量子計算,夢幻概念走進現實,那如果走向商業化呢?量子計算的概念起源于20世紀80年代,量子實體學蓬勃發展引發了量子計算的概念。利用量子實體學來重構計算機系統,思考量子算法的理念不僅在當時,在今天聽起來也像是某種夢幻。越來越多的科學研究結果之下, 美國 NIST 研究機構自去年起設立的量子阻抗計劃也在持續推進中。 量子計算從概念走入現實,強大計算能力甚至可以突破網際網路時代的安全防護,未來時代的安全是否是岌岌可危的呢? 本文整合分析了量子計算的重要概念,詳細講述其對于公開密鑰加密 RSA 的威脅、以及美國 NIST 機構提出的量子阻抗計劃如何應對這種遠在未來的威脅。
從薛定谔的貓到量子計算
在量子力學理論中,微觀粒子有時會顯示出波的性質,有時又會顯示出粒子的性質,在不同條件下分别表現出波動或粒子的性質,這種稱為
波粒二象性的量子行為是微觀粒子的基本屬性之一。
經典的雙縫幹涉實驗:我們窺探到量子世界的奧秘
微觀粒子一旦遭到
觀測,量子狀态會由某種狀态坍縮成特定的狀态,觀察者也會得到一個觀測值。當然,這種變化特征可以用一個微分方程
薛定谔方程來描述。但這種量子的“一觀測就坍塌”的特點,還是和宏觀世界的常識違背。
而關于這一點,我們平常最常看到的通俗例子就是薛定谔那隻“
不死不活”的貓,例子中将微觀粒子的特征衍生至宏觀物體上,以诠釋量子力學與正常實體常識的違背。
薛定谔的貓:死去活來
普通計算機使用一個比特(bit)中 0 與1的兩種狀态存儲資料,通過高電壓和低電壓兩種狀态控制半導體及內建電路記錄及運算資訊;而量子計算機的存儲機關,量子比特(qubit)雖然也可具有兩個邏輯态 0 和 1 ,但與經典計算機的不同點則在于它可以實作多個狀态的
相幹疊加态。是以,制造出來的量子計算機就可以通過控制原子或小分子的狀态,記錄和運算資訊,存儲和運算能力都能超越經典計算機。
舉例來說,一個量子比特的狀态可以表現成
,其中
(因為是複數,需要取模平方)。也就是說,它的狀态并非簡單的非黑即白,而是一定機率的 0 态和一定機率的 1 态。
那麼如果是 k 個量子比特,即會有 2k 個的疊加态(0 至 2k-1),能描述
個複數,遠遠大于傳統計算機中 k 個比特所能描述的
個整數。
是以說,在經典世界中我們不可能疊加 001 态和 100 态,因為這兩個狀态的電壓疊加之後,我們無法區分原來的态,而隻能得到一個全新的 101 态。然而,在量子世界之中多種狀态的疊加可以區分處理,一個操作可以同時對疊加态中的所有态進行處理,是以如果找到行之有效的對應算法,就像進行并行運算一樣,可以顯著降低時間成本。
憑借量子計算機的力量,
快速傅立葉變換(FFT)的複雜度可以降低到 O(log2(n)) 這麼快,由于我們隻需要利用 log(n) 個量子比特就可以描述 n 維向量了,是以當因數分解的複雜度迅速降低後,RSA 加密就會失效了。當然,如果需要在現實生活中看到或者運用量子計算的能力,一方面需要量子算法,另一方面則也需要實體層面實作的量子計算機。
量子計算對公鑰加密的威脅
我們對于一項技術有一點了解的時候,通常對于這項技術在未來獲得商業可行性的時間上知之甚少,
“這項技術是什麼”指的是量子計算所蘊含的強大計算能力。 而
“什麼時候實作”目前普遍認為,會是在未來 15 到 30 年的一段時間内。
去年,來自 Google 和 NASA 的科學家們認為,D-Wave 量子技術可以提供比目前傳統技術快1億倍的計算能力。(盡管 D-wave 不是通用型量子計算機,而隻是一台用于
量子退火特定算法的量子計算機。)但未來的量子計算機的算力依舊能夠超越想象,輕松打破目前的公鑰密碼系統。
那麼面對飛速發展的技術,我們不得不思考現在的量子加密問題:如果現行的加密技術可以被破解,我們應該如何
考慮改進目前的公鑰加密?
