1、 ! # $ % & ( )! # $ ��������% & ( )* *+,-,-,-,-. 中国信息协会量子信息分会中国信息协会量子信息分会 (2020年年12月)月) 中国信息协会量子信息分会 量子安全技术白皮书(2020) III 前言前言 随着信息通信技术的快速发展,社会的信息化程度日新月异,国家、机构、个人的信息安全需求与日俱增。密码技术作为信息安全技术的基石在保障信息的机密性、真实性、完整性和不可抵赖性方面发挥着核心作用。得益于数学的支撑,现代密码学构建了较完善的体系,而与其相生相克的密码破解技术却也一直在挑战和刺激着密码学的不断演进。特别是以量子计算为代表的计算能力飞跃发展,已经对基于大数分
2、解、离散对数等数学难题的公钥密码体系带来了前所未有的挑战。于此同时,基于量子物理的量子密码技术(以基于量子通信的量子密钥分发为代表)和基于新型数学难题的抗量子计算公钥密码算法担负起了抵御量子计算挑战的重任,并在国际上催生了新的安全概念量子安全。虽然距离第一台能破解典型公钥密码的量子计算机出现可能还需十年甚至二十年时间,但国家、机构甚至个人的核心数据保密年限需求也会达到数十年之久,其将面临诸如:现在被截获和存储,将来被破译等安全风险。因此,实践量子安全保障已具现实意义。 当�����前,量子密钥分发技术日����臻成熟、商业产品已经投入实践;抗量子计算密码算法也正在广泛征集、快速发展。量子安全已成为国际热点与创新
3、前沿。我国在量子通信及抗量子计算密码方面积累深厚、自主可控,并走在世界前列。本白皮书将围绕什么是量子安中国信息协会量子信息分会 量子安全技术白皮书(2020) �����IV 全技术、如何实现量子安全技术,如何在信息系统中使用量子安全技术等方面凝聚学术界和产业界共识,并立足当下、面向未来探讨量子信息技术和新型密码技术如何在新一代信息技术基础设施中发挥作用,形成战略性新兴产业,服务社会民生。 本白皮书由中国信息协会量子信息分会牵头,中国通信标准化协会量子通信与信息技术特设任务组、中国电子学会量子信息分会联合组织编写。编写组人员分别来自科大国盾量子技术股份有限公司、国科量子通信网络有限公司、中国电子科技网络
4、信息安全有限公司、北京科技大学、上海交通大学、武汉大学国家网络安全学院、中山大学、云南大学、济南量子技术研究院等 9 家单位。 本白皮书������在编写过程中还得到了清华大学王向斌教授、中国科学技术大学张军教授、中国科学技术大学聂友奇博士等专家的帮助和指导,在此向他们表示诚挚的谢意。中国信息协会量子信息分会 量子安全技术白皮书(2020) V 目录目录 一、概述 . 1 (一)信息安全和密码技术 . 1 (二)量子计算及其对于密码技术的威胁. 3 ����(三)量子安全的内涵 . 9 二、 量子安全技术 . 15 (一)基于数学问题的密码技术 . 15 (二)基于量子物理的密码技术 . 26 三、 量子安全技术
5、应用 . 33 (一)量子安全应用方案 . 33 (二)量子安全典型技术领域应用 . 50 (三)量子安全典型垂直行业应用 . 56 四、 量子安全技术发展现状 . 63 (一)后量子密码技术的发展现状����� . 63 (二)量子密码技术的发展现状 . 70 五、 量子安全技术面临的挑战 . 90 附录 1 量子密钥分发技术标准化情况 . 95 附录 2 针对 QKD 实际安全性的攻击方案和防御措施 . 102 附录 3 缩略语 . 105 参考文献 . ����110 中国信息协会量子信息分会 量子安全技术白皮书(2020) 1 一、概述一、概述 (一)信息安全和密码技术(一)信息安全和密码技术 1. 1
6、. 从传统信息安全到网络空间安全从传统信息安全到网络空间安全 传统概念上的信息安全指信息生成、存储、传输等处理过程的安全。 信息安全概念产生于防御以窃取敏感信息为主要方式的早期信息攻击。其一般特点我们可以总结为强调技术,强调防护。 现代社会中由于信息的使用无处不在, 信息系统应用深入、 广泛,对社会发展起到了加速器的重要作用, 随之而来的信息安全问题也愈发凸显。 社会生产生活涉及到的信息安全几乎包含了现代社会的各行各业和方方面面,如国家安全、基础设施安全、公共医疗与卫生、个人隐私保护、虚假信息甄别、突发事件应急响应��������等。与此同时,信息安全也正从传统理念向网络空间安全理念发展。 网络空间安全理念更
