“我們正在走向量子時代，雖然距離通用量子計算機(jī)問世還有數(shù)年，但是企業(yè)和組織不能只是觀望量子計算機(jī)領(lǐng)域的不斷發(fā)展，需要盡快推動后量子密碼技術(shù)的產(chǎn)業(yè)化進(jìn)程。在量子計算機(jī)問世前，就建立好足以抵御量子計算攻擊的信息安全系統(tǒng)。”國家青年特聘專家、阿里巴巴達(dá)摩院青橙學(xué)者劉哲教授說到。

據(jù)了解，量子計算機(jī)可以應(yīng)用量子力學(xué)原理打破傳統(tǒng)計算機(jī)的算力桎梏，在量子算法的支持下以極高的效率解決很多當(dāng)代的科學(xué)難題。然而，量子計算帶來的算力革命將打破傳統(tǒng)意義上的安全性定義。

（來源：Pixabay）

現(xiàn)有的一些公鑰密碼算法和數(shù)字簽名使用傳統(tǒng)計算機(jī)去破解，可能需要花費(fèi)幾十年甚至上百年的時間。但量子計算機(jī)憑借其超強(qiáng)的計算能力，有可能在 1 天之內(nèi)破解原先被認(rèn)為是“絕對安全”的密碼算法。

近日，谷歌和瑞典斯德哥爾摩皇家理工學(xué)院公布的一項研究成果，演示了量子計算機(jī)如何用 2000 個量子位，在 8 個小時內(nèi)暴力破解 2048 位 RSA 加密。這對于有著長期數(shù)據(jù)安全儲存需求的行業(yè)發(fā)出警醒，業(yè)界應(yīng)比預(yù)想的時間要更早地實現(xiàn)從傳統(tǒng)密碼到后量子密碼（抗量子攻擊密碼）的升級換代。

此前，谷歌母公司 Alphabet 剝離其量子技術(shù)開發(fā)部門，成立了一家名為“Sandbox AQ”的初創(chuàng)公司。該公司已獲得過億美元融資，其在初期的重點，是研究和銷售用于后量子密碼學(xué)的軟件，幫助企業(yè)提高網(wǎng)絡(luò)安全的“后量子密碼”模塊。目前，Sandbox AQ 正在與全球技術(shù)通信公司沃達(dá)豐（Vodafone Business）、日本軟件銀行公司（SoftBank Mobile）、美國西奈山醫(yī)療系統(tǒng)（Mount Sinai Health System）開展合作，共同推進(jìn)后量子密碼應(yīng)用。

后量子密碼算法的優(yōu)越性和研發(fā)的緊迫性

在被量子計算所威脅的背景下，現(xiàn)階段部署的一些傳統(tǒng)密碼算法將會受到巨大的安全性挑戰(zhàn)。

后量子密碼算法是經(jīng)典密碼算法的一套新標(biāo)準(zhǔn)，跟現(xiàn)有的密碼同根同源，都是基于數(shù)學(xué)的，區(qū)別于基于物理量子力學(xué)性質(zhì)來保護(hù)數(shù)據(jù)的量子密碼學(xué)。

后量子密碼學(xué)能夠抵抗大型量子計算機(jī)攻擊，但其并不使用任何量子屬性，不需要專門的量子硬件來加密數(shù)據(jù)。

“簡單地理解，我們可以直接把經(jīng)典密碼‘抽出來’，再把后量子密碼‘換進(jìn)去’，所以說非常好用。當(dāng)然，后量子密碼實際的部署涉及到的‘混搭模式’和‘替代模式’比這要復(fù)雜很多。”劉哲形容到。

