摧毁还是拯救?量子计算与加密的相爱相杀
作者: 日期:2018年08月10日 阅:14,686

量子计算机的发展,意味着距离所有公钥加密被破解可能仅有几年时间了。每个秘密都会被人获知的那一天,已迫在眉睫。

十几年前,没多少人知道什么是量子物理、量子计算机和量子加密。当时便有这方面的专家提出:当量子计算成为主流,依赖难解大质数方程的现有数字加密方法将不再具备保护秘密的功能。

自1976年非对称加密概念提出以来,大多数秘密便受到基于此概念的加密算法或协议的保护,比如RSA、SSL、TLS和HTTPS。大多数网站、经数字签名的下载、金融交易、虚拟专用网(VPN)、智能卡和绝大多数无线网络,在量子计算面前都将被剥去加密的外衣,露出本不应暴露的秘密。

现代安全通信所倚仗的,就是传统数字计算机无法轻易分解的涉及大质数的多因子方程。只要有计算机能做到这一点,比如量子计算机,那所有靠此方法保护的秘密就都玩完了。

有人提出,世界几大主权国家都在收录加密网络流量以供日后解密,就等着技术发展到能够轻易破解密码的那一天。到时候,美国将能读取俄罗斯和中国的绝密通信,反之亦然。

然而,量子计算机到底什么时候能成为主流?这个问题没人说得清。正如量子物理界盛传的一个笑话说的:量子计算机嘛,当然“总”是10年之内出现咯。20年前说的10年之内,10年前还是说10年之内。

一、量子计算机的原理

剑桥大学量子计算(CQC)商业发展科学主管,理论物理学家 Mark Jackson 博士认为:4-5年之内我们就将迎来量子计算机,而在某些领域,有限的商业应用,比如量子化学,很可能在2021年中就面世。是什么东西变了呢?那就是我们现在的很多量子计算机、量子设备和量子软件已经足够先进,无需所谓“纠错”即可投入实用。

因为运行机制不同,量子计算机性能秒杀传统数字计算机。很明显,量子计算机依靠量子力学运作,而数字计算机靠的是二元运算。中央处理器(CPU)里的每个晶体管或逻辑门在同一时刻只能有一种“状态”:“开”或“关”,“导通”或“截止”,“1”或“0”,即所谓的“二元”。

量子计算机则基于量子位元(qubit或qbit)。每个量子位元在同一时刻可以有两种状态。因此,1个量子位元等同于2个二元逻辑门。量子位元在同一时刻能呈现出的状态数量便随位元个数的增加而呈2的指数级上升。2个量子位元同一时刻会有4种状态,3个位元会有8个……

于是,一台不怎么大的量子计算机,就可以破掉我们所有之前持有的所有公钥/私钥对。只不过,需要有效纠错。

二、什么时候以什么方式终结公钥加密

我们等待量子计算成为现实已经等了很久很久。有多久呢?早到1959年理查德·费曼( Richard Feynman )博士的一次演讲中就提出了原子级工业的想法。而1994年彼得·秀尔( Peter Shor )博士发表的算法,则被很多量子计算专家认为是量子计算真正的起点。

秀尔的算法证明,基于量子的计算可快速破解大多数传统非对称加密。二十多年后,量子计算的光明前景(与威胁)近在眼前,不仅仅是理论上的模型,而是出现了一些能运行的量子计算机、量子软件、量子网络和其他量子通信设备。

要能用于严肃计算,量子位必须足够稳定,状态保持时间足够长,而且不能出错。这种量子位可以称之为“完美量子位”。破解公钥加密需要数千个“逻辑”或者所谓的“编码”量子位,但在现实世界,因为需要纠错,还有大笔现有容错机制的开销,破解公钥加密所需的高品质量子位元数量很容易就直奔百万级而去了。

