巨头布局，奔赴量子安全新时代

光子盒研究院出品

当前的数字世界中，量子计算对我们加密保护的几乎每一个方面都存在着迫在眉睫、不可避免的威胁。无论是在这十年还是下一个十年，只要量子计算机变得足够强大，就可以轻易地破解今天最先进的密码学：我们当下流行的加密算法基于超级计算机不可能解决的数学问题，但对未来的量子计算机却不构成挑战。

尽管我们不知道量子计算何时才有可能破解经典加密，但它会发生的这一事实却是毫无疑问的。未来的量子机器将有可能破解保护在线交易、金融数据，甚至国家安全和政府通信的加密算法。

只有一个办法可以避免这些潜在的金融破坏：每一个现有的安全算法都必须用抗量子的加密方式来补救。

几年来，IBM一直在研究量子安全技术以解决这个问题。

从发展的角度来看，今天的量子计算机是配备了30到1000个量子比特的后期原型，它们使用了各种量子比特的硬件技术，如超级计算、捕获离子、中性原子甚至是光的粒子。

未来，配备有数百万量子比特的容错量子计算机有望通过解决气候变化、模拟大分子以及创造新材料和药物等问题来改善我们的生活。然而，这类量子计算机也代表了对密码学和公司、社会和政府的金融的重大威胁。

1994年，贝尔实验室的数学家Peter Shor开发了一种理论上可以分解大质数的算法，点燃了一场对量子计算的兴趣风暴。当他发表Shor算法的论文时，还没有量子计算机可以运行它；而今天，已经有了量子计算机，但至少现在还没有强大到可以运行Shor算法的程度。

RSA加密是最常见的非对称密码学形式之一。它很容易被使用Shor算法的黑客攻击——因为它使用两个大素数相乘来创建一个公钥和一个私钥；公钥用于加密数据，而私钥则用于解密数据。公钥可以与所有人共享，而私钥则是保密的。

那么，破解加密需要多大的量子计算能力呢？

科学家们普遍认为，一台经典的超级计算机需要几百万年才能破解一个2048位的RSA密钥。一个很长的时间，是的，但可以用来创建这样一个密钥的素数的可能组合数量是如此之大，以至于在不到几百万年的时间里不可能对它们进行测试。

然而，用先进的量子计算机在几小时到几天内就能实现同样的壮举——这就是问题所在。虽然经典的超级计算机对目前的密码学和加密技术不构成风险，但量子计算机将毫无问题地渗透现有的密码学方案。

谷歌曾研究认为，人们需要一台2000万量子比特的容错量子计算机，才能在8小时内破解RSA-2048加密法。

RSA也可以用更少的量子比特来破解，但需要更长时间。富士通的研究人员估计，一台配备了10000个逻辑量子比特（一个逻辑量子比特包含多个物理量子比特）和2.23万亿个量子门的容错量子计算机也可以破解RSA。这不会是一个快速的过程：它需要104天，但它终究是可行的。

让我们把这些数以百万计的量子比特放在眼里。

2023年，IBM的量子路线图要求其发布其迄今为止最大的基于门的量子计算机处理器：一个使用1100个量子比特的处理器。

尽管我们现今的量子计算机规模有限，但大多数专家对该技术最终将在可操作的时间内破解RSA加密，几乎没有质疑。

但“最终”是多长时间？没有办法准确地说，量子计算机何时能够破解当前的加密算法。也就是说，无论何时发生，这种能力将沿着明确界定的量子计算能力改进的顺序时间表发展。

甚至，未来击败密码学的量子机器也可能采用以量子为中心的超级计算机架构。

有一些专家对加密黑客的发生时间进行了预测：

- 美国国家标准与技术研究所（NIST）几年前发布了一份报告，即《抗量子密码学报告》，该报告估计最早的密码破解事件可能在2030年出现。

- 滑铁卢大学的Michele Mosca博士估计，到2026年，一些基本的公钥密码学工具将有七分之一的机会被破解、到2031年有50%的机会。

这些估计是几年前做出的。尽管从那时起，量子计算已经取得了很大的进展，但容错仍然是一个重大的技术挑战，可能还需要五年或更长时间才能实现。错误缓解将提供部分解决方案，但不足以将量子机器扩展到运行能够运行Shor算法所需的水平。

我们生活在一个几乎所有数字资产都受到某种类型的加密保护的世界里，从私人电子邮件账户到订阅服务、到网上银行和股票交易账户、再到国家电网和市政供水系统等关键基础设施系统......

