当前,量子计算技术的高速发展对现有密码体系下的信息安全形成了不容忽视的威胁。作为网络空间安全的关键核心技术,密码技术一旦被攻破,无异于给网络空间安全悬上了一把“达摩克利斯之剑”。面对“百年未有之大变局”,围绕量子计算的新一代密码技术标准,已成为全球大国战略的竞争焦点之一。
2022年6月28日,美国总统拜登在G7峰会上提出要加强美国在经济问题、网络空间和量子以及其他21世纪挑战方面的合作,包括中国对美国的工人、公司和国家安全构成的挑战。基于此次会谈,白宫发表了一份声明,网络安全和抗量子密码被美国列为最重要的事项之一。该声明中指出,在网络和量子技术合作方面,“七国集团将致力于加强和提升网络合作;与亲密伙伴合作,以实现问责制并提高网络空间的稳定性和安全性。七国集团还将致力于开展新的合作,部署抗量子密码技术,以确保信息和通信技术系统之间的安全互操作性,并促进数字经济的增长。”
抗量子密码是一种能够抵御传统计算机和量子计算机攻击的密码算法
目前,“抗量子密码”的名称尚未统一。不过,无论是抗量子加密、抗量子密码、量子安全密码,还是后量子密码、后量子加密等,基本都是指能够抵御传统计算机和量子计算机攻击的密码算法,是一种量子信息时代维护网络安全的关键技术。(本文主要使用的是“抗量子密码”)
一般来说,密码学是研究如何利用数学技术执行信息保护政策。这些政策规定了谁可以发送、读取和编辑数字信息。一个密码系统的安全性主要依赖于某些数学问题(整数分解、离散对数等)的困难性,也可以理解为破解这样一个密码系统至少和解决一些数学问题一样困难,而这些数学问题则被认为对于任何不知道某些秘密信息(即“密钥”)的人来说都是难以解决的。因此,一旦底层的数学问题的困难性被密码分析技术所否定,那么对应的密码体制就不再安全。1994年,数学家 Peter Shor 设计了一种量子算法,声称该算法在分解整数和寻找离散对数方面提高指数级的速度,在理论上证明了量子计算机能够破解大多数目前使用的公钥密码系统。量子计算机和我们现在使用的计算机有着根本性差异,它依靠的不是传统比特1或0,而是量子比特,通过把数据看作存在于不同状态,实现状态的叠加(super position)。同时,量子计算机使用纠缠(entanglement)和相干(interference)两种量子属性连接独立的数据元素,并消除不相关猜测,从而大大提升了解决问题的效率,计算速度可达指数级,甚至比目前最快的超级计算机还要快。也就是说,当足够大和容错型量子计算机建立起来的时候,现有的许多密码系统都存在被破坏的风险。未防止这种情况发生,应全力部署抗量子密码算法,用以阻挡量子计算的攻击,防止因加密算法被破解而产生网络安全事故。
抗量子密码已成为量子信息时代的关键核心技术
近年来,欧美国家不断强化抗量子密码技术布局。美国早在2002年就发布了《量子信息科学与技术规划》,并在2021年10月发布《抗量子密码过渡路线图》。美国标准和技术研究院(NIST )在2016 年正式启动抗量子标准竞选,面向全球征集抗量子密码算法,并于2022年7月5日公布了第三轮评选结果,其中,KYBER、Dilithium、FALCON和SPHINCS+四种算法入选,进一步加速了抗量子密码算法的标准化进程;2020年8月,德国联邦信息安全办公室(BSI)发布了《抗量子密码迁移报告》,提出抗量子密码迁移建议。2021年1月,法国总统宣布启动总金额18亿欧元的国家量子技术投资计划,其中1.5亿欧元用于抗量子密码技术。法国国家网络安全局(ANSSI)认为,与量子密码技术相比,抗量子密码是阻止量子威胁最有希望的途径,并于今年3月发布了《关于后量子密码学迁移的科学和技术建议》,建议提出抗量子密码发展的路线图。
在现有的抗量子密码技术流派中,格基密码是主流和首要的技术路线。NIST后量子密码标准全球征集第三轮7个决赛算法中5个为格基密码方案。西方(特别是G7)希望通过加强协作,发挥先发优势,取得事实上抗量子密码标准的性能优势和技术壁垒(包括专利壁垒),从而推动西方标准的大规模采用并引领信息安全和密码技术产业。以美国为代表,政府持续推进抗量子密码技术遴选和标准化工作,近期更是连续出台相关文件,进一步加快向抗量子密码迁移的步伐。主要体现在以下三个方面:
一是持续推进抗量子密码标准化。2015 年8月,美国国家安全局(NSA)发布公告,宣布将使用抗量子密码系统替换现有的NSA密码标准——Suit B密码系统(即NSA Suit B Cryptography )。2016年,NIST面向全球启动了抗量子公钥密码算法征集工作,吸引6大洲、25个国家的密码学家参加,经过三轮筛选,确定了7个入围算法和8个备选算法。2021年10月,美国土安全部(DHS)与NIST发布《抗量子密码过渡路线图》,预计2024年发布抗量子密码标准,2024-2030年开展标准的应用转化工作。
