中国科学家研发后量子密码算法与工程,在量子时代替代传统加密,已实现RISC-V等物联网实验平台应用
本帖最后由 塞巴斯蒂安 于 2022-5-2 13:33 编辑“我们正在走向量子时代,虽然距离通用量子计算机问世还有数年,但是企业和组织不能只是观望量子计算机领域的不断发展,需要尽快推动后量子密码技术的产业化进程。在量子计算机问世前,就建立好足以抵御量子计算攻击的信息安全系统。”国家青年特聘专家、阿里巴巴达摩院青橙学者刘哲教授说到。
据了解,量子计算机可以应用量子力学原理打破传统计算机的算力桎梏,在量子算法的支持下以极高的效率解决很多当代的科学难题。然而,量子计算带来的算力革命将打破传统意义上的安全性定义。
(来源:Pixabay)
现有的一些公钥密码算法和数字签名使用传统计算机去破解,可能需要花费几十年甚至上百年的时间。但量子计算机凭借其超强的计算能力,有可能在 1 天之内破解原先被认为是“绝对安全”的密码算法。
近日,谷歌和瑞典斯德哥尔摩皇家理工学院公布的一项研究成果,演示了量子计算机如何用 2000 个量子位,在 8 个小时内暴力破解 2048 位 RSA 加密。这对于有着长期数据安全储存需求的行业发出警醒,业界应比预想的时间要更早地实现从传统密码到后量子密码(抗量子攻击密码)的升级换代。
此前,谷歌母公司 Alphabet 剥离其量子技术开发部门,成立了一家名为“Sandbox AQ”的初创公司。该公司已获得过亿美元融资,其在初期的重点,是研究和销售用于后量子密码学的软件,帮助企业提高网络安全的“后量子密码”模块。目前,Sandbox AQ 正在与全球技术通信公司沃达丰(Vodafone Business)、日本软件银行公司(SoftBank Mobile)、美国西奈山医疗系统(Mount Sinai Health System)开展合作,共同推进后量子密码应用。
一、后量子密码算法的优越性和研发的紧迫性
在被量子计算所威胁的背景下,现阶段部署的一些传统密码算法将会受到巨大的安全性挑战。
后量子密码算法是经典密码算法的一套新标准,跟现有的密码同根同源,都是基于数学的,区别于基于物理量子力学性质来保护数据的量子密码学。
后量子密码学能够抵抗大型量子计算机攻击,但其并不使用任何量子属性,不需要专门的量子硬件来加密数据。
“简单地理解,我们可以直接把经典密码‘抽出来’,再把后量子密码‘换进去’,所以说非常好用。当然,后量子密码实际的部署涉及到的‘混搭模式’和‘替代模式’比这要复杂很多。”刘哲形容到。
据《麻省理工科技评论》(MIT TR)近期发布的一份报告《从今天起,直面明天的量子黑客》(Facing tomorrow’s quantum hackers today)称,“为了更好地向后量子密码过渡,行业和政府正在关注一种混合方法:将后量子算法与目前已经使用的算法结合。其逻辑是,如果一个安全层被破坏了,那么仍然可以依靠另一层的保护。”不过,该报告同时也指出,采用这种模式的企业和政府,也应有一个明确的退出策略。
(来源:MIT TR)另外,从全世界的角度来讲,各国都对后量子密码学非常重视。
据了解,2013 年的时候美国就开始向量子安全密码转变,2016 年年底,美国国家标准技术研究所(National Institute of Standards and Technology,NIST)举办了一场后量子密码学标准化竞赛,以寻找合适的抗量子的公钥加密算法,为以后的量子安全时代做准备。在 2020 年和 2021 年,NIST 继续审查和测试了之前的后量子加密标准,目的是在 2022 年至 2024 年之间的某个时候准备好推荐标准草案。
“我们是从 2014 年上半年开始从事后量子密码算法和工程方面的研究工作。第一篇在该领域的研究论文发表在国际密码学会密码工程旗舰会议 CHES 2015 上,也是当时国际上最早去将基于格的密码加密协议实现在传感器网络芯片上的工作之一,”刘哲说到,“随后,我在美国微软研究院和加拿大滑铁卢大学工作期间先后参与了多个后量子密码相关的研究项目。”
据悉,2018 年,在中国举办的全国密码算法设计竞赛上,刘哲团队因为在后量子密码算法性能评测方面做的贡献,获得了中国密码学会颁发的突出贡献奖。
而在 2021 年,刘哲作为项目负责人的研究课题《面向物联网的后量子密码安全实现技术研究》获得了国家自然科学基金委重点资助。该项目也是当年计算机学科在后量子密码领域的唯一一个获批的重点项目。
二、为量子时代的信息安全提供优化技术支撑和安全、高效解决方案
“在量子时代信息安全这一块儿,我们团队主要还是研究密码工程,特别是后量子密码工程,”刘哲解释到,“可以理解为当后量子密码算法被提出或者被标准化之后,如何设计基于后量子密码的协议和安全解决方案及提出高效且安全的优化实现技术,并且最终将之应用在现有的互联网和物联网基础设施,从而达到量子安全效果。”
近期,刘哲与其团队成员张吉鹏、黄军浩和奥地利格拉茨技术大学苏乔伊·辛哈·罗伊(Sujoy Sinha Roy)教授合作,在只有 16KB 内存可用的 RISC-V 平台上,提出了一系列 Saber 的内存优化和性能优化新技术,首次将 NIST 第三轮候选算法 Saber 实现在 RISC-V 平台,研究成果以《内存受限的 RISC-V 平台上 Saber+ 的时间内存权衡》(Time-memory Trade-offs for Saber+ on Memory-constrained RISC-V Platform)为题发表在权威学术期刊 IEEE Transactions on Computers 上,并在 GitHub 网站进行了开源。
