久久久91-久久久91精品国产一区二区-久久久91精品国产一区二区三区-久久久999国产精品-久久久999久久久精品

密碼學(xué)擁有數(shù)千年的歷史，在數(shù)字時代之前，密碼學(xué)主要用于保護(hù)軍事、政務(wù)、外交等具有高度保密性要求的通信，在人類歷史中扮演著重要的角色。在信息化高度發(fā)達(dá)的今天，密碼學(xué)技術(shù)的使用幾乎無處不在，特別是在互聯(lián)網(wǎng)中應(yīng)用極廣，對于保護(hù)日益數(shù)字化的世界至關(guān)重要。

密碼學(xué)是在密碼設(shè)計(jì)者和破解者的智慧較量中形成的一門藝術(shù)。每當(dāng)現(xiàn)有密碼被攻破，密碼設(shè)計(jì)者們就會重新開發(fā)出更強(qiáng)大的密碼來保證通信安全，這又會引發(fā)密碼破譯者們不斷嘗試新的攻擊方式（見表1）。

密碼學(xué)的終極目標(biāo)是開發(fā)出“絕對安全”的密碼方案，即假使敵手擁有無限強(qiáng)的計(jì)算能力，仍然無法破譯這種密碼，也就是所謂的無條件安全性。這樣的終極密碼是否存在呢？令人驚訝的是，早在1917年，Gilbert Vernam發(fā)明一次性密碼本（OTP）時就已實(shí)現(xiàn)了該目標(biāo)。信息論的創(chuàng)立者香農(nóng)（Claude Shannon，1916—2001年）1949年理論上證明了OTP密碼具有的無條件安全性，或稱信息理論安全性（Information-Theoretic Security，ITS）。

作為一種加密算法，OTP類似于其他現(xiàn)代密碼系統(tǒng)，同樣使用密鑰來進(jìn)行加密和解密，加密算法本身是公開的，其安全性由密鑰的安全性來保證。OTP算法的實(shí)現(xiàn)需要滿足3個條件，分別是“密鑰必須完全隨機(jī)”“密鑰不能重復(fù)使用”“密鑰需與明文等長”。其無條件安全性并不難以理解，因?yàn)榕c明文等長的同一密鑰加密的密文只出現(xiàn)一次，這使得在無法獲知明文的情況下，任何算法即使窮舉也無法破譯出該密鑰；另外，密鑰使用一次即丟棄，因此即便破譯者得到了部分密鑰也無法用于破譯其他密文。

傳統(tǒng)OTP加密美中不足之處是需要印刷大量的密碼本，且實(shí)際分發(fā)操作難度很大。原則上牢不可破的OTP，一旦發(fā)送方Alice和接收方Bob用盡了預(yù)先共享的安全密鑰，其安全通信將不得不中斷，直到再次獲取新的密鑰。這就是眾所周知的密鑰分發(fā)難題，它涉及到經(jīng)典物理中兩個不可實(shí)現(xiàn)的任務(wù)：一是如何生成真正完全隨機(jī)的密鑰；二是如何在不安全的公共信道上無條件安全地分發(fā)密鑰。隨著量子信息技術(shù)的發(fā)展，人們發(fā)現(xiàn)基于量子物理學(xué)可以為這些問題提供答案：真正的隨機(jī)數(shù)可以通過基本的量子物理過程生成，通過量子通信技術(shù)則可實(shí)現(xiàn)在公共信道上也無法竊聽的密鑰分發(fā)。

但在現(xiàn)代密碼系統(tǒng)中，人們采用更簡單易行的、基于數(shù)學(xué)算法的方法來解決密鑰分發(fā)的問題。這些方法將信息理論安全要求放松為基于計(jì)算復(fù)雜度的安全性，即假設(shè)破解算法所需的計(jì)算復(fù)雜度足夠高，使得敵手在當(dāng)前及可預(yù)見的未來所擁有的計(jì)算能力都無法破解即可。

為了減少隨機(jī)密鑰量的消耗以簡化密鑰分發(fā)過程，大多數(shù)現(xiàn)代加密系統(tǒng)中使用短密鑰來加密很長的消息，如DES、AES等算法。一種典型的應(yīng)用場景是在手機(jī)SIM卡中預(yù)置長期不變的128位根密鑰，用于控制SIM卡整個生命周期中的數(shù)據(jù)加解密。這種方案要求信息的發(fā)送方用于加密和接收方用于解密的密鑰完全相同，通常稱為對稱密鑰密碼學(xué)。