二是加速推进抗量子密码实用化。2021年8月,NIST发布《向抗量子密码迁移报告》,明确提出加快基于标准的迁移工作,并请各部门、各企业撰写抗量子密码迁移意向书。2022年1月19日,美国总统拜登签署第8号《国家安全备忘录》,要求NSA提交关于抗量子密码使用计划的文件。5月4日,拜登又签署了两条关于量子信息的行政令,其中“关于促进美国在量子计算中领导地位的同时减少对易受攻击密码系统的风险的国家安全备忘录”指出,“抗量子密码迁移”是“美国所有经济领域的当务之急,从政府到关键基础设施,从商业服务到云供应商,以及所有使用易被攻击公钥加密技术的地方”,并针对抗量子密码技术的发展提出15个具体举措。
三是推进抗量子密码研发全球化。欧洲“地平线2020”计划在2015-2018年期间资助了后量子密码项目PQCRYPTO,该项目曾参与NIST抗量子算法的评估等工作。欧洲网络及信息安全局(ENISA)2021年5月发布《抗量子密码:现状与量子迁移》报告,该报告重点研究了NIST选出的抗量子密码算法。同年10月,欧洲电信标准化协会(ETSI)发布了两份技术报告分析 NIST第三轮抗量子密码入选方案。德国联邦信息安全办公室(BSI)则在一份报告中表示,将密切关注NIST的抗量子密码标准化活动。受美国抗量子技术发展的影响,法国国家网络安全局今年3月发布《ANSSI关于后量子密码学迁移的科学和技术建议》,该建议总结了加密系统面临的量子威胁,并提出了向抗量子密码迁移的规划。
抗量子密码将引导新一轮信息安全技术变革和大国博弈
从西方各国的动向和G7联合公报的内容来看,抗量子密码技术发展已进入关键时期,美国在这轮技术竞赛中占据了先机和优势。全球抗量子密码领域已基本形成“美国主导、欧洲跟随”的格局,以美国为主导的抗量子密码标准在全球密码领域的优势地位将得到进一步巩固。一旦出现这种情况,我国将面临采用美标准带来的网络安全风险、巨额专利费用以及丧失国际话语权等问题。此外,我国密码企业对抗量子密码领域的关注度普遍较少,投入相对不足。一旦欧美抗量子密码进入大规模实用化,国内企业将面临密码产品和服务的巨大壁垒,甚至失去密码产品的国际竞争力和市场占有率。
密码技术标准的竞争本质是同类算法的最优设计竞争。以美国为主的西方国家在抗量子密码,特别是格基密码领域的确具有更长的研究周期和研究基础,但这并不意味着中国将被迫屈服落入西方事先布局的“陷阱”。近年来,我国不断提升对抗量子密码研究的重视程度,在2019年举办了抗量子密码算法设计竞赛,涌现了一批高质量的研究成果和富有活力的科研团队。目前,国内抗量子密码的研究主体是格基密码,相较国际水平存在“密码分析相对强、算法设计相对弱”的现状,且由于LWE路线具有相对复杂的专利制约,需要和很多西方专利机构进行逐一谈判,使我国抗量子密码标准化之路变得更加复杂棘手,甚至陷于被动。此外,我国密码技术科研成果评估评价机制更看重国际会议和期刊的录用和评价,在一些关键技术或领域存在被西方蒙蔽或误导的风险。
因此,如何在事关“党和国家命门、命脉”的安全核心技术上不受制于人,不被卡脖子,甚至发展更为先进的技术先发制人,不仅对保障我国网络和信息安全具有关键意义,也事关国际和大国博弈的破局。我们应加快提升我国抗量子密码技术与标准的输出和影响力(比如商业金融应用、数字货币、一带一路等),加速在更高层面更大范围进行抗量子密码技术标准和产业应用的统筹并形成合力,与美国和 G7 在事关“命门、命脉”的重要领域进行博弈,为构建网络空间命运共同体筑牢安全基石。
(本文作者:祝 峰 董明富 杨亚芳)
参考文献:
[1] 《从北约量子安全通信测试看后量子密码技术发展》(安全内参,2022.03.15)
[2] 《白宫高度关注量子信息科学对现代加密系统的威胁及应对措施》(QC咨询,2022.05.07)
[3] 《美国<量子网络安全防范法案>获得众议院监督与改革委员会一致通过》(光子盒,2022.05.16)
[4] 《后量子密码标准与产业迁移成为G7强化协作和美国制衡中国挑战优先事项,及我突破反制应对建议》(复旦大学,赵运磊)
[5] 《欧盟后量子密码转型的路径探索》(安全内参,2022.10.31)
[6] 《后量子密码PQC市场趋势分析:未来5年内进入高速发展阶段》(国际电子商情,2022.12.04)