“我們正在走向量子時(shí)代,，雖然距離通用量子計(jì)算機(jī)問(wèn)世還有數(shù)年,，但是企業(yè)和組織不能只是觀望量子計(jì)算機(jī)領(lǐng)域的不斷發(fā)展,，需要盡快推動(dòng)后量子密碼技術(shù)的產(chǎn)業(yè)化進(jìn)程。在量子計(jì)算機(jī)問(wèn)世前,，就建立好足以抵御量子計(jì)算攻擊的信息安全系統(tǒng),。”國(guó)家青年特聘專家,、阿里巴巴達(dá)摩院青橙學(xué)者劉哲教授說(shuō)到,。

據(jù)了解，量子計(jì)算機(jī)可以應(yīng)用量子力學(xué)原理打破傳統(tǒng)計(jì)算機(jī)的算力桎梏,，在量子算法的支持下以極高的效率解決很多當(dāng)代的科學(xué)難題,。然而，量子計(jì)算帶來(lái)的算力革命將打破傳統(tǒng)意義上的安全性定義,。

（來(lái)源：Pixabay）

現(xiàn)有的一些公鑰密碼算法和數(shù)字簽名使用傳統(tǒng)計(jì)算機(jī)去破解,，可能需要花費(fèi)幾十年甚至上百年的時(shí)間。但量子計(jì)算機(jī)憑借其超強(qiáng)的計(jì)算能力,，有可能在 1 天之內(nèi)破解原先被認(rèn)為是“絕對(duì)安全”的密碼算法,。

近日，谷歌和瑞典斯德哥爾摩皇家理工學(xué)院公布的一項(xiàng)研究成果,，演示了量子計(jì)算機(jī)如何用 2000 個(gè)量子位,，在 8 個(gè)小時(shí)內(nèi)暴力破解 2048 位 RSA 加密。這對(duì)于有著長(zhǎng)期數(shù)據(jù)安全儲(chǔ)存需求的行業(yè)發(fā)出警醒,，業(yè)界應(yīng)比預(yù)想的時(shí)間要更早地實(shí)現(xiàn)從傳統(tǒng)密碼到后量子密碼（抗量子攻擊密碼）的升級(jí)換代,。

此前，谷歌母公司 Alphabet 剝離其量子技術(shù)開(kāi)發(fā)部門(mén),，成立了一家名為“Sandbox AQ”的初創(chuàng)公司,。該公司已獲得過(guò)億美元融資,，其在初期的重點(diǎn)，是研究和銷售用于后量子密碼學(xué)的軟件,，幫助企業(yè)提高網(wǎng)絡(luò)安全的“后量子密碼”模塊,。目前，Sandbox AQ 正在與全球技術(shù)通信公司沃達(dá)豐（Vodafone Business）,、日本軟件銀行公司（SoftBank Mobile）,、美國(guó)西奈山醫(yī)療系統(tǒng)（Mount Sinai Health System）開(kāi)展合作，共同推進(jìn)后量子密碼應(yīng)用,。

后量子密碼算法的優(yōu)越性和研發(fā)的緊迫性

在被量子計(jì)算所威脅的背景下，現(xiàn)階段部署的一些傳統(tǒng)密碼算法將會(huì)受到巨大的安全性挑戰(zhàn),。

后量子密碼算法是經(jīng)典密碼算法的一套新標(biāo)準(zhǔn),，跟現(xiàn)有的密碼同根同源，都是基于數(shù)學(xué)的,，區(qū)別于基于物理量子力學(xué)性質(zhì)來(lái)保護(hù)數(shù)據(jù)的量子密碼學(xué),。

后量子密碼學(xué)能夠抵抗大型量子計(jì)算機(jī)攻擊，但其并不使用任何量子屬性,，不需要專門(mén)的量子硬件來(lái)加密數(shù)據(jù),。

“簡(jiǎn)單地理解，我們可以直接把經(jīng)典密碼‘抽出來(lái)’,，再把后量子密碼‘換進(jìn)去’,，所以說(shuō)非常好用。當(dāng)然,，后量子密碼實(shí)際的部署涉及到的‘混搭模式’和‘替代模式’比這要復(fù)雜很多,。”劉哲形容到,。

據(jù)《麻省理工科技評(píng)論》（MIT TR）近期發(fā)布的一份報(bào)告《從今天起,，直面明天的量子黑客》（Facing tomorrow’s Quantum hackers today）稱，“為了更好地向后量子密碼過(guò)渡,，行業(yè)和政府正在關(guān)注一種混合方法：將后量子算法與目前已經(jīng)使用的算法結(jié)合,。其邏輯是，如果一個(gè)安全層被破壞了,，那么仍然可以依靠另一層的保護(hù),。”不過(guò),，該報(bào)告同時(shí)也指出,，采用這種模式的企業(yè)和政府，也應(yīng)有一個(gè)明確的退出策略,。

