将来量子计算机来了,那么危机也就来了,那么,如何才能阻挡量子计算机的攻击?

现在研究量子计算,多是考虑在哪些领域有应用前景,如何提高相干时间、逻辑门操作速度等,而不是利用量子计算机去攻击破译什么的,其目的是造福人类社会、推进其他产业的发展。

这里主要讲一讲量子计算机和量子演算法对密码学的影响,量子演算法对于传统密码系统的冲击是由于量子演算法相对于经典演算法在一些问题上具有一定的加速。

  1. Shor量子演算法:可以指数加速求解很多基于数论的困难问题,比如离散对数问题和大数分解问题,把原本 [公式] 的复杂度降为 [公式];所以RSA、Diffie-Hellman等密码假设将变得不再困难;
  2. Grover量子演算法:可以把对称密码方案的复杂度开根号,也就是将密钥的有效长度减少为原来的一半,把原本 [公式] 的复杂度降为 [公式] ;所以量子计算机破解AES-256仍然需要 [公式] 数量级的计算代价,也就是说AES-256仍然具有128 bit的量子安全性;

对于某些问题,量子演算法相对于传统演算法并没有明显的优势,基于这些问题的密码学就叫后量子密码(post quantum cryptography),主要包括

  1. 基于格(lattice)
  2. 基于编码(code)
  3. 基于哈希(hash)
  4. 基于同源(isogeny)
  5. 基于多变元(multivariate)等;

然而基于哈希的只能做后量子的签名演算法,基于多变元的密码方案安全性没有得到充分证明,所以当下比较有前景的后量子密码方案主要集中在基于格和基于编码上面;

近二十年来,后量子密码学的研究已经取得了丰硕的成果,同时也为抵抗量子计算机攻击储备了大量的密码技术,一些标准制定机构已经在开展后量子密码演算法的标准化工作。比如美国国家标准与技术研究院(NIST)面向全球征集抗量子密码演算法项目, 中国也将在2022年左右开展抗量子密码演算法标准化工作;

Post-Quantum Cryptography | CSRC?

csrc.nist.gov

综上,现代密码学并不等同于基于RSA、离散对数等少数几个数论困难问题的密码系统,量子计算机的到来也并不是现代密码学的末日。

从理论层面分析,量子计算机有可能对密码系统中的公钥密码演算法构成威胁。对是从工程技术层面上来看,这种威胁还是被极度的夸大了。可以实用的能破解1024位的RSA公钥密码演算法的量子计算机在可预见的未来不会出现,而且RSA可以轻松地增加字长来对抗量子攻击。

当然面对量子计算机的威胁,未雨绸缪提升改善公钥密码的安全性是完全应该的。

面对公钥密码未来的安全隐患如何确保互联网数据传输的安全,存在两条绝然不同的技术路线:主流路线是IETF推出TLS1.3,NIST规划用十年的时间制定后量子时代密码的新标准;另一路线是中国于2017年建成的京沪量子密码通信干线。这两种路线形成鲜明的对比,世界主流路线是渐进、开放和合作的路线,而中国相反采取了激进、封闭的路线。究竟哪种路线能更有效地确保互联网未来的安全呢?我觉得都不用查看内容,单从思维层面上来看,高下立见。

常人对于密码系统往往有个误解,认为保护信息传输安全的密码系统是秘密的核心必须首先保护起来,这完全是本末倒置了。实际上,真正要保护的秘密只是通信双方交换的密钥,密码只是用来保护通信秘密的工具,它本身毫无秘密可言。一个真正有效的密码系统的演算法和结构是完全公开透明的,它的本质功能就是保证只有共享密钥的通信双方才能加密和解密文件,除此之外没有任何人可以破解密文。

必须明白,所谓保密是通信双方对其它所有人的保密,包括对保密系统的设备制造商和系统运营商保密,事实上真正要提防的就是这些制造商和运营商。因此一个值得信赖的密码系统一定是一个公开透明的系统。反之一个藏著掖著、躲躲闪闪,什么都不敢公开的密码系统是没有人敢使用的,注定是不会有什么发展前途的。

