久久99国产精品尤物-国产高清色播视频免费看-男生肌肌往女人桶爽视频-精品国产-91PORNY九色|www.jqdstudio.net

量子計算遭遇安全和糾錯挑戰

點擊：2301  作者：云卷云舒    來源：戰略前沿技術微信號   發布時間:2024-04-11 10:40:27

 

 

密碼學家們爭相尋找更好的安全方案，而物理學家們則試圖修復量子比特的錯誤。

 

隨著政府、銀行和其他實體為應對大量泄露的數據和不可信的數字簽名做好準備，有關后量子加密(PQC)世界的警告數和量正在上升。

 

這究竟何時會成為真正的威脅還有些模糊，因為這取決于開發強大量子比特的進展。麥肯錫公司(McKinsey & Co.)的一份報告估計，到2030年，將有大約5000臺量子計算機投入運行，但解決復雜問題所需的硬件和軟件可能要到2035年左右才會出現。還有人說，量子比特和模塊化架構之間的一致性可以加快速度。

 

在此期間，面對迫在眉睫的威脅和不確定的最后期限，關注安全的群體正在競相建立防御。如果說早期的密碼學是關于符號和替換的，那么至少現代密碼學的一部分將是關于用算法來對抗算法的。

 

“密碼學家和數學家從2017年開始就一直在談論這個問題，當時他們第一次坐下來說，‘這很糟糕。我們需要更新這些算法，’”Rambus的硅安全產品高級總監Scott Best指出。“可怕的是，他們已經取得了很大進展。”

 

量子計算的力量來自于量子領域的豐富的物理學，當0和1處于相同狀態時，存在疊加。

 

“想想拋硬幣，”Keysight量子解決方案和規劃主管Mohamed Hassan說，該公司已經在研究量子EDA工具。“這枚硬幣不是正面或反面，而是兩端同時旋轉。如果你停止它并測量它，它會變成兩者之一，它會坍縮量子態。同時，還有量子糾纏，無論它們相距多遠，如果你測量其中一個，你就能猜出另一個的狀態。”

 

RSA、ECC

 

說到最廣泛使用的加密算法，首先也是最重要的是RSA (Rivest-Shamir-Adleman)，這是一種非對稱加密形式，其中發送方使用可以廣泛分發的公鑰對消息進行編碼，并且知道只有擁有相應私鑰的接收方才能解碼它。這意味著即使消息被劫持，它仍然是安全的，不會被解密。它的強度源于密鑰長度，或者密鑰中的位數。目前nist推薦的RSA密鑰長度為2048位。

 

RSA使用復雜的公式來確定安全密鑰。其核心是兩個素數相乘的簡單過程，其乘積成為進一步改進以創建密鑰的基礎。RSA之所以顯得堅如磐石的安全，是因為“分解”的困難，也就是說，發現原始質因數是什么。如果一個乘積足夠小，大多數人只要知道基本的乘法就能分解它，但如果使用的質數足夠大，試圖發現原始因子可能需要數千年的時間。

 

至少人們是這么認為的。1994年，麻省理工學院的數學家彼得·肖爾創造了一種算法，解決了離散對數問題，為破解RSA加密開辟了道路。從本質上講，離散對數是易于執行但難以反轉的函數，例如分解。在量子計算機上使用肖爾的算法，找到RSA因子可能從幾乎不可能變成僅僅是計算時間和計算能力的問題。

 

“量子計算機擅長的事情相當有限，”位于瑞士蘇黎世的IBM研究院安全研究小組經理邁克爾·奧斯本(Michael Osborne)說。“它們不太擅長我們所說的精確問題，因為它們的表現非常具有概率性。不幸的是，肖爾的算法受益于量子加速，因為從本質上講，它適合一種不同的看待問題的方式。”

 

另一種流行的非對稱加密是橢圓曲線加密(ECC)，它基于對橢圓曲線的操作。(縮寫不應與糾錯碼混淆，糾錯碼是信息論的一部分。)ECC比RSA更快、更復雜，是區塊鏈安全的基礎。然而，其計算的保護性復雜性也可能被量子計算機的速度所抵消，因為它們在迪菲-赫爾曼密鑰交換中共享數學根源。