據(jù)《麻省理工科技評論》（MIT TR）近期發(fā)布的一份報告《從今天起，直面明天的量子黑客》（Facing tomorrow’s Quantum hackers today）稱，“為了更好地向后量子密碼過渡，行業(yè)和政府正在關(guān)注一種混合方法：將后量子算法與目前已經(jīng)使用的算法結(jié)合。其邏輯是，如果一個安全層被破壞了，那么仍然可以依靠另一層的保護(hù)。”不過，該報告同時也指出，采用這種模式的企業(yè)和政府，也應(yīng)有一個明確的退出策略。

（來源：MIT TR）

另外，從全世界的角度來講，各國都對后量子密碼學(xué)非常重視。

據(jù)了解，2013 年的時候美國就開始向量子安全密碼轉(zhuǎn)變，2016 年年底，美國國家標(biāo)準(zhǔn)技術(shù)研究所（National Institute of Standards and Technology，NIST）舉辦了一場后量子密碼學(xué)標(biāo)準(zhǔn)化競賽，以尋找合適的抗量子的公鑰加密算法，為以后的量子安全時代做準(zhǔn)備。在 2020 年和 2021 年，NIST 繼續(xù)審查和測試了之前的后量子加密標(biāo)準(zhǔn)，目的是在 2022 年至 2024 年之間的某個時候準(zhǔn)備好推薦標(biāo)準(zhǔn)草案。

“我們是從 2014 年上半年開始從事后量子密碼算法和工程方面的研究工作。第一篇在該領(lǐng)域的研究論文發(fā)表在國際密碼學(xué)會密碼工程旗艦會議 CHES 2015 上，也是當(dāng)時國際上最早去將基于格的密碼加密協(xié)議實現(xiàn)在傳感器網(wǎng)絡(luò)芯片上的工作之一，”劉哲說到，“隨后，我在美國微軟研究院和加拿大滑鐵盧大學(xué)工作期間先后參與了多個后量子密碼相關(guān)的研究項目。”

據(jù)悉，2018 年，在中國舉辦的全國密碼算法設(shè)計競賽上，劉哲團(tuán)隊因為在后量子密碼算法性能評測方面做的貢獻(xiàn)，獲得了中國密碼學(xué)會頒發(fā)的突出貢獻(xiàn)獎。

而在 2021 年，劉哲作為項目負(fù)責(zé)人的研究課題《面向物聯(lián)網(wǎng)的后量子密碼安全實現(xiàn)技術(shù)研究》獲得了國家自然科學(xué)基金委重點資助。該項目也是當(dāng)年計算機(jī)學(xué)科在后量子密碼領(lǐng)域的唯一一個獲批的重點項目。

為量子時代的信息安全提供優(yōu)化技術(shù)支撐和安全、高效解決方案

“在量子時代信息安全這一塊兒，我們團(tuán)隊主要還是研究密碼工程，特別是后量子密碼工程，”劉哲解釋到，“可以理解為當(dāng)后量子密碼算法被提出或者被標(biāo)準(zhǔn)化之后，如何設(shè)計基于后量子密碼的協(xié)議和安全解決方案及提出高效且安全的優(yōu)化實現(xiàn)技術(shù)，并且最終將之應(yīng)用在現(xiàn)有的互聯(lián)網(wǎng)和物聯(lián)網(wǎng)基礎(chǔ)設(shè)施，從而達(dá)到量子安全效果。”

近期，劉哲與其團(tuán)隊成員張吉鵬、黃軍浩和奧地利格拉茨技術(shù)大學(xué)蘇喬伊·辛哈·羅伊（Sujoy Sinha Roy）教授合作，在只有 16KB 內(nèi)存可用的 RISC-V 平臺上，提出了一系列 Saber 的內(nèi)存優(yōu)化和性能優(yōu)化新技術(shù)，首次將 NIST 第三輪候選算法 Saber 實現(xiàn)在 RISC-V 平臺，研究成果以《內(nèi)存受限的 RISC-V 平臺上 Saber+ 的時間內(nèi)存權(quán)衡》（Time-memory Trade-offs for Saber+ on Memory-constrained RISC-V Platform）為題發(fā)表在權(quán)威學(xué)術(shù)期刊 IEEE Transactions on Computers 上[1]，并在 GitHub 網(wǎng)站進(jìn)行了開源。