这是一个简单的对等关系。今天的传统加密无法在先进的量子计算环境中共存，因为没有一个受保护的系统会是安全的。

来源：IBM

以下是“坏蛋”的几种方式，可以看出，从大型国家支持的团体到流氓犯罪组织，都有可能破坏甚至导致我们整个金融系统的完全崩溃：

- 操纵文件更新或利用欺诈性认证制造假货

- 对收获的机密历史数据进行解密

- 通过伪造数字签名篡改法律史料

- 创建假的网站身份和假的软件下载

- 发起勒索攻击，威胁可能泄露敏感的私人数据

- 制造虚假的土地和租赁文件

这些只是几个例子，说明量子计算如何被用来在个人生活、公司、社会、政府或整个世界范围内造成金融破坏。量子计算对经济系统的实际影响很难预测，但这种行为显然会产生重大影响。

许多破坏，如涉及电网或航空交通路线等系统的破坏，将不会保持孤立；这些事件可能会在整个世界经济中产生重大的涟漪效应，并持续很长一段时间。据估计，由加密入侵造成的损失可能会达到几万亿美元。

世界经济论坛最近估计，在未来10-20年内，将有超过200亿的数字设备需要升级或更换，以应对新进的量子安全加密通信。

现在，IBM的量子安全技术工作已经开始。

2022年11月，美国管理和预算办公室发布备忘录，命令所有联邦机构开始准备实施抗量子加密技术，以确保联邦数据和信息系统的安全。这份备忘录是2022年5月发布的白宫国家安全备忘录的后续：该备忘录提供了联邦资源，以协助在2035年前将所有美国数字系统迁移到具有“量子弹性”的网络安全标准。

此前，NIST在2016年启动了抗量子密码学标准化进程，以确定能够抵御量子计算机带来的威胁的新算法。经过三轮评估，NIST已经确定了新的量子安全算法；并且，它计划在2024年前制定新的量子安全标准。

NIST的四种抗量子算法

在NIST的最后一轮审议中，IBM的研究人员参与了开发三种基于晶格密码学的量子安全加密算法：CRYSTALS-Kyber、CRYSTALS-Dilithium和Falcon。

工业界也已经开始为量子化的未来做准备。去年，电信行业组织GSMA成立了一个抗量子电信网络工作组。IBM和沃达丰是该工作组的创始成员之一，帮助组织确定政策、法规和运营商的业务流程，以保护电信公司免受量子威胁。

那么，现在为保护密码学免受量子威胁，还需要做什么呢？

——只有一种方法可以保护数十亿的加密产品和服务免受未来量子计算机可能造成的损害。据估计，量子计算机对现有加密服务和产品的威胁将在2030年左右开始发生。这意味着我们只有六到七年的时间让每个组织、每个政府机构用新的NIST量子安全算法替换现有的公钥密码学应用。

正是为了这个目的，IBM的Think 2023会议上宣布了 Quantum Safe 产品组合：这是一套旨在保护数据免受未来量子计算驱动的黑客攻击的工具。

其目的是允许未来的量子计算能力和利益不受阻碍地流动，同时为量子的破坏性加密破解能力提供一个保护罩。

IBM的Quantum Safe是一个端到端的解决方案，将协助企业和政府机构识别并以新的算法取代现有的密码学算法。具体来说，Quantum Safe包括一套全面的工具，以协助机构转变为能够抵御量子威胁的环境。

新的量子安全技术带来了三种关键能力：IBM Quantum Safe Explorer、IBM Quantum Safe Advisor和IBM Quantum Safe Remediator。这些技术能力中的每一个都在转型过程中执行转型步骤，以发现、观察和改造密码学。

Explorer可以扫描源代码和目标代码，而Advisor则提供全系统密码学使用的动态或操作视图。Explorer和Advisor的组合视图从动态和静态的角度提供了企业范围内密码学使用的全面视图。来自Explorer和Advisor的综合信息还可用于监测和管理密码学以及可能出现的任何相关漏洞。它还可以成为创建转型路线图的输入：详细说明要首先解决的问题，或确定哪些行动将提供最显著的效益。

然后，该路线图可以在改造过程中使用，Remediator捕捉最佳实践，并在可能的情况下自动采取行动。

IBM Quantum Safe架构

尽管Explorer、Advisor和Remediator在Quantum Safe架构中是独立的功能，但它们通过共享相同的共同信息模型而被整合。

Quantum Safe系统创建的信息是按照软件材料清单（SBOM）设计的密码学材料清单（CBOM）。CBOM是迁移到量子安全密码学的一个重要工具。它可以识别和清点密码资产和依赖关系，帮助计划迁移到量子安全算法。

