量子計算對我們當今數字世界所依賴的加密形式已經構成迫在眉睫的威脅。在這個或者下一個十年之內,量子電腦將發展至足夠強大,有望輕鬆壓倒當前最先進的密碼學方法。目前主流的加密算法基於現有超級電腦也無法解決的數學問題,但這些問題在未來先進量子電腦面前可能沒有任何實際意義。
儘管我們也不確定量子計算技術何時才會衝垮經典加密,但它的最終實現已經只是時間問題。未來的量子電腦可能破解目前用於保護線上交易、金融數據甚至是國家安全/政府通信內容的加密算法。
只有一種方法能夠避免這些潛在的災難性衝擊——利用抗量子加密技術對當前每種安全算法做搶救性修復。
多年以來,IBM一直致力於研究Quantum Safe量子安全技術,希望解決這個問題。在探討IBM解決方案之前,我們首先需要回顧量子計算的發展歷程。
量子計算與傳統密碼學現狀
從發展的角度來看,如今的量子電腦已經是擁有30至1000量子比特的「後期型」,用於實現量子比特的硬體技術也多種多樣,包括超算資源、離子阱、中性原子甚至是光粒子等。
當量子比特達到數百萬級別、容錯能力也發展成熟之後,量子電腦將有望攻克氣候變化、大分子模擬和創造新材料/藥物等重大難題,真正改善我們的日常生活。但同時,這類量子電腦也將給密碼學乃至企業、社會和政府的財務基礎構成重大威脅。
1994年,貝爾實驗室的數學家Peter Shor開發出一種理論上能夠對巨大質數進行因式分解的算法,引發了人們對於量子計算的關注。這篇如今被稱為Shor算法的論文在初發表時,還沒有哪台量子電腦能夠將其破解。雖然目前的量子電腦還是差那麼一口氣,但這種最常見的RSA非對稱加密形式之一已經不再像過去那般底氣十足。有些朋友可能不太熟悉,Shor算法使用兩個超大質數相乘以創建公鑰和私鑰——其中公鑰用於加密數據,私鑰用於解密數據。公鑰可以與他人共享,私鑰則須嚴密保管。
破解加密需要多強的量子算力?
科學家們普遍認為,經典超級電腦可能需要數百萬年才能破解2048位的RSA密鑰。之所以要耗時這麼久,就是因為能夠創建同一密鑰的質數潛在組合太多,系統只能在幾百萬年的時間裡反覆測試來找尋正確答案。
然而,同樣的問題在先進的量子電腦上可能幾天、甚至幾個小時就能搞定。這就是風險所在——雖然經典超級電腦仍無法對當前密碼學和加密技術構成風險,但量子電腦卻能毫無壓力地幹掉整個當前密碼體系。
一項研究推測,只要一台2000萬量子比特的容錯量子電腦,人們只需要8個小時就能破解RSA-2048加密。
換個思路,我們也可以用更少的量子比特來破解RSA算法,只是需要的時間更長。富士通研究人員估計,擁有1萬個邏輯量子比特(一個邏輯量子比特中包含多個物理量子比特)和2.23萬億個量子門的容錯量子電腦同樣能夠破解RSA。雖然速度不太快——需要104天——但畢竟也具有可行性。
下面,我們再把百萬量子比特的展望跟現實聯繫一下。
今年,IBM的量子路線圖要求開發出迄今為止規模最大的量子電腦處理器——擁有1100個量子比特。
儘管我們目前的量子電腦性能有限,但大多數專家都堅信該技術終將在可預見的未來,發展出足以破解RSA加密算法的強大能力。
什麼時候能真正破解加密算法?
但「終將」是哪天?暫時沒有答案,沒人能說清量子電腦何時才能破解當前加密算法。可換言之,這也代表著何時發生都有可能。目前,這種能力正沿著量子算力的升級時間線而逐步邁進。除了之前提到的量子比特規模和容錯能力之外,未來能破解密碼學的量子電腦還需要採取以量子為中心的超級電腦架構。
下面來看專業信媒對加密體系崩塌做出的合理預測:
美國國家標準與技術研究院(NIST)幾年前發布一份《後量子密碼學》報告,預計最早可能在2030年出現首次密碼泄露。
滑鐵盧大學的另一位專家Michele Mosca博士則估計,到2026年基礎公鑰加密工具已經有七分之一的幾率被破解,到2031年該幾率將上升至50%。
以上都是幾年前就已出爐的估算。雖然近來量子計算技術取得了重大進展,但容錯問題仍然沒有找到太好的辦法,預計還需要五年甚至更長時間才能實現。錯誤緩解倒是有一定成效,但不足以將量子電腦擴展到能破解Shor算法、也就是找出RSA加密公鑰與解密私鑰的級別。
哪些系統類型存在風險?