7、强调应对防御上的综合性与主动性,安全体系建设上的全程性。在网络空间安全时代,面对安全威胁的复杂性乃至一定程度的未知性,讨论信息安全问题时我们应该有体系意识和边界意识, 没有一种安全技术、安全体制对信息安全威胁是“银弹”,是包打天下的。 2. 2. 信息安全保障的关键要素信息安全保障的关键要素 对信息安全保障的关键要素一般理解如下: 中国信息协会量子信息分会 量子安全技术白皮书(2020) 2 (1)可用性(Availability),是指即使在突发事件下,依然能够保障数据和服务的正常使用,如网络攻击、计算机病毒感染、系统崩溃、战争破坏、自然灾害等。������ (2) 机密性 (Confidentiali
8、ty) ,是指能够确保敏感或机密数据的传输和存储不遭受未授权的浏览, 甚至可以做到不暴露保密通信的事实。 (3)完整性(Integrity),是指能够保障被传输、接收或存储的数据是完整的和未����被篡改的, 在被篡改的情况下能够发现篡改的事实或者篡改的位置。 (4)可认证性(Authentication),也称真实性,是指能够确保实体(如人、进程或系统)身份或信息、信息来源的真实性。 (5) 不可否认性 (Non-repudiation) ,是指能够保证信息系统的操作者��������或信息的处理者不能否认其行为或者处理结果, 这可以防止参与某次操作或通信的一方事后否认该事件曾发生过。 3 3密码技术在保障信息安全
9、中的作用密码技术在保障信息安全中的作用 密码是信息安全的基础、核心和支撑,是信息安全体系结构中最“硬核”的底线,又与信息有最直接、最“亲密”的保护关系。 具体来说,可以总结为密码技术为信息安全提供四种安全服务: l 保密性服务保密性服务 保护数据以防窃听为主的被动攻击。保护方式可依据通信关系(一对一还是一对多)、保护范围等因素而不同。 中国信息协会量子信息分会 量子安全技����术白皮书(2020) 3 l 完整性服务完整性服务 和保密性服务一样,完整性服务也能应用于整个消息流、单个消息或一个消息的某一选定域。 用于保证所接收的消息未经插入、 篡改、重排或重放,因此和所发出的消息是完全一样的。 l 认
10、证服务认证服务 用于保证通信的真实性。在单向通信的情况下,认证服务的功能是使接收者相信消息确实是由它自己所声称的那个信源发出的。 在双向通信的情况下,在连接开始时,认证服务则使通信双方都相信对方是真实的(即的确是它所声称的实体)。 l 不可否认业务不可否认业务 用于防止通信双方中的某一方对所传输消息的否认, 接收方收到消息后,能够证明这一消息的确是由通信的另一方发出的。 (二)量子计算及其对于密码技术的威胁(二)量子计算及其对于������密码技术�����的威胁 1. 1. 对称密码技术和非对称密码技术对称密码技术和非对称密码技术 1.1 1.1 对称体制对称体制 对称密码指加密密钥和解密密钥相同的密码体制1。其
11、安全性取决于两点:一,密钥的安全性,一切秘密寓于密钥之中,密钥管理至关重要;二,加解密算法的安全性。对称密码包括两个主要分支:流密码,对明文消息按字符逐位进行加密;分组密码,将明文消息分组并逐组进行加密。代表性对称密码算法包括:AES、IDEA、SM4、ZUC中国信息协会量子信息分会 量子安全技术白皮书(2020) 4 等。对称密码体制安全等级������高,加解密效率高,可通过低成本芯片高效实现,主要用于数据加密和消息认证。 1.2 1.2 非对称体制非对称体制 非对称体制下的密码即公钥密码1,其基本思想是:密钥成对出现,一个为加密密钥(公开的,故称公钥),一个为解密密钥(秘密的,故称私钥),且从公钥推
12、算出私钥在有限的计算资源和计算时间内是不可行的。 其安全性取决于公钥算法所依赖的数学困难问题的计算复杂度。 最具代表性的应用于公钥密码设计的数学困难问题包括质因数分解、 离散对数、 椭圆曲线问题等。 代表性公钥密码包括: RSA、El Gamal、������� ECC 等。 公钥密码主要用于加解密、 密钥分发、 数字签名、认证等。 1.3 1.3 对称与非对称体制的比较与配合对称与非对称体制的比较与����配合 对称与非对称体制的密码技术可确保信息的机密性、真实性、不可抵赖性、完整性等(如表 1-1 所示)1:机密性基于加解密密码功能,主要依赖于对称密码,部分场景可采用公钥密码;真实性基于认证密码功能,主要依赖于
13、对称密码、公钥密码和杂凑函数;不可抵赖性基于签名密码功能,主要依赖于公钥密码;完整性基于摘要密码功能,主要依赖于杂凑函数。 在加解密等应用场景中,公钥与对称密码需结合使用。加解密系统中首先需要在通信双方间建立一致的、安全的密钥(即密钥分发过中国信息协会量子信息分会 量子安全技术白皮书(2020) 5 程),然后再基于该密钥实现加解密,系统整体安全性依赖于密钥交换过程的安全性和加解密算法的安全性。其中,密钥分发过程主要依赖于公钥密码,其安全性主要基����于质因数分解、离散对数、椭圆曲线等数学困难问题的计算复杂度,加解密过程主要依赖于对称密码。 表 1-1 密码服务对应的密码体制 信息安全属性信息安全属