还有一点必须强调:IETF和NIST都不是制造商和运行商,他们仅仅是组织世界各国专家学者共同确定密码系统的协议、标准和演算法。在协议中允许多种演算法并存,每种演算法又允许多家公司提供软体产品,甚至允许网路服务商开发自己的密码软体包,例如微信就使用自已开发的遵守TLS1.3标准的密码软体产品。这样就让密码标准的制定者、密码产品的制造商和信息服务运营商分隔开来,让他们各司其责、相互独立、互相监督,同时让用户可以择优选用以最低的成本获得最佳的安全服务。为了做到这一点,负责信息传输安全的密码系统只能使用基于数学原理的软体方案,别无其他选择。

而量子保密通信系统必须增添硬体设备,这在技术和成本上就不允许在线路上使用多套不同厂商的设备,用户自制设备也几乎不可能,导致用户没有知情权、选择权。事实上,在京沪量子通信干线工程中,密码安全标准的制定者、硬体设备的制造商和密码系统的运营商被独家垄断,这种缺乏相互制衡监督的黑箱系统对于全世界互联网的安全不会有任何现实意义。

IETF在不断改善升级TLS的同时,NIST组织研发全新的公钥密码演算法,这条提升互联网安全的路线把技术的可行性和兼容性放在评估标准的首位,这是一条稳妥、可靠、行之有效的路线。这条路线也是一条开放合作的路线,所有的协议细节和密码演算法全部公开放在桌面上讨论分析,允许多种密码演算法并存,鼓励多家软体生产商相互竞争提供优质密码产品。所以也取得了世界大多数国家有关专家的认同和支持,开放、竞争和合作是推动互联网稳步向前发展的基础。

Post QC 的密码已设计出一堆了,何况实用的量子计算机的硬体实现还不知要到猴年马月呢,不要杞人忧天

汽车来了,世界就要毁灭了;

飞机来了,世界就要毁灭了;

核武器来了,世界就要毁灭了;

区块链来了,世界就要毁灭了;

人工智慧来了,世界就要毁灭了;

量子计算机来了,世界就要毁灭了;

来了以后,公钥秘钥升级,倒是应该的,但是这种担心,怎么说呢,人类一直没有毁灭我觉得两个原因:太年轻+极有可能具备一种自我牺牲的共情能力(但是它不经常出现),让我们避免了一次又一次的担心,所以做一个正义的,有共情能力的人,做好每一件小事,让这个世界是正义的、善良的、可持续发展的,就可以阻挡量子计算机的攻击。

至少现阶段增加密码长度远比增加量子计算机的纠缠量子数容易得多。所以等人类可以随意增加量子计算机的量子数的时候再来谈危机吧。

我觉得量子计算不会比量子隐形传态或者量子密钥分发来得早。

在现有框架下,像其他答主说的那样,未雨绸缪提升密钥的安全性,当然没有问题。可问题是量子计算机是对经典信息系统的降维打击。盾牌就算做得再精巧,它挡的了飞机大炮吗?这绝对不是长久之计。

要对抗量子计算的强大算力,就要同样借助量子加密的技术。目前看来,量子密钥分发为主的量子加密技术才是最好的解决方法。由于量子不可克隆原理,理论上人们根本不可能复制一个量子密钥,因此就算量子计算再强大,它也不可能攻破这一道防线。据我观察,其实量子密钥分发要比量子计算更简单一些,我认为它会比量子计算更早到来。

有电脑病毒,就有了杀毒软体。

曾经的人们也会问类似的问题。

我们距离量子计算机并不近,它处于瓶口的另一端。

现在这样讲无异于空谈,等到实现量子计算机,熟悉量子计算机的时候再讲也不迟。

既然有量子计算,就会有抗量子计算,这个没必要担心。

道高一尺魔高一丈

记得量子计算机刚出来的时候 比特币跌了一半

但下午又涨回来了

为什么呢 道高一尺魔高一丈 谁也别稀罕谁

推荐阅读:
相关文章