2019年8月24日,为期两天半的NIST全球抗量子加密算法(PQC)第二轮研讨会在加州大学圣芭芭拉分校降下了帷幕。相比起去年四月在佛罗里达召开的第一轮算法研讨会初次揭开NIST的PQC算法征集神秘面纱的新鲜和新奇,第二轮算法研讨会则显得更为揪心和担心。来自全球各地的政界、产业界和学术界的三百多位代表在两天半的研讨当中,仁者见仁智者见智,使得此次会议亮点纷呈、暗潮汹涌。全球首套抗量子密码标准未来走向何方?以下几个发展趋势,值得国内业界高度关注:

一、复合型标准制定过程中的高度复杂性。自从四十多年前第一代公钥密码体制(RSA/DH)诞生以来,数字签名、密钥分发业已成为互联网的安全与可信基石。“基础不牢、地动山摇”。由于美国国家安全局在2015年8月19日公开宣称“由于面临量子计算机的威胁”,要尽快更换自身的一套重要密码系统(B-Suite),这套密码系统长期应用于美国联邦政府部门,如美联储等重要基础设施当中,从而催生了NIST面向全球征集具备抗量子计算攻击能力的第二代公钥密码算法。然而,现在看来此次征集活动的难度与工作量,并且NIST希望最后要在全球达成共识(特别是斯诺登事件之后),却远远超出了人们一般的想象。抛开背后的大国暗中博弈不谈,从制标工作本身来讲,此次将不同体制、不同功能、不同理论基础的新型公钥算法簇聚集在一起的“一揽子解决方案”不仅在NIST制定密码标准的历史上属于首次,也是信息化时代人类社会关于制定密码标准的首场处女秀。更为重要的是,此次制标还需要探索当前人类科学技术领域当中一个最为前沿、也是最为热门的未知领域:在量子计算机尚未研发出来的情况下,如何刻画量子计算机的攻击能力?这从会议当中的热门算法簇—格基密码,人们普遍关注对它们的安全性分析是否具备统一的理论基础就可见一斑。此外,对其他几类的PQC密码体制的攻击也不断出现,这一切都说明PQC正在经历从学术“象牙塔走向工业化”这个过程当中的阵痛之中,正在接受残酷的“实践检验”。

从目前的算法验证的进展和业界的争论来看,NIST将继续进行第三轮算法筛选(而不是直接进入制标)应该是一个大概率事件,除非它另外有“难言之苦”。

还有一种可能是,将人们争议较少(但功能单一)的少数几个算法提前进入制标流程。这样至少可以部分缓解来自政府和企业界的压力。

二、算法征集活动背后的大国博弈。在此次会议当中出现了一幕让NIST颇为尴尬的场面:Philippe Gaborit所做的一个报告涉及到一个专利,而据称这个专利将封堵住所有PQC算法衍生出来的密钥管理机制(KAM)。更让人惊讶的是,这个专利不是由某个个体或小组拥有,而是由法国政府拥有。看来数学基础功底深厚的法兰西民族的实力确实让人不可小觑。NIST如何处理这一烫手山芋值得进一步观察。

Philippe Gaborit在做大会主旨报告

另一方面,微软、亚马逊、IBM、Cisco、Intel等美国著名企业对抗量子算法标准的高度关注与介入则代表着美国方面在这一未来网络安全战略前沿的大手笔布局。这些世界一流的IT企业极有可能在未来网络安全产业链和衍生标准方面发挥引导、引领作用。

美国NIST这次动用全球人力资源进行新一代公钥密码算法制标工作,对我国而言有以下几点值得借鉴

一是基础研究的极端重要性。这是一个老生常谈的话题,在涉及基础性、全局性、颠覆性和长久性的科学研究领域,不存在什么弯道超车的侥幸,而是应该实实在在的进行布局,并给从事基础研究的科技人员予以实实在在的支持,发放“制度红包”、“政策红包”,口惠实至,并形成良好的“容错与冷坐氛围”。这些制度与文化建设应该在社会各界当中达成共识。四十年前第一代公钥密码算法引发的现代密码学革命并不是来自于极少数国家级科研机构,而是得益于美国大学自由的科研氛围,这足以说明问题。

二是企业界的高度介入。我国尽管拥有足以自豪的世界级互联网大企业和一些正在壮大的网络安全企业,但无须讳言,无论是基础研究还是标准制定,我国绝大多数互联网企业并未花费什么人力物力投入到新一代公钥密码标准化研发工作当中,潜意识里面依然有“搭便车”的惯性。而国外企业,仅以Intel为例,据称已经做好了在通用芯片上采用新一代抗量子密码技术的准备工作。可以想象,一旦推出,无论届时量子计算机的研发到了哪个阶段,都必将对那些不具备“抗量子安全”的芯片及其下游产业带来巨大冲击。

三是网络空间安全基石即将发生根本性变革。正如此次会议的专家也纷纷意识到的那样,尽管人们现在很难预测量子计算机何时能够成为现实,甚至会不会成为现实,但产业界已经开始意识到“后量子安全时代”的来临。换言之,具有敏锐市场嗅觉的国外企业正在把“量子计算危机”变成“机遇”,并为此投入了大量的资源进行技术储备。可以预计,在不久的将来,新一代打着“量子安全”旗帜的网络空间将进入人们的日常生活,并给网络空间安全与治理带来深刻的变革,即使那个时候大规模并行容错量子计算机仍然遥遥无期。(李向阳

声明:本文来自量子计算最前沿,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。