量子威胁及其应对技术

点击上方 “中国信息安全” 可订阅

文│ 中国信息安全测评中心  刘宏伟 石竑松

多年以后，当人们在享有量子计算的变革性成果为人类带来的巨大自由时，一定会因量子计算对个人隐私和社会秘密的潜在破坏性而隐隐担忧，这就是量子计算对社会发展的两面性影响。一旦到达一定的发展高度，量子计算技术可以显著地提升科学技术的发展速度，促进社会进步。另一方面，量子计算技术对现有网络安全技术的负面影响也可能是灾难性的，应对不当，网络空间安全将陷入混乱。本文在简短地回顾量子计算技术的发展状况后，将结合我们的工作理解，探讨量子威胁及其应对之道。

一、量子计算技术的巨大潜力已引发新一轮技术变革和激烈竞争

量子力学的革命性影响已在工业界掀起了两次变革浪潮。第一次量子技术变革（大致为20世纪初量子力学创立以来）开创了今天以计算机和互联网为基础的繁荣的信息时代。随着人类对观测和调控微观物理体系中量子效应能力的不断提升，第二次量子技术变革正蓬勃兴起（大致从1980年代Richard Feynman提出量子计算概念以来）。基于量子叠加和纠缠等效应进行信息获取、存储、处理和传输的量子信息技术，可以在提升运算速度、存储容量和信息安全保障能力等方面突破传统技术的瓶颈。

现有研究认为，源于其一定程度上的并行处理能力量子计算可以作为传统计算模型的有力补充，为人类改造客观世界的活动带来新的技术工具。Grover加速搜索算法出现以来，人们对量子计算机的未来应用前景抱有极大期望，最根本的两点是期待其能解决目前传统计算机无法有效解决的计算问题，并通过研究量子算法的复杂性，拓展人类认知边界。

客观地说，量子计算技术仍处于早期发展阶段，面临提升量子比特保真度、容错以及扩展性等诸多技术难题，人类是否有能力构造出实用大型的量子计算机仍有很多不确定性。但是，由于这一技术对未来各国综合竞争力的潜在决定性影响，围绕这一主题的宏大竞争序幕已在世界各地逐步拉开。

近5年来，欧美日韩等地相继推出了指引性的量子信息技术发展计划，众多这一领域的顶尖机构和企业在量子计算机的建造和算法设计领域的竞争已然如火如荼，“量子摩尔定律”也正逐步显现其有效性。2019年，Google公司利用53位量子比特的量子处理器，首次验证了量子计算机在处理特定问题时，相较于经典计算机可实现指数量级的运算处理加速，这种体现量子计算的原理性优势被称为“量子霸权”（Quantum Supremacy）。2020年6月，霍尼韦尔（Honeywell）公司基于IBM提出的量子体积（Quantum volume）的性能评价概念（影响因素包括量子比特数、测量误差、设备交叉通信、以及设备连接和电路编译效率等），发布了量子体积达64的量子计算机，为当今最强。另外，微软、IBM等企业已相继开发概念性的量子计算软件开发工具，对未来衔接量子计算机的软硬件谋划布局。相对而言，美国仍是量子计算机制造和理论研究方面的佼佼者。

二、量子计算对网络空间安全带来了潜在巨大的挑战

围绕量子计算技术的竞争存在两个方面，一是前面提到的技术实现层面的竞争，另一方面关乎应对量子计算潜在破坏层面的防护技术。美国兰德公司在2020年4月发布的《在量子计算时代确保通信安全：管理加密风险》报告中详细分析了量子计算产生的风险，指出现代通信基础设施防范量子安全威胁的紧迫性，并为美国政府提供了应对风险的建议。

简单地说，量子计算对网络安全的影响源于Peter Shor和Lov Grover等人于20世纪90年代提出的一系列计算加速算法，这些算法让人们担忧传统加密措施在量子计算面前的安全性。具体地说，如果有能力构造实用大型量子计算机（简单地说，指至少可以稳定处理和存储亿万级量子比特的机器），一定规模之下的RSA算法和其他基于大数分解和离散对数困难性的密码算法将不复安全，同时所有基于攻击者计算复杂性假设而构造的密码算法（无论是对称还是非对称算法）的安全性也非常值得怀疑。

所有国家都有秘密需要长久保存，民众也希望个人财务数据、DNA和健康数据可以被安全保存，很多此类信息都在传统密码技术的保护下进行网络传输。对有特定目的的攻击者来说，即便现在没有具体的攻击能力，但他们可以先窃取并保存此类加密信息，等量子计算机发展成熟后，再对其进行破译。从这个角度来说，量子计算对网络安全的威胁是长远的，我们无法忽视量子计算可能带来的巨大潜在风险。相对而言，我们将这种情况下的安全目标称为长期安全（long-term security），并坦言并非所有的解决方案都可用于实现这种目标。

三、量子信息技术为网络空间安全技术的发展注入新动力

目前，应对量子威胁的方法主要集中在发展量子密码和后量子密码这两方面。

1.量子密码为提升信息安全保障能力提供了新思路

量子计算对传统加密措施的影响源于其独特的量子特性，如果发挥其正面功能，将这些特性用于构造信息加密算法，量子计算所带来的威胁或许能轻松应对，这种基于量子力学原理保障信息安全的技术便是量子密码（Quantum Cryptography）。