14、性 所需密码功能所需密码功能 对称密码对称密码 公钥公钥密码密码 杂凑函数杂凑函数 机密性 加密 普遍使用 使用不普遍 - 真实性 认证 普遍使用 普遍使用 普遍使用 不可抵赖性 签名 - 普遍使用 - 完整性 摘要 - - 普遍使用 2. 2. 量子计算的原理和应用量子计算的原理和应用 2.1 2.1 量子计算基本原理量子计算基本原理 量子计算是一类遵循量子力学规律进行高速数学和逻辑运算、 存储及处理量子信息,解决各类问题的技术,量子计算机是实现这一技术的物理装置。量子计算以量子比特为基本单元,通过量子态的受控演化实现数据的存储和计�����算, 具有经典计算无法比拟的信息携带和并行处理能力。 其优势
15、源于以量子相干叠加和干涉来编码和处理信息而引入的量子并行性。 量子计算对量子相干叠加态的每一个叠加分量实现的变换相当于一种经典计算,所有这些经典计算同时完成,并按一定的概率振幅叠加,给出量子计算输出结果,此即量子并行计算。量子计算的主要能力如下: 中国信息协会量子信息分会 量子安全技术白皮书(2020) 6 (1)克服摩尔定律失效:克服摩尔定律失效:量子计����算能克服晶体管特征尺寸�������减小引起的热耗效应和量子效应对现有计算机进一步发展的制约, 解决经典计算机制造中面临的摩尔定律失效问题, 是下一代计算机的重要发展方向。 (2 2)计算力飞跃:)计算力飞跃:利用量子叠加效应实现量子并行计算,极大地提高计
16、算速度和信息处理效率。 量子计算被证明能指数或多项式量级加速某些有重要应用价值的计算问题的求解。 2.2 2.2 量子计算发展现状及趋势量子计算发展现状及趋势 (1)发展现状简介 近年来,各主要发达国家都大力投入量子计算研究。美国已形成政府、科研机构�������、产业和投资力量多方协同攻关局面,英国、欧盟、日本、加拿大、澳大利亚、中国等也在量子计算领域紧密跟随,不断加大对量子计算的投入。以 IBM、Google、英特尔为代表的科技巨头间竞争激烈,开展了如火如荼的“量子比特大战”,积极开发原型产品,推动了量子计算技术的快速发展。近年来,量子计算芯片的量子比特位数得到不断提升(目前正在向 128 量子比特发展
17、),其增长速度基本符合摩尔定律,故也被称为“量子摩尔定律”。我国中国科学技术大学、中国科学院、阿里巴巴、腾讯、百度和华为等高校、科研院所和商业公司为代表在量子计算领域进行了大量布局, 部分技术成果处于国际先进水平。 中国信息协会量子信息分会������� 量子安全技术白皮书(2020) 7 量子计算机可基于多种不同物理体系实现2,如离子阱体系、超导量子电路体系、半导体量子点体系、腔量子电动力学体系、核磁共振体系、线性光学体系、拓扑体系等。量子计算机总体上仍处于技术验证和原理样机研制阶段,目前处于中型含噪量子计算(NISQ)阶段(例如谷歌的 Sycamore),仍面临量子比特数量少、相干时间短、出错率高等诸多
18、挑战。 目前, 超导和离子阱技术路线的研究相对较������多、组成的量子线路规模相对较大, 但总体而言尚无任何一种路线能完全满足实用化要求并趋向技术收敛。 (2)发展趋势 实现实用的通用量子计算机技术难度很大, 是一个长期任务2:第一个阶段是实现量子优越性(或量子霸权),即针对特定问题的计算能力超越经典超级计算机, 这一阶段目标已在 2019 年由 Google 公司在其超导量子计算系统上率先实现3, 在������ 2020 年由中国科学技术大学在其光量子计算系统再次实现4;第二个阶段是实现具有实际应用价值的专用量子模拟系统,可在组合优化、量子化学、机器学习等方面发挥效用;第三个阶段是实现可编程的通用量子计算机。
19、上述目标的实现还需要全世界学术界、工业界的长期艰苦努�������力。 然而,量子计算不是万能的,不能完全取代经典计算。目前量子计算已在大数分解、无序数据搜索、求解线性方程、组合优化等重要问题上被证明有优势,需探索更多有用的量子算法。量子计算究竟能多大程度解决多少有重要实际应用价值的计算问题仍需进一步探索。 中国信息协会量子信息分会 量子安全技术白皮书(2020) 8 2.3 2.3 量子计算的应用领域量子计算的应用领域 量子计算技术所带来的算力飞跃, 有可能成为未来科技加速演进的“催化剂”,一旦取得突破,可在生物医学、材料学、化学、密码破译、气象预报、空气动力学计算、武器研制、人工智能、能源与大数据等多个