在同源密碼協(xié)議方面，劉哲團(tuán)隊先后在 x86 等不同的硬件平臺提出了有限域乘法、大整數(shù)約簡及硬件乘法器等優(yōu)化實現(xiàn)方法和抗側(cè)信道攻擊的輕量級防御策略，通過軟硬件協(xié)同設(shè)計大幅度提高了 SIDH、SIKE 等協(xié)議的實現(xiàn)性能。這些工程優(yōu)化技術(shù)較大地提升了算法效率，并節(jié)省了算法的資源消耗，迎合了互聯(lián)網(wǎng)產(chǎn)業(yè)要求。

“我相信，我們?yōu)槲磥淼暮罅孔用艽a算法部署提供了一個非常好的技術(shù)支撐。”劉哲說。

物聯(lián)網(wǎng)芯片部署后量子密碼算法的困難所在

萬物互聯(lián)時代，各種物聯(lián)網(wǎng)芯片平臺各異，性能各異，資源有限。在資源嚴(yán)重受限的物聯(lián)網(wǎng)芯片上部署后量子密碼算法，最重要和普遍的一個問題就是算法在內(nèi)存占用和算法運(yùn)行時間上的權(quán)衡。

劉哲提到：“有時候想讓這個算法跑得快，就要寫大量匯編代碼，這就會造成內(nèi)存占用量的增加。但物聯(lián)網(wǎng)芯片的資源特別有限，密碼算法的內(nèi)存占用量變大，將會導(dǎo)致部署成本增加，甚至無法部署在物聯(lián)網(wǎng)芯片上。即便很多算法已經(jīng)在個人電腦或服務(wù)器環(huán)境下發(fā)展的較為成熟，當(dāng)其適配到各種嵌入式平臺上時，表現(xiàn)往往都不盡如人意。”

“因此，如何降低算法的資源消耗，在功率、內(nèi)存受到嚴(yán)格限制的苛刻平臺環(huán)境下實現(xiàn)算法的時間、空間、性能的平衡是非常有挑戰(zhàn)性的研究課題。”

劉哲還表示，對于不同的平臺、不同的場景，這個課題的答案往往是不一樣的。他舉例說，在之前與一國際領(lǐng)軍通信公司的合作項目中，他們被要求為該公司 WiFi 自研芯片優(yōu)化某類國際標(biāo)準(zhǔn)算法，但由于物聯(lián)網(wǎng)芯片可用內(nèi)存太小，很難將數(shù)學(xué)結(jié)構(gòu)復(fù)雜、運(yùn)算復(fù)雜的密碼算法適配進(jìn)去。

針對此問題，劉哲與其團(tuán)隊成員楊昊、吳偉彬?qū)λ惴ㄟM(jìn)行了多方面的優(yōu)化。比如，他們使用算子復(fù)用技術(shù)與預(yù)計算表裁剪技術(shù)，節(jié)省了算法的內(nèi)存消耗；在占比較高的模乘方面，他們也針對性地將教科書乘法與快速模約簡結(jié)合，提升了算法效率。最終整體的優(yōu)化，在算法的性能、內(nèi)存占用及安全性表現(xiàn)上都有一個很好的平衡和提升，確保了算法在該公司自研芯片多種平臺上的流暢運(yùn)行。

加快后量子密碼基礎(chǔ)設(shè)施建設(shè)

同時，劉哲還指出，當(dāng)前所使用的大多數(shù)信息安全系統(tǒng)都沒有進(jìn)行模塊化實現(xiàn)，因此企業(yè)在進(jìn)行后量子密碼技術(shù)產(chǎn)業(yè)化的過程中，無法進(jìn)行代碼的直接替換，這在以后進(jìn)行后量子密碼算法部署時可能需要進(jìn)行大量的基礎(chǔ)工作。

