量子计算对我们当今数字世界所依赖的加密形式已经构成迫在眉睫的威胁。在这个或者下一个十年之内,量子计算机将发展至足够强大,有望轻松压倒当前最先进的密码学方法。目前主流的加密算法基于现有超级计算机也无法解决的数学问题,但这些问题在未来先进量子计算机面前可能没有任何实际意义。
尽管我们也不确定量子计算技术何时才会冲垮经典加密,但它的最终实现已经只是时间问题。未来的量子计算机可能破解目前用于保护线上交易、金融数据甚至是国家安全/政府通信内容的加密算法。
只有一种方法能够避免这些潜在的灾难性冲击——利用抗量子加密技术对当前每种安全算法做抢救性修复。
多年以来,IBM一直致力于研究Quantum Safe量子安全技术,希望解决这个问题。在探讨IBM解决方案之前,我们首先需要回顾量子计算的发展历程。
量子计算与传统密码学现状
从发展的角度来看,如今的量子计算机已经是拥有30至1000量子比特的“后期型”,用于实现量子比特的硬件技术也多种多样,包括超算资源、离子阱、中性原子甚至是光粒子等。
当量子比特达到数百万级别、容错能力也发展成熟之后,量子计算机将有望攻克气候变化、大分子模拟和创造新材料/药物等重大难题,真正改善我们的日常生活。但同时,这类量子计算机也将给密码学乃至企业、社会和政府的财务基础构成重大威胁。
1994年,贝尔实验室的数学家Peter Shor开发出一种理论上能够对巨大质数进行因式分解的算法,引发了人们对于量子计算的关注。这篇如今被称为Shor算法的论文在初发表时,还没有哪台量子计算机能够将其破解。虽然目前的量子计算机还是差那么一口气,但这种最常见的RSA非对称加密形式之一已经不再像过去那般底气十足。有些朋友可能不太熟悉,Shor算法使用两个超大质数相乘以创建公钥和私钥——其中公钥用于加密数据,私钥用于解密数据。公钥可以与他人共享,私钥则须严密保管。
破解加密需要多强的量子算力?
科学家们普遍认为,经典超级计算机可能需要数百万年才能破解2048位的RSA密钥。之所以要耗时这么久,就是因为能够创建同一密钥的质数潜在组合太多,系统只能在几百万年的时间里反复测试来找寻正确答案。
然而,同样的问题在先进的量子计算机上可能几天、甚至几个小时就能搞定。这就是风险所在——虽然经典超级计算机仍无法对当前密码学和加密技术构成风险,但量子计算机却能毫无压力地干掉整个当前密码体系。
一项研究推测,只要一台2000万量子比特的容错量子计算机,人们只需要8个小时就能破解RSA-2048加密。
换个思路,我们也可以用更少的量子比特来破解RSA算法,只是需要的时间更长。富士通研究人员估计,拥有1万个逻辑量子比特(一个逻辑量子比特中包含多个物理量子比特)和2.23万亿个量子门的容错量子计算机同样能够破解RSA。虽然速度不太快——需要104天——但毕竟也具有可行性。
下面,咱们再把百万量子比特的展望跟现实联系一下。
今年,IBM的量子路线图要求开发出迄今为止规模最大的量子计算机处理器——拥有1100个量子比特。
尽管我们目前的量子计算机性能有限,但大多数专家都坚信该技术终将在可预见的未来,发展出足以破解RSA加密算法的强大能力。
什么时候能真正破解加密算法?
但“终将”是哪天?暂时没有答案,没人能说清量子计算机何时才能破解当前加密算法。可换言之,这也代表着何时发生都有可能。目前,这种能力正沿着量子算力的升级时间线而逐步迈进。除了之前提到的量子比特规模和容错能力之外,未来能破解密码学的量子计算机还需要采取以量子为中心的超级计算机架构。
下面来看专业信媒对加密体系崩塌做出的合理预测:
以上都是几年前就已出炉的估算。虽然近来量子计算技术取得了重大进展,但容错问题仍然没有找到太好的办法,预计还需要五年甚至更长时间才能实现。错误缓解倒是有一定成效,但不足以将量子计算机扩展到能破解Shor算法、也就是找出RSA加密公钥与解密私钥的级别。
哪些系统类型存在风险?
