网络安全的量子威胁：透视后量子密码学的棱镜

澳大利亚的国家科学机构 量子网络安全威胁:通过的棱镜 post-quantum密码学 今天的新密码学明天用于量子安全 2021 引用 加尔布雷思S，刘D，尼泊尔S，鲁吉S，皮普日克J，刘J，斯坦菲尔德R，萨克扎德A，埃斯金M，库奇塔V，苏西洛W，PlantardT&粪d.2021。量子的威胁 网络安全:通过后的棱镜 量子密码学。CSIRO:堪培拉,澳大利亚。 版权 ©联邦科学与工业研究 组织2020.在法律允许的范围内，所有保留权利，不涵盖本出版物的任何部分 通过版权可以以任何形式复制或复制或复制或除CSIRO书面许可外，以任何方式。 重要的免责声明 CSIRO建议，其中包含的信息基于出版包括通用语句 科研。建议读者并需要 请注意，此类信息可能不完整或 无法在任何特定情况下使用。不依赖或因此必须对该信息采取行动 无需寻求事先专家的专业，科学和技术建议。在一定程度上允许法律，CSIRO（包括其员工和顾问） 排除对任何人的任何后果的所有责任，包括但不限于所有损失、损害、费用、直接产生的费用和任何其他补偿 或间接使用本出版物（部分或 整体）以及其中包含的任何信息或材料。 CSIRO致力于提供网络可访问的内容尽可能。如果您在 访问此文档，请联系csiro.au/contact。 致谢 本白皮书由跨塔斯曼人编写 网络安全研究项目“Post-Quantum加密方案”由MBIE(新西兰) 联邦科学与工业研究组织（澳大利亚）。我们还要感谢研究人员的贡献 以下机构:奥克兰大学 CSIRO的Data61,莫纳什大学,大学昆士兰大学和卧龙岗。 内容 摘要。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。 。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。 。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。3 密码学。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。 。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。 。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。 。。4 支持互联网的安全数字系统5量子计算6 对网络安全的量子威胁8后量子密码学9 向后量子密码学迁移的挑战10 易受量子攻击的工业和应用领域11延伸阅读12 引用。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。 。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。 。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。 。。。。。。。13 1 2网络安全的量子威胁：透过后量子密码学的棱镜 执行概要 密码学已成为一个基本工具 为基于互联网的数字系统提供安全性。它使得许多现代数字服务 我们认为理所当然的网络空间。其中许多数字系统依赖于公钥密码机制, 基于计算难题 在数学。量子计算的发展现在可能有效的解决这些困难的问题。因此,当前公钥密码机制依赖的硬度 不quantum-safe数学问题。 现在迫切需要开发密码系统 既可以在当前的计算设备上运行，也可以并入现有的互联网协议，而在 同时用量子计算机抵御攻击者。 后量子密码学（PQC）提供了以下潜力：开发这样的系统。然而，目前的后量子系统并不是简单的“不速之客”替代 现有“pre-quantum”算法。这使它难以迁移到后量子密码学， 并将我们的数字系统转变为量子安全系统。 本报告提出了量子计算面临的挑战对公钥加密、互联网协议的构成使用这种加密原语，反过来 支持互联网的数字系统和服务。 