20、方面得到应用, 为先进材料制造和新能源开发等奠定科学基础,对提升国家综合竞争力有战略意义。 3. 3. 量子计算对经典密码安全性的威胁量子计算对经典密码安全性的威胁 密码是信息安全的核心, 现有的信息安全是建立在经典密码技术之上的,包括对称体制和非对称体制。然而,量子计算技术和量子算法的不断进步,为密码破译提供了更有力、更致命的攻击方法。著名的 Shor 量子算法和 Grover 量子算法对经典密码体������制安全性构成威胁。 Shor 量子算法可以在多项式时间内分解大整数和求解离散对数等复杂数学问题,因此可以对广泛使用的 RSA、 ECC、 DSA、 ElGamal 等公钥密码体制进行快速破解。例如
21、:分解一个 400 位的大数,经典计算机约需要 51022次操作,而量子计算机约需要 6107次操作,量子计算机所需操作数仅为经典计算机的 80 万亿分�����之一! Grover量子算法能够将无序数据库的搜索时间降为平方根时间。例如,当需要从 N 个未分类的客体中搜索出某个特定客体时,经典计算机需要一个个查询,直到找到所要的客体,平均要查 N/2 次,找到的几率为 1/2,而采用 Grover 算法的量子计算机采用并行处理,只中国信息协会量子信息分会 量子安全技术白皮书(2020) 9 需 N1/2次,找到的几率接近 100。例如,Grover 算法可以有效地攻破以 DES 等为代表的对称密码,其本
22、质就是从 256个可能的密钥中寻找正确密钥。若以每秒 106次的运算速率,经典计算机要花 1000 年,而采用 Grover 算法的量子计算机所需时间低于 4 分钟。 综上,如表 1-2 所示,Grover 量子算法同时适用于对称密码和公钥密码破译,其能力等价于将等效密钥长度减半。应对措施是将对称密码算法使用的密钥长度加倍;对于无密钥参与的哈希函数,应将哈希函数输出长度加倍。Shor 量子算法对基于大整数分解和离散对数问题的公钥密码产生了严重威胁, ����需要考虑采用新的密码算法加以应对。 表 1-2��� 量子计算机对经典密码的影响 (来源于 NIST IR 81055) 密码算法密码算法 类型类型 功
23、能用途功能用途 量子计算影响量子计算影响 AES 对称密码 加解密 需增加密钥长度 SHA-2, SHA-3 杂凑 哈希散列函数 需增加输出长度 RSA 公钥密码 ������数字签名,密钥分发 不再安全 ECDSA, ECDH 公钥密码 数字签名,密钥分发 不再安全 DSA 公钥密码 数字签名,密钥分发 不再安全 (三)(三)量子安全的内涵量子安全的内涵 1.1. 量子安全的概念量子安全的概念 对应于量子计算的攻击,量子安全(quantum safe)的概念也被相应的提出6。顾名思义,量子安全是指即使面对量子计算的挑战也能得到保证的信息安全。 而与之相关的量子安全密码学是指寻找和中国信息协会量子信息分会
24、 量子安全技术白皮书(2020) 10 确认可抵御经典计算机和量子计算机攻击的算法和协议, 即使在大型量子计算机出现之后也能确保������信息资产的安全。 如前所述, 目前并非所有的经典安全协议和密码算法都容易受到量子计算的攻击,部分算法�����被认为是量子安全的,另一部分则被认为是不能免疫量子攻击的。如果某种算法或协议在经过充分研究后,表明其可以抵御所有已知的量子算法攻击, 同时在没有证据表明其易受量子攻击前, 就可以认为其是量子安全的。 当然, 在经过深入研究后,目前被认为是量子安全的算法在未来未必安全的可能依然存在。 诸如 AES 之类的对称密码算法可以被认为是量子安全的。 因为对于对称密码而言, 虽然使
25、用运行 Grover 算法7的量子计算机可以比传统计算机更快地破解对称算法,但是,通过将对称密码的密钥长度加倍,可以使量子计算机进行破解的难度与传统计算机相当。例如,目前的研究显示,对于经典计算机而言,AES-128 是难以破解的,而对于量子计算机和已知量子算法而言, AES-256 却很难破解。 因此 AES被认为是������量子安全的。 但 RSA 和 ECC 这样的公钥密码算法不是量子安全的,因为它们无法通过增加密钥长度来超越量子计算的发展速度。例如,研究表明,攻击 RSA 算法所需的量子比特数与 RSA 密钥的长度大致成线性比例关系, 所需的量子门操作次数和 RAS 密钥的长度成多项式关系;也就