（來(lái)源：MIT TR）

另外,，從全世界的角度來(lái)講，各國(guó)都對(duì)后量子密碼學(xué)非常重視。

據(jù)了解,，2013 年的時(shí)候美國(guó)就開(kāi)始向量子安全密碼轉(zhuǎn)變,，2016 年年底，美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究所（National Institute of Standards and Technology,，NIST）舉辦了一場(chǎng)后量子密碼學(xué)標(biāo)準(zhǔn)化競(jìng)賽,，以尋找合適的抗量子的公鑰加密算法，為以后的量子安全時(shí)代做準(zhǔn)備,。在 2020 年和 2021 年,，NIST 繼續(xù)審查和測(cè)試了之前的后量子加密標(biāo)準(zhǔn)，目的是在 2022 年至 2024 年之間的某個(gè)時(shí)候準(zhǔn)備好推薦標(biāo)準(zhǔn)草案,。

“我們是從 2014 年上半年開(kāi)始從事后量子密碼算法和工程方面的研究工作,。第一篇在該領(lǐng)域的研究論文發(fā)表在國(guó)際密碼學(xué)會(huì)密碼工程旗艦會(huì)議 CHES 2015 上，也是當(dāng)時(shí)國(guó)際上最早去將基于格的密碼加密協(xié)議實(shí)現(xiàn)在傳感器網(wǎng)絡(luò)芯片上的工作之一,，”劉哲說(shuō)到,，“隨后，我在美國(guó)微軟研究院和加拿大滑鐵盧大學(xué)工作期間先后參與了多個(gè)后量子密碼相關(guān)的研究項(xiàng)目,?！?/p>

據(jù)悉，2018 年,，在中國(guó)舉辦的全國(guó)密碼算法設(shè)計(jì)競(jìng)賽上,，劉哲團(tuán)隊(duì)因?yàn)樵诤罅孔用艽a算法性能評(píng)測(cè)方面做的貢獻(xiàn)，獲得了中國(guó)密碼學(xué)會(huì)頒發(fā)的突出貢獻(xiàn)獎(jiǎng),。

而在 2021 年,，劉哲作為項(xiàng)目負(fù)責(zé)人的研究課題《面向物聯(lián)網(wǎng)的后量子密碼安全實(shí)現(xiàn)技術(shù)研究》獲得了國(guó)家自然科學(xué)基金委重點(diǎn)資助。該項(xiàng)目也是當(dāng)年計(jì)算機(jī)學(xué)科在后量子密碼領(lǐng)域的唯一一個(gè)獲批的重點(diǎn)項(xiàng)目,。

為量子時(shí)代的信息安全提供優(yōu)化技術(shù)支撐和安全,、高效解決方案

“在量子時(shí)代信息安全這一塊兒，我們團(tuán)隊(duì)主要還是研究密碼工程,，特別是后量子密碼工程,，”劉哲解釋到，“可以理解為當(dāng)后量子密碼算法被提出或者被標(biāo)準(zhǔn)化之后,，如何設(shè)計(jì)基于后量子密碼的協(xié)議和安全解決方案及提出高效且安全的優(yōu)化實(shí)現(xiàn)技術(shù),，并且最終將之應(yīng)用在現(xiàn)有的互聯(lián)網(wǎng)和物聯(lián)網(wǎng)基礎(chǔ)設(shè)施，從而達(dá)到量子安全效果,?！?/p>

近期，劉哲與其團(tuán)隊(duì)成員張吉鵬,、黃軍浩和奧地利格拉茨技術(shù)大學(xué)蘇喬伊·辛哈·羅伊（Sujoy Sinha Roy）教授合作,，在只有 16KB 內(nèi)存可用的 RISC-V 平臺(tái)上,，提出了一系列 Saber 的內(nèi)存優(yōu)化和性能優(yōu)化新技術(shù)，首次將 NIST 第三輪候選算法 Saber 實(shí)現(xiàn)在 RISC-V 平臺(tái),，研究成果以《內(nèi)存受限的 RISC-V 平臺(tái)上 Saber+ 的時(shí)間內(nèi)存權(quán)衡》（Time-memory Trade-offs for Saber+ on Memory-constrained RISC-V Platform）為題發(fā)表在權(quán)威學(xué)術(shù)期刊 IEEE Transactions on Computers 上[1],，并在 GitHub 網(wǎng)站進(jìn)行了開(kāi)源。