對稱密碼雖然大大減少了隨機(jī)密鑰的消耗，但沒有解決密鑰分發(fā)問題。在公鑰密碼學(xué)出現(xiàn)之前，僅能通過人工預(yù)置的方式分發(fā)密鑰。為了充分解決密鑰分發(fā)問題，1977年Ron Rivest、Adi Shamir和Leonard Adleman發(fā)明了著名的RSA方案（以發(fā)明者首字母命名）。RSA是一種非對稱的密鑰算法，即加密和解密采用兩個密鑰，使用其中一個密鑰加密的信息，僅能通過唯一對應(yīng)的另一個密鑰進(jìn)行解密。這兩個密鑰由特殊的數(shù)學(xué)問題產(chǎn)生，已知其中一個密鑰很難計(jì)算出另一個密鑰，例如RSA算法建立在兩個大質(zhì)數(shù)的積易于得到而難于分解的問題之上。這樣消息接收者Bob可將其中一個密鑰作為“私鑰”保存起來，將另一個密鑰作為“公鑰”通過公共信道廣播給消息發(fā)送者Alice。Alice即可用Bob的公鑰對消息加密發(fā)送，然后Bob通過其私鑰解密。

公鑰密碼算法克服了密鑰分發(fā)問題，但由于其運(yùn)算量大，加密效率較低，通常用于加密傳遞（或稱分發(fā)）對稱密碼的密鑰。這種“利用公鑰算法分發(fā)對稱密鑰，然后基于對稱密鑰進(jìn)行加解密”的混合方案在當(dāng)今的密碼系統(tǒng)中得到廣泛應(yīng)用。

公鑰密碼學(xué)的安全性依賴于一定的數(shù)學(xué)假設(shè)，例如RSA的安全性基于當(dāng)時很難找到對大整數(shù)的素數(shù)因子進(jìn)行分解的有效方法。然而，無法排除未來有人能找到這樣的方法。1994年，Peter Shor即證明了通過量子計(jì)算機(jī)可高效求解質(zhì)因子分解問題和離散對數(shù)問題 。因此，只要第一臺大型量子計(jì)算機(jī)開機(jī)，當(dāng)前大多數(shù)密碼系統(tǒng)就可能在一夜之間崩潰。

有趣的是，當(dāng)人們意識到可以使用量子計(jì)算機(jī)破解公鑰密碼體制的10年前，就已經(jīng)找到了可以應(yīng)對這種攻擊的解決方案，即量子密鑰分發(fā)（Quantum Key Distribution，QKD）。基于量子物理的基本原理，QKD提供了一種理論上無條件安全的密鑰分發(fā)方式，即使通過不安全的信道分發(fā)密鑰也無法被竊聽。QKD生成的安全密鑰可以進(jìn)一步應(yīng)用于OTP方案或其他加密算法中，以提高信息安全性。

量子算法帶來的沖擊也促進(jìn)了經(jīng)典密碼學(xué)的進(jìn)一步演進(jìn)。現(xiàn)有的量子算法相對于傳統(tǒng)密碼算法的“指數(shù)”加速性并不是對所有數(shù)學(xué)問題都成立。緊隨Shor算法的出現(xiàn)，國內(nèi)外密碼學(xué)家已對基于格、編碼、多元多項(xiàng)式等新問題的密碼方案開展了大量研究，期望設(shè)計(jì)出可對抗量子計(jì)算攻擊的新型公鑰算法，這些研究稱為后量子密碼學(xué)（Post-Quantum Cryptography，PQC）。

可以看到，量子信息科學(xué)的發(fā)展對密碼學(xué)帶來的深遠(yuǎn)影響正在逐步顯現(xiàn)，圍繞量子計(jì)算機(jī)這超越經(jīng)典運(yùn)算能力的超強(qiáng)攻擊手段，密碼學(xué)領(lǐng)域又掀起了新一輪矛與盾的對抗。