于是,量子计算生命周期中我们到底处于哪个阶段呢?剑桥的Jackson博士认为,“只”需要49个完美量子位,就可以让量子计算机超越传统二进制计算机了。这就是所谓的“量子优势”——量子计算机最终胜过二进制计算机的关键节点。就好像1997年IBM深蓝超级计算机打败国际象棋世界冠军加里·卡斯帕罗夫一样。

而要破解最先进的公钥加密,量子计算机至少需要4000个完美量子位,如果是不完美量子位的话,所需数量会翻很多倍。那么,我们距离4000个完美量子位的量子计算机还有多远呢?这得看问到的是谁了。Jackson博士对人类在未来5年内造出拥有4000个完美量子位的量子计算机抱有信心。虽然我们目前离4000个完美量子位还很远,Jackson博士还是能拿出一些证据来支持他的观点。

2018年3月,谷歌推出了一台72个不完美量子位的计算机。谷歌目前公开的量子计算实现大约每200次计算会错1次。如果要处理的是每秒数十亿次计算的任务,这么高的错误率显然是不能容忍的。全世界砸向提高量子计算机稳定性上的钱少说也有几百亿美元了。有人觉得,4000量子位的目标看起来不像以前那么遥不可及了。

从9量子位到72量子位我们只用了1年。所以,5年内跃升至4000量子位并非痴人说梦。加之几个月前美国政府也参与了进来,我觉得5年的估算都还太保守了。

而多数可靠消息来源则依然不确定量子计算机何时能破解公钥加密。比如说,长期撰写量子加密文章的密码学大师施奈尔(Schneier),就在听到这一“5年破公钥”的言论时表示:“我可不这么认为。没人知道前面还有什么不可预料的实现问题在等着我们。”

5年?太惊人了吧?我不敢说完全没可能,但我预期会花更长一点的时间。如果3-5年内谷歌、IBM和其他公司能造出噪音略大的70量子位计算机,如果这些量子计算机在某些任务上胜过经典计算机,那我就很开心了。然而,即便如此,要说威胁到公钥加密,那还差得远,因为仅纠错和现有容错机制的巨大开销,就很容易把破密所需高品质物理量子位数量推向百万级了。

很明显,人们在量子计算机何时能打破公钥加密的问题上各执一词,但问题集中在“何时”,而不是“能不能”,公钥加密被破已经不再是科幻小说中才有的情节了。

美国国家安全局(NSA)尚未承认过量子突破将很快到来,但他们说过现在就应该开始准备了。在一份相关FAQ中,他们表示:“NSA认为量子突破的时间点就在当下。量子计算一直在取得进展。NSA正与供应商和运营商携手实现基于标准的抗量子加密以保护他们的数据和通信。”

三、量子计算行业方兴未艾

越来越多的公司和机构参与到量子计算机构建工作中,目前已知的至少有44家实体。信息科技四巨头——谷歌、IBM、英特尔和微软自不必说,一系列初创公司似乎也取得了进展。其中一家,Jackson博士所在的CQC,当下正与谷歌和IBM携手合作。

这些公司大多采用类似的技术,少数几家有自己的方法,另外一些则多管齐下,大家都卯足了劲要在量子计算机研发中拔得头筹。过去几个月中,IBM和谷歌成立了量子计算商业开发部门,透露出量子计算正从理论走向商业。

多个国家众多公司争相投入数十亿美元参与竞争的事实表明,这一杀手级应用即将现世。我们不妨将之与云计算做个类比。多年来,云不过是大家都持怀疑观望态度的IT潮词而已,但现在呢?量子计算也是如此,多年酝酿终现曙光。

通用量子计算方法包括超导、离子障和马约拉纳费米子。超导和离子障是目前产生量子位最多的方法。超导要求接近绝对零度的超低温(华氏-460度或摄氏-273度),且产生的量子位脆弱,不稳定。