26、是说,RSA 算法无法通过增加密钥长度来抵御量子计算的指数加速攻击8。 目前受量子计算攻击影响最大的是建立在整数分解和离散对数等计算复杂性上的公钥密码体系, 包括 RSA, DSA,DH,ECDH,ECDSA 以及基����于这些密码的其他变体。从这些公钥密码中中国信息协会量子信息分会 量子安全技术白皮书(2020) 11 获取安全性的安全协议和系统都将受到量子计算的威胁。然而,目前的安全产品和协议中几乎所有公钥密码都需要使用这些类型的密码算法。因此,需要用量子安全密码代替这些密码算法才能抵御量子攻击。此外,对称密码通常使用公钥密������码技术来进行对称密钥交换,即使对称密码本身是量子安全的,但由于对称密钥不
27、安全,整体的量������子安全性也无法得到保证。 实现量子安全的方式主要分为两类: 一类是可以抵御已知量子计算攻击的经典密码算法, 该类密码算法的安全性同样依赖于计算复杂度,这类算法或协议通常称为抗量子计算密码(Quantum Resist Cryptography,QRC)或后量子密码(Post Quantum Cryptography,PQC)。其中主要包括基于哈希的密码、格密码、基于编码理论的密码、多变量密码、超奇异椭圆曲线以及大部分对称密钥密码。如前所述,这些后量子密码能抵御已知的量子攻击,对于新出现的攻击可能并不免疫。同时即使是已知攻击,其安全性同样是基于计算困难性。 另一类量子安全的密码则是
28、以量子物理原理为依托的量子密码(Quantum Cryptography),其最具代表性的协议是量子密钥分发(Quantum Key Distribution,QKD)9。QKD 具备信息论安全性,意味着 QKD 即使在攻击者拥有无限强的计算资源下也仍然安全, 这其中自然也包含了面对经典和量子计算的安全性。 “信息论安全”在密码学领域也被称为“无条件安全”,这里的“条件”特指计算能力的限制,即安全性没有基于攻击者计算能力的假设。QKD 的功能是实现对称密钥的协商, 需要与应用对称密码的算法结合以实现加解密功���中国�����信息协会量子信息分会 量子安全技术白皮书(2020) 12 能。QKD 结合“一次一
29、密”可实现信息加密的信息论安全性,而结合量子安全的对称密码算法实现的是量子安全。当然,量子密码能够实现的密码功能不限于密钥协商,还可以实现数字签名、秘密共������享等密码功能,而其中 QKD 的实用化进展目前是最快的。 2.2. 量子安全的重要性及紧迫性量子安全的重要性及紧迫性 当前以互联网为代表的公共网络基础设施,其用户认证、数据加密都主要依赖于 Diffie-Hellman、RSA、ECC 等公钥密码,例如我们浏览网站以及各类互联网应用程序常用的 HTTPS 协议、VPN 软件和设备、基于 X.509 标准10的数字证书应用等。对于信息安全保密性有高级别要求,或者对保密时效有较长时间要求的领域,其
30、中可能包括军队中的军事通讯、政府传输机密文件、工业和商用领域传输的核心技术和数据、金融领域传输的金融数据、医疗行业传输的医疗记录个人信息等,也在大量使用公钥密码。正如上文所述,这些现有公钥密码系统具有易被量子计算攻击��������的弱点, 在未来会被攻破已经成为密码行业、信息安全行业和量子计算专家公认的事实,普遍认为它将影响大部分现行公钥密码及其基础设施可能会导致它们全部失效, 同时也会削弱其它类如对称密码、杂凑等现有密码系统的安�������全性。这意味着所有信息系统使用者都将需要将密码全面升级至量子安全级别。 更重要的问题可能是我们何时需要量子安全。关于这一问题,仅考虑建造大规模量子计算机的时间是不够的。 还需要同时
31、考虑信息需要保持多长时间, 以及将现有通信基础设施更新至量子安全将花费的中国信息协会量子信息分会 量子安全技术白皮书(2020) 13 时间。关于这些时间的关系,加拿大滑铁卢大学量子计算研究所的Mosca 教授给出了业界较���为认可的 XYZ 理论(如图 1-1 所示)11。具体而言,X 代表“数据需要保密的时间”,Y 代表“更新我们的通信基础设施至量子安全所需要的时间”, Z 代表“建造大规模量子计算机所需要的时间”。如果 X+YZ,那么传递的信息就�����可能存在较大安全风险, 因为这意味着在重新部署具有量子安全的基础设施和信息安全需要持续的时间之和大于建造大型量子计算机的时间 Z,那么在X+Y-Z
32、这段时间内加密的信息将不再安全,攻击者可以利用量子计算轻易破解加密信息。反之如果 X+Y30 年。对于公众领域,X 的值可以适当放宽,����但也需要考虑具体的场景和要求,例如个人的信用卡信息可能只需要 X10年。再例如,随着技术的发展,诸如指纹、面部、基因等个人生物信中国信息协会量子信息分会 量子安全技术白皮书(2020) 14 息的长期保密需求也变得紧迫,����� 这时 X 可能就需要取决于每个人的生命年限。定义 X 的值并不容易,需要综合应用、技术发展、需求等进行深入研究,并进行风险分析和建模。 如前所述, 学术界和工业界对于量子计算可能带来的威胁已经有比较清晰的认识。虽然目前大规模量子计算机还未到来,
