网络安全的量子威胁：透视后量子密码学的棱镜

澳大利亚的国家科学机构量子网络安全威胁:通过的棱镜post-quantum密码学今天的新密码学明天用于量子安全2021 引用加尔布雷思 S， 刘 D， 尼泊尔 S， 鲁吉 S， 皮普日克 J， 刘 J，斯坦菲尔德 R， 萨克扎德 A， 埃斯金 M， 库奇塔 V， 苏西洛 W，Plantard T &粪d . 2021。量子的威胁网络安全:通过后的棱镜量子密码学。CSIRO:堪培拉,澳大利亚。版权©联邦科学与工业研究组织 2020.在法律允许的范围内，所有保留权利，不涵盖本出版物的任何部分通过版权可以以任何形式复制或复制或复制或除CSIRO书面许可外，以任何方式。重要的免责声明CSIRO建议，其中包含的信息基于出版包括通用语句科研。建议读者并需要请注意，此类信息可能不完整或无法在任何特定情况下使用。不依赖或因此必须对该信息采取行动无需寻求事先专家的专业，科学和技术建议。在一定程度上允许法律，CSIRO（包括其员工和顾问）排除对任何人的任何后果的所有责任，包括但不限于所有损失、损害、费用、直接产生的费用和任何其他补偿或间接使用本出版物（部分或整体）以及其中包含的任何信息或材料。CSIRO致力于提供网络可访问的内容尽可能。如果您在访问此文档，请联系 csiro.au/contact。致谢本白皮书由跨塔斯曼人编写网络安全研究项目“Post-Quantum加密方案”由MBIE(新西兰)联邦科学与工业研究组织（澳大利亚）。我们还要感谢研究人员的贡献以下机构:奥克兰大学CSIRO的Data61,莫纳什大学,大学昆士兰大学和卧龙岗。 内容摘要。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。3密码学。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。4支持互联网的安全数字系统5量子计算6对网络安全的量子威胁8后量子密码学.............9向后量子密码学迁移的挑战10易受量子攻击的工业和应用领域11延伸阅读12引用。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。131 2网络安全的量子威胁：透过后量子密码学的棱镜 执行概要现在迫切需要开发密码系统密码学已成为一个基本工具为基于互联网的数字系统提供安全性。它使得许多现代数字服务我们认为理所当然的网络空间。其中许多数字系统依赖于公钥密码机制,基于计算难题在数学。量子计算的发展现在可能有效的解决这些困难的问题。因此,当前公钥既可以在当前的计算设备上运行，也可以并入现有的互联网协议，而在同时用量子计算机抵御攻击者。后量子密码学（PQC）提供了以下潜力：开发这样的系统。然而，目前的后量子系统并不是简单的“不速之客”替代现有“pre-quantum”算法。这使它难以迁移到后量子密码学，并将我们的数字系统转变为量子安全系统。密码机制依赖的硬度不quantum-safe数学问题。本报告提出了量子计算面临的挑战对公钥加密、互联网协议的构成使用这种加密原语，反过来支持互联网的数字系统和服务。我们展示了澳大利亚/新西兰研究人员的最新努力和PQC的从业者。我们也探索机会对澳大利亚和新西兰国内发展量子安全网络安全技术和成功故事,执行评估的优势和在PQC两国面临的挑战,并提供建议在这一领域实现卓越。如澳大利亚和新西兰注重能力建设在量子技术,post-quantum密码学能力应该同时发展。3 密码学每种类型的密码学都有其优点和缺点，因此，大型系统通常使用这两种方法。特别是，对称密钥加密是通常用于加密（并确保完整性）大型数据量，而公钥加密用于密钥管理和身份验证（数字签名）。