郁昱
上海交通大學特别研究員,博士生導師。主要從事密碼學基礎理論的研究工作,2010年回國後曾分别在華東師範大學和清華大學任教,多項研究成果發表在密碼三大會(CRYPTO/EUROCRYPT/ASIACRYPT)和CCS,TCC,CHES,CT-RSA,ESORICS等密碼與信息安全的代表性會議上。目前服務于國際密碼學會理事會(IACRboard)擔任觀察員并負責學會官網www.iacr.org的日常管理事務,2015年獲得中國密碼學會優秀青年獎。
張江
信息安全博士,主要關注于可證明安全、公鑰加密和密碼協議的研究,現為密碼科學技術國家重點實驗室助理研究員,在國際重要密碼會議和期刊EUROCRYPT、ASIACRYPT、PKC、DCC、TCS等發表了多項研究成果。個人主頁:jiangzhang
文/郁昱張江
最近一些新聞媒體報道了量子信息/量子計算将對傳統密碼技術(也稱為現代密碼或經典密碼)構成嚴峻挑戰甚至将是徹底的颠覆。作為密碼學的研究人員,我們抛磚引玉談談對“量子計算vs密碼技術”這一問題的看法,同時簡單介紹一下近期正在開展的後量子密碼方面的研究工作。
生活中的“密碼”
随着信息技術的發展和互聯網的普及,密碼技術被廣泛用于網絡和信息系統安全的各個方面,保護着信息的秘密性、完整性、不可抵賴性等信息安全的重要屬性,也是網絡空間安全學科的一個重要組成部分[1]。由于翻譯和使用習慣的原因,絕大多數民衆理解的密碼僅限于登錄各種應用賬号(如郵箱、支付寶、微信等)需要輸入的若幹數字和字母組合,即所謂的口令(英文為password/passphrase)。通常來說,口令隻是用于實現服務器對用戶的身份認證,然而密碼學(Cryptology)的意義則廣泛得多,生活中常用的手機SIM卡、銀行U盾、比特币、網絡證書、TLS/SSL等協議甚至包括公交卡、二代身份證等都需要不同密碼技術的支持。
量子密碼技術對傳統密碼技術的“威脅”
相對于現代密碼技術,目前量子密碼的應用相對較少,主要包括量子密鑰分發和量子比特承諾等,其中量子密鑰分發可用于實現信息的安全傳輸,是目前最受關注的量子密碼應用。接下來,将圍繞安全的信息傳輸,簡要介紹一下傳統的密碼系統。經典的密碼系統主要由密鑰和密碼算法兩部分組成,密碼算法通常是公開的,而密碼系統的安全性隻決定于密鑰的保密性。如圖1所示,在一個加密系統中,加密算法Enc和解密算法Dec都是公開的,而加密者Alice和解密者Bob則分别擁有加密密鑰k1和解密密鑰k2,Eve是傳輸信道上的攻擊者。當Alice想要發送數據m給Bob時,Alice将加密密鑰k1和數據m作為加密算法Enc的輸入,計算得到密文c=Enc(k1,m)并發送給解密者Bob。當接收到密文c後,Bob将解密密鑰k2和密文c作為解密算法Dec的輸入,計算得到明文m=Dec(k2,c)。
根據密鑰使用方式的不同,加密系統又分為對稱加密系統和公鑰加密系統。在對稱加密系統中,加密和解密是用同一個密鑰,即k1=k2,該密鑰是對外保密的。對稱加密系統主要包括流密碼和分組密碼,其中分組密碼較為常用,我們熟知的美國的分組加密标準DES、AES以及我國的商用分組加密标準SM1、SM4等。這類算法通常是密碼學家在一些現有的設計原則和分析方法上設計出來的,而不是基于已知的數學和計算複雜性理論方面的困難問題。據我們所知,在量子計算模型下,目前針對對稱密碼系統最高效的Grover算法,也隻是将密鑰的有效長度減少為原來的一半。換句話說,真正意義上的量子計算機,即使能夠實現,其破解AES-256仍然需要2128量級的計算代價。
使用對稱加密有個前提,即加密者和解密者必須事先共享一個較短(例如128比特)的密鑰,這在一些應用場景下是不現實的。公鑰加密系統的出現,解決了這個問題。最具開創性的Diffie-Hellman密鑰交換協議可以确保通信雙方在不共享任何保密信息的前提下建立共享的密鑰,之後又出現了RSA和ElGamal公鑰加密,我國也有相應的公鑰密碼标準SM2。由于公鑰類的加密效率相對較低,現實應用中,在通信雙方建立共享密鑰之後,一般都會使用更為高效的對稱加密算法對大量數據進行加密。公鑰加密的特點是,它們的安全性都是建立在一些著名的計算困難問題之上,如RSA大數分解,離散對數等等,目前研究學者沒有找到在圖靈機模型下高效求解大整數分解和離散對數問題的經典算法,但美國科學家PeterShor在1995年卻給出了能夠在多項式時間内高效求解大整數分解和離散對數的量子算法。即借助于量子計算機,攻擊者可以高效地破解基于大整數分解和離散對數問題的RSA和Diffie-Hellman等公鑰密碼方案。雖然目前量子計算機還局限在幾個量子比特的原型階段,在其上面運行Shor算法也僅能分解兩位的合數,科學家們都在為迎接“後量子時代”做準備。量子信息技術對以上問題給出的解決方案是通過量子密鑰分發技術在傳輸雙方建立共享密鑰,然後再通過香農一次一密或類似的方法對稱地加密實現無條件的安全性。然而目前量子密鑰分發的速率仍是實現高速率信息傳輸的瓶頸。而且,與傳統的密碼技術一樣,理論上可論證的安全性并不等同于實際系統的安全性,密碼系統在實現時硬件和系統的非理想性也可成為能被攻擊者利用的漏洞。