當今世界,幾乎所有數字資產都匹配某種加密保護機制。從個人電子郵件賬戶到訂閱服務,再到網上銀行和股票交易賬戶,乃至國家電網和市政供水系統等關鍵基礎設施。可如今的傳統加密根本無法在先進量子計算環境中倖存下來,也就是說目前的受保護系統未來將不再安全。
從國家支持的大型團體到惡意黑客組織,攻擊者可能會通過以下幾種方式入侵、甚至徹底打垮我們的整個金融體系:
操縱文件更新,或使用欺詐性身份驗證偽造文件。
對收集到的機密歷史數據做解密。
通過偽造數字簽名篡改法律記錄。
創建虛假網站身份和虛假軟體下載鏈接。
發動勒索攻擊,威脅泄露私人敏感數據。
偽造地權和租賃文件。
以上只是量子計算可能給個人生活、企業、社會、政府乃至整個世界造成金融破壞的幾個例子。量子計算對經濟系統的實際影響難以預測,但產生的衝擊無疑重大且值得警惕。
另外,涉及電網或交通航行路線的系統一旦中斷,其影響絕不會孤立存在,而是在整個全球經濟中引發連鎖反應並長期持續。據估計,每次加密入侵造成的損失可能高達數萬億美元。
世界經濟論壇最近估計,在未來10到20年內,將有超過200億台數字設備需要進行升級或更換,旨在引入新的量子安全加密通信形式。
IBM量子安全技術已經啟動
2022年11月,美國管理和預算辦公室發布一份備忘錄,要求全體聯邦機構著手準備落實後量子密碼學技術,從而保護聯邦數據和資訊系統。這份備忘錄延續了2022年5月白宮國家安全備忘錄中的要求,計劃提供聯邦資源以保證到2035年讓所有美國數字系統均升級為具備抗量子能力的網路安全標準。
之前,NIST在2016年啟動了後量子密碼學標準化進程,旨在識別能夠抵禦量子電腦威脅的新算法。經過三輪評估,NIST最終確定了幾種新的量子安全算法,並計劃到2024年制定出新的量子安全標準。
在NIST的最終輪篩選中,共有四種基於晶格密碼學的量子安全加密算法晉級,IBM研究人員參與開發了其中三種:CRYSTALS-Kyber、CRYSTALS-Dilithium 和 Falcon。
各行業也已經在為量子未來做好準備。去年,電信行業組織GSMA成立了後量子電信網路工作組。IBM和沃達豐都是該組織的創始成員,參與制定政策、法規和運營商業務流程,旨在保護電信公司免受量子威脅。
應採取哪些措施保護加密技術免受量子威脅
本文開頭提到,只有一種方法能夠保護數十億加密產品和服務免受未來量子電腦的潛在危害。根據最樂觀的估計,量子電腦對現有加密服務和產品的威脅可能將在2030年左右出現。也就是說,接下來只有六到七年時間讓各組織和政府機構使用新的NIST量子安全算法替代現有公鑰加密應用。
IBM在Think 2023大會上宣布,IBM研究人員和企業合作夥伴一直在為此積極開發量子安全修復技術和算法。其目標是讓未來的量子算力和收益能夠不受阻礙地順暢流通,同時保證將量子計算帶來的加密破解能力消弭於無形。
IBM Quantum Safe量子安全方案
IBM的Quantum Safe是一種端到端量子安全解決方案,能幫助企業和政府機構識別出現有加密算法,並使用新算法加以替換。Quantum Safe包含一套完備的工具和功能,可幫助轉化當前環境以實現量子威脅抵禦能力。
IBM Quantum Safe工作原理
Quantum Safe技術包含三大關鍵功能:IBM Quantum Safe Explorer、IBM Quantum Safe Advisor和IBM Quantum Safe Remediator。這些功能分別對應轉化流程中的具體步驟,負責發現、觀察並轉換加密方法。
Explorer能夠掃描源代碼和目標代碼,Adivsor提供系統範圍內加密技術使用情況的動態或操作視圖。Explorer和Advisor共建的組合視圖,則從動態和靜態兩個角度對企業範圍內的加密體系進行綜合審視。Explorer和Advisor的組合資訊還可用於監控並管理加密算法及相應的漏洞,同時作為轉型路線圖的輸入素材,詳盡說明需要優先解決什麼問題、哪些調整能夠提供顯著收益。
之後就是在轉換過程中應用路線圖,由Remediator整理最佳實踐並儘可能自動完成操作。
Quantum Safe架構解析
儘管Explorer、Advisor和Remediator都是Quantum Safe架構中的獨立功能,但也會共享同一套公共資訊模型以實現相互集成。