微软使用的是尚不太成熟的马约拉纳费米子方法,目前产出的量子位较其他方法少,但稳定得多。Jackson博士将马约拉纳费米子方法描述为绑辫子,即便被外部环境晃来晃去,其量子状态也能保持不变。只要能量产,马约拉纳费米子方法无疑会是最终赢家,但我们现在对其知之甚少。

量子计算竞争是国际性的,据称中国在这方面很具优势,隐隐有领头羊的意味。中国人非常重视量子计算研究,而且几乎没有预算上的限制。前段时间中国宣称已用卫星进行了量子通信,但一些人对此存疑。

四、剑桥量子计算(CQC)

4年前,量子计算的投资重点开始从大学实验室转向微软、谷歌和IBM等私营公司时,CQC成立了。CQC致力于打造能让量子计算机迈向实用的一系列工具。最近,他们设计并测试了创新性加密设备,能提供理论上不可黑的防护。

CQC研发了名为“t|ket”的专利量子编程语言和编译器。该语言有点类似C语言,其编译器平台无关,能兼容基于各种不同平台的所有量子计算机。该量子编程语言用于在传统数字CPU和新型量子处理器(QPU)之间划分计算任务。

正如普通数字计算机中传统图形处理单元(GPU)接手密集图像处理工作负载,传统数字处理单元(NPU)负责繁重数学计算负载,QPU处理的是量子负载。

CQC的编译器将传统数字计算机擅长的工作负载分配给普通CPU,而将特殊的量子计算需求转给QPU,再将各自处理结果重新整合进通用输出流。不用急于抛弃数字计算机,我们仍然需要这些二进制的机器。这其实是个好消息,毕竟,需要超低温环境的计算机该怎么携带是个难题。

五、可验证的随机数生成器

CQC也制造硬件,包括一款“可验证”量子随机数生成器。传统数字计算机从来都无法生成真正的随机数,从机制上就不可能,出来的都是伪随机数。传统计算机的速度由石英钟确定,CPU中寄存器何时能够存入和取出信息取决于时钟周期,而石英钟是非常稳定且天然可预测的。每个时钟周期都是固定的。也就是说,任意传统随机数生成器背后的终极“真实数据来源”都是可预测的,并非真正随机。

传统计算机中的随机性不过是近似随机。真随机性的缺乏,成为了很多始于随机数的加密解决方案的痛点。所以,我们不仅需要真随机数生成器,还需要能够验证这些数字是真正的随机,才可以完全信任它们。

《自然》杂志2018年4月刊上,美国国家标准与技术局(NIST)讨论了真随机数生成器的需求。结果发现,量子计算也长于产生可验证的随机数。最早的可验证量子随机数生成器非常巨大,有200米长的大楼那般大,而且速度相当慢。

六、后量子时代随机数如何拯救加密

CQC推出了一款基于硬件的随机数生成器原型单元,名为“IronBridge(铁桥)”,只有一台录像机那么大,每秒能产生约400万个随机比特——足以驱动可保今日量子安全的加密协议。所有这些数字都可通过贝尔不等式验证,是真正的随机数。

谁最在意获取此类真随机数?任何希望在量子计算突破传统加密方法之后还能保护数据和信息的人都关注,比如政府、技术公司,以及需要保护自身知识产权、宝贵研究及信息的任何一家公司。

量子计算一直以来都好像飞行汽车和水下城市一样遥不可及。但如今,我们比以往任何时候都要接近量子计算。我们已经有了可以运行的量子计算机,量子位元的数量在快速增长。这不再是由炒作推动的白日梦。大大小小的国家和公司都在为少数遗留问题作出巨大努力。量子计算机投入实用不过是个时间问题,我们可以开始期待量子计算在几个月或几年之后到来,而不是以往认为的几十年之后。

相关阅读

量子计算机vs黑客 第一回合开始!

量子计算时代 需要新技术和新方法来保证密码安全

顶多10到15年进入量子计算机时代 后量子加密什么样?

 

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章