33、但是对于对信息安全需要有保障的行业以及政策决策者而言, 需要进行前瞻性分析和思考,综合考虑量子计算机建造时间,信息需要保护的时间,升级基础设施需要的时间等因素,来决定何时需要量子安全。而最为保险的做法当然是尽快就开始考虑升级到量子安全的信息通信系统和基础设施。 量子安全不是指某一类技术或现有技术到新技术的演进, 而是未来各类密码需要考虑满足的要求, 从密码技术发展的攻防对抗特性上,从国家安全战略的前瞻性上,需要认识到这一重要性。而由于现代密码学内涵丰富、涉及软硬件模块与系统众多;量子密码随着量子信息科技的快速发展其本身也处于蓬勃发展当中; 后量子�������密码算�������法本身又包含多种不同原理、 不同类型的算法
34、, 所有这些技术上高度的专业性、复杂性导致 ICT 行业从业者、 信息系统用户乃至密码和信息安全行业内部都有可能对此认识存在滞后和不足之处。而且,也正是由于这些技术、产业及政策上的复杂因素存在,应当将密码实现量子安全这一整体必达目标�����分解细化为一系列������具体小目标和可行的实现路径和路线图。例如,目前阶段要实现量子安全就需要替换易受量子计算攻击的现用公钥密码算法。 中国信息协会量子信息分会 量子安全技术白皮书(2020) 15 二、二、量子安全技术量子安全技术 (一一)基于数学问题的密码技术基于数学问题的密码技术 基于已知量子算法无法多项式时间求解的数学困难问题设计的后量子密码体制(PQC)12,具有
35、抗量子计算攻击的潜力,可实现量子安全。后量子密码技术相信,量子计算有优势,必然也有劣势,有其擅长计算的问题,也有其不擅长计算的问题。基于量子计算不擅长计算的数学问题构造密码,便可以抵御量子计算的攻击。虽然量子计算在大数分解等问题上能实现指数加速,但目前并无证据表明,量子计算擅长计算诸如非线性方程组求解问题、 纠错码的一般译码问题。于是,研究者基于这些困难问题设计密码(主要指公钥密码体制),并称这些密码算法是抗量子计算的。 1. 1. 格密码格密码 格代数结构最早是作为一种密码分析工具被引入密码领域的, 如1982 年,Shamir 采用格理论�������攻击背包公钥密码算法。基于格问题设计密码算法始于 A
36、jtai 的早期工作,1996 年他首次提出了基于格的单向陷门函数的思想13,并开创性地给出了格中某些困难问题的worst-case(最坏情形)到 average-case(平均情形)的规约证明,从而为格密码体制的可证明安全奠定了基础。1997 年 Ajtai 和中国信息协会量子信息分会 量子安全技术白皮书(2020) 16 Dwork14构造了第一个格密码体制。随�������后涌现出一批基于格的密码算法。其中比较著名如 1998 年 Hoffstein、Pipher 和 Silverman 提出 NTRU (Number Theory Research Unit)公钥密码体制15。NTRU密码除了具有抗
37、量子计算的性质外,与 RSA、ECC、ElGamal 密码相比还具有很大优点, 相同安全性条件下, NTRU 算法的运行速度��������要快许多倍,密钥生成也更快且需要更小的存储空间。然而,NTRU 密码也存在不足, 最主要的问题是其作为基于格的密码却没有严格的基于格问题的安全证明。 NTRU作为最快速的公钥密码之一, 引起了人们极大的研究兴趣。然而, 基于 NTRU 的数字签名方案却并不十分成功。 2000 年 Hoffstein等利用 NTRU 格提出了 NSS 签名体制16,这个体制在签名时泄露了私钥信息,导致了一类统计攻击,后来被证明是不安全的。2001 年设计者改进了 NSS 体制,提出了 R-
38、NSS 签名体制,不幸的是它的签名仍然泄露部分私钥信息,Gentry 和 Szydlo 结合最大��������公因子方法和统计方法,对 R-NSS 作了有效的攻击。2003 年设计者提出较有影响的NTRUSign 数字签名体制17,该算法较前面两个方案做了很大的改进,在签名过程中增加了对消息的扰动,大大减少签名中对私钥信息的泄露,但却极大地降低了签名的效率,且密钥生成过于复杂。针对未加扰动的 NTRUSign 方案的缺陷,2008 年胡予濮提出了一种新的NTRU 签名方案。但这些签名方案都不是零知识的,也就是说,签名值会泄露私钥的相关信息。 中国信息协会量子信息分会 量子安全技术白皮书(2020) 17 另
