這可難住了小華!美麗的小劇場之前一共進行了3期,小華覺得這3個日期都有可能是正確答案。幸好,量子計算幫助小華解決了這個難題。
在傳統計算模型中,小華一次只能將一個日期的結果傳送給美麗,如果答案不對,美麗用正確的結果進行驗證後就會出錯,那麼小華的表白程序就有點尷尬了。在量子計算過程中,小華的答案則會同時包含這3個日期所有的結果,當美麗用正確的答案進行驗證時,便可順利驗證透過。
量子力學中,這種同時包含所有可能答案的狀態就稱之為量子疊加態。一旦結果被美麗接收,即觀測後,對應的量子疊加態就會發生概率性坍塌,答案就會唯一確定為某一個具體值,美麗就可以得到與心裡匹配的答案了。
這種概率性的狀態表達,以及觀測事件之間的概率關聯性,是量子力學的核心理論要點。以此構建的量子計算和量子通訊,都是利用量子的概率特徵來突破現有技術的能力瓶頸。
以下將透過對比的方式,介紹經典計算機技術和量子計算機技術的差異,解析這些差異對基於密碼學的隱私保護技術方案有何影響和啟示。
1. 量子計算機 VS 馮·諾依曼計算機
1945年,物理學家和數學家John von Neumann提出一種理論計算模型——馮·諾依曼架構,為現代計算機系統設計奠定了理論基礎。
馮·諾依曼架構將計算的過程表達為資料儲存過程和程式控制過程,資料和指令都以二進位制的形式儲存在儲存介質中,並由以CPU為代表的控制器讀取指令流,控制對不同資料的讀寫,以此序列執行程式。
儘管多核多執行緒CPU早已普及,但其核心執行流程依舊是在馮·諾依曼架構下的序列執行,對應的軟體實現和演算法設計,都是在序列執行程式的前提下進行的。
相比之下,量子計算機由於量子疊加態帶來的概率不確定性,天生自帶並行屬性。
根據量子力學中的波粒二象性,每一個量子可以表達成符合一定概率分佈的波。對應到計算機系統設計中的二進位制格式,就是單獨一個量子可以同時表達0和1的值,並能夠同時以0和1的值與另一個量子進行互動,完成平行計算。
這樣的一個量子通常被稱之為qubit,由於量子態內在的不穩定性,表達一個可讀取的邏輯qubit,通常需要維持多個物理qubit來實現系統容錯。控制這些qubit,需要在接近絕對零度(零下273.15攝氏度)的超導環境中進行,非常具有挑戰性,目前對應的工程實現尚屬早期。
Google在2019年的論文中披露,已經可以一定程度上控制53個邏輯qubit的量子計算機,在3分20秒內完成對一個隨機數序列是否由一個隨機數生成器來生成的證明,同樣的證明在現有馮·諾依曼架構下的超級計算機上執行,需要大約1萬年的時間。
早在2017年,Google的合作公司D-Wave釋出了D-Wave 2000Q,據稱實現了2000個邏輯qubit的量子計算機,理論上可能已經具備破解當下所有經典密碼學技術方案實現的技術能力。
量子計算機提供了指數級別的計算速度提升,可以打破我們在第3論中提到的計算不對稱性。對於馮·諾依曼計算機,經典的NP問題是一個計算困難性問題,而對於量子計算機,理論上可以輕易實現P = NP,攻擊者可以由此破解對應的經典密碼學演算法,提取出對應金鑰和密文中的隱私資料。
根據美國國家標準與技術研究院NIST分析,量子計算機對於非對稱密碼學體系衝擊最大。用來構造公鑰密碼演算法的經典計算困難性問題,如大數分解困難問題、離散對數困難問題、橢圓曲線上的離散對數困難問題,在量子計算機上均有有效的破解演算法——Shor演算法及其變體。這些攻擊會具體影響到現在的公鑰加密、數字簽名、數字證書、金鑰交換等的安全性。
