今年的5月17日是個特殊的日子,華為海思致員工的一封信宣佈,“多年備胎晶片一夜轉‘正’,今後必將科技自立”,引得萬千網友熱血沸騰,我知道了什麼叫科技興則民族興。今年的10月1日也是個特殊的日子,當東風41亮相國慶70週年閱兵慶典,氣勢磅礴地駛過天安門廣場,我知道了什麼叫大國重器, 科技強則國強。大國之爭,不僅是底層技術之爭,更是遊戲規則制定權之爭。在上一篇技術視點中,我們指出,一旦量子計算機實現,我們將步入後量子時代。由於量子計算機能以其特有的並行性高效地解決傳統意義下的計算困難問題,現行的一些主流密碼系統將受到巨大沖擊,包括區塊鏈、金融系統和通訊系統在內的諸多資訊系統的安全性都將受到影響。居安思危,我們該何去何從?我們能否在後量子密碼學等應對技術的發展中搶佔制高點?這是每一個區塊鏈科技工作者不得不思考的問題。大國較量,誰是王者?能夠在後量子時代保護通訊安全的密碼技術被稱為抗量子密碼學,或者為後量子密碼學。在很早之前,美國就已經悄然啟動了抗量子公鑰密碼的論證工作。2015年8月,美國國家安全域性(NSA)正式釋出公告,將使用抗量子密碼系統來替換現有的 Suit B 密碼系統(即 NSA Suit B Cryptography,是美國 NSA 公開的密碼標準,包括 AES、ECDSA、SHA-256 等,我國對等的有商密演算法)。同年11月,美國 NIST公佈了一張時間表,表示將逐步分類停用現行的密碼體制。在第七屆後量子密碼國際會議(PQCrypto 2016)上,美國 NIST 相關人員代表美國政府釋出了抗量子密碼制標工作路線圖和時間表,擬利用8年左右的時間完成抗量子密碼的標準制定工作。此外,NIST 在正式啟動抗量子密碼制標工作之前,就已經召開過國際研討會,邀請量子計算機領域和抗量子密碼領域內的著名專家與會研討。美國 NIST 關於抗量子密碼制標工作時間表的安排大致如下:1. 在2016年秋之前發表徵集標準2. 2016年秋,正式開始在全球徵集抗量子密碼方案3. 2017年11月,方案提交截止4. 接下來的3-5年,進行安全性分析並報告5. 再經過2年,標準草案制定NIST 進行抗量子密碼制標的範圍主要集中在簽名、加密和金鑰協商等基本演算法,並不會制定諸如基於身份的密碼體制等複雜演算法。在標準制定中,NIST 將會和其它組織(例如IETF、ETSI、PQCrypto,ISO/IEC JTC 1/SC 27等)進行合作。當標準完成後,在提供從現行密碼體制到抗量子密碼體制的遷移指導的同時,也會在 IKE、TLS 等協議上進行演算法替代,以讓這些協議也能抵抗量子攻擊。2019年1月30日,NIST 公佈了入圍標準徵集第二輪的26種演算法名單。世界著名 IT 企業,包括 Intel、Microsoft、Amazon、Cisco 和 Google 等,對此次抗量子密碼的制標工作也相當重視。Intel 很早就開始佈局抗量子密碼計劃,擬在將來生產的通用晶片上使用抗量子密碼技術。而 Amazon 作為美國政府和銀行等大型企業的雲服務提供商,其重要客戶均要求該公司做好準備,向抗量子密碼系統遷移。2016年6月,我國研究者為了能與其它各國(特別是亞洲相關國家和地區)一起參與到抗量子密碼演算法的研發中,特在成都舉行了第一屆抗量子密碼學亞洲論壇,與日韓以及歐美等專家進行技術交流。今年5月第四屆抗量子密碼學亞洲論壇在重慶舉辦,各國專家再次對相關技術進行探討。同時,中國密碼學會在2018年開啟的全國密碼演算法設計競賽上,也鼓勵設計抗量子計算攻擊的演算法。此外,我國大力發展的量子通訊也可以用來保障在後量子時代的通訊安全。(量子通訊主要指量子金鑰分發,並不等同於抗量子密碼,也不能來代替量子密碼體制。一般來說,採用量子金鑰分發技術用來分發金鑰,然後進行對稱密碼運算。)而中國科學院控股有限公司董事長、量子網路公司董事長吳樂斌曾表示,我國在量子通訊領域正處於世界領先地位,未來量子通訊將有望成為保障國家戰略安全和支撐國民經濟可持續發展的重大技術創新,影響深遠。這場較量,誰勝誰負,並無定數。什麼是後量子密碼學呢?後量子密碼,是指可以抵抗量子計算機攻擊的密碼演算法。當然,這裡所述的後量子密碼系統也不包括一次一密這種資訊理論意義上安全的密碼系統,僅指計算安全的密碼系統,即量子計算機也不能在多項式時間內攻破的密碼系統。典型的後量子密碼演算法主要包括:基於格的公鑰密碼體制、基於編碼(線性糾錯碼)的公鑰密碼體制、基於多變數多項式方程組的公鑰密碼體制及基於雜湊函式的數字簽名等。在研究人員的認識裡,這些密碼體制不僅能抗經典計算機的攻擊,也能抗量子計算機的攻擊。此外,諸如量子公鑰密碼、DNA 密碼等也被認為是後量子密碼。
這裡重點介紹一下基於格的公鑰密碼體制以及基於雜湊函式的數字簽名。
基於格的公鑰密碼體制
格的起源很早,對它的研究可以追溯到高斯時代。在密碼學中,格最初被用來做密碼分析,即人們利用格來分析 RSA 等密碼系統的安全性。直到1996年,研究人員首次提出了基於格的單向函式。有了這樣一個密碼學上的基本工具,格先後被應用到密碼學的各個領域,形成了基於格的密碼學。基於格的密碼演算法構造十分簡單,運算高效,並具有高度的可並行性,但它的金鑰比較大。
值得一提的是,IBM 的研究員於2009年利用格構造出了全同態密碼方案。全同態密碼方案是指這樣一個加密方案:即,在密文上進行某個函式操作並解密,其結果等同於在明文上的相同函式操作。全同態加密的概念在上世紀60年代就已經提出,直到2009年才有瞭解決方案並得以發展。
基於雜湊函式的數字簽名
基於雜湊的數字簽名方案具有良好的特性,它僅採用密碼雜湊函式等密碼學元件。此外,基於雜湊的簽名方案的安全性很好理解,其定量安全等級比較清楚。同時,一些研究工作表明,許多基於雜湊的簽名方案的安全證明在量子敵手面前仍然是有效的,而對於許多其它後量子簽名方案(比如基於格的簽名演算法),其安全證明在量子敵手面前是否有效還未可知。值得一提的是,今年四月,IETF 透過了 RFC 8554標準,將 LMS 簽名演算法進行了標準化。
後記
在量子計算日益發展的今天,我國大量科研工作者未雨綢繆,尋找諸如後量子密碼演算法等應對方法。作為一個成熟的區塊鏈團隊,本體也一直在相關前沿技術上孜孜以求,進行全面探索,縱使未來變幻莫測,我們也會擁抱變化,順勢而為。我們不願看到祖國在任何科技之戰中陷入四面楚歌的境地,而我們也將會以實際行動證明,那一天永遠不會到來!