39、外, 2009 年������, Gentry 首次提出了基于格的全同态加密方案18,再一次掀起了格密码的研究热潮,在此之后,在格的数学基础、格上数学问题以及格密码设计方面涌现出一批研究成果, 包括基于格的零知识证明、格公钥加密/签名方案、以及密钥交换协议等,这些研究进展可以参见格密码综述文章19-21。 201�������5 年美国国家标准技术研究所(NIST),发布了 PQC 密码报告,并开始在全球范围内公开征集 PQC 密码算法标准,这项工作极大推动了 PQC 密码的研究工作,其中格密码被认为是最有力的竞争者。目前,NIST 的 PQC 密码标准候选算法中格密码占主导地位,因此,格密码值得我们进一步深入研究。
40、2. 2. 基于编码理论的�����密码基于编码理论的密码 纠错编码公钥密码体制可理解为:把纠错的方法作为私钥,加密时对明文进行纠错编码并主动加入一定数量的错误, 解密时运用私钥纠正错误,恢复出明文。1978 年����� McEliece 利用 Goppa 码有快速译码算法的特点,提出了第一个基于纠错编码的 McEliece 公钥密码体制22。1978 年,Berlekamp 等人证明了任意线性码的译码问题是 NP完全问题23。McEliece 密码方案的原始版本经受了 40 多年来的广泛密码分析,被认为是目前安全性最高的公钥密码体制之一。Gibson证明了加密变换中存在多个等价陷门,任何一个陷门都可用于解密,
41、但要找到其中一个在计算上是不可行的24。虽然 McEliece 公钥密码的安全性高且加解密运算比较快,但该方案也有它的弱点,其一是中国信息�����协会量子信息分会 量子安全技术白皮书(2020) 18 它的公钥尺寸太大,其二是信息扩展了多倍。由于这些原因,该方案一直以来并没有引起人们太多的关注。 1������986 年 Niederreiter 提出了另一个基于纠错码的公钥密码体制25。与 McEliece 公钥不同的是它隐藏的是 Goppa 码的校验矩阵。我国学者李元兴、王新梅等在 1994 年证明了 Niederreiter 公钥与McEliece 公钥密码体制在安全性上是等价的26。 当然, 也可采用其它
42、具有快速译码算法的线性分组码如 BCH 码、RS 码等来构造公钥密码体制,但其安全性要比采用 Goppa 码低,主要原因是同一参数的其它码的数量要比 Goppa 码少。2009 年 Misoczki 等针对 McEliece 体制密钥量大的弱点,提出了一种改进方案27,但该方案被 Faugere等在 2010 年欧密会上利用代数攻击攻破28。 与其它公钥密码体制(如 RSA 等)不同,McEliece 公钥以及Niederreiter 公钥密码只能用于加密, 但却不具备数字签名功能, 其原由是,����用 hash 算法所提取的待签消息摘要一般来说都不在给定的码空间中, 从而导致解码失败。 1990
43、年王新梅提出了第一个基于纠错编码的数字签名方案Xinmei 方案29。1992 年 Harn 等对 Xinmei方案进行了攻击和改进。Alabhadi 和 Wiek������er 于 1992 年提出了另一种攻击方法,其选择明文攻击的复杂度������较低,这种攻击方法对 Harn的改进方案同样有效,为了抵抗这种攻击,他们于 1993 年又提出了AW 方案。 2000 年王新梅对原始 Xinmei 方案进行了修正, 得到了比 AW方案更为简单的修正 Xinmei 方案。我国学者张振峰、冯登国和戴宗铎于 2003 年对 AW 方案进行有效的分析, 仅利用公钥便能构造出等价中国信息协会量子信息分会 量子安全技术白皮书(
44、2020) 19 的私钥, 并指出利用大矩阵分解的困难性很难构造出安全性较高的数字签名体制30。 除此之外, 1991 年李元兴等构造了一类同时具有签名、加密和纠错能力的公钥体制。目前,国际上公认安全的纠错码签名方案是 2001 年 Courtois 等人提出的 CFS 签名方案31, 除了密钥量大的缺点外,该方案����的签名效率较低。因此,如何用纠错码构造一个安全高效具有纠错能力的签名体制、 以及既能加密又具有签名功能������的密码体制,是一个相当困难但却非常有价值的开放课题。 3. 3. 基于哈希函数的密码基于哈希函数的密码 基于 hash 的数字签名(主要指 Merkle 签名方案)源于一次签名方案(