Quantum Safe系統能夠將資訊整理為基於軟體物料清單(SBOM)思路的加密物料清單(CBOM)。CBOM是量子安全加密遷移中的重要工具,負責識別並清點加密資產和依賴項,幫助規劃如何向具有單一事實信源的量子安全算法的遷移工作。
更重要的是,Quantum Safe系統在設計中還考慮到多項關鍵因素。IBM指出,該工具無需在企業框架內安裝任何額外代理,目標就是整合客戶已經擁有的要素。正因為如此,它必須能夠與外部系統和原有記錄系統相集成,特別是持續集成和持續部署(CI/CD)管線、網路監控系統和配置管理資料庫。CI/CD管線代表一系列工具和流程,能夠自動執行軟體的開發、測試和部署工作。
上圖所示,為Explorer通過掃描源代碼和目標代碼來捕捉並顯示數據視圖。這套綜合視圖顯示出加密算法的所在位置,以及各個實例的待修復狀態。通過示例可以看到,應用程序Java代碼倉庫中特定端點的結果都已呈現在儀錶板上。這意味著Explorer掃描了全部Java文件,並在掃描結果中識別出了特定加密用例。
除了最左側的紫色圓圈,其他標記應該都很容易理解。這裡的紫圈表明,有14種算法不符合量子安全要求。若有任意算法符合量子安全要求,則紫圈中將有一部分顯示為綠色。Explorer能找到當前正在使用的各特定算法,例如RSA、Diffie-Hellman和AES等。
Advisor的這份動態視力還顯示出網路數據及其相應的加密技術使用情況,還有當前TLS服務和量子密碼數量。雙擊某個項目,將顯示它的起效位置和其他上下文資訊。將此視圖與之前的視圖相結合,就能獲得關於加密技術使用情況的更多資訊。
使用Quantum Safe TLS也至關重要,因為未來能夠攻克Shor算法的量子電腦也能輕鬆碾壓目前的TLS通信算法。再有,一旦大型容錯量子電腦成為現實,惡意黑客也許能輕鬆窺探並竊取TLS傳輸中的數據內容。
IBM目前提供API,可供客戶與原有網路安全掃描工具相集成,並提取網路掃描日誌進行分析。
Quantum Safe Remediator能夠實現自動化修復,但目前的適用範圍較為有限。由於尚處於開發階段,對於無法自動修復的多數代碼,可能需要架構師和開發者遵循最佳實踐手動加以調整。
很多客戶可能還需要能支持QSE的VPN,也就是量子安全的網路代理。為了滿足這方面需求,IBM為客戶編寫了能夠在其環境中實例化的模式,幫助他們理解工作原理並立即上手使用。
請注意,目前只有少數修復模式開放使用。IBM解釋稱未來也不會創建太多種模式,接下來的目標是根據最佳實踐創建出高價值導向的編碼模式,確保為客戶提供最大收益。另外需要注意的是,IBM還擁有一套已知模式庫。結合Explorer和Advisor的持續發現,IBM將能夠編寫新模式並不斷交付給客戶。
Quantum Safe路線圖中的發展里程碑和時間表
IBM Quantum Safe路線圖以新興技術為基礎,制定出一套加強的數字化轉型計劃。該路線圖還支持修復工作,幫助現有數據資產和服務獲取量子安全保障。該路線圖也列出了由行業標準、聯邦政府要求和CNSA指南所推動的重要發展里程碑與對應日期。
路線圖中的數據將幫助聯邦部門、民間機構和醫療保健服務商嚴格遵循進度要求和日期規定。各供應商還可以使用這些資訊了解關於量子認證的具體要求。
路線圖最後列出了IBM基礎設施軟硬體產品,這些產品也分別擁有自己的量子安全轉換方案。
總結
我們無法預測量子算力何時才會首次攻破我們的加密保護服務或產品。可能就在這個十年,也可能要等到下一個十年。但其中的關鍵在於:如今的密碼學技術無法阻止未來的量子電腦。
既然所有數據都身處危險,那麼必須搶在量子電腦能夠即時破解加密技術之前找到應對措施。否則一旦量子電腦強大到足以強行突入,現有加密保護下的數據將很快成為惡意黑客的囊中之物。同樣,以往無需重大調整就能長期安全運行的電腦系統,如今也需要利用量子安全加密技術做全面修復。考慮到當前幾乎所有數字服務和產品都依賴於某種形式的加密技術,各家組織必須啟動程序來儘快發現舊加密方法,並將其轉換為新的量子安全算法。舊加密體系的修復難度不低,速度也不會很快。但遙望量子發展的未來,現在的一切努力都是值得的。
IBM Quantum Safe極大簡化了舊算法的修復過程,而且與IBM的當前量子發展路線圖類似,Quantum Safe也是一款相當靈活的產品,能夠以循序漸進的方式改進路線圖。IBM將繼續為Quantum Safe引入新功能,在內部測試與客戶合作的雙重加持下探索功能驗證和改進。
