量子计算对5G与6G安全性的影响

摘要 移动网络被广泛认定为保障社会正常运行和繁荣的关键国家基础设施。在最基本层面上，所有安全通信都依赖于维护参与者身份及其通信的机密性和完整性。这通过加密算法和协议来实现。 相关量子计算机（CRQCs），预计将特别威胁现有的加密算法。 CRQCs的实现在下一个十年内不太可能发生，但鉴于技术的快速发展带来的不确定性，提前做好充分准备是谨慎的。 量子抗性密码学，也称为后量子密码学（PQC），是一种为经典计算机开发的密码学。它们旨在抵抗基于我们目前对最佳量子算法及其局限性的理解，由经典计算机和基于CRQCs（量子随机数发生器）的潜在攻击。PQC算法也适用于所有类型的实现，包括仅软件、硬件辅助和基于硬件的实现。 量子计算目前尚未广泛应用，但它有潜力加速许多以前难以解决的计算问题，如金融建模、药物研究和材料研究等领域。因此，量子计算及其相关技术的重大潜在优势为研究和开发领域的主要投资提供了动力。 量子物理学中的快速技术进步也在加速量子计算机的问世。这些机器有可能破解目前使用的许多加密算法，从而危及我们当前电信网络的安全。 爱立信和电信行业更倾向于使用广泛使用且已证明可大规模工作的解决方案，这些解决方案基于开放和公共标准和规范。 在5到10年内，爱立信相信，与3GPP成员的显著份额一起，减轻CRQC（量子计算抗力）威胁的最有效和高效的方法是采用量子计算抗力密码。 由于量子计算机将在成为密码学威胁之前变得在工业上具有实用性，因此区分通用量子计算机和密码学领域的量子计算机是值得的。 确保在实现量子抗性密码学的未来发展路径上达成广泛的国际政策共识极为重要，这不仅是为了确保移动通信系统的安全性，而且还要实现成本效益、互操作性和大规模的及时实现。 通信。在NIST PQC标准、IETF、3GPP、GSMA Post Quantum Task Network、CISA/DHS和ATIS等方面正在做出贡献。 为确保在PQC方面的国际政策共识，爱立信鼓励在相关论坛和格式中及时加强政府间和国际政策协调。这将使行业能够在全球范围内实现安全、国际协调和互操作的高质量量子通信解决方案。 为了进一步加快向及时实现抗量子密码学的方向发展，相关标准化机构和行业组织已经开始标准化工作。这些组织还在开发使用量子技术的技术和指南。 引言 量子物理在20世纪初随着马克斯·普朗克、尼尔斯·玻尔、埃尔温·薛定谔、沃纳·海森堡等人的贡献而发展起来。从20世纪中叶开始，研究人员成功开发出测量和控制单个原子和光子的方法。在同一时期，其他研究人员从半导体和超导体中开发出电子元件，在其中他们可以操控单个电子。这类结构的例子包括约瑟夫森结、离子阱和量子点。这些知识导致了量子计算机的发展。量子计算机得益于量子特性中的叠加原理，可以同时执行大量计算，而这一特性是当前的传统、即经典计算机所不具备的。 也称为后量子密码学（PQC），以及量子通信技术的开发，即量子密钥分发（QKD）。预计PQC的广泛应用将在短期内实现，这由诸如NIST、IETF以及大型互联网服务公司等机构推动。与PQC不同，QKD不仅需要更多的时间来使技术成熟，还需要新的硬件和现有解决方案的改动，因此将需要一个更长的采用周期。 密码学 密码学信息编码领域的目的是使只有意图接收者能够解码和阅读信息。密码学算法，或称加密方法，是执行此任务的特定方法。加密算法加密算法进一步分为对称加密、非对称加密和哈希算法。对称加密使用相同的密钥进行编码和解码，这要求双方能够安全地通信或建立共享密钥。非对称加密有两个独立的密钥，一个用于加密，另一个用于解密，允许发送者使用一个密钥（通常是公钥）加密信息，只有另一个密钥（私钥）的持有者才能解码信息。非对称加密通常用于对称加密的密钥建立、数字身份和数字签名。密码学哈希允许创建任何数字文档的无法伪造的指纹。这对于保护数据完整性至关重要。 近年来，关于即将到来的量子计算革命对现有ICT解决方案和系统（包括移动网络）安全的威胁，已经有很多研究。