相比非對稱密碼學體系,量子計算機對稱密碼學體系衝擊相對較小。只要適度增加金鑰的長度,就能限制目前最有效的Grover演算法攻擊,但不排除將來會有更高效的量子破解演算法面世。這些攻擊會具體影響到對稱加密、雜湊,以及基於雜湊的派生演算法。
量子計算機對於經典密碼學演算法的影響,不僅作用於軟體層面,對硬體層面也有很大沖擊。
目前,以Intel SGX為代表的硬體可信執行環境,其內部實現的密碼學演算法都是不抗量子計算的。部分對效能要求高的模組,如SGX的記憶體加密模組(目前為AES-128),是以不能升級的硬體方式實現的。一旦量子計算機得到有效應用,相比遠端替換演算法軟體,物理替換可信硬體可能會帶來更大的代價。
為了應對量子計算對經典密碼學演算法的威脅,我們需要構造新的計算困難性問題。考慮到量子計算安全模型,即允許攻擊者使用量子計算機的安全假設下,構造安全的密碼學演算法充滿很多不確定性,目前尚無相關國際或國家標準。
NIST已經於2019年開始了第二輪抗量子演算法標準的公開評估,預期在2021年會有一定的階段性成果,之後會開展第三輪的公開評估流程,預期在2022年完成標準草案。時任中國科學院資訊工程研究所副所長的荊繼武,在2018年的新聞報道中表示,我國或將在2022年前後開展抗量子演算法的標準化工作,預期2025年左右實現商業化落地。
在工程上的標準制定完成之前,須謹慎使用現有抗量子演算法,即便是源自頂級學術刊物的方案也有出錯的可能性。另一方面,如上一論所言,即便理論上是安全的,工程實現上的疏漏也會導致隱私資料洩露。
所以,使用經過一定時間檢驗的抗量子演算法工程標準,是確保最終隱私保護方案有效性的必要條件。
2. 量子通訊 VS 經典通訊
經典通訊中的資訊傳遞,由傳送方透過傳輸介質向接收方傳送各類訊號載體的方式進行,其傳輸的速度受限於傳輸介質的傳導性和訊號載體的能量衰減率,根據相對論,其最高傳輸速度不超過光速。
相比之下,量子通訊是基於量子糾纏原理,理論上在裝置初始化之後,並不需要由傳送方向接收方傳送任何訊號載體,有實現超光速瞬時通訊的可能性。
關於量子糾纏理論的解釋,我們繼續以小華和美麗的故事來呈現:
承接上面的故事,小華基於量子計算有驚無險地透過了美麗的考驗,成功牽手美麗,並與之確定戀人關係。
陽光明媚的一天,兩人相約在遊樂場共度一個溫馨的午後。臨別時,美麗預感會有驚喜發生。一轉身,小華正拿著自己最中意的玩偶緩緩靠近,恍惚間,美麗仿若偶像劇女主角,臉上漫開了幸福。
兩人的心電感應,就類似於量子之間的糾纏態。對處於糾纏狀態的量子對中的一個量子進行觀測,會導致量子對中另一個量子的狀態做出相應改變,這一改變與之前的觀測結果有100%的關聯性。小華充滿愛意的心做出變化,與之對應地,美麗的內心就會有所感應。
儘管量子糾纏的特性可以無視物理距離進行資訊傳遞,但由於目前的量子密碼通訊協議設計,如經典BB84協議和Ekert91協議,依舊需要配合經典通訊通道來實現資訊的加密傳輸,所以,量子密碼通訊實現依舊不能達到超光速傳遞資訊。
關於量子密碼通訊的安全性,一個常見的觀點認為它是資訊理論安全的,即無論攻擊者擁有多少計算資源,例如量子計算機,也無法破解其安全性。對應的解釋是,其安全性不是由計算困難性理論來保障,而是由物理學法則中的測不準原理來保障。
測不準原理由物理學家海森堡在1927年正式提出。作為量子力學的基本原理之一,該原理規定,對於一個量子,不可能同時知道它的位置和速度,每一次對量子的觀測都會改變數子的狀態。由此可以進一步推出不可克隆原理,即攻擊者無法完美地複製一個量子的所有狀態。
