美国如何开发后量子密码学 | 智能技术

发布日期:2019-09-24 10:00
当实际的量子计算最终到来时,它将有能力破解标准数字代码,保护政府,企业和几乎每个使用互联网的人的在线隐私和安全。这就是美国政府机构挑战研究人员开发新一代人工智能量子抗性加密算法的原因。



许多专家都不希望能够执行复杂计算的量子计算机能够在未来10年内破解现代密码学标准。但美国国家标准与技术研究院(NIST)希望通过在2022年之前准备好新的加密标准来保持领先地位。该机构正在监督其后量子密码标准化过程的第二阶段,以缩小量子抗性的最佳候选者。可以取代现代密码学的算法。

“目前难以处理的计算问题可以保护广泛部署的密码系统,例如基于RSA和Elliptic Curve的方案,预计可以解决。” 英特尔公司的密码学家Rafael Misoczki说道,他是两个团队的成员(名为Bike and Classic)McEliece参与了NIST流程。“这意味着量子计算机有可能最终打破地球上最安全的通信。”

Misoczki是250多名注册参与者之一,他们参加了 8月22日至25日在加州大学圣巴巴拉分校举行的第二届PQC标准化会议。该活动的特色是来自几乎所有参与26个候选算法的团队的演示,这些算法从69个第一轮候选人中被淘汰出局。

NIST希望这些第二轮候选人能够超越仅仅是概念证明并开始基准测试。由于量子计算的突破可能会破坏电子商务中数千亿美元的安全性,更不用说在更广泛的数字经济中面临数万亿美元的风险,因此风险很高。尽管如此,许多研究人员警告说,在选择任何决赛入围者之前,NIST应该花时间评估新的后量子密码学候选人。

符合量子抗性算法
Misoczki解释说,NIST过程正在考虑分为两大类的算法。第一类包括密钥建立算法,使得从未见过的双方能够就共享秘密达成一致。此类别还包括公钥加密算法(如RSA和椭圆曲线加密算法),它们执行相同的操作,但效率较低。

第二类涉及确保数据真实性的数字签名算法。这种数字签名在代码签名应用程序中具有特征,可以确保程序是由目标开发人员而不是黑客创建的。

这两个类别都需要基于数学问题的新算法,甚至量子计算机也无法破解。有几种方法可以考虑后量子密码算法,每种方法都有优缺点。例如“基于代码的密码术等家族享有长期的公众监督历史,而基于格的密码学提供了非常快速的算法。”Misoczki说。

每种方法之间的权衡可能对计算应用程序和设备产生重大的实际影响。基于格子的加密技术甚至比现代加密方法(如RSA)更快,但如果带宽相对稀缺,其较大的数据大小可能会产生差异。

瑞士IBM苏黎世研究实验室的密码学研究员,参与NIST流程的Vadim Lyubashevsky说,这就是为什么NIST将算法从几种不同方法标准化的原因。“即使我们确信他们都是安全的,但没有候选人在每个领域都是最好的。”Lyubashevsky说。

荷兰Radboud大学的计算机安全研究员Peter Schwabe表示,这些候选算法很可能仍然未知,这些算法很可能取代支撑安全全球通信的世界大部分基础设施。需要进行更多的开发和测试,以评估每种算法的实际加密安全性与最佳可能的攻击,测量其安全性能权衡,开发安全实施算法的技术,以及在部署时发现可能出错的问题。

“现在看来很清楚的是,新方案的性能特征与我们今天使用的方案大不相同,而且许多方案的安全性能略有不同。”Schwabe说。

合作精神与竞争对手
NIST的挑战将致力于理论工作的学术研究人员和熟悉现实性能需求和安全需求的技术行业专家聚集在一起。该机构最初将其描述为“类似竞争的过程”,但似乎渴望鼓励参与者之间的合作精神。

一些研究人员加入了多个研究不同算法的团队。例如,Lyubashevsky是从事CRYSTAL-KYBER,CRYSTALS-DILITHIUM和Falcon等算法的小组成员。 Schwabe属于七个专注于特定算法的团队:CRYSTALS-KYBER,CRYSTALS-DILITHIUM,C lassic McEliece,NewHope,SPHINCS +,NTRU和 MQDSS。