加密是转换的技术纯文本到随机字符串只可读的收件人或提供身份验证消息的发送者和完整性。目前几乎所有的公钥密码系统使用（如RSA和ECC）依赖于难度两个数学问题:整数分解,椭圆曲线离散对数。这些系统研究了集中至少在吗主要有两种形式的加密。• 对称密钥系统：在这些系统中，两个发送方和接收器需要持有相同的密钥。过去 30 年，在持续的公众监督和数学分析。•不对称或公开密钥系统:一个用户允许加密密钥公开同时保持他们解密密钥的秘密。公共关键系统也使数字签名。4网络安全的量子威胁：透过后量子密码学的棱镜 安全网络,使数字系统密码学领域是信息的核心安全。它提供了主要的安全构建块隐私和身份验证/访问控制。主要由密码学启用的系统示例包括TLS、安全电子邮件（即 S/MIME）、私人消息(如信号和WhatsApp)、电子商务、云存储和计算、VPN自动软件更新， 电子投票， 物联网 （IoT）， 区块链，数字货币、智能合约等等。更一般地说，混合动力系统始终用于信息安全目的。也就是说，沟通各方首先使用成本更高的非对称加密技术建立共享对称密钥的技术，即然后用于使用对称保护通信加密技术,如众所周知的AES算法。当不对称加密技术不是量子安全的，导致破坏共享的对称密钥,对称加密在混合系统中，系统也不再安全。特别是，TLS（传输层安全性）支持HTTPS，大多数网站支持的安全互联网协议在我们的社会中，例如 https://www.australia.gov.au/和 https://www.govt.nz/。每当用户访问时此类支持HTTPS的网站，即用户（即客户端）和网站服务器执行传输层安全性 （TLS） 协议。简而言之，TLS有两个主要阶段：（i） 握手协议和 （ii）记录协议。在初始握手协议中，客户端和服务器为通信和用于加密的密钥传输的消息。对于这一关键协议，协议依靠非对称密码学作为双方此时没有共享密钥。一旦钥匙协议已执行，共享密钥为双方之间建立的通信现在可以使用对称密钥加密进行保护，这比非对称加密更有效。记录协议是客户端和服务器根据需要加密的消息交换。5 量子计算量子计算是一种新的计算模型，替换二进制状态（可以是零或一）带有“量子比特”，这是两位零的叠加还有一个。量子比特表现出不寻常的特性，使它们对通信和计算都具有吸引力。他们不能复制（根据无克隆定理）任何测量都会将它们转换为经典位。这些特征已被贝内特和布拉萨德设计他们著名的量子密钥分布（QKD） 协议。它使两个通信方能够建立通用和秘密加密密钥。密钥的保密性是完美的（即要获得密钥，一个对手没有比猜测更好的机会了）。制造量子的关键技术障碍之一计算现实是量子比特的稳定性。这导致我们逻辑量子位（稳定）的实现问题并控制来自物理量子比特（即容易出错）。一般来说，要构造一个逻辑量子比特，它是必须同时使用物理量子位的集合具有适当的纠错基础结构。如何设计这样的基础设施是一个活跃的研究领域。IBM计划开发127量子位IBM Quantum Eagle在 2021 年，“将使我们能够实施重型我们团队最后推出的六边形纠错代码年，因此，当我们扩大物理量子比特的数量时，我们还将能够探索他们将如何协同工作纠错逻辑量子位 – 我们设计的每个处理器考虑了容错因素。这2022 年计划包括 433 量子位 IBM 量子鱼鹰系统和 2023 年，1，121 量子位 IBM 量子秃鹰处理器。他们的公告说：“我们想到了秃鹰作为一个拐点，一个标志着我们能力的里程碑实施纠错并扩展我们的设备。另一方面，n量子比特的单词表示可能的二进制字符串的指数数（即2）。n这意味着，原则上，量子计算机可以提供指数级加速。不幸的是，有很多障碍。最根本的是提取请求的量子输出的结果（在任何测量之后变得古典）。快速发展的量子理论算法解决了这个问题。