QUB:密碼學技術如何選型？終探量子計算通信的安全模型

作者：嚴強

來源：微眾銀行區塊鏈

經典密碼學技術的應用壽命將至？量子計算何以破解現有隱私保護方案？量子通信對隱私保護方案設計有何啟示？如何有效應對量子計算通信技術給隱私保護帶來的挑戰？

這里，我們將進入安全模型分析三部曲的最終章，跳出現有計算和通信能力的局限，著眼未來技術發展對隱私保護技術選型的啟示，剖析量子計算和量子通信技術對經典密碼學技術的影響，以及業務技術選型上的應對之道。

量子計算和量子通信都是基于量子力學的新興技術。不同于經典物理理論，量子力學研究的是物質世界微觀粒子運動規律的物理理論，可用來解釋經典物理理論無法解釋的微觀系統。該理論與相對論一起并稱為現代物理學的兩大基本支柱。

量子力學中，最經典的故事莫過于薛定諤的貓，如果類似故事用主人公小華和好友美麗來演繹，將會是這樣的：

小華初見美麗時，便萌生好感，經過前3論故事的“接觸”，小華對美麗情有獨鐘。一個浪漫的午后，小華鼓起勇氣向美麗告白。美麗心中早已傾慕小華，但矜持的她故意給小華一個小小的挑戰，以此驗證小華的真心——“我倆第一次約會的日期是哪一天？”

這可難住了小華！美麗的小劇場之前一共進行了3期，小華覺得這3個日期都有可能是正確答案。幸好，量子計算幫助小華解決了這個難題。

在傳統計算模型中，小華一次只能將一個日期的結果發送給美麗，如果答案不對，美麗用正確的結果進行驗證后就會出錯，那么小華的表白進程就有點尷尬了。在量子計算過程中，小華的答案則會同時包含這3個日期所有的結果，當美麗用正確的答案進行驗證時，便可順利驗證通過。

聲音 | 中國傳媒大學計算機學院副教授：區塊鏈反過來激活了數學和密碼學的新應用:在11月8日由中國人民大學國家版權貿易基地主辦的“區塊鏈技術與版權保護”研討會上，中國傳媒大學計算機學院副教授姜正濤從密碼學角度解讀了區塊鏈與版權保護之間的關系。他表示：“密碼學過去是‘賠錢’的技術，屬于純開銷。有了區塊鏈之后，計算結果本身就有價值，比如電子貨物、比特幣、版權信息等本身就具有價值，所以區塊鏈反過來激活了數學和密碼學的新應用。”而且，區塊鏈可以記錄所有發生的交易，可以有效避免造假。另外，區塊鏈對低價值、實時產生的版權數據記錄的成本比較低，相較于傳統做法，區塊鏈可以節省權利人提交材料、等候審批的人力物力，對于作品價值比較低但是數量大的作品，可以提供較好的保護渠道。[2019/11/21]

量子力學中，這種同時包含所有可能答案的狀態就稱之為量子疊加態。一旦結果被美麗接收，即觀測后，對應的量子疊加態就會發生概率性坍塌，答案就會唯一確定為某一個具體值，美麗就可以得到與心里匹配的答案了。

這種概率性的狀態表達，以及觀測事件之間的概率關聯性，是量子力學的核心理論要點。以此構建的量子計算和量子通信，都是利用量子的概率特征來突破現有技術的能力瓶頸。

以下將通過對比的方式，介紹經典計算機技術和量子計算機技術的差異，解析這些差異對基于密碼學的隱私保護技術方案有何影響和啟示。

量子計算機VS馮·諾依曼計算機

1945年，物理學家和數學家JohnvonNeumann提出一種理論計算模型——馮·諾依曼架構，為現代計算機系統設計奠定了理論基礎。

現場 | 密碼學專家楊光：實現百萬級TPS幾年內希望不大 領域內突破將有助發掘新應用場景:金色財經現場報道，在全球區塊鏈開發者2018會議期間，金色財經采訪了剛剛演講的密碼學專家楊光。他認為，目前擴容領域研究的主要方向是可驗證計算、零知識證明等技術，分片技術也具有廣闊的前景。他認為，區塊鏈實現百萬級TPS值得追求，但幾年內希望不大。當前來看公鏈上的TPS對于運行當前的應用來講是夠用的，但未來在TPS上的突破，能夠提供給我們新應用的探索可能。就像當今互聯網速度的提升讓我們實現了早期互聯網時期人們難以想象的應用一樣。[2018/12/16]