在同源密碼協(xié)議方面,，劉哲團(tuán)隊(duì)先后在 x86 等不同的硬件平臺(tái)提出了有限域乘法,、大整數(shù)約簡(jiǎn)及硬件乘法器等優(yōu)化實(shí)現(xiàn)方法和抗側(cè)信道攻擊的輕量級(jí)防御策略，通過(guò)軟硬件協(xié)同設(shè)計(jì)大幅度提高了 SIDH,、SIKE 等協(xié)議的實(shí)現(xiàn)性能,。這些工程優(yōu)化技術(shù)較大地提升了算法效率，并節(jié)省了算法的資源消耗,，迎合了互聯(lián)網(wǎng)產(chǎn)業(yè)要求,。

“我相信，我們?yōu)槲磥?lái)的后量子密碼算法部署提供了一個(gè)非常好的技術(shù)支撐,。”劉哲說(shuō),。

物聯(lián)網(wǎng)芯片部署后量子密碼算法的困難所在

萬(wàn)物互聯(lián)時(shí)代,，各種物聯(lián)網(wǎng)芯片平臺(tái)各異，性能各異,，資源有限,。在資源嚴(yán)重受限的物聯(lián)網(wǎng)芯片上部署后量子密碼算法，最重要和普遍的一個(gè)問(wèn)題就是算法在內(nèi)存占用和算法運(yùn)行時(shí)間上的權(quán)衡,。

劉哲提到：“有時(shí)候想讓這個(gè)算法跑得快,，就要寫(xiě)大量匯編代碼，這就會(huì)造成內(nèi)存占用量的增加,。但物聯(lián)網(wǎng)芯片的資源特別有限,，密碼算法的內(nèi)存占用量變大，將會(huì)導(dǎo)致部署成本增加,，甚至無(wú)法部署在物聯(lián)網(wǎng)芯片上,。即便很多算法已經(jīng)在個(gè)人電腦或服務(wù)器環(huán)境下發(fā)展的較為成熟，當(dāng)其適配到各種嵌入式平臺(tái)上時(shí),，表現(xiàn)往往都不盡如人意,。”

“因此,，如何降低算法的資源消耗,，在功率、內(nèi)存受到嚴(yán)格限制的苛刻平臺(tái)環(huán)境下實(shí)現(xiàn)算法的時(shí)間,、空間,、性能的平衡是非常有挑戰(zhàn)性的研究課題,。”

劉哲還表示,，對(duì)于不同的平臺(tái),、不同的場(chǎng)景，這個(gè)課題的答案往往是不一樣的,。他舉例說(shuō),，在之前與一國(guó)際領(lǐng)軍通信公司的合作項(xiàng)目中，他們被要求為該公司 WiFi 自研芯片優(yōu)化某類國(guó)際標(biāo)準(zhǔn)算法,，但由于物聯(lián)網(wǎng)芯片可用內(nèi)存太小,，很難將數(shù)學(xué)結(jié)構(gòu)復(fù)雜、運(yùn)算復(fù)雜的密碼算法適配進(jìn)去,。

針對(duì)此問(wèn)題,，劉哲與其團(tuán)隊(duì)成員楊昊、吳偉彬?qū)λ惴ㄟM(jìn)行了多方面的優(yōu)化,。比如,，他們使用算子復(fù)用技術(shù)與預(yù)計(jì)算表裁剪技術(shù)，節(jié)省了算法的內(nèi)存消耗,；在占比較高的模乘方面,，他們也針對(duì)性地將教科書(shū)乘法與快速模約簡(jiǎn)結(jié)合，提升了算法效率,。最終整體的優(yōu)化,，在算法的性能、內(nèi)存占用及安全性表現(xiàn)上都有一個(gè)很好的平衡和提升,，確保了算法在該公司自研芯片多種平臺(tái)上的流暢運(yùn)行,。

加快后量子密碼基礎(chǔ)設(shè)施建設(shè)

同時(shí)，劉哲還指出,，當(dāng)前所使用的大多數(shù)信息安全系統(tǒng)都沒(méi)有進(jìn)行模塊化實(shí)現(xiàn),，因此企業(yè)在進(jìn)行后量子密碼技術(shù)產(chǎn)業(yè)化的過(guò)程中，無(wú)法進(jìn)行代碼的直接替換,，這在以后進(jìn)行后量子密碼算法部署時(shí)可能需要進(jìn)行大量的基礎(chǔ)工作,。