图 | 私钥向量 s 的动态生成策略图(来源:IEEE Transactions on Computers)
在同源密码协议方面,刘哲团队先后在 x86 等不同的硬件平台提出了有限域乘法、大整数约简及硬件乘法器等优化实现方法和抗侧信道攻击的轻量级防御策略,通过软硬件协同设计大幅度提高了 SIDH、SIKE 等协议的实现性能。这些工程优化技术较大地提升了算法效率,并节省了算法的资源消耗,迎合了互联网产业要求。
“我相信,我们为未来的后量子密码算法部署提供了一个非常好的技术支撑。”刘哲说。
三、物联网芯片部署后量子密码算法的困难所在
万物互联时代,各种物联网芯片平台各异,性能各异,资源有限。在资源严重受限的物联网芯片上部署后量子密码算法,最重要和普遍的一个问题就是算法在内存占用和算法运行时间上的权衡。
刘哲提到:“有时候想让这个算法跑得快,就要写大量汇编代码,这就会造成内存占用量的增加。但物联网芯片的资源特别有限,密码算法的内存占用量变大,将会导致部署成本增加,甚至无法部署在物联网芯片上。即便很多算法已经在个人电脑或服务器环境下发展的较为成熟,当其适配到各种嵌入式平台上时,表现往往都不尽如人意。”
“因此,如何降低算法的资源消耗,在功率、内存受到严格限制的苛刻平台环境下实现算法的时间、空间、性能的平衡是非常有挑战性的研究课题。”
(来源:刘哲)
刘哲还表示,对于不同的平台、不同的场景,这个课题的答案往往是不一样的。他举例说,在之前与一国际领军通信公司的合作项目中,他们被要求为该公司 WiFi 自研芯片优化某类国际标准算法,但由于物联网芯片可用内存太小,很难将数学结构复杂、运算复杂的密码算法适配进去。
针对此问题,刘哲与其团队成员杨昊、吴伟彬对算法进行了多方面的优化。比如,他们使用算子复用技术与预计算表裁剪技术,节省了算法的内存消耗;在占比较高的模乘方面,他们也针对性地将教科书乘法与快速模约简结合,提升了算法效率。最终整体的优化,在算法的性能、内存占用及安全性表现上都有一个很好的平衡和提升,确保了算法在该公司自研芯片多种平台上的流畅运行。
四、加快后量子密码基础设施建设
同时,刘哲还指出,当前所使用的大多数信息安全系统都没有进行模块化实现,因此企业在进行后量子密码技术产业化的过程中,无法进行代码的直接替换,这在以后进行后量子密码算法部署时可能需要进行大量的基础工作。
此外,为适应后量子密码算法对资源的巨大需求,网络和支持性基础设施方面的支出会相应提高,这会给企业带来巨大的成本支出。因此,在进行后量子密码技术的产业化进程时,除了企业本身的大力支持,还需要研究人员能够提出低成本的解决方案。
然后,建议政府认识建立属于本国网络安全系统的重要性,通过立法、拨款等方式,建立能够抵御先进量子计算机攻击的网络安全防御体系。在加快量子计算机研发速度的同时,支持后量子密码算法的研究工作。
五、分阶段在各类硬件平台上进行后量子密码算法轻量化高性能部署
“将实验室的研究成果更好地服务于国家和民生是科研者追求的目标。后量子密码算法方向的产业化会随着相关标准的颁布而开始,我们团队也会积极为后量子密码算法的产业化做好技术储备,计划将技术产业化目标分为三个阶段来完成。”刘哲表示。
第一阶段,实现对国际和国密后量子密码标准的候选集算法的全覆盖,并且做好现有网络协议的后量子化升级(如 SSL、TLS、SSH 等)。进一步凝练现有研究方向的核心技术以及设计产品化框架,搭建好后量子密码平台,为金融、国防、医疗等提供后量子密码升级的全套解决方案。
第二阶段,在各类硬件平台上实现后量子密码,特别是通过 GPU/FPGA/ASIC 等完成后量子密码加速,提升性能,构建多平台多算法的高度适配实现;同步支持开展国产芯片的高效安全、抗侧信道攻击的后量子密码算法实现。
第三阶段,布局后量子密码芯片。为了进一步提升性能和安全性,团队将重点投入后量子芯片研发,该芯片将能大幅度减少能耗和提升后量子密码加密速度,并能抵抗侧信道攻击。
最后,刘哲说到,当未来后量子密码技术被产业化之后,会给互联网、物联网,甚至是量子计算行业带来一个非常大的影响和改变。
量子计算的发展,会使现有的网络解决方案有可能面临着重构,或会延伸出一个新的“后量子密码 +X”这样一个概念和产业。“后量子密码 +X”也会反过来对量子计算造成影响,两者可以说是一个相辅相成、相互促进的关系。
图 | 刘哲(来源:刘哲)
据了解,刘哲是国家青年特聘专家,曾获得《麻省理工科技评论》中国区“35 岁以下科技创新 35 人”先锋者、中国密码学会密码创新奖一等奖、阿里巴巴达摩院青橙奖,入选多个国家级和省部级人才计划,主持国家自然科学基金重点项目、科技部重点研发计划课题等国家级项目。研究领域包括密码工程、隐私计算和人工智能安全等。
-End-
参考:
1、J. Zhang, J. Huang, Z. Liu and S. Sinha Roy, "Time-memory Trade-offs for Saber+ on Memory-constrained RISC-V Platform," in IEEE Transactions on Computers, doi: 10.1109/TC.2022.3143441.完
页:
[1]