量子時代，加密算法如何應對威脅？

編者按：我們能安全地使用互聯網，其實並不是一件易事，有這樣一群人一直在默默守護我們——加密算法工程師。微軟傑出工程師、微軟研究院安全與加密組負責人Brian LaMacchia博士就是他們中的一員，他帶領研究團隊用最新的算法來保障我們的網絡信息安全。在這篇訪談中，他將帶領我們一窺加密算法的奧秘，告訴我們量子計算將對加密算法產生怎樣的威脅，我們又該如何應對這些挑戰。本文編譯自微軟研究院播客“Cryptography for the post-quantum world with Dr. Brian LaMacchia”。

采訪音頻

密碼學的曆史十分悠久，甚至可以追溯到古代，我們知道古羅馬人就已經開始簡單的凱撒密碼來傳遞信息。到了二十世紀，密碼學被越來越多地用於保護無線電等無線通訊，其中最著名的要數二戰期間德國的Enigma加密機。而現在，密碼學已經被廣泛應用到我們生活的方方麵麵。

加密算法麵臨的新威脅

在大多數人的眼中，計算機算法都是固定不變的。如果一個人被告知“算法像食品一樣有保質期”，他多半會覺得難以置信。事實上，所有的加密算法的安全性都會隨時間的推移而減弱或遭到破壞。

加密算法的安全性之所以會慢慢降低，是因為時間越長，人們掌握的破解方式就會越多，擁有的用來破解的計算能力也會越強大。而作為密碼學核心的數論在學術上也會獲得某些突破，進而產生新的算法。因此，我們今天所依賴的加密算法，未來都將不得不加以改變。

作為安全加密的研究者，我們要通過嚐試預測攻擊者的動作，來確保加密算法的安全。有時候我們確實能夠預感到情況的變化，比如當學術界發布相關進展時，我們會知道是時候更新算法了。但大多數情況下，我們並不能確切預知現在大家通用的加密算法什麼時候會遭到破壞。

所以我們通常采取的方法是，自己來擔任黑客的角色，嚐試攻擊自己的算法。由於我們的代碼都是公開的，黑客能夠輕易獲取除了密鑰之外的所有相關的算法和程序信息。所以我們將自己的角色切換成黑客，看看能否利用這些攻擊者能夠獲得的信息推斷出密鑰，破解我們的算法，並估算這些方法的成本，評估這些破解方法是否切實可行。

而在量子時代，情況將發生變化。

量子計算是一種完全不同的計算模型。1994年，量子計算取得了一個關鍵性的突破，在AT＆T的貝爾實驗室，Peter Shor提出了一種量子分解算法，證明了如果有一台足夠大的量子計算機，就可以用多項式時間算法來分解因子，使得量子計算機很容易破解目前廣泛使用的密碼。雖然直到今天，我們也沒有造出真正的大型量子計算機，但Peter Shor的研究從理論上證明，一個全新的基本計算模型的出現極有可能顛覆我們已知的所有假定。

因此，從信息加密的角度來看，量子計算給我們帶來的影響將是雙麵的，它既能為計算能力帶來大幅度的飛躍，也會促成更強力的攻擊手段，加快網絡攻擊者破解加密算法的速度。這對我們提出了更大的挑戰，網絡安全麵臨的威脅會更加嚴峻，也意味著我們今天依賴的很多係統都必須升級，算法都必須更換，而作為互聯網的數億使用者，我們日常使用的每一個密碼都需要頻繁地更換。

這場技術革命的影響更體現在它的影響範圍之大。人們在互聯網上的活動越來越多，也越來越頻繁。移動辦公、社交網絡、銀行賬戶……幾乎每一個現代人的生活都離不開加密服務，人們的隱私意識、對網絡安全的訴求也都在日漸提高。

當然，量子計算帶來的這些威脅的前提是——“如果我們有一台足夠大的量子計算機”，那麼多大的量子計算機才“足夠大”，能徹底地變革我們現在的計算世界？在去年發表在《Asiacrypt》的一篇論文中，我們試圖對這一問題進行預測，我們認為量子計算機至少要達到1000個量子比特才會給我們帶來災難性的影響，而未來可能會達到10000個量子比特的量級。而當量子計算機“足夠大”的那一天，我們的加密算法就要直麵量子計算機帶來的威脅了。

推動抗量子算法的國際標準化

我的團隊以及世界各地的許多同行，都正在開展廣泛的產研合作、國際合作，尋找抵抗量子算法攻擊的解決方法。目前的解決方案大多采用傳統算法的形式，無需量子計算機，在傳統計算機、筆記本電腦甚至手機上都可以運行。但在量子計算機真正出現以前，這些算法的防禦效果都還隻是未知數。

為了應對量子算法對未來的信息加密帶來的挑戰，美國國家標準與技術研究院（US National Institutes of Standards and Technology, NIST）正在與學術界、產業界共同開展抗量子算法的研發與標準化工作。學術界和產業界的研究者將各自研發的抗量子計算算法以及開源代碼提交給NIST。這些算法在速度、大小和其它性能指標上擁有不同的優缺點，幾年後，那些“抗量子特性”最強的新加密算法將獲得認證，作為聯邦信息處理標準（FIPS）頒布施行。

美國的標準化工作將成為製定抗量子算法國際標準的開端。我們希望全世界共同參與，貢獻自己的專業知識和分析能力，最後就強大、無害、安全的算法達成一致，實現國際通用的互操作性。

建立這一通用標準需要我們共同努力，以便在量子時代真正到來的那一天，我們已經做好了新加密算法的準備。

緊鑼密鼓地迎接挑戰

事實上，量子計算留給我們的準備時間已經不充裕了。這是一個非常現實的問題，對於我們現在傳輸、存儲的信息，幾十年後量子計算機將能夠輕而易舉地破解它們。而且隨著數據存儲和數據記錄的成本越來越低，我們通過公共網絡發送的隱私數據都可以被一一記錄，成為日後量子算法攻擊的對象。那些長期儲存的數據和信息將麵臨尤其大的威脅。

我的團隊預測，我們要在大約2030年完成對互聯網加密算法的升級，在這剩下的十幾年中，還有很多任務亟待我們去解決。我們要抓緊時間研究新算法，並對它們進行分析、測試和評估，推動國際通用標準的建立；我們要設計原型、部署測試，讓算法適配現有的基礎架構，對我們所有的產品和服務進行升級，應對所有可能的安全漏洞。

另外，我們現在就必須將加密靈活性（cryptographic agility）作為軟件架構原則之一——軟件的加密方法不能僅僅固定為一種或者少數幾種加密算法，而應該可以被方便地重新配置使用其它的加密算法，從而防止某種加密算法的突然失效。

因此，我認為對量子時代加密算法的研究時間緊迫，雖然現在要研究的其它安全議題很多，但我們仍然要重視抗量子算法的發展，加快研發和投入使用的進程。但是，我們也不應該把所有希望全都寄托在抗量子算法上，畢竟這些算法沒有經受過長期的檢驗。

在量子計算機出現前後的過渡期，最安全、合理方案是混合方案——現有最佳經典算法與抗量子算法的組合，既使用經曆過去數十年積澱和檢驗的最有效的經典算法，又新增了針對量子算法的一些新的保護措施。

了解更多後量子時代的加密算法研究項目，請訪問：

https://www.microsoft.com/en-us/research/project/post-quantum-cryptography/

你也許還想看：

，共建交流平台。來稿請寄：msraai@microsoft.com。