探讨量子计算：Akamai 如何应用后量子密码学进行优化

Akamai中国

已于 2023-09-18 19:20:49 修改

阅读量141

点赞数 1

分类专栏：云计算文章标签：云计算

于 2023-09-18 12:36:46 首次发布

本文链接：https://blog.csdn.net/AKAMAI_CHINA/article/details/132973658

版权

云计算专栏收录该内容

112 篇文章 0 订阅

订阅专栏

加密无处不在。在互联网上，我们每天都在利用密码学来保护我们的信息。传输层安全 (TLS) 协议用于通过加密传输中的通信、验证传输数据的完整性以及判断与我们交互的服务真实性，以此来保护绝大多数 Web 流量。

底层加密协议和算法依赖计算量大的数学运算来提供这些保护，它们各自对攻击的抵抗能力通常与破解它们所需的时间和精力成正比。

传统计算机与量子计算机

为了执行这些计算，今天的计算机，无论从最小的物联网 (IoT) 设备到最大的超级计算机，都依赖于以两种状态之一的电信号运行的半导体：通过二进制数字1或0或来表示开或关。

技术的进步已经让运行在您办公桌上或您手掌中的计算机能够在一秒钟内执行数万亿次操作。但最终无论计算机是怎样的形态，这些操作都是使用 1 或 0 的有限位状态来执行的。

近年来，一种新型计算机加入了竞争：即所谓的“量子计算机”。与经典计算机不同，这些系统使用量子力学方法进行计算，不在传统位上运行，而是在量子位或量子位上运行。原则上，量子位可以同时表示无限状态；据称它们存在于其两个基态的叠加中（图 1）。

图 1：单个量子位的可能量子态的布洛赫球面表示：经典位只能在 |0> 或 |1>，而量子位可以在表面的任何点上找到（来源）

简而言之，这意味着可将量子计算机用于同时探测许多不同的可能性，与传统计算机相比，能够显着提高计算能力并降低传统算法的时间复杂度。这也意味着量子计算机在眨眼之间解决数学问题——尤其是那些经典计算机需要数百万年才能计算出来的问题。

为未来做好准备

虽然其中大部分为假设，量子理论在计算机领域的首次应用可以追溯到 1980 年代因此量子计算领域还相对年轻。然而，随着技术的飞速发展，可靠的量子计算机的普遍可用性确实只是时间问题。

计算能力的提高对我们保护数据和通信的方式产生了潜在的重大影响。正是出于这个原因，Akamai 以极大的兴趣跟踪了量子计算的持续发展，有时甚至是突破性的发展，同时我们积极准备广泛采用这项新技术。

当前的挑战

许多国家和公司正在致力于量子计算机的构建。但它们都面临着一些关键挑战，因为成功地将算法应用于量子计算机需要量子比特稳定性，任何来自光、振动或磁场的外部影响都可能使量子比特的叠加态崩溃为经典状态。

实际上，基于量子的计算必须在微秒内完成，然后量子位的量子力学特性才会恶化（这种情况被描述为“量子退相干”）。这对创建量子计算机以及优化在其上运行的算法提出了挑战。

构建量子计算机还有其他工程和技术区别：

量子计算机基于量子力学，而不是枯燥的旧半导体。利用量子力学特性使我们能够以指数方式提高计算能力，并极大地影响我们如何看待当前算法及其与安全相关的特性。（我们还没有去谈论量子纠缠）
可以用不同的方式构建量子计算机（示例见图 2）；目前的方法包括使用超导氦-3，利用该费米子的 1/2 自旋来实现量化的运动状态。如果您对物理学有一些的兴趣，这将是非常令人兴奋的。
为了最小化量子退相干并保留量子力学特性，量子计算机需要冷却到-273摄氏度，几乎是绝对零度。从温度上来说，这确实是一件“很酷”的事情！
由于这些要求，大多数物理设备（例如某些超导电缆）都非常昂贵，扩展此类系统及其操作仍然是一个挑战，并有充足的突破机会。

图 2：IBM Quantum System One 的内部结构（CES 2020）（图片来源：IBM，未修改，CC BY-ND 2.0）

未来的挑战

1998 年创建的第一台量子计算机可以在两个量子位上运行；今天，世界上最大的量子计算机可以在 433 个量子比特上运行。但要完成真正有用的工作，量子计算机将需要 1,000 甚至 4,000 个量子比特。政府和私营部门的研究人员正在分配大量资源，以在未来几年内实现这一目标。