2.1    量子計(jì)算機(jī)帶來的密碼安全威脅

量子計(jì)算機(jī)能夠以特定的計(jì)算方式有效解決一些經(jīng)典計(jì)算機(jī)無法解決的數(shù)學(xué)問題。這種用于量子計(jì)算機(jī)的運(yùn)算操作方法，就是所謂的“量子算法”。目前，最著名的量子算法是Shor算法和Grover算法，已經(jīng)能夠威脅到當(dāng)前廣泛應(yīng)用的密碼體系。

由于現(xiàn)有商用密碼系統(tǒng)均是基于算法復(fù)雜度與當(dāng)前計(jì)算能力的不匹配來保證其安全性，而Shor算法可以將對于經(jīng)典計(jì)算機(jī)難以解決的大整數(shù)分解問題和離散對數(shù)問題，轉(zhuǎn)換為可在多項(xiàng)式時間求解的問題。這使得量子計(jì)算機(jī)可利用公鑰高效地計(jì)算得到私鑰，從而對現(xiàn)有的大部分公鑰算法構(gòu)成實(shí)質(zhì)性威脅。

Grover算法則能夠加速數(shù)據(jù)搜索過程，其將在數(shù)據(jù)量大小為N的數(shù)據(jù)庫中搜索一個指定數(shù)據(jù)的計(jì)算復(fù)雜度降低為O(根號N)，從而降低了對稱密鑰算法的安全性。例如，對于AES-128算法的密鑰空間進(jìn)行遍歷搜索，采用Grover算法相當(dāng)于將AES-128的破解復(fù)雜度降低為AES-64的級別。

針對現(xiàn)有密碼算法受到量子計(jì)算影響的程度，美國國家技術(shù)標(biāo)準(zhǔn)研究所（NIST）、歐洲電信標(biāo)準(zhǔn)協(xié)會（ETSI）等組織已進(jìn)行了一些評估，其結(jié)論參見表2。

2.2    量子安全問題的影響范圍

目前，已知對于量子計(jì)算機(jī)攻擊處于高危狀態(tài)的安全協(xié)議或密碼系統(tǒng)包括：

（1）建立在大整數(shù)因子分解和離散對數(shù)問題計(jì)算復(fù)雜度之上的公鑰密碼算法，包括RSA、DSA、Diffie-Hellman、ECDH、ECDSA及其他變種。需要指出的是，幾乎所有重要的安全產(chǎn)品和協(xié)議在公鑰密碼學(xué)部分都在使用這幾類算法。

（2）基于上述公鑰密碼算法的任何安全協(xié)議。

（3）基于上述安全協(xié)議的任何產(chǎn)品或安全系統(tǒng)。

如圖1所示，傳統(tǒng)公鑰算法（如RSA、ECC等）廣泛用于各類安全協(xié)議和應(yīng)用服務(wù)，因此量子安全問題的影響范圍極廣。

2.3    量子安全問題的緊迫性

目前，可用于破解密碼的實(shí)用化量子計(jì)算機(jī)仍未出現(xiàn)，且距離該目標(biāo)仍有相當(dāng)長的距離。那么在這之前，是否可以忽視量子安全問題所帶來的風(fēng)險呢？

如何應(yīng)對量子安全問題，何時啟動應(yīng)對措施，這不僅涉及到需要多久來研發(fā)成功量子計(jì)算機(jī)，同時還需考慮具體應(yīng)用的安全性要求，以及現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)設(shè)施遷移到新的量子安全密碼所需的代價和時間。這里引用一個簡單的公式來分析量子安全問題的緊迫性，首先假設(shè)：X = 具體應(yīng)用所要求的信息保密年限（年），Y = 當(dāng)前信息安全設(shè)施遷移到新的量子安全密碼方案所需的時間（年），Z = 建成可破解密碼的大型量子計(jì)算機(jī)所需時間（年）。

如果“X+Y>Z”的話，意味著該應(yīng)用有部分信息將無法達(dá)到其保密年限要求。在圖2所示的MIN（X+Y-Z，Y）年內(nèi)，攻擊者完全可以通過監(jiān)聽在公共信道上傳輸?shù)男畔⒉⒋鎯ο聛恚缓蟮热舾赡旰罅孔佑?jì)算機(jī)實(shí)現(xiàn)時提前解密這些信息。從技術(shù)上來看，當(dāng)前飛速發(fā)展的大數(shù)據(jù)技術(shù)為海量網(wǎng)絡(luò)數(shù)據(jù)的存儲和分析提供了可行性。