馮·諾依曼架構將計算的過程表達為數據存儲過程和程序控制過程，數據和指令都以二進制的形式保存在存儲介質中，并由以CPU為代表的控制器讀取指令流，控制對不同數據的讀寫，以此串行執行程序。

盡管多核多線程CPU早已普及，但其核心執行流程依舊是在馮·諾依曼架構下的串行執行，對應的軟件實現和算法設計，都是在串行執行程序的前提下進行的。

相比之下，量子計算機由于量子疊加態帶來的概率不確定性，天生自帶并行屬性。

根據量子力學中的波粒二象性，每一個量子可以表達成符合一定概率分布的波。對應到計算機系統設計中的二進制格式，就是單獨一個量子可以同時表達0和1的值，并能夠同時以0和1的值與另一個量子進行交互，完成并行計算。

這樣的一個量子通常被稱之為qubit，由于量子態內在的不穩定性，表達一個可讀取的邏輯qubit，通常需要維持多個物理qubit來實現系統容錯。控制這些qubit，需要在接近絕對零度的超導環境中進行，非常具有挑戰性，目前對應的工程實現尚屬早期。

動態 | 亞馬遜獲得密碼學及分布式數據存儲方法的專利:據cointelegraph報道，電子商務巨頭亞馬遜獲得了兩項與保護數字簽名完整性和改善分布式數據存儲方法相關的專利。這兩項專利于11月13日由美國專利商標局（USPTO）公布。[2018/11/14]

Google在2019年的論文中披露，已經可以一定程度上控制53個邏輯qubit的量子計算機，在3分20秒內完成對一個隨機數序列是否由一個隨機數生成器來生成的證明，同樣的證明在現有馮·諾依曼架構下的超級計算機上執行，需要大約1萬年的時間。

早在2017年，Google的合作公司D-Wave發布了D-Wave2000Q，據稱實現了2000個邏輯qubit的量子計算機，理論上可能已經具備破解當下所有經典密碼學技術方案實現的技術能力。

量子計算機提供了指數級別的計算速度提升，可以打破我們在第3論中提到的計算不對稱性。對于馮·諾依曼計算機，經典的NP問題是一個計算困難性問題，而對于量子計算機，理論上可以輕易實現P=NP，攻擊者可以由此破解對應的經典密碼學算法，提取出對應密鑰和密文中的隱私數據。

根據美國國家標準與技術研究院NIST分析，量子計算機對于非對稱密碼學體系沖擊最大。用來構造公鑰密碼算法的經典計算困難性問題，如大數分解困難問題、離散對數困難問題、橢圓曲線上的離散對數困難問題，在量子計算機上均有有效的破解算法——Shor算法及其變體。這些攻擊會具體影響到現在的公鑰加密、數字簽名、數字證書、密鑰交換等的安全性。

相比非對稱密碼學體系，量子計算機對稱密碼學體系沖擊相對較小。只要適度增加密鑰的長度，就能限制目前最有效的Grover算法攻擊，但不排除將來會有更高效的量子破解算法面世。這些攻擊會具體影響到對稱加密、哈希，以及基于哈希的派生算法。

密碼學之父：不管每個人擁有多少的財富都會想要去貢獻自己所擁有的價值:在2018分散經濟討論會上， 密碼學之父David Chaum發表演講稱，不管每個人擁有多少的財富都會想要去貢獻自己所擁有的價值。盲簽名是一種只需要數字就能收款的具有革新價值的想法，類似于比特幣和以太幣等虛擬貨幣，以區塊鏈為基礎的技術可以確保收款人和匯款人的匿名性，加密學幫助了人們的日常生活，希望日后可以共享、分享信息，更進一步可以直接以民主的方式開創可能性。[2018/4/3]