 

此外，還有對稱加密，它最常用于身份驗證。對稱加密僅使用單個密鑰進行加密和解密。其最著名的例子是美國國家安全局批準的AES。因為它們基于哈希，所以它們不太容易受到Shor算法的攻擊，但可能容易受到其他方法的攻擊。

 

“肖爾的算法幾乎破解了我們今天使用的所有公鑰密碼系統，包括RSA和Diffie-Hellman，以及橢圓曲線版本，”數學家、NIST后量子密碼項目負責人達斯汀·穆迪(Dustin Moody)說。“對于像AES這樣的對稱算法，以及像SHA2和SHA3這樣的散列函數，我們不需要更換算法，因為它們沒有被破壞。在最壞的情況下，我們只是使用稍微長一點的鍵鏈接。”

 

由于紐約大學Courant數學科學研究所的Oded Regev教授的研究，肖爾的算法可能執行得更快，該研究擴展了肖爾在周期發現方面的工作。(更多的技術性討論可以在這里找到。)

 

現在收獲，以后解密

 

這些漏洞導致攻擊者采取了一種被稱為“現在收獲，以后解密”(HNDL)的策略，即黑客入侵，盡可能多地竊取加密數據，然后等待容錯量子計算機上線，這樣他們就可以收集值得采取行動或持有贖金的信息。

 

盡管存在這些擔憂，奧斯本質疑我們是否應該在其他攻擊之前擔心HNDL攻擊，基于傳統的安全方法，這種方法非常實用。“你永遠不可能防范所有的攻擊，所以你需要優先考慮攻擊者的能力和攻擊成本，以了解相關的風險，”他說。

 

雖然HDNL似乎是一個模糊而遙遠的威脅，但還有其他威脅。以Grover算法為例，它可以用來發現數據中的模式。格羅弗的算法可以通過量子計算實現其全部功能，從而成為一個增壓的搜索工具，可以理解所有解密的收獲數據。和肖爾的一樣，它也有可能破解加密密鑰。

 

量子錯誤可以為安全措施爭取時間

 

在當前嘈雜的中等規模量子時代，量子計算機的量子比特數量遠遠低于RSA推薦的2048個密鑰。在2019年，估計是2000萬個物理量子位，這個數字經常受到挑戰。去年冬天，中國研究人員聲稱已經用10個量子比特將整數分解為48位。然而，許多研究人員對這項工作持懷疑態度。肖爾本人在推特上寫道:“這篇論文顯然可能存在問題。”

 

不過，時間緊迫。它的速度有多快還不得而知。與傳統計算機一樣，量子計算機容易受到內部和環境噪聲的影響，這可能導致可靠性問題。量子計算機的情況可能更糟，因為噪聲會導致量子比特退相干(失去疊加狀態)，模糊維持計算所必需的量子狀態，因此不僅會像經典計算機那樣降低性能，而且會徹底摧毀它。

 

許多關于破解加密所需量子比特數量的討論都是基于邏輯量子比特，這個數字遠遠小于使計算機實際工作所需的物理量子比特。任何關于設備中量子比特數量的說法都必須與能夠在退相干中存活的物理量子比特數量相平衡。目前的估計是，1個邏輯量子位需要1000個物理量子位，這一開銷嚴重影響了量子計算機何時完全上線的預測。

 

為了推動這一領域的發展，IBM、AWS、Google和一些初創公司(如QuEra、inflqtion和quantum)正在努力通過改進糾錯來實現高相干時間。大多數改進都是基于量子低密度奇偶校驗(qLDPC)代碼，本質上是經典香農奇偶校驗的量子級更新。上個月，IBM在這方面處于領先地位，在《自然》雜志上發表了一篇封面文章，稱使用qLDPC變體將糾錯開銷降低了90%。

 

《自然》雜志的文章加重了解決這個問題的危機感，因為實現同樣的攻擊需要更少的邏輯量子比特。這加大了做好準備的緊迫性。”