對於量子通訊而言,即便攻擊者有能力截獲一個處於糾纏狀態的量子,也不能完美地複製它。
攻擊者無法在接受者不知情的前提下,將複製的量子轉發給接受者,以此實現對於敏感資料的竊聽。一旦竊聽發生,必然會改變被竊聽的通訊雙方的量子狀態,由此暴露攻擊者的存在。
這裡需要注意的是,儘管量子密碼通訊協議能夠有效檢測出直接進行竊聽的攻擊者存在,但依舊可能受到其他協議層面攻擊的影響。
例如,經典的中間人攻擊,攻擊者作為中間人在通訊雙方之間轉發訊息,對於傳送方使用一對糾纏狀態的量子,對於接收方使用另一對糾纏狀態的量子,此時如果沒有其他可信的通道連線通訊雙方,他們將無法感知攻擊者的存在。
在工程實現方面,目前我國處於國際領先水平。2016年,墨子號量子科學實驗衛星率先實現了千公里級星地雙向量子糾纏金鑰分發,有效頻寬約為每秒千位元。
但量子通訊距離民用還有相當的距離,主要受限於量子通道的不穩定性。在強幹擾環境中,如日光環境、城市密集地帶,長距離傳輸處於糾纏狀態的光量子,依舊是一個巨大的挑戰。
量子通訊的現世,對密碼學協議以及上層隱私保護方案的構造來說,無疑新增了一把利器。作為一個可信通道,量子通訊可以有效簡化密碼學協議設計,並提高隱私保護方案的有效性,一定程度上抵抗量子計算機帶來的威脅。
同時,對當下基於傳輸時間的物理限制而設計隱私保護方案來說,量子通訊的出現會影響其有效性。
比較典型的例子是,結合硬體安全模組和物理距離檢測的遠端程式碼驗證協議。在該協議的驗證過程中,誠實的驗證者會直接呼叫本地的硬體安全模組來完成伺服器認證,只需要一次互動,有效延時能控制在較短的時間之內(如1ms)。如果攻擊者試圖對該協議進行攻擊,必須要透過代理伺服器對資料進行轉發,在只考慮經典通訊的前提下,額外的轉發延時則需要較長的時間(如1s以上)。
因此,即便攻擊者控制了另一個硬體安全模組,將遠端程式碼驗證請求轉發到被控制的硬體安全模組,讓其代為計算,攻擊者實際消耗的總時間,也會比沒有轉發時,直接在本地使用未被攻克的硬體安全模組計算耗時顯著地長,由此可以檢測出攻擊者的存在。
以上資訊傳遞需要一定時間的安全假設,在量子通訊的距離無關瞬時通訊能力面前不再成立。原本攻擊者使用代理伺服器轉發的時間,可能會由1s急劇縮小到接近0s。這一變化顯著降低這類依賴資訊傳輸時間限制而構造的遠端程式碼驗證協議的有效性,使其面臨整體失效的風險。
總體而言,量子通訊的出現將為資訊傳輸過程帶來了新的基本特性,基於經典通訊特性設計的隱私保護方案需要適時進行再評估,核實其在量子通訊安全模型下的有效性。
正是:密碼經典功高無敵手,量子新秀刃利待出鞘!
量子計算和量子通訊是資訊科技發展過程中,一個重要的里程碑式突破,勢必會對現有的技術體系產生衝擊,影響現有隱私保護技術方案的有效性,但同時這些新理論和工具也將推動相關技術的革新,促使更高效、更安全的隱私保護技術方案的出現。
目前兩者的工程實現距離商用還有不小的距離,加之工程技術標準化尚在逐步推動中,企業在技術選型時,應充分考慮其帶來的風險,對使用經典密碼學演算法和硬體安全模組的系統提供可拔插設計,對不同保密級別的隱私資料提供必要的備選方案,以此控制特定量子計算通訊技術突然實用化帶來的衝擊。
密碼學技術選型相關的重點理論科普到此暫告一段落,下一論開始,我們將具體展開對密碼學演算法核心元件的技術剖析,欲知詳情,敬請關注下文分解。