量子計算機對于經典密碼學算法的影響，不僅作用于軟件層面，對硬件層面也有很大沖擊。

目前，以IntelSGX為代表的硬件可信執行環境，其內部實現的密碼學算法都是不抗量子計算的。部分對性能要求高的模塊，如SGX的內存加密模塊，是以不能升級的硬件方式實現的。一旦量子計算機得到有效應用，相比遠程替換算法軟件，物理替換可信硬件可能會帶來更大的代價。

為了應對量子計算對經典密碼學算法的威脅，我們需要構造新的計算困難性問題。考慮到量子計算安全模型，即允許攻擊者使用量子計算機的安全假設下，構造安全的密碼學算法充滿很多不確定性，目前尚無相關國際或國家標準。

NIST已經于2019年開始了第二輪抗量子算法標準的公開評估，預期在2021年會有一定的階段性成果，之后會開展第三輪的公開評估流程，預期在2022年完成標準草案。時任中國科學院信息工程研究所副所長的荊繼武，在2018年的新聞報道中表示，我國或將在2022年前后開展抗量子算法的標準化工作，預期2025年左右實現商業化落地。

美國密碼學專家：首個通過主網測試的閃電網絡軟件是一場實驗的開端，而不是僅僅是成功的果實:關于閃電網絡實驗室本周四發布了閃電網絡LND 0.4-beta的重磅級好消息，來自美國約翰霍普金斯大學的密碼學專家馬修?格林(Matthew Green)近日在推特上寫道：“許多人將閃電網絡LND 0.4-beta——首個通過主網測試的閃電網絡軟件視為成功的果實，而不是一項剛剛才開始、充滿挑戰的實驗。”[2018/3/17]

在工程上的標準制定完成之前，須謹慎使用現有抗量子算法，即便是源自頂級學術刊物的方案也有出錯的可能性。另一方面，如上一論所言，即便理論上是安全的，工程實現上的疏漏也會導致隱私數據泄露。

所以，使用經過一定時間檢驗的抗量子算法工程標準，是確保最終隱私保護方案有效性的必要條件。

量子通信VS經典通信

經典通信中的信息傳遞，由發送方通過傳輸介質向接收方發送各類信號載體的方式進行，其傳輸的速度受限于傳輸介質的傳導性和信號載體的能量衰減率，根據相對論，其最高傳輸速度不超過光速。

相比之下，量子通信是基于量子糾纏原理，理論上在設備初始化之后，并不需要由發送方向接收方發送任何信號載體，有實現超光速瞬時通信的可能性。

關于量子糾纏理論的解釋，我們繼續以小華和美麗的故事來呈現：

承接上面的故事，小華基于量子計算有驚無險地通過了美麗的考驗，成功牽手美麗，并與之確定戀人關系。

陽光明媚的一天，兩人相約在游樂場共度一個溫馨的午后。臨別時，美麗預感會有驚喜發生。一轉身，小華正拿著自己最中意的玩偶緩緩靠近，恍惚間，美麗仿若偶像劇女主角，臉上漫開了幸福。

兩人的心電感應，就類似于量子之間的糾纏態。對處于糾纏狀態的量子對中的一個量子進行觀測，會導致量子對中另一個量子的狀態做出相應改變，這一改變與之前的觀測結果有100%的關聯性。小華充滿愛意的心做出變化，與之對應地，美麗的內心就會有所感應。

盡管量子糾纏的特性可以無視物理距離進行信息傳遞，但由于目前的量子密碼通信協議設計，如經典BB84協議和Ekert91協議，依舊需要配合經典通信信道來實現信息的加密傳輸，所以，量子密碼通信實現依舊不能達到超光速傳遞信息。

關于量子密碼通信的安全性，一個常見的觀點認為它是信息論安全的，即無論攻擊者擁有多少計算資源，例如量子計算機，也無法破解其安全性。對應的解釋是，其安全性不是由計算困難性理論來保障，而是由物理學法則中的

測不準原理來保障。

測不準原理由物理學家海森堡在1927年正式提出。作為量子力學的基本原理之一，該原理規定，對于一個量子，不可能同時知道它的位置和速度，每一次對量子的觀測都會改變量子的狀態。由此可以進一步推出不可克隆原理，即攻擊者無法完美地復制一個量子的所有狀態。