此外，為適應(yīng)后量子密碼算法對資源的巨大需求，網(wǎng)絡(luò)和支持性基礎(chǔ)設(shè)施方面的支出會相應(yīng)提高，這會給企業(yè)帶來巨大的成本支出。因此，在進(jìn)行后量子密碼技術(shù)的產(chǎn)業(yè)化進(jìn)程時，除了企業(yè)本身的大力支持，還需要研究人員能夠提出低成本的解決方案。

然后，建議政府認(rèn)識建立屬于本國網(wǎng)絡(luò)安全系統(tǒng)的重要性，通過立法、撥款等方式，建立能夠抵御先進(jìn)量子計算機(jī)攻擊的網(wǎng)絡(luò)安全防御體系。在加快量子計算機(jī)研發(fā)速度的同時，支持后量子密碼算法的研究工作。

分階段在各類硬件平臺上進(jìn)行后量子密碼算法輕量化高性能部署

“將實驗室的研究成果更好地服務(wù)于國家和民生是科研者追求的目標(biāo)。后量子密碼算法方向的產(chǎn)業(yè)化會隨著相關(guān)標(biāo)準(zhǔn)的頒布而開始，我們團(tuán)隊也會積極為后量子密碼算法的產(chǎn)業(yè)化做好技術(shù)儲備，計劃將技術(shù)產(chǎn)業(yè)化目標(biāo)分為三個階段來完成。”劉哲表示。

第一階段，實現(xiàn)對國際和國密后量子密碼標(biāo)準(zhǔn)的候選集算法的全覆蓋，并且做好現(xiàn)有網(wǎng)絡(luò)協(xié)議的后量子化升級（如 SSL、TLS、SSH 等）。進(jìn)一步凝練現(xiàn)有研究方向的核心技術(shù)以及設(shè)計產(chǎn)品化框架，搭建好后量子密碼平臺，為金融、國防、醫(yī)療等提供后量子密碼升級的全套解決方案。

第二階段，在各類硬件平臺上實現(xiàn)后量子密碼，特別是通過 GPU/FPGA/ASIC 等完成后量子密碼加速，提升性能，構(gòu)建多平臺多算法的高度適配實現(xiàn)；同步支持開展國產(chǎn)芯片的高效安全、抗側(cè)信道攻擊的后量子密碼算法實現(xiàn)。

第三階段，布局后量子密碼芯片。為了進(jìn)一步提升性能和安全性，團(tuán)隊將重點投入后量子芯片研發(fā)，該芯片將能大幅度減少能耗和提升后量子密碼加密速度，并能抵抗側(cè)信道攻擊。

最后，劉哲說到，當(dāng)未來后量子密碼技術(shù)被產(chǎn)業(yè)化之后，會給互聯(lián)網(wǎng)、物聯(lián)網(wǎng)，甚至是量子計算行業(yè)帶來一個非常大的影響和改變。

量子計算的發(fā)展，會使現(xiàn)有的網(wǎng)絡(luò)解決方案有可能面臨著重構(gòu)，或會延伸出一個新的“后量子密碼 +X”這樣一個概念和產(chǎn)業(yè)。“后量子密碼 +X”也會反過來對量子計算造成影響，兩者可以說是一個相輔相成、相互促進(jìn)的關(guān)系。

據(jù)了解，劉哲是國家青年特聘專家，曾獲得《麻省理工科技評論》中國區(qū)“35 歲以下科技創(chuàng)新 35 人”先鋒者、中國密碼學(xué)會密碼創(chuàng)新獎一等獎、阿里巴巴達(dá)摩院青橙獎，入選多個國家級和省部級人才計劃，主持國家自然科學(xué)基金重點項目、科技部重點研發(fā)計劃課題等國家級項目。研究領(lǐng)域包括密碼工程、隱私計算和人工智能安全等。