X的取值取決于具體應(yīng)用的安全性要求，例如信用卡通常要求X=5年。實(shí)際上，還有很多應(yīng)用需要保障長期的機(jī)密性。例如，醫(yī)療數(shù)據(jù)的保密年限，通常要求大于患者的壽命時長；個人的基因組數(shù)據(jù)，則需要更長的保密時間；金融、政務(wù)、軍事等高度機(jī)密的數(shù)據(jù)則往往要求更嚴(yán)格的保密期限，有些甚至需要無限期的保護(hù)。

關(guān)于大型量子計(jì)算機(jī)的構(gòu)建時間Z，在2015年NIST關(guān)于后量子時代的網(wǎng)絡(luò)空間安全研討會上，有專家給出預(yù)測在2026年前實(shí)現(xiàn)的概率為1/7，在2031年前實(shí)現(xiàn)的概率為1/2。劍橋大學(xué)Simon Benjamin教授給出似乎更精確的預(yù)測，其認(rèn)為構(gòu)建可容錯的量子計(jì)算機(jī)已不存在理論上的困難，但有效破解RSA算法需要約600萬量子比特，在投資充足的情況下（約需300億美元）需6~12年即可實(shí)現(xiàn)，否則在現(xiàn)有投資水平下則需15~25年；另外，其認(rèn)為一旦非容錯的量子計(jì)算機(jī)理論取得突破，則僅需數(shù)千量子比特即可破解RSA算法，粗略估計(jì)在投資充足的情況下5~7年即可實(shí)現(xiàn)，否則需8~12年。

關(guān)于現(xiàn)有系統(tǒng)向量子安全方案升級所需的時間Y，需要針對不同的遷移路線分別考慮。NIST目標(biāo)重新設(shè)計(jì)新型的后量子公鑰算法（PQC），其標(biāo)準(zhǔn)發(fā)布的預(yù)計(jì)時間在2023—2025年。而新的密碼算法標(biāo)準(zhǔn)推向市場，通常還需要多年的時間才能完成應(yīng)用整體的遷移，這樣Y將很可能在10年以上。另外，采用量子密鑰分發(fā)替代基于公鑰的密鑰交換也是可選的方案之一，但其對網(wǎng)絡(luò)和設(shè)備的特殊要求，使得目前僅能適用于一些特殊業(yè)務(wù)場景。

可見，目前ICT應(yīng)用所面臨的量子計(jì)算安全挑戰(zhàn)已十分嚴(yán)峻。對于一些保密年限要求較長的信息系統(tǒng)，應(yīng)該立即考慮啟用抗量子計(jì)算機(jī)攻擊的保密通信技術(shù)。

量子計(jì)算帶來的潛在安全威脅已經(jīng)引起了全球性的廣泛重視。如何應(yīng)對“量子安全”問題，設(shè)計(jì)能夠抵御量子計(jì)算攻擊的量子安全密碼，已成為下一代信息通信系統(tǒng)必須考慮的問題。目前，業(yè)界考慮的應(yīng)對措施主要包括基于現(xiàn)有密碼的加強(qiáng)、研發(fā)新型的后量子公鑰密碼和基于量子物理的量子密鑰分發(fā)技術(shù)。

3.1    現(xiàn)有密碼的加強(qiáng)

由于目前可用于破解對稱密鑰算法的Grover量子算法，在搜索密鑰空間時相比經(jīng)典搜索算法僅能提供平方加速能力。這意味著一旦量子計(jì)算機(jī)強(qiáng)大到可以破解N位密鑰長度的對稱密碼時，只需要將密鑰的長度擴(kuò)大至原來的兩倍，量子計(jì)算機(jī)的破解難度就會上升至與經(jīng)典計(jì)算機(jī)類似水平。例如，AES-128對于當(dāng)前的經(jīng)典計(jì)算機(jī)來說難以破解，而AES-256對于量子計(jì)算機(jī)來說同樣也很難破解。

