机快得多。就每秒执行大量操作而言,量子计算机并不快。量子计算机可以加速计算,因为量子理论允许算法支持经典计算机几乎不可能实现的操作。因此,实现加速需要发明新的算法来适当地使用这些操作,这不是一件容易的事。事实上,加速在很大程度上取决于所考虑的特定问题。这就解释了为什么量子对手只能破解某些公钥密码系统,而其他人只需进行微小的更改(例如更改密钥长度)就可以保持安全。误区二:量子计算机同时执行(概率)计算的所有分支,可以立即找到接受路径。量子计算机以独特的方式探索新的可能性或计算的分支。这类似于经典概率计算机(Bpp),重要区别在于量子计算机的行为存在具有复数值的“概率”。这种行为导致一些分支被“取消”。此属性以及利用它的算法会导致量子加速。然而在量子计算的最后,结果只用一次读出/测量就得到了,所以所有“未实现”的分支都不起作用,恰恰与神话相反:一台量子计算机并行执行所有分支,有人可以提取那些中的所有信息。迷思三、量子计算机可以有效解决NP完全问题(比如旅行商问题,或者TSM问题,这是最基本的路线规划问题)。量子计算机可以有效解决的一类决策问题称为BQP。它与其他已知类的(推测的)关系如图2所示。特别是,NP不包含在BQP中,量子计算机无法有效地解决NP-complete问题。然而,值得一提的是,在处理BQP以外的许多问题(例如二次搜索加速)时,量子计算机可以提供多项式或常数加速,包括NP完全问题。对于许多任务,即使是这种小的加速也可能很重要。例如,在网络安全领域,它会影响保证所需安全级别所需的密钥大小。图2.复杂性类别的推断关系。误区4.使用量子计算机难以解决的问题已经足够困难,足以使密码协议免受任何量子攻击。这是一个必要但不充分的条件。量子攻击者将以各种方式使用量子性,而不仅仅是为了更快地解决一些经典问题。下面我们举个例子(叠加攻击),说明安全定义和证明技术都需要改变。后量子安全:量子对手我们现在需要与量子攻击者打交道,主要出于三个原因。首先,安全有可能被未来的技术破解。例如,如果一些组织拦截并存储发送的加密电子邮件,则可以开发量子计算机来解密电子邮件。其次,开发高效的后量子安全密码解决方案。建立对这些解决方案安全性的信心将需要几个独立的领先研究小组进行多年的研究。第三,我们需要数年时间来改变我们的加密基础设施。根据对手如何使用“量子能力”,后量子密码学研究可以分为三类(见图1)。第一类是对手是具有额外功能的经典对手,也可以解决BQP问题。换句话说,这样的对手就像标准的经典对手一样,可以额外访问预言机/量子计算机。在第二类和第三类中,我们为对手提供了额外的能力,例如允许他们发送量子态的输入(查询),然后将(量子)输出与他们的量子计算机oracle一起使用,以破坏协议。第二类讨论安全定义的建模和修改以及直接后果。第三类讨论了这种新的量子安全模型中(涉及的)证明技术所需的更改。应该注意的是,就所使用的技术而言,后量子安全类别中的所有协议都是完全经典的协议。所有忠实的步骤都在经典设备中实施。理解量子计算(问题的难度)和一般的量子技术(模拟其他类型的攻击)对于证明安全性至关重要。使用Oracle量子计算机防御对手。第一个也是研究最多的领域是根据量子计算机仍然难以解决的问题的难度来保护所使用的协议。这显然是一个优先事项,因为一旦构建了量子计算机,攻击对量子计算机来说并不困难的密码系统将变得微不足道。如图2所示,在BQP之外存在NP问题;在对手可以访问oracle量子计算机的情况下,公钥加密仍然可行。有许多密码系统可以抵御这种类型的攻击。它们可以分为基于散列、基于代码、基于格、多变量和基于密钥的密码技术。这里探讨了三个问题:信心、易用性和效率。问题很难,在某些情况下,问题源于涉及复杂性类别的理论含义,通常基于这样一种观念,即尽管许多团体进行了长期努力,但仍无法找到有效的解决方案或无法改进现有的解决方案。经典计算机因式分解所面临的困难就是这种情况。我们在分析针对量子计算机的密码系统中使用的问题的难度方面的信心普遍较弱。更重要的是,量子算法和量子复杂性理论的研究也是新的,从量子对手的角度对系统进行适当的密码分析并不像经典计算那样彻底。最后,可能最大的挑战是效率。对于某些应用程序,例如国防和金融市场,需要最大的安全性,即使以性能不佳为代价,但对于许多日常应用程序来说,较慢的服务是不可接受的。综合考虑,现有的后量子密码系统缺乏效率。改进这方面,或确定哪些应用程序可以容忍这种低效率,是活跃的研究领域。叠加攻击:改变安全概念。安全性通常根据对手在某些假设的交互中获胜的可能性来定义。例如,有人将不可区分性定义为对手无法以高于50%的概率获胜的活动,这表明随机猜测明文位是可以采用的最佳方法。在此活动中,对手获得了使用学习阶段请求所选明文的密文的额外能力。