 

由于量子和微軟本周宣布的研究，這個時間可能更緊迫，這給安全研究人員帶來了更大的壓力。他們共同展示了“有史以來最可靠的邏輯量子位，錯誤率比物理量子位高800倍”，已經運行了超過14,000個量子位而沒有錯誤。該成果使用主動綜合征提取，允許在不破壞邏輯量子位的情況下進行錯誤診斷和糾正，從而大大降低了1/1000的比率。盡管令人興奮，但值得注意的是，他們的論文還沒有經過同行評審。

 

量子籠養時代

 

除了他們的同名算法外，Rivest、Shamir和Adleman還創造了密碼學名人夫婦“Alice和Bob”，這是方程式中使用的“A”和“B”的具體體現。這是一個密碼學內部的笑話，以至于一家法國量子創業公司把它作為自己的名字。愛麗絲和鮑勃的方法通過創造一個更健壯的量子比特來減少錯誤，他們以量子物理學中最著名的貓命名。結合qLDPC糾錯，“貓量子比特”可以抵抗比特翻轉，該公司已經證明，它們可以將運行肖爾算法所需的量子比特數量減少多達200倍。

 

AWS也采用了cat量子比特的想法，并制定了自己的方法。然而，像所有量子位一樣，cat量子位仍然容易受到相變錯誤的影響。

 

貓量子比特實際上是量子比特設計的一部分。《科學》雜志的一篇評論文章詳細描述了前五名最受關注的科研熱點，第一個是超導電路，量子比特是其中的一個子集。超導電路以不同的方式也受到谷歌、IBM和AWS的青睞。接下來的四種方法是量子點、色心、捕獲離子(由量子與微軟合作使用)和拓撲量子比特，也受到微軟的青睞。

 

是德科技的哈桑說:“制造量子計算機有很多硬件技術。它們都有一個共同的特點，那就是有一個量子對象作為代碼元素來進行計算——作為量子比特。對于超導量子比特來說，它基本上是一個約瑟夫森結。有趣的是，引擎蓋下的超導量子比特是微波電路。”

 

量子比特思想的多樣性和工作的定制性也可能為安全研究人員贏得時間。"工具之間有許多空隙。"哈桑說。“人們使用點工具和本地工作流來完成他們的設計，這導致了昂貴的開發周期和非標準的工程程序。這些東西需要從研發領域轉移到生產領域，這時就需要EDA工具來實現這些系統的系統化工程。”

 

如果微軟、IBM、Alice & Bob或其他玩家在糾錯方面取得成功，Schrödinger的貓可能會像老虎一樣跳出盒子，撕裂非對稱密碼。然而，仍然必須注意物理量子比特數量的進展。去年12月，IBM發布了一款突破性的1000量子比特芯片，但仍遠低于大多數合法的密碼破解預期。

 

對策

 

然而，安全專家不愿意冒險，認為這一切都是炒作，一切都會好起來的。RSA一直在舉辦一場競賽，尋找最佳的預防措施，結果卻發現許多有希望的方法仍然是脆弱的。

 

Flex Logix負責營銷和業務發展的副總裁杰森·貝瑟倫(jason Bethurem)說:“競賽開始時共有69個提案。”“五年后，只剩下了四個。”最終結果預計將在今年夏天的某個時候公布。仍然有一些基于哈希的算法在向前發展。存活時間最長的是那些一直在增加鍵長度的鍵。數據路徑越來越寬，這當然會讓它變得更加困難，因為真正的數據路徑的力量，創建所有這些組合只是需要更長的破解時間。”

 

在提供實用可用性的同時，針對已知攻擊似乎最健壯的方法是基于格的算法。

 