当今世界,几乎所有数字资产都匹配某种加密保护机制。从个人电子邮件账户到订阅服务,再到网上银行和股票交易账户,乃至国家电网和市政供水系统等关键基础设施。可如今的传统加密根本无法在先进量子计算环境中幸存下来,也就是说目前的受保护系统未来将不再安全。
从国家支持的大型团体到恶意黑客组织,攻击者可能会通过以下几种方式入侵、甚至彻底打垮我们的整个金融体系:
以上只是量子计算可能给个人生活、企业、社会、政府乃至整个世界造成金融破坏的几个例子。量子计算对经济系统的实际影响难以预测,但产生的冲击无疑重大且值得警惕。
另外,涉及电网或交通航行路线的系统一旦中断,其影响绝不会孤立存在,而是在整个全球经济中引发连锁反应并长期持续。据估计,每次加密入侵造成的损失可能高达数万亿美元。
世界经济论坛最近估计,在未来10到20年内,将有超过200亿台数字设备需要进行升级或更换,旨在引入新的量子安全加密通信形式。
IBM量子安全技术已经启动
2022年11月,美国管理和预算办公室发布一份备忘录,要求全体联邦机构着手准备落实后量子密码学技术,从而保护联邦数据和信息系统。这份备忘录延续了2022年5月白宫国家安全备忘录中的要求,计划提供联邦资源以保证到2035年让所有美国数字系统均升级为具备抗量子能力的网络安全标准。
之前,NIST在2016年启动了后量子密码学标准化进程,旨在识别能够抵御量子计算机威胁的新算法。经过三轮评估,NIST最终确定了几种新的量子安全算法,并计划到2024年制定出新的量子安全标准。
NIST选出的四大入围算法
在NIST的最终轮筛选中,共有四种基于晶格密码学的量子安全加密算法晋级,IBM研究人员参与开发了其中三种:CRYSTALS-Kyber、CRYSTALS-Dilithium 和 Falcon。
各行业也已经在为量子未来做好准备。去年,电信行业组织GSMA成立了后量子电信网络工作组。IBM和沃达丰都是该组织的创始成员,参与制定政策、法规和运营商业务流程,旨在保护电信公司免受量子威胁。
应采取哪些措施保护加密技术免受量子威胁
本文开头提到,只有一种方法能够保护数十亿加密产品和服务免受未来量子计算机的潜在危害。根据最乐观的估计,量子计算机对现有加密服务和产品的威胁可能将在2030年左右出现。也就是说,接下来只有六到七年时间让各组织和政府机构使用新的NIST量子安全算法替代现有公钥加密应用。
IBM在Think 2023大会上宣布,IBM研究人员和企业合作伙伴一直在为此积极开发量子安全修复技术和算法。其目标是让未来的量子算力和收益能够不受阻碍地顺畅流通,同时保证将量子计算带来的加密破解能力消弭于无形。
IBM Quantum Safe量子安全方案
IBM的Quantum Safe是一种端到端量子安全解决方案,能帮助企业和政府机构识别出现有加密算法,并使用新算法加以替换。Quantum Safe包含一套完备的工具和功能,可帮助转化当前环境以实现量子威胁抵御能力。
IBM Quantum Safe工作原理
Quantum Safe技术包含三大关键功能:IBM Quantum Safe Explorer、IBM Quantum Safe Advisor和IBM Quantum Safe Remediator。这些功能分别对应转化流程中的具体步骤,负责发现、观察并转换加密方法。
Explorer能够扫描源代码和目标代码,Adivsor提供系统范围内加密技术使用情况的动态或操作视图。Explorer和Advisor共建的组合视图,则从动态和静态两个角度对企业范围内的加密体系进行综合审视。Explorer和Advisor的组合信息还可用于监控并管理加密算法及相应的漏洞,同时作为转型路线图的输入素材,详尽说明需要优先解决什么问题、哪些调整能够提供显著收益。
之后就是在转换过程中应用路线图,由Remediator整理最佳实践并尽可能自动完成操作。
Quantum Safe架构解析
尽管Explorer、Advisor和Remediator都是Quantum Safe架构中的独立功能,但也会共享同一套公共信息模型以实现相互集成。
Quantum Safe系统能够将信息整理为基于软件物料清单(SBOM)思路的加密物料清单(CBOM)。CBOM是量子安全加密迁移中的重要工具,负责识别并清点加密资产和依赖项,帮助规划如何向具有单一事实信源的量子安全算法的迁移工作。
