据英国《自然》周刊网站报道,2022年7月,比利时两名数学家震惊了网络安全界。他们选择了一种用于抵御未来量子计算机免受攻击的数据加密方案,并在10分钟内用一台9年“高龄”的非量子计算机将其破解。
数学密码学家托马斯·德克吕说:“我觉得我比大多数人都更惊讶。”德克吕在比利时鲁汶大学进行博士后研究时参与了此次攻击。他和他的导师沃特·卡斯特里克在白板上写下攻击方案的数学公式,但并不确定方案是否可行——直到二人在计算机上进行了运算。“我过了一阵子才反应过来,‘啊,被破解了。’”
这种被称为SIKE的加密方案旨在实现保密这一宏伟目标。2022年,美国国家标准与技术研究院在其后量子密码学标准化过程中筛选出四种可能采用的方案,它就是其中之一。这一标准化过程的目的是找到能保护私人信息免受量子计算机威胁的算法。
全世界的数字信息都有赖于密码学来保证安全。存储医疗数据的硬盘是加密的,国家军队和情报机构持有的机密也是加密的。在线信用卡支付、数字签名、智能电表读数、无人汽车上的计算机以及护照芯片都依赖上世纪70年代开发的算法,将易于读取的数据转化为加密文件,只有拥有数学“密钥”的人才能解锁。反过来,这些算法也依赖于数学函数,它们能用来轻松创建密钥,但很难反向解密:这相当于数学上的煎鸡蛋。
测试最新算法
现有的量子计算机最多只有几百个量子比特,而且能力有限。美国国际商业机器公司(IBM)计划今年适时发布一款拥有1121个量子比特的芯片,并表示到2025年将研发出拥有4000多个量子比特的计算机。2021年,谷歌和瑞典国家通信安全局的科学家估计,要破解2048位RSA密钥(一种常用密钥长度)需要2000万个量子比特。麻省理工学院计算机科学家罗纳德·里韦说:“当然,最大的问题是,这些推动量子计算实用化的努力会不会为密码分析带来任何好处。”
但研究人员表示,虽然量子计算机投入实际应用还要再等20年,但这个问题今天就已迫在眉睫。美国国家标准与技术研究所的计算机安全部门数学专家、后量子密码学项目负责人达斯廷·穆迪解释说:“你的数据可能已经被未来的量子计算机获取,即使它尚未问世。”间谍机构或网络犯罪分子现在就可以收集加密数据,然后静待技术发展。
为应对实用量子计算机的真正到来,世界各地的密码学家和标准机构正在努力研发量子计算机难以破解的加密技术,就像现有加密方案之于经典计算机。
被破解的密钥
德克吕和卡斯特里克因破解SIKE密钥挑战而获得微软公司5万美元的奖励。这两人宣布其发现后,其他研究团队很快就找到了更快的破解方法。
穆迪说,在2017年底选出的69种候选算法中,有25到30种要么被完全破解,要么遭受了一些重大攻击。今年8月下旬,美国国家标准与技术研究所发布了剩余三种算法的标准草案,并邀请公众进行评价。该机构计划在2024年最终确定标准。
在这三种算法中,有一种是CRYSTALS-Kyber,用于通用加密和保护共享数据的公钥交换。另外两种是分别是CRYSTALS-Dilithium和SPHINCS+,用于保护数字签名,确保提交文件的人是本人。在该机构发出提交方案的新一轮呼吁后,7月份又收到了40多个数字签名候选方案。荷兰埃因霍温理工大学编码理论和密码学团队负责人、参与过SPHINCS+开发的密码学家塔尼娅·朗厄说:“他们在某种程度上传递了这样的信息,即他们对现有的三种算法并不满意。”
挖掘额外信息
任何密码系统都不单单是一个数学难题。它还必须允许以某种方式与需要解密的人共享有关信息,这就带来了弱点。卡斯特里克解释道,“密码学中总有这样的游戏”,你必须用一个难题来建立加密系统,“但总需要进行额外的信息传递才能使方案运行起来”。
SIKE系统基于同源性,它揭示了两条不同椭圆曲线上的点之间的对应关系。解密SIKE需要从至少2434条此类曲线中找到两条随机曲线间的正确映射,其计算量大到英语中没有恰当的词汇能够形容。在没有密钥的情况下,即便使用量子计算机也几乎不可能完成。为了与加密信息的接受者共享密钥,每个发送者必须提供其中一条曲线上两个点的信息。卡斯特里克和德克吕就是成功利用这一额外信息来重建映射,因而得以在没有真正解决数学难题的情况下破解代码。(编译/胡广和)
(责编:赵珊)