王進 資本實驗室
資本實驗室·今日風險觀察
聚焦前沿科技創新與傳統產業升級
自從量子計算成為各大科研機構、大型企業、創業公司競相追逐,且逐漸升溫的前沿領域以來,量子計算與網絡安全之間的“矛”與“盾”之爭便不斷被關注和研究。一方面,我們關心量子計算機到底何時能夠到來,併成為我們解決若干關鍵問題的“殺手鐧”;另一方面,我們又不得不關注:量子計算帶來的全新的網絡安全風險到底有多大,應該如何做好應對準備?
近期,美國蘭德公司發佈了一份報告:《在量子計算時代確保通信安全:管理加密風險》。該報告提醒,未來的量子計算機可能對當今最安全的通信構成威脅。這項研究是蘭德公司“Security 2040”計劃的一部分,該計劃通過跨領域方式對未來威脅進行分析和評估。
報告認為,目前全世界都在對第一臺有望徹底改變計算技術的量子計算機翹首以盼,但量子計算機的空前力量也可能使其得以破解現代信息和通信基礎架構所依賴的數字加密系統。通過破壞這種加密,量子計算可能會危及安全通信、金融交易和全球經濟的支持系統。
“當我們使用互聯網時,我們假設我們所有的通訊都是安全的,並且可以防止攻擊者閱讀或看到它們,”蘭德公司物理科學家,報告的主要作者邁克爾·維米爾(Michael Vermeer)表示:“這是因為加密技術(對大多數人來說是一個“黑匣子”)處於後臺,確保了我們所做的一切。但是我們現在使用的公鑰加密技術將來可能會受到量子計算機的攻擊。”
如果黑客能夠破解公鑰密碼,那麼連接到Internet的所有信息都將受到威脅。
當工程師們爭相開發第一臺先進的量子計算機時,網絡安全專家們正在爭相推出一種新形式的密碼學,以抵禦量子黑客的攻擊。這被稱為後量子密碼(postquantum cryptography,PQC),但是,PQC解決方案目前還處於開發階段,需要被標準化並被廣泛採用,而這可能需要花費數年甚至數十年時間。總體而言,後量子密碼到來的時間越晚,今天暴露在明日的加密信息量就越大。
為此,該報告的作者首先通過評估量子計算機的開發速度來探索安全風險;其次,分析了加密系統需要多久才能夠抵禦量子計算機或後量子密碼的攻擊;第三,提出瞭如何快速,廣泛地採用PQC技術。
該報告得出了分析結論:量子計算對現代通信基礎設施安全的威脅迫在眉睫,但如果美國政府迅速採取行動,這種新型計算機所帶來的安全風險就可以得到控制,而整個國家的集中、協調行動是應對這些挑戰的最佳方法。
報告還特別關注在量子計算領域,企業之間與國家之間(主要在美國,中國和歐盟)正在發生的競賽,並認為:許多預期的商業應用與密碼學無關。能夠破壞當前加密技術的量子計算機可能至少需要十年時間才能出現,但不可忽視的是,它們已經帶來了風險,並且這些風險會隨著時間而增長。
邁克爾·維米爾還表示:“如果在開發有能力的量子計算機時尚未充分實施新的安全措施,那麼就不可能在沒有重大破壞性變化的情況下確保安全的身份驗證和通信隱私。”他還認為:“美國有能力並且有足夠的時間避免量子災難並建立更安全的未來,但前提是現在就開始進行準備。”
該報告認為,後量子密碼的可互操作標準越早得到廣泛實施,最終風險就將相應減少,並提出可在未來五年內起草併發布可維持當前計算安全級別的後量子密碼標準協議。但是,實現標準協議並緩解量子計算的脆弱性所必需的全國性或全球性過渡預計將長達數十年時間,這比專家估計的可用於該任務的時間要長得多。
此外,報告作者認為,將網絡彈性和加密敏捷性構建到數字基礎架構中,也將為在通信和信息系統中使用密碼學的結構性改進提供一個機會,這可以提高國家應對當前和未來網絡威脅的能力。
閱讀更多 工信智媒 的文章
