在攻防双方的军备竞赛中,信息安全行业将目光放在了量子加密和量子密钥分发(QKD)上。然而,这也只能解决部分问题。
量子加密,也称为量子密码,将量子力学原理应用在消息加密上,让除预定收家之外的任何人都无法读取消息。这种方法利用了量子的多态优势,结合其“不变论”,形成不会被隐秘中断或干扰的特性。
加密古已有之,从亚述人保护陶器制作工艺,到德国人用恩尼格码保护军事秘密。今天,威胁比以往任何时候都多。所以,一些人就寻求用量子加密来保护数据了。
在“传统”计算机上,加密是这么进行的:二进制码(“0”和“1”)被系统性地从一个地方发送到另一个地方,然后用对称(私钥)或非对称(公钥)密钥加以解密。对称密钥加密,比如AES,使用同样的密钥加密消息或文件;而非对称加密,比如RSA,使用两个相关联的密钥——私钥和公钥。公钥是共享的,但私钥只有应该解密信息的人才知道。
然而,以大质数难以被分解为基础的公钥加密协议,比如Diffie-Hellman、RSA和椭圆曲线加密(ECC),却日渐面临威胁。业内很多人士认为,这些加密协议可被终端或边信道攻击绕过,比如中间人攻击、密码攻击和后门。作为该脆弱性的样例,RSA-1024不再被NIS认为安全,而边信道攻击已被证明对RSA-4096有效。
另一种担忧是:随着量子计算机的出现,该情况只会越来越糟。据称,只需5-20年,量子计算机就能快速分解质数了。当这种情况发生,每种依赖于公钥加密的加密通信,都会失效。
苏格兰爱丁堡龙比亚大学计算机学院教授比尔·布坎南说:“量子计算机不太可能破解对称加密方法(AES、3DES等等),但可以破解公钥加密,比如ECC和RSA。互联网往往通过增加密钥长度来克服破解问题。所以我确实期待密钥长度的增加可以延长RSA和ECC的寿命。”
量子加密是长期解决方案吗?
解释量子加密
原则上,量子密码可以让你的被加密信息除了指定接受者外无人可读。量子密码被定义成“利用量子力学属性执行加密任务的科学”,而外行人的定义则是:量子的多态及其“不变论”,意味着该加密方法不会被秘密中断或干扰。
正如BBC最近在视频中生动演示的,该加密方式就好像手持冰淇淋站在大太阳下。拿出冰柜,暴露在阳光下,冰淇淋就完全变形了。一篇2004年的斯坦福论文对此解释得更好,论文中称:“量子加密采用光量子并依靠量子物理定律,而不依赖‘超大数’,这是一种非常先进的技术,可以保证私密性,甚至拥有无限计算能力的窃听者都无法窥探。”
布坎南从中看到了很多市场机遇。
“
量子加密应用有可能替代现有隧道方法,比如SSL和WiFi加密,创建光纤网络上的完全端到端加密。如果光缆应用贯穿连接始终,也就没必要再在其他层应用加密了,因为物理层的通信就已经是安全的。
量子加密其实就在于量子密钥分发
艾伦·伍德沃德,英国萨里大学计算系客座教授,称量子加密被错误地理解了,人们实际上说的是量子密钥分发(QKD)——密钥交换问题理论上的信息安全解决方案。QKD中,微观量子尺度上分发的光量子,可以被水平或垂直极化,但对它进行观测就会扰乱量子状态。这就是量子物理中的不可克隆原理。
看到位相差,你就会意识到消息已被干扰,于是不再信任该消息。如果手握密钥,就可以恢复到对称密钥加密。QKD最终就是要替代公钥基础设施(PKI)。
布坎南对QKD信心十足:“我们目前在物理层端到端分发中没有合适的安全通信方法。WiFi条件下,安全仅通过无线信道提供。为保持通信安全,我们又在通信之上覆盖上了其他隧道方法,比如VPN或SSL。有了量子加密,我们就能保护整个端到端连接,无需SSL或VPN。”
量子密钥分发有哪些应用?