在美國國家安全局（NSA）2016年發(fā)布的“關(guān)于量子計(jì)算攻擊的答疑以及新的政府密碼使用指南”中，明確指出未來量子計(jì)算機(jī)的實(shí)現(xiàn)將威脅當(dāng)前所有廣泛使用的密碼算法，并重新定義了其國家商用安全算法集合。

在對稱密碼方面，棄用了原有的AES-128和SHA-256算法，使用更長密鑰的AES-256和更長輸出的SHA-384算法，以應(yīng)對將來可能出現(xiàn)的量子計(jì)算攻擊。在公鑰密碼方面，由于目前還沒有很好的量子安全解決方案，其僅是增加了原有RSA和ECC算法的密鑰長度，并提請美國國家技術(shù)標(biāo)準(zhǔn)研究所（NIST）盡快建立后量子時代的公鑰算法密碼標(biāo)準(zhǔn)（PQC）。

3.2    后量子公鑰密碼學(xué)（PQC）

Shor算法能夠破解公鑰密碼主要是針對兩個特定的計(jì)算問題——即整數(shù)因子分解和離散對數(shù)問題，找到了遠(yuǎn)超越經(jīng)典計(jì)算機(jī)的量子計(jì)算方案。事實(shí)上對于某些數(shù)學(xué)問題，Shor量子算法相對于傳統(tǒng)算法并沒有明顯的優(yōu)勢。

目前，認(rèn)為可抵抗量子算法攻擊的數(shù)學(xué)問題主要來源于格理論、編碼理論、多元多項(xiàng)式理論等數(shù)學(xué)領(lǐng)域的研究。但是，以這些新方法為基礎(chǔ)構(gòu)建量子安全的公鑰密碼也還面臨一些新的挑戰(zhàn)，例如與傳統(tǒng)公鑰算法相比，它們往往需要更長的密鑰和數(shù)字簽名。

當(dāng)前的互聯(lián)網(wǎng)及很多其他系統(tǒng)所使用的安全協(xié)議及產(chǎn)品，對于公鑰密碼學(xué)的依賴程度很高。采用基于新的數(shù)學(xué)問題的公鑰算法來應(yīng)對量子安全問題，無疑是一種對現(xiàn)行密碼體制影響較小、易于現(xiàn)有網(wǎng)絡(luò)安全基礎(chǔ)實(shí)施遷移的解決方案。

目前，國際上PQC技術(shù)仍處于研究及標(biāo)準(zhǔn)化初期。美國NIST于2015年起針對后量子時代的密碼技術(shù)開展了大量預(yù)研工作，并于2016年年底正式啟動PQC項(xiàng)目，目標(biāo)制定可抵抗已知量子算法攻擊的新型公鑰算法標(biāo)準(zhǔn)，其工作計(jì)劃如下：

（1）2016年12月：面向公眾征集PQC提案（量子安全的公鑰加密、密鑰協(xié)商、數(shù)字簽名方案）。

（2）2017年11月30日：PQC提案征集截止。

（3）歷時3~5年的方案評估期。

（4）評估完成的2年后發(fā)布標(biāo)準(zhǔn)草案（即2023—2025年）。

NIST首輪征集到來自全球密碼學(xué)家提出的69種算法，正在開展緊鑼密鼓的安全性評估工作。但可以看到，用于破解密碼的量子算法也在不斷演進(jìn)，如何保證可抵御現(xiàn)有Shor算法的PQC不被隨時可能出現(xiàn)的新型量子算法攻破，亦成為密碼學(xué)界面臨的難題。

3.3    量子密鑰分發(fā)（QKD）

量子密碼學(xué)的研究源于Bennett和Brassard的開創(chuàng)性工作。不同于經(jīng)典密碼學(xué)，量子密碼學(xué)的安全性保障并不來自于數(shù)學(xué)算法的計(jì)算復(fù)雜度，而是建立在量子物理學(xué)的基本定律之上。這些物理定律可以認(rèn)為是永久有效的，使得QKD能夠提供獨(dú)特的長期安全性保障，這是量子密碼學(xué)的重要特征和優(yōu)勢。