更重要的是,Quantum Safe系统在设计中还考虑到多项关键因素。IBM指出,该工具无需在企业框架内安装任何额外代理,目标就是整合客户已经拥有的要素。正因为如此,它必须能够与外部系统和原有记录系统相集成,特别是持续集成和持续部署(CI/CD)管线、网络监控系统和配置管理数据库。CI/CD管线代表一系列工具和流程,能够自动执行软件的开发、测试和部署工作。
上图所示,为Explorer通过扫描源代码和目标代码来捕捉并显示数据视图。这套综合视图显示出加密算法的所在位置,以及各个实例的待修复状态。通过示例可以看到,应用程序Java代码仓库中特定端点的结果都已呈现在仪表板上。这意味着Explorer扫描了全部Java文件,并在扫描结果中识别出了特定加密用例。
除了最左侧的紫色圆圈,其他标记应该都很容易理解。这里的紫圈表明,有14种算法不符合量子安全要求。若有任意算法符合量子安全要求,则紫圈中将有一部分显示为绿色。Explorer能找到当前正在使用的各特定算法,例如RSA、Diffie-Hellman和AES等。
Advisor的这份动态视力还显示出网络数据及其相应的加密技术使用情况,还有当前TLS服务和量子密码数量。双击某个项目,将显示它的起效位置和其他上下文信息。将此视图与之前的视图相结合,就能获得关于加密技术使用情况的更多信息。
使用Quantum Safe TLS也至关重要,因为未来能够攻克Shor算法的量子计算机也能轻松碾压目前的TLS通信算法。再有,一旦大型容错量子计算机成为现实,恶意黑客也许能轻松窥探并窃取TLS传输中的数据内容。
IBM目前提供API,可供客户与原有网络安全扫描工具相集成,并提取网络扫描日志进行分析。
Quantum Safe Remediator能够实现自动化修复,但目前的适用范围较为有限。由于尚处于开发阶段,对于无法自动修复的多数代码,可能需要架构师和开发者遵循最佳实践手动加以调整。
很多客户可能还需要能支持QSE的VPN,也就是量子安全的网络代理。为了满足这方面需求,IBM为客户编写了能够在其环境中实例化的模式,帮助他们理解工作原理并立即上手使用。
请注意,目前只有少数修复模式开放使用。IBM解释称未来也不会创建太多种模式,接下来的目标是根据最佳实践创建出高价值导向的编码模式,确保为客户提供最大收益。另外需要注意的是,IBM还拥有一套已知模式库。结合Explorer和Advisor的持续发现,IBM将能够编写新模式并不断交付给客户。
Quantum Safe路线图中的发展里程碑和时间表
IBM Quantum Safe路线图以新兴技术为基础,制定出一套加强的数字化转型计划。该路线图还支持修复工作,帮助现有数据资产和服务获取量子安全保障。该路线图也列出了由行业标准、联邦政府要求和CNSA指南所推动的重要发展里程碑与对应日期。
路线图中的数据将帮助联邦部门、民间机构和医疗保健服务商严格遵循进度要求和日期规定。各供应商还可以使用这些信息了解关于量子认证的具体要求。
路线图最后列出了IBM基础设施软硬件产品,这些产品也分别拥有自己的量子安全转换方案。
总结
我们无法预测量子算力何时才会首次攻破我们的加密保护服务或产品。可能就在这个十年,也可能要等到下一个十年。但其中的关键在于:如今的密码学技术无法阻止未来的量子计算机。
既然所有数据都身处危险,那么必须抢在量子计算机能够即时破解加密技术之前找到应对措施。否则一旦量子计算机强大到足以强行突入,现有加密保护下的数据将很快成为恶意黑客的囊中之物。同样,以往无需重大调整就能长期安全运行的计算机系统,如今也需要利用量子安全加密技术做全面修复。考虑到当前几乎所有数字服务和产品都依赖于某种形式的加密技术,各家组织必须启动程序来尽快发现旧加密方法,并将其转换为新的量子安全算法。旧加密体系的修复难度不低,速度也不会很快。但遥望量子发展的未来,现在的一切努力都是值得的。
IBM Quantum Safe极大简化了旧算法的修复过程,而且与IBM的当前量子发展路线图类似,Quantum Safe也是一款相当灵活的产品,能够以循序渐进的方式改进路线图。IBM将继续为Quantum Safe引入新功能,在内部测试与客户合作的双重加持下探索功能验证和改进。
好文章,需要你的鼓励
随着各行各业数字化变革的不断深入,人类社会正加速迈向智能化。作为智能世界和数字经济的坚实底座,数据中心也迎来了蓬勃发展。面
“未来软件定义汽车”的设想也成为马丁当前运营路线的指导方针,且高度关注数据、零件和资产管理等议题。