此外，為適應(yīng)后量子密碼算法對(duì)資源的巨大需求,，網(wǎng)絡(luò)和支持性基礎(chǔ)設(shè)施方面的支出會(huì)相應(yīng)提高,，這會(huì)給企業(yè)帶來(lái)巨大的成本支出。因此,，在進(jìn)行后量子密碼技術(shù)的產(chǎn)業(yè)化進(jìn)程時(shí),，除了企業(yè)本身的大力支持，還需要研究人員能夠提出低成本的解決方案,。

然后,，建議政府認(rèn)識(shí)建立屬于本國(guó)網(wǎng)絡(luò)安全系統(tǒng)的重要性,，通過(guò)立法、撥款等方式,，建立能夠抵御先進(jìn)量子計(jì)算機(jī)攻擊的網(wǎng)絡(luò)安全防御體系,。在加快量子計(jì)算機(jī)研發(fā)速度的同時(shí)，支持后量子密碼算法的研究工作,。

分階段在各類硬件平臺(tái)上進(jìn)行后量子密碼算法輕量化高性能部署

“將實(shí)驗(yàn)室的研究成果更好地服務(wù)于國(guó)家和民生是科研者追求的目標(biāo),。后量子密碼算法方向的產(chǎn)業(yè)化會(huì)隨著相關(guān)標(biāo)準(zhǔn)的頒布而開(kāi)始，我們團(tuán)隊(duì)也會(huì)積極為后量子密碼算法的產(chǎn)業(yè)化做好技術(shù)儲(chǔ)備,，計(jì)劃將技術(shù)產(chǎn)業(yè)化目標(biāo)分為三個(gè)階段來(lái)完成,。”劉哲表示,。

第一階段,，實(shí)現(xiàn)對(duì)國(guó)際和國(guó)密后量子密碼標(biāo)準(zhǔn)的候選集算法的全覆蓋，并且做好現(xiàn)有網(wǎng)絡(luò)協(xié)議的后量子化升級(jí)（如 SSL,、TLS,、SSH 等）。進(jìn)一步凝練現(xiàn)有研究方向的核心技術(shù)以及設(shè)計(jì)產(chǎn)品化框架,，搭建好后量子密碼平臺(tái),，為金融、國(guó)防,、醫(yī)療等提供后量子密碼升級(jí)的全套解決方案。

第二階段,，在各類硬件平臺(tái)上實(shí)現(xiàn)后量子密碼,，特別是通過(guò) GPU/FPGA/ASIC 等完成后量子密碼加速，提升性能,，構(gòu)建多平臺(tái)多算法的高度適配實(shí)現(xiàn),；同步支持開(kāi)展國(guó)產(chǎn)芯片的高效安全、抗側(cè)信道攻擊的后量子密碼算法實(shí)現(xiàn),。

第三階段,，布局后量子密碼芯片。為了進(jìn)一步提升性能和安全性,，團(tuán)隊(duì)將重點(diǎn)投入后量子芯片研發(fā),，該芯片將能大幅度減少能耗和提升后量子密碼加密速度，并能抵抗側(cè)信道攻擊,。

最后,，劉哲說(shuō)到，當(dāng)未來(lái)后量子密碼技術(shù)被產(chǎn)業(yè)化之后,，會(huì)給互聯(lián)網(wǎng),、物聯(lián)網(wǎng),，甚至是量子計(jì)算行業(yè)帶來(lái)一個(gè)非常大的影響和改變。

量子計(jì)算的發(fā)展,，會(huì)使現(xiàn)有的網(wǎng)絡(luò)解決方案有可能面臨著重構(gòu),，或會(huì)延伸出一個(gè)新的“后量子密碼 +X”這樣一個(gè)概念和產(chǎn)業(yè)?！昂罅孔用艽a +X”也會(huì)反過(guò)來(lái)對(duì)量子計(jì)算造成影響,，兩者可以說(shuō)是一個(gè)相輔相成、相互促進(jìn)的關(guān)系,。

據(jù)了解,，劉哲是國(guó)家青年特聘專家，曾獲得《麻省理工科技評(píng)論》中國(guó)區(qū)“35 歲以下科技創(chuàng)新 35 人”先鋒者,、中國(guó)密碼學(xué)會(huì)密碼創(chuàng)新獎(jiǎng)一等獎(jiǎng),、阿里巴巴達(dá)摩院青橙獎(jiǎng)，入選多個(gè)國(guó)家級(jí)和省部級(jí)人才計(jì)劃,，主持國(guó)家自然科學(xué)基金重點(diǎn)項(xiàng)目,、科技部重點(diǎn)研發(fā)計(jì)劃課題等國(guó)家級(jí)項(xiàng)目。研究領(lǐng)域包括密碼工程,、隱私計(jì)算和人工智能安全等,。