IBM的奧斯本說:“量子計算機不太擅長處理一些黑箱組合問題。”格是一個組合問題。每個人都能想象一個二維晶格。如果它是一個規則晶格，你在二維晶格中選擇一個點，它與其他點中的一個點很接近，但不在它上面，這很直觀，你可以在腦海中看到。但是如果你有一個幾百維的晶格，這個問題就非常困難了，因為你必須嘗試很多種組合來找出這個多維晶格中哪個點靠近你的點。這是你必須嘗試的東西的組合爆炸，這就是它對密碼學有效的原因。你可以嘗試使用蠻力方法，但這只是滄海一粟。”

 

目前最受歡迎的基于格子的算法是舊技術的標準化。Rambus的Best表示:“有一種更新的密鑰交換機制，稱為CRYSTALS-Kyber算法，以及一種更新的數字簽名算法，稱為CRYSTALS-Dilithium算法，現在已經足夠標準化，人們期望它們能活很長時間，尤其是Dilithium。”

 

 

圖1:Rambus的后量子安全方法。來源:Rambus

 

“即便如此，我們也不會把所有的雞蛋都放在格子籃子里，”NIST的穆迪說。“雖然基于格的加密絕對是最有前途的，但我們選擇了四種算法進行標準化。其中三個是基于格的。第二個最有前途的領域是所謂的基于代碼的密碼學，它使用糾錯代碼。它在直覺上類似于基于格的密碼學。代碼用向量表示。當你添加兩個碼字時，你會得到另一個碼字。糾錯碼的一部分是如果你得到一串比特，那是一個任意的字符串。你通常想要找到最接近的碼字，因為這是你想要糾正的。你假設有幾個比特被弄亂了，但它應該是這個最接近的碼字。這和晶格的情況很相似。加密系統的一個想法是，你有一個矩陣，它生成你的代碼，你打亂它來隱藏你設計它的結構，你把它作為你的公鑰，這是攻擊者必須使用的。而你設計你的糾錯碼，生成它的矩陣，用一些特殊的結構，使你能夠有效地解碼。這意味著如果你的向量空間中有一串任意的比特，你可以解碼并以一種有效的方式找到最近的碼字。”

 

對于尋求內部措施的公司，許多公司強調了加密敏捷性的必要性。Flex Logix的Bethurem表示:“大型ASIC制造商和網絡制造商都開始關注加密敏捷性。未來，所有制造商都希望擁有一個核心加密引擎，它可以完成這些復雜算法的許多主要功能和主要處理。“他們可能還必須包括一個更小的加密引擎，這是適應性部分。如果你不具備某種靈活性，那么在某個時候，你今天為保護你的產品所做的假設可能會在未來受到挑戰和破壞。”

 

結論

 

雖然每個人都在努力保持對控制PQC的樂觀態度，但Synopsys安全IP解決方案產品管理總監Dana Neustadter敦促設計師們現實地思考實施這些解決方案意味著什么。

 

Neustadter說:“引入有缺陷的實現和解決方案的風險非常高，因為這些是新的算法，它們本身就在傳輸中。”“我們剛剛看到，NIST正準備選擇一組算法進行標準化，但在最后一刻，特定的算法遭到了破壞。如何將整個系統和設備轉換為與我們今天所處理的完全不同的算法?盡管這些是替代算法，但并不意味著它們不會被打破，因為它們沒有得到足夠的研究。”

 

Neustadter指出，另一個風險是，僅僅是新穎性和不熟悉性就會增加執行錯誤的可能性。“如果你回顧過去，情況類似于我們從對稱算法(如DES)轉向AES時的情況，只是它將更加復雜，需要數年時間。我們正在過渡到全新類型的算法，你可以處理更大的鍵，這會影響系統內存的可用性。你需要有敏捷性，因為算法在變化。它不會在一夜之間穩定下來。最終，這些問題可以及時解決，但至少在一段時間內，這是一個嚴重的威脅。”

 

其他人對此表示贊同，并發出了警告。“推動采用量子安全加密技術是我們的職業義務，或許也是我們的愛國義務，”拉姆布斯的貝斯特說。“這項技術即將到來。”

 

編譯自《Semiconductor Engineering》

 

遠望智庫開源情報中心 云卷云舒；來源：戰略前沿技術微信號  圖片來源網絡 侵刪