我们展示了澳大利亚/新西兰研究人员的最新努力和PQC的从业者。我们也探索机会 对澳大利亚和新西兰国内发展量子安全网络安全技术和成功故事,执行评估的优势和 在PQC两国面临的挑战,并提供建议在这一领域实现卓越。如澳大利亚和新西兰注重能力建设 在量子技术,post-quantum密码学能力应该同时发展。 密码学 加密是转换的技术纯文本到随机字符串只可读的 收件人或提供身份验证消息的发送者和完整性。 每种类型的密码学都有其优点和缺点，因此，大型系统通常使用 这两种方法。特别是，对称密钥加密是通常用于加密（并确保完整性）大型数据量，而公钥加密用于 密钥管理和身份验证（数字签名）。 主要有两种形式的加密。 •对称密钥系统：在这些系统中，两个发送方 目前几乎所有的公钥密码系统使用（如RSA和ECC）依赖于难度两个数学问题:整数分解, 椭圆曲线离散对数。这些系统研究了集中至少在吗 和接收器需要持有相同的密钥。过去30年，在 •不对称或公开密钥系统:一个用户允许加密密钥公开 同时保持他们解密密钥的秘密。公共关键系统也使数字签名。 持续的公众监督和数学分析。 安全网络,使数字系统 密码学领域是信息的核心 安全。它提供了主要的安全构建块隐私和身份验证/访问控制。主要由密码学启用的系统示例包括 TLS、安全电子邮件（即S/MIME）、私人消息(如信号和WhatsApp)、电子商务、云 存储和计算、VPN自动软件 更新，电子投票，物联网（IoT），区块链，数字货币、智能合约等等。 特别是，TLS（传输层安全性）支持HTTPS，大多数网站支持的安全互联网协议 在我们的社会中，例如https://www.australia.gov.au/ 和https://www.govt.nz/。每当用户访问时此类支持HTTPS的网站，即 用户（即客户端）和网站服务器执行 传输层安全性（TLS）协议。简而言之，TLS有两个主要阶段：（i）握手协议和（ii）记录协议。在初始握手协议中， 客户端和服务器为 通信和用于加密的密钥 传输的消息。对于这一关键协议，协议依靠非对称密码学作为双方 此时没有共享密钥。一旦钥匙协议已执行，共享密钥为 双方之间建立的通信 现在可以使用对称密钥加密进行保护，这比非对称加密更有效。 记录协议是客户端和 服务器根据需要加密的消息交换。 更一般地说，混合动力系统始终用于信息安全目的。也就是说，沟通 各方首先使用成本更高的非对称加密技术建立共享对称密钥的技术，即 然后用于使用对称保护通信加密技术,如众所周知的AES算法。当不对称加密 技术不是量子安全的，导致破坏共享的对称密钥,对称加密 在混合系统中，系统也不再安全。 量子计算 量子计算是一种新的计算模型，替换二进制状态（可以是零或一） 带有“量子比特”，这是两位零的叠加 还有一个。量子比特表现出不寻常的特性，使它们对通信和计算都具有吸引力。他们 不能复制（根据无克隆定理） 任何测量都会将它们转换为经典位。这些特征已被贝内特和 布拉萨德设计他们著名的量子密钥分布 （QKD）协议。它使两个通信方能够建立通用和秘密加密密钥。 密钥的保密性是完美的（即要获得密钥，一个对手没有比猜测更好的机会了）。 另一方面，n量子比特的单词表示 可能的二进制字符串的指数数（即n2）。这意味着，原则上，量子计算机可以 提供指数级加速。不幸的是，有很多障碍。最根本的是提取请求的 量子输出的结果（在任何测量之后变得古典）。快速发展的量子理论算法解决了这个问题。典型的方法依赖于设计产生量子的算法 输出具有偏差概率分布，因此在几个之后 测量，可以获得要求的结果。主要国家也在开发量子计算机。 制造量子的关键技术障碍之一 计算现实是量子比特的稳定性。这导致我们逻辑量子位（稳定）的实现问题 并控制来自物理量子比特（即 容易出错）。一般来说，要构造一个逻辑量子比特，它是必须同时使用物理量子位的集合 具有适当的纠错基础结构。如何 设计这样的基础设施是一个活跃的研究领域。