团队在单个邮件列表上公开共享框架和反馈--这种方法有利有弊。一位匿名参与者在回应NIST的一项调查时写道:“某些声音,有时完全是不礼貌的人物在邮件列表中占主导地位,导致其他人毫不犹豫地贡献他们的工作或问题。” 

尽管存在一些意见分歧,Misoczki表示更多的是合作环境而非竞争形势。大多数社区似乎都致力于共同努力。

施瓦贝还描述了社区的合作精神,但指出有些人似乎有更多的竞争优势。“不幸的是,一些参与者并不是那么合作,而是专注于推动他们的(通常是专利的)计划,而不是作为一个社区寻找最佳方案来规范和使用。” Schwabe写道。在电子邮件中。 

一些竞争算法代表相同加密方法的相对较小的变化。 Lyubashevsky建议NIST通过询问该机构在候选算法中想要的特定加密功能,让参与者专注于共同的标准化目标。

新的后量子密码学标准
美国国家标准与技术研究院计划在2022年左右起草后量子密码学标准。但研究人员敦促该机构避免急于审查所有候选算法的过程。 他们的匿名反馈来自NIST 在8月举行的第二届PQC标准化会议结束时分享的调查。

一位调查受访者写道:“NIST的目标不应该是结束这个过程,并且要制定2022年制定的标准。这太快了,无法得到正确答案......还需要更多的研究。”

另一位调查受访者提出:“NIST应该在2025年之前推迟制定任何标准,并为研究工作提供资金,以便在此之前查看所有候选人,以为研究人员提供创新机会。”

一位受访者对未来的可能后果描绘了一幅特别可怕的画面:“试图在短短几年内结束这一过程是危险的,可能导致灾难性后果和/或失去过程和产出的合法性。 ”

许多人指出需要更多的密码分析来彻底调查每种算法的可能弱点。一个人敦促NIST在美国大学赞助更多学术研究,以进一步发展“量子密码分析科学”。 

“一般来说,密码学的问题在于密码分析是一个无法实现的过程。” Lyubashevsky说。“你失败了,没有人知道你尝试过失败了,或者你成功了,你获得了五分钟的名声,然后你写的算法再也没用了。”

NIST可能部分依赖于不同的团队将试图打破彼此的算法的想法。但Lyubashevsky建议该机构还应该考虑要求研究人员检查另一个小组的工作,或者可能使密码分析成为资助开发算法的理论工作的条件的一部分。

什么时候计算机破解加密?
没有人确切知道量子计算何时会使现代加密算法失效。一个复杂因素是,开发实用量子计算机的第一个政府或组织可以通过简单地保持安静,打破现代密码系统和拯救世界的秘密来获得很多收益。

施瓦贝说:“我认为第一批大型通用量子计算机很有可能只能用于政府机构,而这些政府机构并不会确切地宣传他们拥有这样的计算能力。” 他认为“ 在20年内将会有量子计算机破坏我们今天广泛使用的密码学”。

密码学研究人员所知道的是,世界各国政府和行业可能需要很长时间才能采用最新的加密标准。尽管椭圆曲线密码术最早是在20世纪80年代后期提出的,但世界上大部分仍然依赖于20世纪70年代后期出现的旧的RSA密码术。这就是为什么NIST的后量子加密标准化工作仍然存在一些紧迫性,即使实际的量子计算仍然存在几十年之后。

“预测大规模量子计算机何时可用是一个难题。”Misoczki说。“另一方面,加密社区知道转换加密算法需要几年甚至几十年。”

幸运的是,拥有极其敏感数据的具有前瞻性思维的组织无需等待NIST标准化流程发挥作用,然后才能采取措施使其系统面向未来。相反,他们可以简单地继续采用NIST流程中的一些候选算法,这些算法已经在线公开发布并且可以免费使用。 

“如果你真的有敏感数据,现在就做,自己移植。”Lyubashevsky说。“如果你没有这样的数据,那么我认为等待五年并让比赛顺利进行以达到一个大多数人都满意的好标准是很好的。”

对于那些愿意等待的人,Lyubashevsky表示相信,与NIST合作的密码学家将为量子计算的未来做好准备。

“在量子计算机准备就绪之前,我们肯定会有后量子加密技术。”Lyubashevsky说。“我认为,如果我们在接下来的五年内真正获得后量子加密的标准,那么几乎每个应用都有足够的时间。”