伍德沃德指出,QKD已经有商业应用了,东芝、Qubitekk和ID Quantique等供应商有提供。但QKD很昂贵,而且需要独立的基础设施,不像后量子加密一样可以运行在已有网络上。
中国在将QKD推向市场方面做了第一个吃螃蟹的人。今年早些时候,奥地利和中国科学家成功进行了首次量子加密的视频电话,比常规加密至少安全100万倍。试验中,中国人利用了其卫星“墨子号”——专为进行量子物理实验而发射的卫星,并使用了速率可达1Mbps的纠缠量子对。
伍德沃德称,使用公钥加密的任何事务,都可以用QKD,中国对此感兴趣的原因之一是:如果物理上安全,就可以避免来自美国国家安全局(NSA)和民族国家的监视。
“
没有后门,也没有精明的数学技巧——椭圆曲线攻击,就是基于物理定律,比数学定律简单多了。
他预计,量子加密最终会用在政府、银行和其他高端应用中。“如今有几家公司在卖设备,确实有效,但也很贵,不过成本应该还会下降。人们可能会在银行和政府之类高安全领域首先看到量子加密的身影。”
其他样例包括:
牛津大学、诺基亚和 Bay Photonics 的研究人员发明了一套系统,可以加密支付信息,然后在智能手机和销售终端(PoS)间安全传输量子密钥,同时还监视对传输过程的任何黑客攻击活动。
2007年开始,瑞士的联邦和地区选举中就在用量子密码进行安全在线投票。在日内瓦,选票在中央计票站被加密,然后通过专用光纤将结果传输到远程数据存储设施。投票结果经由量子加密保护,而数据交易中最脆弱的部分——选票从计票站传到中央存储的过程,是无法被扰乱的。
名为Quintessence Labs的一家公司,正在为美国航空航天局(NASA)做义工项目,确保卫星和宇航员与地球间的通信安全。
小型加密设备QKarD,可令智能电网工作人员用公共数据网络发送完全安全的信号,来控制智能电网。
巴特尔实验室就在与ID Quantique合作,在其总部和华盛顿特区之间打造一条650千米的链路。去年,巴特尔就用QKD保护其俄亥俄州哥伦布市的网络。
实际问题和国家干预
然而,量子加密未必是信息安全的万灵丹。伍德沃德提到了在嘈杂混乱的宇宙中那居高不下的错误率——不可靠性,还有产生QKD所需单个光量子的技术困难。另外,基于光纤的QKD只能传输一定距离,于是你还需要中继器——“弱点”。
布坎南还指出了基础设施问题,端到端都需要宽带光纤。
“
我们距离端到端全光纤系统还有很长一段路要走,因为通信信道的最后一公里往往还是铜缆。同时,我们是混合通信系统互连的,因而我们无法在端到端连接中保护物理通信信道安全。
不存在所谓万灵丹的说法。一些研究人员最近发现了贝尔定理中的安全问题,政府的涉入也有可能造成麻烦。毕竟,这是一个政客不懂加密的时代,机构总想破解端到端加密,特别喜欢在主流技术公司里安插后门。
于是,英国国家安全中心最近一份把QKD批得体无完肤的报告,也就不那么令人惊讶了。
“
量子密钥分发技术有着严重的实际局限,解决不了大部分安全问题,对潜在攻击知之甚少。相反,后量子公钥加密体系,可对现实世界通信系统,提供有效得多的缓解措施,用以抵御未来量子计算机的威胁。
加密的未来有可能是混合
伍德沃德提到了密码学家和物理学家之间的一点小争议,尤其在所谓“绝对安全”的构成因素方面。因此,他们各自开发不同的方法。而伍德沃德也承认,他看不到这些不同方法融合的未来。
NSA去年开始计划转向量子辅助的加密,而NIST则是在推动后量子算法工作。欧盟在后量子和量子加密两方面都有努力,谷歌指望在其Chrome新希望系统中依赖后量子网格。
伍德沃德说:“我预计未来会是后量子和量子密钥分发的混合。在投钱进基础设施有意义的方面,你会看到QKD,终端用户方面,则会有数学方法可用。”比如说,QKD会是传输旅程的一部分,或许就是从用户到WhatsApp服务器这一段,而后量子加密则负责从服务器到消息收家这一段。
量子密钥分发无疑是信息安全行业令人兴奋的巨大机会,但在被主流广泛采纳成为现实之前,我们可能还要再等上一段时间。