强调量子安全系统的关键设计考虑是很重要的。IBM提出了一个观点，不要求在企业框架内安装任何额外的代理——其目的是与人们已经拥有的东西整合。这就是为什么要与已经存在的外部系统和记录系统进行整合，特别是在持续集成和持续部署（CICD）管道、网络监控系统和配置管理数据库。CICD管道是一套工具和流程，用于自动化软件的开发、测试和部署。

上面的例子显示了通过让资源管理器扫描源代码和目标代码可以捕获和查看的许多可能的数据视图之一。这个应用程序组合的视图显示了密码学存在的地方，以及每个实例的状态。这个例子说明了通过选择存储库中包含应用程序Java代码的特定端点所获得的结果。在这个例子中，资源管理器已经扫描了所有的Java文件，并在扫描的文件中发现了特殊的加密技术使用。

除了最左边的紫色环外，其他的标签都是不言自明的。在这种情况下，它显示14种算法不是量子安全的。如果任何一种算法是量子安全的，那么紫色环的一部分将显示为绿色。Explorer标明了正在使用的具体算法，如RSA、Diffie-Hellman、AES等。

Advisor的这个视图显示了网络数据及其相应的密码学使用情况。同时显示的还有正在使用的TLS服务和量子密码的数量。双击一个项目将显示它在哪里被使用，以及其他上下文信息。将此视图与之前的屏幕相结合，可以提供更多关于密码学使用的信息。

使用量子安全TLS将是至关重要的，因为未来能够运行Shor算法的量子计算机可以轻易地打破目前的TLS通信算法。此外，当大型容错量子计算机出现时，已经被窥探和存储的TLS传输中的数据可能会在以后被攻破。

IBM目前提供API——用于与客户已经使用的网络安全扫描工具整合，并摄入该网络扫描日志进行分析。

Quantum Safe Remediator可以进行自动修复；在这个发展阶段，可能会有大量的代码无法自动修复。在这些情况下，架构师和开发人员应该采用最佳实践来修复代码。

假设有必要实现一个支持QSE的VPN，或者一个量子安全代理的实现。为了解决这种情况，IBM已经编纂了客户可以在其环境中实例化的模式，这样他们就可以了解它是如何工作的，并立即开始使用它。

IBM认为，现在的最佳实践决定了创建参与驱动的、高价值的编纂模式，以为客户提供最大的利益。还应注意的是，IBM有一个已知模式的资料库。基于Explorer和Advisor的不断发现，IBM将能够编纂新的模式、并将其提供给客户。

IBM的量子安全路线图旨在确定和加强基于新兴技术的数字化转型举措。路线图中列出了由标准化、联邦政府要求或CNSA指南驱动的重要行业里程碑的日期。

路线图数据对那些必须严格遵守有关跟踪要求和日期的联邦或民用机构或医疗保健公司应该是有帮助的。供应商也可以使用这些信息来保持对量子认证要求的了解。

路线图上的底部通道由IBM的基础设施硬件和软件产品组成，以通往最终的量子安全。

我们无法预测第一个受加密保护的服务或产品何时可能被量子机器攻破。它可能是在这十年甚至下一个十年。然而，关键的一点仍然是：今天的加密技术无法阻止未来的量子计算机入侵。

所有数据都处于危险之中。鉴于今天使用的几乎所有数字服务和产品都依赖某种形式的加密来保护，每个组织都必须开始一个计划、尽快识别并将旧的加密换成新的量子安全算法。改造旧的加密方式并不简单，也不会很快；但它将值得所有的努力。

“IBM Quantum Safe极大地简化了补救旧算法的过程，”IBM公司表示，“但与IBM现有的量子路线图类似，Quantum Safe将沿途遵循并改进路线图。IBM将继续为Quantum Safe增加功能，同时进行实验并与客户合作以验证、改进其功能。”

参考链接：

[1]https://cacm.acm.org/news/237303-how-quantum-computer-could-break-2048-bit-rsa-encryption-in-8-hours/fulltext

[2]https://www.fujitsu.com/global/about/resources/news/press-releases/2023/0123-01.html

[3]https://nvlpubs.nist.gov/nistpubs/ir/2016/nist.ir.8105.pdf

[4]https://www.forbes.com/sites/moorinsights/2023/05/10/ibm-quantum-safe-technology-protects-data-from-encryption-busting-attacks-by-next-generation-quantum-computers/?sh=a2ab8935764c

[5]https://telecoms.com/521579/ibm-launches-tools-to-combat-future-quantum-threats/

[6]https://www.prnewswire.com/news-releases/ibm-unveils-end-to-end-quantum-safe-technology-to-safeguard-governments-and-businesses-most-valuable-data-301820195.html

[7]https://research.ibm.com/blog/quantum-safe-roadmap

[8]https://www.securityweek.com/ibm-delivers-roadmap-for-transition-to-quantum-safe-cryptography/