所謂的長期安全性理念，來自信息論的鼻祖香農(nóng)（C. Shannon）1949年提出的信息理論安全模型，其證明在一次性密碼本（OTP）的加密下，即使敵手的算力無限強(qiáng)，也無法從密文中竊取任何信息，這使得竊聽者的存在毫無意義。通過OTP加密與信息理論安全密鑰交換的組合，即構(gòu)成了可實(shí)現(xiàn)長期安全性的密碼方案，而這正是量子密鑰分發(fā)（QKD）發(fā)揮其獨(dú)特優(yōu)勢的地方。無論是從理論還是實(shí)踐來看，QKD都是迄今為止實(shí)現(xiàn)長期安全性密鑰交換的最佳選擇。從實(shí)踐上來看，基于QKD的保密通信技術(shù)已經(jīng)在美國、奧地利、中國、日本、瑞士、英國等國家得到了廣泛的試驗(yàn)部署和應(yīng)用驗(yàn)證。

基于OTP+QKD的長期安全性保密通信方案距離廣泛應(yīng)用仍然有很長的路要走。首先，OTP加密要求密鑰與明文數(shù)據(jù)等長且只能使用一次，這要求QKD產(chǎn)生的密鑰速率必須與經(jīng)典通信的信息速率相當(dāng)，顯然目前QKD的成碼率無法滿足除語音之外的大多數(shù)業(yè)務(wù)進(jìn)行OTP加密的需求。但是可以看到，QKD技術(shù)仍然在快速發(fā)展，未來點(diǎn)對點(diǎn)QKD可以達(dá)到更高的速率、更遠(yuǎn)的傳輸距離；另外，基于量子糾纏實(shí)現(xiàn)量子態(tài)存儲和轉(zhuǎn)發(fā)的量子中繼器也正在加速研制，已經(jīng)不存在理論上的瓶頸。

在QKD的性能瓶頸真正解決之前，人們還可以采用QKD與對稱密鑰算法混合使用的過渡方案，實(shí)際上這種混合方案已經(jīng)在QKD試驗(yàn)及商用系統(tǒng)中廣泛使用。通過QKD代替公鑰算法來保證對稱密鑰的安全分發(fā)，然后再通過對稱密鑰算法來保護(hù)大量信息傳輸?shù)臋C(jī)密性，即可同時兼顧傳輸性能和安全需求。這種混合解決方案也是當(dāng)前對抗量子計(jì)算攻擊的可選方案之一。

量子信息技術(shù)的發(fā)展必將為信息社會的演進(jìn)注入新動力。然而，量子計(jì)算帶來的密碼安全威脅則不容忽視，特別是對于一些保密年限要求較長的場景，亟需立即采取應(yīng)對措施。目前，一方面建議對于經(jīng)典對稱密鑰密碼體制進(jìn)行加固，同時應(yīng)加快抗量子攻擊的公鑰密碼算法研發(fā)及標(biāo)準(zhǔn)化進(jìn)程。另外，對于采用基于量子物理的QKD等新型量子密碼方案，同樣應(yīng)予以足夠重視。作為人類首次利用量子物理手段來實(shí)現(xiàn)保密通信的創(chuàng)新實(shí)踐，QKD的發(fā)展面臨著成本經(jīng)濟(jì)、商業(yè)模式等諸多挑戰(zhàn)，但同時也得到了產(chǎn)業(yè)界和學(xué)術(shù)界的大力支持。

在設(shè)備層面，QKD的性能增強(qiáng)、小型化，甚至芯片化已在不斷迭代升級；在組網(wǎng)層面，基于可信中繼的QKD網(wǎng)絡(luò)也在不斷地擴(kuò)展完善；在標(biāo)準(zhǔn)層面，ITU、ISO/IEC JTC1、ETSI、CCSA等國內(nèi)外標(biāo)準(zhǔn)組織正在加速制定相應(yīng)的技術(shù)標(biāo)準(zhǔn)；在應(yīng)用層面，QKD在需要長期安全性保障的領(lǐng)域，例如金融、政務(wù)、醫(yī)療等方面的商業(yè)應(yīng)用已在逐步成形。可以看到，量子保密通信技術(shù)呈現(xiàn)出蓬勃發(fā)展的勢頭，隨著技術(shù)和產(chǎn)品的不斷發(fā)展成熟，將來必然擁有廣闊的應(yīng)用前景。