對于量子通信而言，即便攻擊者有能力截獲一個處于糾纏狀態的量子，也不能完美地復制它。

攻擊者無法在接受者不知情的前提下，將復制的量子轉發給接受者，以此實現對于敏感數據的竊聽。一旦竊聽發生，必然會改變被竊聽的通信雙方的量子狀態，由此暴露攻擊者的存在。

這里需要注意的是，盡管量子密碼通信協議能夠有效檢測出直接進行竊聽的攻擊者存在，但依舊可能受到其他協議層面攻擊的影響。

例如，經典的中間人攻擊，攻擊者作為中間人在通信雙方之間轉發消息，對于發送方使用一對糾纏狀態的量子，對于接收方使用另一對糾纏狀態的量子，此時如果沒有其他可信的信道連接通信雙方，他們將無法感知攻擊者的存在。

在工程實現方面，目前我國處于國際領先水平。2016年，墨子號量子科學實驗衛星率先實現了千公里級星地雙向量子糾纏密鑰分發，有效帶寬約為每秒千比特。

但量子通信距離民用還有相當的距離，主要受限于量子信道的不穩定性。在強干擾環境中，如日光環境、城市密集地帶，長距離傳輸處于糾纏狀態的光量子，依舊是一個巨大的挑戰。

量子通信的現世，對密碼學協議以及上層隱私保護方案的構造來說，無疑添加了一把利器。作為一個可信信道，量子通信可以有效簡化密碼學協議設計，并提高隱私保護方案的有效性，一定程度上抵抗量子計算機帶來的威脅。

同時，對當下基于傳輸時間的物理限制而設計隱私保護方案來說，量子通信的出現會影響其有效性。

比較典型的例子是，結合硬件安全模塊和物理距離檢測的遠程代碼驗證協議。在該協議的驗證過程中，誠實的驗證者會直接調用本地的硬件安全模塊來完成服務器認證，只需要一次交互，有效延時能控制在較短的時間之內。如果攻擊者試圖對該協議進行攻擊，必須要通過代理服務器對數據進行轉發，在只考慮經典通信的前提下，額外的轉發延時則需要較長的時間。

因此，即便攻擊者控制了另一個硬件安全模塊，將遠程代碼驗證請求轉發到被控制的硬件安全模塊，讓其代為計算，攻擊者實際消耗的總時間，也會比沒有轉發時，直接在本地使用未被攻克的硬件安全模塊計算耗時顯著地長，由此可以檢測出攻擊者的存在。

以上信息傳遞需要一定時間的安全假設，在量子通信的距離無關瞬時通信能力面前不再成立。原本攻擊者使用代理服務器轉發的時間，可能會由1s急劇縮小到接近0s。這一變化顯著降低這類依賴信息傳輸時間限制而構造的遠程代碼驗證協議的有效性，使其面臨整體失效的風險。

總體而言，量子通信的出現將為信息傳輸過程帶來了新的基本特性，基于經典通信特性設計的隱私保護方案需要適時進行再評估，核實其在量子通信安全模型下的有效性。

正是：密碼經典功高無敵手，量子新秀刃利待出鞘！

量子計算和量子通信是信息技術發展過程中，一個重要的里程碑式突破，勢必會對現有的技術體系產生沖擊，影響現有隱私保護技術方案的有效性，但同時這些新理論和工具也將推動相關技術的革新，促使更高效、更安全的隱私保護技術方案的出現。

目前兩者的工程實現距離商用還有不小的距離，加之工程技術標準化尚在逐步推動中，企業在技術選型時，應充分考慮其帶來的風險，對使用經典密碼學算法和硬件安全模塊的系統提供可拔插設計，對不同保密級別的隱私數據提供必要的備選方案，以此控制特定量子計算通信技術突然實用化帶來的沖擊。

密碼學技術選型相關的重點理論科普到此暫告一段落，下一論開始，我們將具體展開對密碼學算法核心組件的技術剖析，欲知詳情，敬請關注下文分解。

Tags：區塊鏈QUBBITUBI區塊鏈專業好找工作嗎Qubiticabitcoin交易所下載Jubi

抹茶交易所