1984年Charles Bennett和Gilles Brassard提出了一个密钥分发协议（BB84协议），该协议为解决密码学中的密钥协商问题提供了一种全新的思路，其安全性建立在这样的量子理论上：量子比特在传输过程中无法被准确复制，并且对发送量子态和接收量子态的比较，可以发现传输过程中是否存在的截取―测量等窃听行为，进而能够实现所谓的信息论意义上的安全。

量子密钥分发（QKD）作为量子密码技术中目前最接近产业应用的一个方向，备受各方关注。在产品开发方面，瑞士ID Quantique，东芝欧洲研究院，以及我国的国科量子、科大国盾、安徽问天等公司已有量子密钥分发的相关产品问市。在战略层面，2019年7月欧盟10国签署量子通信基础设施（QCI）声明，探讨未来十年在欧洲范围内将量子信息技术整合到传统通信基础设施中，以确保加密通信系统免受网络安全威胁。2020年6月，以色列成立量子通信联盟，重点研发改进量子密码技术，并降低实现成本。此外，日、韩等国也相应公布了战略文件，并在ITU-T等标准开发平台上开展标准化工作。

2.提升QKD系统实际应用价值和安全性的考虑

目前，QKD在实用化进程中仍然面临成码率低，传输距离有限，实现成本高等问题。由于量子信号的强度要远远弱于传统信号，目前QKD只能通过独立的信道进行传输。同时，实际应用中的QKD系统会同传统密码模块一样，因实际器件的缺陷而偏离理论安全模型。显然，解决这些问题是推广应用QKD的关键之举，所幸现有研究已有明显进展。

首先，量子信号和传统信号共纤传输技术将改善独立信道的问题。如此一来，QKD可以利用现有丰富的光纤网络实现量子网络建设。量子网络可以实现更多量子信息传输任务，包括更广域的任意节点之间的量子密钥分发、分布式量子计算和高精度的量子测量等。在可预见的未来，量子卫星与地面量子网络将协同实现天地一体化的全球量子互联网，届时量子云计算也将成为基本资源。量子网络的这些应用前景吸引了全球的战略部署：美国政府在2020年2月宣布将提供2500万美元建立量子网络。同时，美国国家量子协调办公室发布“美国量子网络的战略构想”，旨在帮助促进量子互联网基础的发展。2020年3月，欧盟的“量子旗舰计划”发布了长达110多页的战略研究议程（SRA），详尽描述了发展欧洲量子互联网的远景和技术路线。

其次，在QKD实际安全性方面，通过对缺陷进行标定或修改协议设计，可有效减少侧信道信息泄漏量，降低系统出现侧信道的可能性以及受到主动攻击的风险。例如，测量设备无关的QKD协议可以解决被称为QKD系统“阿喀琉斯之踵”的测量端设备的安全问题；基于量子纠缠QKD协议的安全性不需要依赖任何关于源端设备的假设。

QKD的初衷并非完全取代传统密码。理论上QKD可以实现计算上安全的传统密码算法无法实现的信息论安全目标，但是从现有研究来看，QKD在实现效率和灵活性方面还远不如传统密码算法。不过，通过与传统密码相结合，特别是结合近年来发展的后量子密码算法，QKD系统可以实现所谓的长期安全目标。

3.后量子密码是缓解量子威胁的重要手段

对于后量子密码（PQC）算法，我们着重指那些在大规模量子计算机出现后仍保持计算安全的密码算法。这些算法的构造没有采用量子力学的物理特性，而是延续传统主流的计算上的可证安全研究方法。目前，后量子算法的研究重点是构造解决公钥加密（密钥建立）和签名问题的非对称算法，主要包括基于格、编码、多变量多项式以及Hash函数等相关困难问题构造的密码算法。这些问题已在传统密码学领域发展多年，其抵抗量子攻击的复杂度假设是支撑后量子算法安全的基础。

目前还未出现兼顾安全性和效率的PQC算法，但是由于形式上PQC的部署主要涉及算法模块的替换，相比QKD技术更为简单实用，这种解决方案目前承载着更多期望。不过，PQC的局限性也很突出。例如，PQC算法模块仍不可避免地存在侧信道泄露问题；其次，由于无法排除未来出现的量子攻击算法能进一步削弱基础数学问题的困难性，导致PQC无法实现长期安全目标，不便用于特殊的保密场合。这点对对称算法仍然适用。通常认为根据Grover算法的搜索复杂性将密钥长度增加一倍即可抵抗量子攻击，但这种理解不一定正确。尽管理论上不存在超越平方加速的非结构化搜索算法，但不排除后续仍会出现更好的根据对称算法结构性缺陷的量子破解算法。因此，增大密钥长度实现分组算法安全性的做法只能是权宜之计。在实际应用中选择结合后量子算法和QKD技术来实现长期安全目标的做法比较可取，这点与欧洲标准组织ETSI的策略一致。

四、对我国发展量子信息技术的建议

文章来源：中国信息安全