IBM计划开发127量子位IBMQuantumEagle在2021年，“将使我们能够实施重型 我们团队最后推出的六边形纠错代码 年，因此，当我们扩大物理量子比特的数量时，我们还将能够探索他们将如何协同工作 纠错逻辑量子位–我们设计的每个处理器考虑了容错因素。这 2022年计划包括433量子位IBM量子鱼鹰系统和2023年，1，121量子位IBM量子秃鹰处理器。他们的公告说：“我们想到了秃鹰 作为一个拐点，一个标志着我们能力的里程碑实施纠错并扩展我们的设备。 目前量子计算的主要进展是 由谷歌、IBM、微软、DWave等科技巨头领导等。也可以安全地假设政府 这并不意味着业务风险可能很低，因为谷歌、IBM等公司遵循的商业模式是提供量子计算作为软件服务。有 澳大利亚量子计算的大量研究，如作为ARC量子计算卓越中心 和通信技术（CQC2T）。对于完整调查量子计算的优势和机遇 在澳大利亚和新西兰，请参阅这些调查[3，4]。 7 量子网络安全威胁 触发来自量子计算机的安全威胁通过Shor算法的发明，它需要适当的通用量子计算机，以及有效解决两个潜在的问题 所有当前使用的公钥密码系统，即整数分解和椭圆曲线离散对数 （ECDLP）。肖尔算法的首次实现 （产生因式分解15=3*5）发生 2001年。2020年，经过近20年的进步，IBM65(物理)量子位机器生产。 因此，如果大型通用量子计算机可以 构建然后我们立即失去当前的所有安全性广泛用于保护安全的公钥密码系统 广泛的系统。以量子计算为一种 科技巨头提供的软件服务，任何实体都可以使用这些服务来破坏任何公钥密码系统 感兴趣的。另一方面，量子的影响对称密码学上的计算机不那么极端，但仍可能需要对其进行一些调整 使用（主要是增加密钥大小），由于格罗弗的量子可以执行暴力搜索的搜索算法 在所有可能2nn位键仅在2n/2的时间。 研究人员一直在估计逻辑的数量使用 容错量子计算机上的肖尔算法 也。关于这个主题的一些著名论文包括： Roetteler，atal.[13]考虑了椭圆形的量子电路运行Shor算法所需的曲线幂。 他们对大小素数场上的椭圆曲线的分析大约256位是实现所需的 2338个量子位,1.26*1011Toffoli盖茨和1.16*1011Toffoli 深度。（托弗利门也被称为受控门 不是门，是一个相当简单的通用可逆逻辑理论研究者常用的门 估计量子计算的成本）。这些数字转载于广泛报告的表9.2中[2] 由德国联邦信息安全办公室（BSI）提供。 •在最近的一项工作中[8]，Haner等人重新审视了这些计算。以及给予一些改进 电路，他们考虑不同的权衡 适用于不同的成本衡量标准。对于椭圆形曲线超过256位素数场，它们可以减少量子比特数从2，338到2，124。或者他们可以减少Toffoli盖茨 莫斯卡和 全球风险研究所的皮亚尼[9]。特别是，他们有调查了广泛的专家以确定估计值 量子计算机何时将成为“重大威胁”到公钥加密。大多数专家认为 未来5-10年的风险很低（低于5%），虽然这仍然不排除 突破。展望未来15年，大约一半的 响应者认为风险至少为50%。通过这个措施，合理的建议是迁移 到未来10年内的后量子密码学。考虑到安全性的标准化和开发周期 产品，这意味着我们现在需要紧急行动。 一些专家[16]，建议有足够长的密码系统的时间点之间的时间段停止使用时的时间点 密码系统变得容易受到实际量子的影响攻击。这是因为加密信息可能 记录并存档，以便将来解密。 因此，如果我们需要保护的信息是 保持加密15年，那么我们必须停止使用 至少比量子早15年的不对称方案计算机将可供对手使用。 并非所有专家都认为风险是立竿见影的。例如 BSI在2018年委托编写了一份关于当前状态的报告的量子计算机。报告的结论是“此时 时间点，已实现的量子处理器远非攻击密码学所需的那些”。这 报告于2020年更新，但结论仍然是 相同。在2020年底PQCrypto会议的演讲中， FrankWilhel