典型的方法依赖于设计产生量子的算法输出具有偏差概率分布，因此在几个之后目前量子计算的主要进展是由谷歌、IBM、微软、DWave 等科技巨头领导等。也可以安全地假设政府测量，可以获得要求的结果。主要国家也在开发量子计算机。这并不意味着业务风险可能很低，因为谷歌、IBM等公司遵循的商业模式是提供量子计算作为软件服务。有澳大利亚量子计算的大量研究，如作为ARC量子计算卓越中心和通信技术 （CQC2T）。对于完整调查量子计算的优势和机遇在澳大利亚和新西兰，请参阅这些调查[3，4]。6网络安全的量子威胁：透过后量子密码学的棱镜 7 量子网络安全威胁触发来自量子计算机的安全威胁通过Shor算法的发明，它需要适当的通用量子计算机，以及有效解决两个潜在的问题所有当前使用的公钥密码系统，即整数分解和椭圆曲线离散对数（ECDLP）。肖尔算法的首次实现（产生因式分解 15 = 3 * 5） 发生2001年。2020年，经过近20年的进步，IBM 65(物理)量子位机器生产。莫斯卡和全球风险研究所的皮亚尼[9]。特别是，他们有调查了广泛的专家以确定估计值量子计算机何时将成为“重大威胁”到公钥加密。大多数专家认为未来5-10年的风险很低（低于5%），虽然这仍然不排除突破。展望未来15年，大约一半的响应者认为风险至少为50%。通过这个措施，合理的建议是迁移到未来10年内的后量子密码学。考虑到安全性的标准化和开发周期产品，这意味着我们现在需要紧急行动。因此，如果大型通用量子计算机可以构建然后我们立即失去当前的所有安全性广泛用于保护安全的公钥密码系统广泛的系统。以量子计算为一种科技巨头提供的软件服务，任何实体都可以使用这些服务来破坏任何公钥密码系统感兴趣的。另一方面，量子的影响对称密码学上的计算机不那么极端，但仍可能需要对其进行一些调整使用（主要是增加密钥大小），由于格罗弗的量子可以执行暴力搜索的搜索算法一些专家[16]，建议有足够长的密码系统的时间点之间的时间段停止使用时的时间点密码系统变得容易受到实际量子的影响攻击。这是因为加密信息可能记录并存档，以便将来解密。因此，如果我们需要保护的信息是保持加密 15 年，那么我们必须停止使用至少比量子早 15 年的不对称方案计算机将可供对手使用。在所有可能2 n位键仅在2n/2的时间。n研究人员一直在估计逻辑的数量使用容错量子计算机上的肖尔算法也。关于这个主题的一些著名论文包括：并非所有专家都认为风险是立竿见影的。例如BSI 在 2018 年委托编写了一份关于当前状态的报告的量子计算机。报告的结论是“此时时间点，已实现的量子处理器远非攻击密码学所需的那些”。这报告于 2020 年更新，但结论仍然是相同。在 2020 年底 PQCrypto 会议的演讲中，Frank Wilhelm-Mauch（报告作者之一）推测量子计算机将保持在50-100量子比特范围在不久的将来，而研究人员则专注于关于控制错误。另一边，2020年，IBM宣布了扩展量子技术的路线图主要目标是通过2023年底。即使一台 1，000 量子位的量子计算机将成为发展的一个重要里程碑量子计算机，它仍然太小1000倍为了实现成熟的量子计算机，IBM研究人员说。尽管如此，BSI仍在积极开展后量子密码学正在推动采用用于高安全性应用的后量子系统。Roetteler， at al. [13] 考虑了椭圆形的量子电路运行 Shor 算法所需的曲线幂。他们对大小素数场上的椭圆曲线的分析大约 256 位是实现所需的2338个量子位,1.26 * 1011Toffoli盖茨和1.16 * 1011Toffoli深度。（托弗利门也被称为受控门不是门，是一个相当简单的通用可逆逻辑理论研究者常用的门估计量子计算的成本）。这些数字转载于广泛报告的表9.2中[2]由德国联邦信息安全办公室 （BSI） 提供。•