1994 年 Peter Shor 的因數分解量子算法
1980 年量子計算理論提出後的十年間,在實踐上曾遭遇過一段時間的
沉寂。直到 1994 年,
彼得·肖爾(Peter Shor)才開發了量子算法來确定大素數。Shor算法可以非常高效地進行
大數因子分解,而這一點恰恰是目前多數行業所用的公鑰 RSA 系統的安全依靠。
正常計算機對數 N 進行因數分解,運算時間随輸入長度指數增長,而采用Shor算法則可以在不到一秒的時間内實作 1000 位數字的因數分解,但由于缺乏量子計算機,該算法對密碼系統的影響在當時并不被認為是一個急需解決的問題。
然而今天,量子計算的發展讓我們更接近這個問題的答案。如果量子計算在未來15年内在商業上逐漸變得可行,那麼加密技術就會重新面臨這個難題:受到目前世界上最受歡迎的
公鑰密碼系統RSA 保護的資料将會變得可讀,也就是說量子計算機面前,RSA 體系幾乎是透明的!如果商業化過程還要更久的時間,如需要近30年的話,那麼我們可能還有時間來思考和解決這個問題。
可能失效的密碼與可能抵禦量子攻擊的密碼
當然,現在已經陸續有各種
理論假設提出——如何設計一款無法被量子攻破的安全加密方法?目前提出的方案。已有如基于網格的密碼,基于編碼的密碼,和基于多變量算式的密碼等等,學術研究正在迅速跟進,彌補技術發展帶來的新突破。
問題的關鍵在于開發和測試一款全新加密技術所需要的時間究竟會需要多長,其次在于如何将全新的可抵禦量子攻擊的密碼應用到現有的基礎設施之上。
這項密碼技術上的全新解決方案主要還是為盡快建立量子安全的公鑰密碼系統。對于對稱密鑰密碼系統來說,它們面臨的危險還不是那麼緊迫:對稱密鑰密碼系統可以通過使用較大的密鑰來解決這個問題,如 AES 和 Triple DES 等對稱算法,可以使用哈希函數得到較長的輸出。
2016 年 NIST 的量子阻抗計劃
而在去年,美國國家标準技術研究所(NIST)宣布了一項新的計劃來開發
量子阻抗公鑰密碼術。
他們回顧了過去大約四十年的加密體系,某些數學問題的“難度”被用作大多數公共密鑰加密方案的基本假設。
公開密鑰密碼體制是現代密碼學的基石,而現在量子計算的發展改變了我們傳統意義上對于問題的 “難度” 的定義。是以,我們自1980s以來所有運用公鑰加密的系統需要改成能夠 應對量子攻擊 的密碼系統。
接着,NIST 繼續分析了目前量子計算的
發展狀态,發現量子計算的出現打破的是過去密碼學對于問題 “難度” 的定義,對于正常計算機而言較為困難或棘手的數學問題的複雜度在量子計算機看來不值一提,是以直接導緻 1980s 後部署的公鑰加密是可被量子攻擊的不安全加密手段。
如果大規模量子計算機今後能夠普及,那麼将能夠打破目前正在使用的許多公鑰密碼系統,并将嚴重影響網際網路及各地數字通信的保密性和完整性。
他們提出應當将這部分密碼系統替換成可抵禦量子攻擊的量子阻抗密碼。而鑒于一種密碼系統理念從理論走向可行應用,再到最終成為通用标準的這條漫漫長路所需要花費的時間,還需要考慮很多事情的周全。
- 現行的公開密鑰密碼體制 肯定是要替換的
- 新的密碼系統成為通用标準會花費
很久 的時間 - 同時需要做到 向後保證安全 - 當今 時代 和20世紀80年代 不同(網絡、電子支付)
- 需要能夠進行安穩而平滑的
過渡
這個量子阻抗計劃具體想要實施的步驟還是分為兩大塊,一塊是接受提案,尋找到對于量子計算機而言也
足夠難的問題,在這些困難問題中識别哪些可以運用在公鑰系統中的( lattice based 之類)。但由于每個種類的方案都提出特定的難題(既有理論,也有實用方案),還是需要同步進行很多分析,還會面臨許多挑戰。
我們可以看到
NIST還是制定了非常細緻的項目計劃,收集提案、組織會議、進行議題的推進和學術分享。
NIST 計劃在 2016 年秋季開始接受建議書的送出,最終截止期限為 2017 年 11 月 30 日。根據計劃,他們預計将會持續 3 – 5 年的項目分析階段,而在完成分析後的 2 年時間後推出量子阻抗公鑰密碼的标準草案。 NIST 的計劃已經在 2016 年 12 月 15 日開始接受建議送出。目前該計劃仍處于公開征求、評估和标準化量子阻抗公鑰密碼算法的過程中,該過程将持續到今年的 11 月 30 日。完整的細節可以在征集投标書公告中看到。
現階段的大型量子計算機何時建成的問題還不明确答案,許多科學家也認為通用型量子計算機的建立會是重大的工程挑戰。甚至有工程師預測,在未來二十年的時間内,才能建立能夠打破目前公鑰模式的量子計算機。但從曆史上看,仍然需要近二十年的實踐才能真正部署更先進的現代公鑰密碼基礎設施。
是以,無論我們是否能夠估計量子計算時代到達的确切時間,我們現在都必須開始準備我們的資訊安全系統,以抵禦量子計算攻擊。
原文釋出時間為:2017-07-18
本文作者:Elaine_z
本文來源:
freebuf,如需轉載請聯系原作者。