45、OTS)。1978 年 Rabin 首次提出了一次签名方案,该方案验证签名需要时需要与签名者交互。次年,Lamport 提出了一个更为有效的一次签名方案,它不要求与签名者交互;Diffie 将其推广,建议用Hash函数替代基于数学难题的单向函数以提高该机制的效率, 因此,常称之为 Lamport-Diffie 一次签名方案(LD-OTS)。随后,又相继出现了一些改进方案,如 Bos-Chaum 方案、Winternitz 方案等。大多数一次签名方案具有签名生成和验证高������效的优点。 一次签名方案可应用在某些特殊环境比如芯片卡中,它们具有较低的计算复杂度。 在一次签名方案中,每个密钥对仅能签署�������一条消
46、息;否则签名将以很高的概率暴露更多的私钥信息, 因此很容易伪造针对新消息的签名。每次签署消息都需更新公钥,这相当于“一次一密”,虽然具有中国信息协会量子信息分会 量子安全技术白皮书(2020) 20 较高的安全性,但却缺乏实用性。当一次签名与认证技术结合时,多次签名就成为可能。 1989年Merkle提出了Merkle认证树签名方案(MSS)32。 Merkl�����e数字签名方案中, 没有太多的理论假设, 它的安全性仅仅依赖于 hash函数的安全性,目前在量子计算机模型下还没有一般 hash 函数的有效攻击方法,因此,Merkle 签名方案具有抗量子计算性质。与基于数学困难性问题的公钥密码相比,Me
47、rkle 签名方案不需要构造单向陷门函数,给定一个单向函数(通常采用 hash 函数)便能构造一个Merkle 签名方案, 一般来说, 在密码学上构造一个单向函数要比构造一个单向陷门函数容易的多, 因为设计单向函数不必考虑隐藏求逆的思路,从而可以不受限制地运用置换、迭代、循环、反馈等简单编码技�������巧的巧妙组合, 以简单的计算机指令或廉价的���逻辑电路实现高度复杂的数学效果。 Merkle 数字签名方案的优点是签名和验证签名效率较高;缺点是签名和密钥较长,产生密钥的代价较大。在最初的 Merkle 签名方案中,需要签名的数量与需要构造的二叉树紧密相关,能够签名的数量越大,所需要构造的二叉树越大,同时消耗
48、的时间和������空间代价也就越大。因此该方案的签名数量是受限制的。近年来,许多学者对此作了广泛的研究,提出了一些修改方案大大地增加了签名的数量,如CMSS 方案、GMSS 方案、DMSS 方案等33-35。Buchmann, Dahmen 等提出了 XOR 树算法36, 只需要采用抗原像攻击和抗第二原像攻击的hash 函数,便能构造出安全的签名方案。而在以往的 M������erkle 树签名中国信息协会量子信息分会 量子安全技术白皮书(2020) 21 方案中,要求 hash 函数必须是抗强碰撞的。这是对原始 Merkle 签名方案的有益改进。上述这些成果,在理论上已相当完善,在技术上已基本满足工程应用要求,一
49、些成果已经应用到了 Microsoft OutLook以及移动代理路由协议中。 目前,基于 hash 的数字签名的研究仍处于初步阶段,仍有许������多开放性课题如增加签名的次数、减小签名和密钥的尺寸、优化认证树的遍历方案以及实现相比其它公钥体制所不具备的功能(如基于身份的认证)等。 4. 4. 多变量密码多变量密码 多变量二次多项式公钥密码体制,简称 MQ 公钥密码,其安全性基于有限域上的多变量二次方程组的难解性。 如何构造具有良好密码性质的非线性可逆变换是 MQ 公钥密码设计的核心,据此划分,目前基于多变量的公钥密码体制主要有: Matsumoto-Imai 体制、 隐藏域方程(HFE)体制、不平衡
50、油醋(UOV)体制及三角�������形(TTS)体制。 1988 年 Matsumoto 和 Imai 运用“大域-小域”的原理设计了第一个 MQ 方案,即著名的 MI 算法37,当时该方案受到了日本政府的高度重视,被确定为日本密码标准的候选方案。1995 年 Patarin 利用线性化方程方法成功攻破了原始的 MI 算法38。然而,这个体制是多变量公钥密码发展的一个里程碑, 为该领域带来了一种全新的设计思想, 并且得到了广泛地研究和推广。 改进的 MI 算法实例如 SFLASH签名体制39,最终在 2003 年被 NESSIE 项目收录,用于低廉智能卡中国信息协会量子信息分会 量子安全技术白皮书(202
sgpjbg002
工作日 8:30 - 17:30
会员动态:
报告分类
新质生产力
ChatGPT
新能源汽车
大模型
Sora
机器人
微短剧
芯片
薪酬
白皮书
低空经济
数据要素
创新药
人工智能
AI产业
信息科技
互联网
消费经济
汽车交通
电商零售
传媒娱乐
医药健康
投资金融
能源环境
地产建筑
传统产业
英文报告
其它
扫码登录
手机快捷登录
账号登录