量子物理的未来应用不仅提出挑战，同时也提供了提升操作、能源效率和ICT系统安全的机会。 量子计算目前尚未广泛可用，但它具有加速金融建模、药物研究和材料研究等领域许多先前难以解决的计算问题的潜力。因此，量子计算及相关技术的重大潜在优势，为研究和发展领域的重大投资提供了动力。不幸的是，量子计算的快速发展也使能够破解目前部署在安全的和保密的电信网络中的许多密码学算法的量子计算机的实现在不久的将来变得更加可能，从而威胁到了通信的保密性。 本报告探讨了量子计算对现代移动网络安全构成的威胁，以及量子计算及相关技术，如量子随机数生成和量子传感，所能带来的机遇。对这一问题进行全面分析需要评估三个主题，即量子物理、密码学和移动网络。高层次 有两个互补的方法来确保量子计算机对通信协议的安全性：开发抗量子加密算法， 本文件首先对移动通信网络中可用的关键安全机制进行背景描述，包括密码学。随后，第3节详细描述了量子计算及其相关技术的正面和负面影响。在第4节中，报告概述了电信行业，特别是爱立信，在未来的移动通信网络中采取的方法，以减轻和利用量子计算及其相关技术。在第5节中，报告提供了一些关键公共政策建议，旨在向政策制定者提供建议，以维护保护移动通信网络用户的共同目标。 该三个领域的并行发展时间线如图1所示。一个关键的观察结果是研究和开发周期差异很大——量子技术从实验室到商业产品的早期研究演示可能需要数十年。相反，加密算法预计将被使用数十年（例如，AES算法于2001年推出，目前仍在积极使用）。虽然新移动通信代际大约每十年推出一次，但早期移动通信设备在运行中的长尾意味着单个“代际”的寿命长达数十年。 移动电信网络 截至2023年底，全球移动网络服务着超过56亿人口[17]，5G用户数量超过16亿，预计移动数据流量年增长率超过20%[25[ ] 移动网络被广泛认定为确保一个运作繁荣的社会的关键国家基础设施。几乎无法想象一个没有无处不在的语音、文本和移动宽带接入的现代社会，这种接入可以在任何个人计算设备上随时随地获得，无论是在家中、办公室还是在移动中。移动网络也广泛应用于工业和商业领域， 在仓库、港口以及车辆间通信中日益促进机器与机器之间的通信，开放且灵活，以满足各种商业需求。 移动通信对终端用户、经济和社会的重要性也突显了安全性的关键性。移动网络持续演变的网络安全格局是由从上一代移动网络中获得的知识和洞察力所塑造的。这丰富的经验被传递给下一代，并将继续塑造5G和6G在未来的安全改进。 图2：整体安全方法 - 爱立信信任栈，展示左边的整体安全方法的四层结构，以及右边的与每一层相关的特定于密码学的不同责任和任务。 并且，移动网络连接的最后一段，即用户设备与无线接入网络（RAN）之间的无线电接口，由3GPP定义的安全方法进行保护。这些方法旨在确保通信的机密性和完整性。此外，诸如O-RAN联盟、GSMA、ETSI、IEEE以及ISO/IEC等其他许多机构定义了影响移动网络设计、开发、部署和运营安全的标准。 通过在爱立信信任堆栈的四层中采用全面的安全方法，实现了部署的移动网络的安全性，这通过关键利益相关者之间的合作实现，包括： 1. 保障部署网络的稳定运行，以持续监控移动网络的安全状况。 网络基础设施和软件的部署，使用安全流程部署安全配置。 多维和操作性的移动网络从其诞生到运营过程在图3中被图解描述，该图提供了现代5G网络组件的概述以及它们如何与用户的移动电话进行通信。该图描述了每个通信链路的加密方式以及哪些标准化机构定义了相关的安全通信标准。在移动网络中的几乎所有通信都遵循零信任原则进行加密，无论是通过开放无线电接口、在不同地点之间，还是在部署内部。30保护并验证所有连接。因此，网络能够保护个别用户免受流量检查和利用，保护敏感的客户数据，并为个别应用和服务提供连接——这些应用和服务通常也采用其端到端保护机制（从设备到服务的蓝色线条）。