后量子和前量子安全问题不断增长

通用量子计算机将能够破解保护世界上大部分信息的密码，虽然这些机器还不存在，但安全专家表示，政府和企业已经开始为后量子世界的加密做准备。这项任务变得更具挑战性，因为没有人确切地知道未来的量子机器将如何工作，甚至没有人知道这材料将被使用。

不像传统的计算机，在一个量子计算机信息的单位是量子比特或量子位。量子位的值可以是0、1，也可以同时是这两个值的叠加。一个广泛应用的计算机将需要比现在生产的量子位更可靠、更能纠正错误、更持久、数量更多的量子位。

一旦开发出来，这些机器的力量可以被利用来加速人工智能和制药等领域的发现，更不用说安全了。随着专家们探索基于量子力学的量子密钥分发(QKD)和其他密码学方法，量子密码学的主流化有望开启数据安全的新时代。

另一方面，基于经典计算原理的某些加密方法将在后量子世界被淘汰。反过来，这将使无数系统容易受到攻击。

但问题也更加紧迫。专家们正在为“先收获，后解密”的攻击做准备。顾名思义，HNDL威胁涉及黑客现在收集加密数据，并假设量子计算的进一步发展将允许他们在未来解密这些信息。最近的一次德勤的调查研究发现，在考虑量子计算好处的组织中，有一半的专业人士认为他们的组织面临着此类攻击的风险。

保护现有加密算法的解决方案很简单，但存在问题。

“我们所需要做的就是用抗量子的新版本取代这些算法，”公司首席执行官Marc Witteman说Riscure．“不幸的是，说起来容易做起来难。”

美国国家标准与技术研究所(National Institute of Standards and Technology)最近的进展表明了挑战的严重程度。2016年，NIST问公众寻求帮助，创建和识别能够抵御量子威胁的加密标准。7月，NIST公布了四个获奖算法和四个正在考虑中的算法。然后在月底，研究人员说他们仅仅使用一台笔记本电脑就能破解正在考虑的四种算法中的一种——被称为超奇异异构Diffie-Hellman密钥交换(SIDH或SIKE)。

Witteman说，SIKE的失败实际上是一件好事，因为它证明了NIST严格审查和测试过程的必要性，并表明研究人员正在通过尝试破解正在考虑的代码来完成他们的工作。“新加密算法的设计、实现、验证和采用是一个缓慢而痛苦的过程。”

图1:NIST计划在2024年最终确定后量子密码学标准，但业界可能需要5到15年的时间才能完全采用这些标准。来源:国家标准。

由于高级加密标准被推出采用，在21世纪初，它花了五年时间来取代数据加密标准，但业界又花了十年时间来采用新标准。这是因为证明算法的安全性是困难的，有时是不可能的，更新所有相关的应用程序和协议需要大量的时间。“这两个障碍在硬件上比在软件上更令人痛苦，因为修复硬件上的漏洞和功能更新通常需要更换设备，”Witteman说。

Dana Neustadter，安全IP高级产品营销经理Synopsys对此他说，量子计算将对公钥基础设施构成特别的威胁，公钥基础设施目前保护着互联网和其他地方的大量敏感信息，因为量子计算机可用于破解椭圆曲线密码学(ECC)和Rivest-Shamir-Adleman (RSA)密码学系统——这些算法在技术上是可解决的，但用经典计算方法需要不切实际的时间。

Neustadter说:“因此，具有较长生命周期或针对更敏感应用的设备和系统的制造商必须开始实施一条通往量子安全系统的道路。”“虽然标准化工作仍在进行中，但有大量的候选算法，其中一些可能在标准化之前或之后被打破，并且知道向后量子安全世界的迁移将比过去目睹的过渡复杂得多。”

然而，前进的道路是有的。“首先，对称加密算法可以通过使用大密钥来实现量子安全，而哈希算法可以使用更大的输出大小。关于公钥，传统和后量子加密算法将不得不共存一段时间。协议和实现中的加密灵活性将需要能够更无缝地替换/更新算法。通过固件更新实现软件敏捷性要比硬件敏捷性容易得多。然而，就像今天的算法一样，后量子密码学需要硬件加速和硬件实现来满足性能和安全目标。”

同时，Tensilica Xtensa处理器IP的产品营销总监George Wall节奏他说，SoC设计师必须在硬件架构层面考虑量子安全问题。他说:“当目前设计的设备准备好投入市场时，主要依靠软件技术来保护敏感算法或数据可能已经不够了。”“有些公司专注于采用基于量子的加密技术，比如利用单个硅器件的独特特征来生成独特且不可克隆的签名。”

除了加密
量子时代的安全概念也超越了密码学。

IBM量子安全的首席技术官迈克尔·奥斯本(Michael Osborne)在最近的一次网络研讨会上表示:“我们将量子安全理解为量子时代的安全。其中一部分是替换我们使用的密码。另一部分是确保未加密的数据被加密，或者我们将“零信任”应用于量子。当我们谈到密码学方面时，我们实际上是在了解随着我们进入量子时代，密码学在哪里被使用，在哪里不安全。就未来时代的安全而言，这确实是一个更全面的视角。”

采用新算法确实会带来风险，但等待时间更长也会增加风险。Riscure的Witteman说:“考虑这一变化的组织应该仔细权衡在较长时间内保持数据保密的重要性，以证明现在过渡的合理性。”

那些选择这样做的组织将会发现，与其他没有看到量子计算即将到来的组织相比，他们处于令人羡慕的地位。

根据许多专家的说法，实用的量子计算机可能还需要大约10年的时间，但这样的预测很难做出。

“许多公司都有雄心勃勃的路线图，他们要么有意地公开分享，要么无意地公开，因为他们即将上市，必须向投资者发布一些东西，”艾里克•霍兰德(Eric Holland)表示Keysight他在最近的一次演讲中说。“作为一名听众，你要弄清楚他们是否提高了质量、数量或速度。如果你在这些方面没有看到进展，那就意味着他们拥有的设备可能没有更强大，或者没有向前迈出一大步。”

尽管如此，就在六年前，霍兰德遇到了投资者和最终用户，他们不仅相信量子计算还没有出现，而且认为它实际上是一个骗局。“那些怀疑论者已经被平息了。”

结论
与大多数其他颠覆性技术一样，量子计算有可能从根本上改变世界，使其变得更好，也有可能变得更糟。这些强大的计算机可以极大地加快科学创新的步伐，但它们也会使一些以前足够的加密方法变得无用。HNDL攻击允许恶意方现在获取敏感数据，并在量子计算领域进一步发展后解密这些数据。

许多专家认为解决方案是开发量子安全加密方法，但这可能是一个缓慢而痛苦的过程。NIST正在考虑的后量子加密标准之一SIKE的失败，既证明了创建此类标准的难度，也证明了通过严格流程来创建此类标准的必要性。组织现在可以完成一些活动来开始对数据进行量子防护，例如在对称加密算法上使用大密钥，在哈希算法上使用更大的输出大小。协议和实现中的加密灵活性也将是有用的，硬件加速和硬件实现将是至关重要的。也可以采取非加密步骤，例如加密未加密的数据，并将零信任方法应用于量子。