提供这些附加功能的动机是基于这样一种情况,即对手可能说服诚实方加密选定信息。为了确保隐私,此操作不会让对手在尝试解密消息时有任何优势。现在,我们要考虑此活动中的对手具有进行量子查询(并接收量子答案)的额外能力。量子对手可能会尝试使用这些重叠的密文来破解密码系统。值得强调的是,拥有叠加层并不等同于使用所有叠加项。例如,如果直接测量叠加,就会收到随机选择的明文密文,安全性不会受到损害。相反,攻击需要在另一种揭示密码系统隐藏结构的量子算法中使用这种密文状态输出的叠加。针对量子对手的证明技术。我们应该将量子对手的内部空间建模为通用量子态,并将其与诚实方的所有行为和通信建模为通用量子操作。用量子手段对对手建模有两个含义。一方面,它给了对手更多的偏离/攻击方式,就像前面提到的堆叠攻击一样。另一方面,它对如何证明安全性有影响,因为模拟视角需要模拟量子过程而不是经典过程。请注意,表明证明技术不适用并不意味着发现了可以破解相应密码系统的攻击,只是它不能再被证明是安全的。量子增强安全性:经典用户的量子设备量子技术还可以为网络安全研究提供优势。人们不妨考虑将量子步骤合并到(诚实的)协议中的可能性,旨在实现对相应的完全经典环境的某些改进。原则上可以进行改进,最著名的例子是量子密钥分发(QKD)。在QKD中,使用不受信任的量子信道和身份验证的经典信道,可以在具有信息论安全性的空间分离方之间建立共享密钥。仅使用经典通信,此任务是不可能的(实际上是信息论安全密钥扩展)。重要的是,具有信息论安全性的协议意味着它的安全性不基于任何计算假设,因此即使攻击者使用量子计算机它仍然是安全的。量子增强的另一个例子是量子指纹识别,其中双方可以使用少量通信来确定他们是否共享相同的比特串。量子增强安全领域的大部分研究都集中在QKD上,但是还有许多其他协议和功能承认增强并需要类似或稍微复杂的量子技术。其中一些技术包括:量子随机数生成器、量子指纹识别、量子数字签名、量子掷硬币、电子投票、拜占庭协议、量子货币、量子秘密信息检索、安全多方计算(SMPC)和位置验证。随着量子技术的快速发展,越来越多的量子增强协议成为现实,实用化量子器件的前景变得更加光明。例如,除了各方之间的简单量子通信之外,我们现在还可以让各方拥有小型量子处理器。现在是进行此类研究的好时机,我们可以考虑量身定制的结构来增强特定相关密码协议(如电子投票或SMPC)的性能。量子实现的安全性:安全使用量子计算机量子计算机在许多问题上都具有计算优势。如果有这样的设备,人们在处理同样需要隐私和安全的任务时自然会希望利用这种额外的计算能力;换句话说,我们寻求量子支持的协议的安全性。所有的安全概念都需要改变才能应用到量子信息和量子计算上,比如认证、加密,以及更复杂的概念(比如加密数据计算和安全多方计算)。当然,要让这类问题有意义,我们首先需要有一个相当大的量子计算设备,它可以为日常问题提供真正的计算优势。我们即将打破经典模拟的极限,进入量子技术加速时代。量子加速用于处理重要的日常问题的时间可能不远了。这类研究进展迅速,已经有很多协议针对量子加密、量子验证、量子不可延展性、盲量子计算、安全多方量子计算、函数式量子加密等。有多个协议优化就不同的品质因数而言,例如最小化量子(或经典)通信,最小化整体量子资源或某些参与方的量子资源,提供最高级别的安全性(信息论与后量子计算)。这些协议中的大多数都需要两方之间的量子通信,并且在大多数情况下,需要对通信的量子信息进行量子计算。这就提出了两个问题:一个是理论问题,一个是实践问题。完成这类任务需要与量子通信设备兼容的量子计算设备。一方面,量子通信的最佳平台是光子,因为它很容易远距离发送以光子编码的量子信息。另一方面,量子计算设备最有前途的方法之一是基于超导量子比特。用于通信和计算的首选量子位类型不一致;而且,甚至不知道它们是否兼容。目前尚不清楚超导量子计算机是否可以成为“网络架构”的一部分,因为它们目前是使用单片架构构建的,并且尚不清楚是否可以发送和接收量子态。未来安全通信和高效计算的能力对社会至关重要。互联网和物联网彻底改变了世界。在接下来的5到10年里,随着量子技术成为主流计算和通信的一部分,我们看到了巨大的希望。未来的网络肯定既包括经典设备和链路,也包括量子设备和链路。实现复杂的经典和量子通信网络需要一个坚实的新基础:预测和处理实际实施和新应用的复杂性的能力。图3.未来通信和计算网络后量子安全为经典互联网保持安全铺平了道路,而量子增强安全旨在受益于量子互联网的发展,以实现经典通信无法实现的无与伦比的性能。与此同时,功能多样的量子云服务也开始流行起来。支持量子的安全性提供了一个平台,可以向潜在用户保证,量子云中这种前所未有的新计算能力具有适当的准确性、可靠性和隐私标准。