图3还描述了关键的标准和技术机构，如3GPP、IETF和O-RAN联盟的贡献或使用，这些机构在端到端移动系统中采用的加密标准。 3. 供应商通过安全流程、生命周期管理和使用安全标准进行产品和解决方案的开发过程。 4. 国家标准与技术研究院(NIST)、国际标准化组织(ISO)、互联网工程任务组(IETF)、第三代合作伙伴项目(3GPP)和全球移动通信系统协会(GSMA)等组织在安全算法、协议和运行要求方面的标准化。 在最基本层面上，所有安全通信都依赖于维护参与者及其通信（例如，传输的数据）的机密性和完整性。这通过使用密码算法和协议来实现。尽管最广泛使用的密码算法，如AES[38]和SHA2[39NIST定义了这些标准，其开发和实施涉及来自学术界和产业界的研究人员和安全专家之间的全球合作，旨在确保这些标准化的加密算法的安全。然后，这些标准被用于开发安全的网络通信协议，IETF是包括安全协议（如IPsec）在内的任何互联网协议的中心。36]，TLS [35]，以及QUIC[37]。最后，第一 量子威胁与机遇 虽然量子计算机目前不会对移动网络安全构成直接威胁 [31][41]，它们在足够产能下实际实现的不确定性需要通过开发量子抗性算法（也称为后量子算法）来采取行动。相比之下，量子现象也可以从技术和操作观点来提高通信安全性，例如，通过使用量子密钥分发、量子随机性、量子传感，当然还有量子计算机。 对称加密系统如AES的安全性。然而，由于Grover算法无法在多个量子计算机上并行运行，它并没有在速度上对经典计算机提供任何显著的提升。在任何情况下，与开发针对公钥密码学的抗量子算法的需求不同，现有的算法及其密钥长度被认为不会受到显著影响[21] 由量子计算机执行，这意味着对于对称加密算法的软件和硬件实现不需要进行任何重大修改。 量子对安全通信的影响 量子计算机为何构成威胁 量子计算机可以比传统计算机更快地解决几种类型的计算问题。尽管仍在研究中以确定哪些问题最适合量子计算机，但已经确定了几种算法，据信其性能优于传统计算机上的算法。值得注意的是，Shor算法使依赖于离散对数或整数分解的任何密码系统处于风险之中。这意味着它有可能破坏最流行的公钥密码系统，例如RSA、椭圆曲线密码学（ECC）和任何Diffie-Hellman密钥交换协议的变体。当这种情况成为可能时，行业和政策制定者将面临在保障通信和身份方面的巨大问题，例如公钥密码学，这对于身份验证至关重要。为了防止这种情况并确保及时有效的解决方案，目前正在标准化能够抵御量子计算机的加密算法。这通常被称为后量子密码学（PQC）。 从量子计算带来的威胁中，Grover算法是一个较小的威胁，它通常被认为是导致计算时间减半的原因。 量子计算机的威胁因密码算法的使用方式和更新实现的灵活性而有很大差异。为了保护通过互联网传输的数据，人们对于“先存储，后解密”的场景表示出明显的担忧。这尤其针对那些需要保持数十年秘密且必须因此防范甚至假设性未来威胁的数据。因此，迫切需要加快采用抗量子方法。这种“先存储，后解密”的威胁常常被引用为加快部署抗量子加密的理由。然而，这种威胁并非仅限于量子技术，任何可能突破现有安全技术的技术或方法都适用，从而推动了无论其成熟度如何，包括反制方案的成熟度，都要始终对下一潜在技术发展采取行动的逻辑。 图中右上角显示了从1024位RSA到16384位RSA打破所需的量子比特数量及其错误率，而当前量子计算机位于左下角。虽然差距看起来很大，但普遍观点是期待量子计算机在发展速度的不确定性中持续改进，而不是是否会发生。 鉴于大多数互联网服务安全可以通过软件更新迅速调整，因此当量子抗性公共算法可用时，可以迅速部署相应的对策。相比之下，嵌入硬件中的安全系统的开发周期尤其缓慢，例如，这些系统用于确保固件更新。因此，硬件安全将需要数年甚至数十年的规划和逐步替换不可升级的现场服务单元。 图4：量子计算机按量子比特数量及其错误率的发展。该图显示了过去四年内能力边界