与此同时，在量子算法及其在密码学应用中的应用方面的研究数量惊人。这项研究正在创造关于如何长期保护数据的新思维。

随着实用量子计算机的出现，基于现有计算限制的当今被认为安全的算法可能会突然变得微不足道。某些有能力（且具有前瞻性）的对手可能已经在收集加密数据和通信，目标是在几年后使用量子计算机对其进行解密。

出于这个原因，商业和政府组织现在就开始为后量子世界做准备至关重要。

量子计算机会对当今的密码学产生何种影响？

加密算法应用复杂的数学问题来保护敏感数据并确保其完整性。例如，广泛使用的 RSA 公钥加密方案（以其发明者 Rivest、Shamir 和 Adleman 的名字命名）依赖于寻找大质数乘积的因子的难度。

椭圆曲线密码术 (ECC)（由于其密钥大小明显更小，安全性与 RSA 相似或更好，近年来已得到广泛采用）取决于点乘法和寻找随机椭圆曲线的离散对数。

这两个问题目前都需要指数级的时间来计算：将密钥大小仅增加一位会使经典计算机执行计算所需的时间加倍。 RSA、椭圆曲线数字签名算法 (ECDSA) 以及 Diffie–Hellman (DH) 和椭圆曲线 Diffie–Hellman (ECDH) 密钥交换算法都展示了这些密码所需的属性。

另一方面，量子计算机可以在多项式时间内解决这些问题，这意味着将破解密钥所需的时间加倍，你现在必须将其大小加倍。 1994年，美国数学家Peter Shor开发了一种在多对数时间内完成整数因式分解的量子算法：使用Shor算法，传统计算机需要数万亿年才能暴力破解的2048位RSA密钥可以想象在短短几秒钟内因式分解拥有 4,000 量子比特的量子计算机。

图 3：使用 Big-O 表示法的算法的计算复杂度比较

其他加密算法，例如 SHA-2 哈希函数或对称高级加密标准 (AES) 不依赖于上述相同的数学属性。尽管量子搜索算法（例如 Grover 算法）可能会在一定程度上加快非结构化搜索（从而促进对对称加密和散列的攻击），但所需的工作仍然与密钥大小成正比。也就是说，如果选择了足够大的密钥，这些算法通常被认为是“量子安全的”。

在Q-Day到来前，业界正在做哪些准备？

信息安全行业和世界各国政府正在努力为“Q-Day”做准备——量子计算机将能够破解当今密码学的那一天，可能会暴露机密信息和加密通信。

2016 年，美国国家标准与技术研究院 (NIST) 发起了一场公开“竞赛”，以寻找能够抵抗量子算法的算法。经过六年的多轮研究、分析和候选人选择，NIST 在 2022 年批准了以下算法：

名为 Kyber的基于格的代数格密码套件 (CRYSTALS) 公钥加密 (PKE) / 密钥封装方法 (KEM)
基于晶格的CRYSTALS Dilithium 签名算法
基于 Fast-Fourier 格的签名算法 FALCON
基于散列的SPHINCS+签名方案

然而，随着密码学和计算研究人员继续研究这些算法，它们中的任何弱点都有可能暴露出来。在选择过程中，一些较早的候选者很快就被攻破，而另一些则被证明容易受到不同类型的攻击，不得不进行修改或淘汰。

· 防止来自未来量子计算机的攻击

随着这些标准化过程的进行，预期和选定的候选人的实施已经开始出现。请记住，这些算法旨在用于当今的计算机，以防止来自明天的量子计算机的攻击。这些是量子安全算法的实现，它们本身不执行任何量子力学计算，也不需要实际可用的量子计算机。

几个值得注意的开源工具已经提供了 NIST 批准的算法的示例实现：

Open Quantum Safe 项目提供开源 C 库和与流行库和应用程序（例如 OpenSSL 和 OpenSSH）的原型集成，以及与 Apache httpd、nginx、curl 等的演示集成。
Bouncy Castle是领先的 Java 和 C# 开源密码学提供商，实现了所有当前 NIST 批准的算法。

除了这些实现之外，还在努力检查混合密码术的使用；即同时使用前量子算法和后量子算法。互联网工程任务组 (IETF) 有许多关于如何做到这一点的草案，并且正在试验以了解哪些算法适用于哪些用途。

无论哪种方式最终被接受和批准，行业都需要一段时间来适应。所选算法必须能够在当今的计算机上以合理的性能运行，并且能够每秒处理数百万次互联网交易。他们还需要经受住研究人员和攻击者的努力，以发现其实施中的弱点。