后量子時代的應用密碼策略
責編:mhshi |2018-03-14 16:54:42通用量子計算機實現了一種更高效的解決某些數學問題的方式,特別是在處理整數分解和離散對數問題的任務[1]。因此,任何基于上述任務的數學復雜性實現密碼學安全性的安全協議、產品或安全系統[2]都非常容易受到使用量子計算機的攻擊[3]。一方面,構建大型量子計算機所需時間的問題仍然需要研究。但目前已經有許多物理方式可以實現不同形式的量子計算設備,例如超導量子比特、超冷原子和囚禁離子[4]。另一方面,量子計算機可能在近期出現的事實改變了信息安全的發展趨勢。
這種變化的典型例子包括增加對不易受量子計算機攻擊的安全工具的關注,即所謂的量子安全技術。一般來說,這些技術可以分為兩類。
第一種方法基于信息理論上的安全方法,因為他們不會對竊聽者的計算資源做出假設,例如一次一密加密機制[5]和Wegman-Carter認證方案[6]。但是,一次一密加密機制對于安全建立共享密鑰有較大的要求。一個值得關注的突破是,密鑰分發的過程可以通過單光子使用單個量子系統有效地實現,旨在設計量子密鑰分配(QKD)器件以實際應用一次一密加密機制[7]。QKD系統與其他加密工具也能結合使用在混合經典量子加密系統中,目前市場上也推出了QKD密碼設備[8]。
第二類方法基于計算問題,但目前認為這對經典和量子計算設備來說都很難。特別是,有研究人員提出可以使用后量子密碼學原語[9]或AES等對稱密碼(使用量子密鑰分配方案),因為密碼可以通過增加密鑰大小來使加密算法適應量子攻擊。
本文的主要目標是分析這些技術的關鍵特征、發展趨勢和局限性,關鍵分析能夠在企業安全系統中實際應用的加密工具。典型的安全系統往往需要處理不同重要程度的信息。因此考慮如何選擇適當的加密技術以適用于不同的應用(如安全通信和分布式存儲)是有意義的。由于近幾十年來數據存儲越來越普遍,在“立即存儲-后期解密”( store now — decrypt later)的模式下,分析發展趨勢對于長期的數據安全尤為重要。因為敏感數據可能現在以加密的形式存儲,但在未來可能出現的量子計算機(或新穎的數學算法)就能對其進行破譯。
2 密碼學工具:量子、后量子與混合加密
由于并非所有加密算法都容易受到量子攻擊,因此研究人員對量子計算下的安全方法的興趣日益增加,從而提供了可抵御量子計算機攻擊的長期信息保護機制。如下所述,人們可以從通用量子計算機的特征來分析利用密碼學保障信息安全的幾種方法。
2.1 基于量子密鑰分發(QKD)的信息理論安全系統
我們首先描述基于QKD的一次一密加密機制。這種方法的操作可以描述如下:兩個合法用戶(Alice和Bob)具有預共享認證密鑰和直接發送信道,即Alice和Bob應該彼此點對點連接,然后他們建立一個QKD會話(允許他們獲得包含一些錯誤的原始量子密鑰)。在QKD安全性證明中,假設原始量子密鑰中的所有錯誤都是由于竊聽[7]。而這就是Alice和Bob使用認證的公共頻道進行后置處理程序的原因[10,11]。之后,Alice和Bob擁有了一個可用的密鑰,并且它被證明能在理論上抵御任意形式的攻擊,包括量子攻擊[12]。
但是基于QKD的一次一密加密機制的實際應用遇到了許多實際挑戰。首先,Alice和Bob應該同時具備直接信道(光纖或自由空間)用于傳輸單光子信道和認證經典信道用于保證信息協調性。其次,密鑰生成率較低。由于光纖中光子的光學損失和單光子探測器的不完善性,密鑰生成率將隨著Alice和Bob之間距離的增加而顯著減小。為了克服這個挑戰,研究人員需要開發新一代單光子源和探測器。最后,用于信息協調的后置處理程序進一步提高了計算成本,例如低密度奇偶校驗進行糾錯[11]。盡管如此,基于QKD的一次一密加密機制仍然是實用且絕對安全的,這意味著即使Eve(攻擊者)擁有無限的計算資源(包括經典或量子),這種機制總是會是安全的[7,12]。
2.2 后量子加密
第二種方法是使用后量子密碼學工具[9],例如基于碼、多變量、基于格和基于哈希的密碼系統,因為目前還沒有出現高效的破譯算法。談到應用,后量子密碼方案與具有相同安全級別的前量子方案相比往往具有更好的性能。但是密鑰、消息和簽名通常較大。此外,這些方案可能很有用,但它們并不能保證絕對的隱私。與經典的公鑰密碼學原語一樣,由于存在著發明“后量子計算機”的可能性,這些方法并不能抵抗“現在存儲-后來解密”的模式。
2.3混合加密
最后,一個有用的方法就是結合多種加密技術。例如,QKD與經典分組密碼相結合形成經典-量子混合密碼算法,并增加主密鑰更新的頻率。這個想法被用于商業QKD設備[8],若干個信息安全應用程序還允許將公鑰密碼系統和QKD分發的密鑰進行組合。混合系統,如使用QKD和AES算法的系統,都是量子安全的。
我們下面分析一個簡單的經典-量子混合密碼模型。在經典密碼的部分,有一個安裝在系統起始點的主密鑰KM,以及一個通過非量子安全工具獲得的會話密鑰KS。Alice和Bob使用函數d(KM,KS,M)來加密消息M。使用密鑰KM和KS的參數,基于可能的攻擊估計信息絕對安全的時間TS。量子部分包括以下組成:基于量子安全密鑰分發方案(例如QKD)的密鑰KQ以頻率f升級主密鑰KM,即KM + 1 = g(KM,KQ)。因此,在混合系統中,具有加密算法d(g(KM,KQ),KS,M)和信息絕對安全時間TS + Q(f)> TS,并且主密鑰以頻率f升級。但是找到一個合適的算法估計TS + Q(f)是一個重要的問題。
另一個有趣的想法是將QKD與經典認證方法結合起來[13,14],量子密鑰不僅可以應用于經典的密碼學,而且讓經典算法應用到量子世界,變得更強大。在經典密碼理論中,巨大的計算能力通過攻擊廣泛存在的“現在存儲-稍后解密”模式來威脅傳輸的數據。在量子背景下,由于量子通信的特性,即使攻擊者截取信號也不能獲得所有信息。這種方法也用于量子數據傳輸[15]和量子認證[16],量子認證是將低比特率量子信道應用于企業需求的方向之一。
3 企業安全系統中的密碼學
我們預計企業信息安全保護策略將在新興量子計算機的影響下轉變。目前沒有通用標準來加密所有數據,而在后量子時代,企業,政府和公共機構將面臨類似的權衡挑戰,同時制定有效的戰略。
加密系統用戶不可能馬上完全過渡到量子加密,新的標準和抗量子計算技術的產品將隨著時間的推移而發展,但企業現在應該考慮即將到來的量子抵抗算法,并基于此設計他們的信息保護工具。文獻[3]給出了對時間的估計:如果大規模量子計算機在基礎設施調整為量子安全之前就得以建成,那么加密信息將變得不安全。因此,值得要注意的是,改造IT基礎設施的時間估計應該包括量子安全和混合加密工具的標準化工作。
一個適當的加密策略應該取決于組織信息的敏感性、數據存儲和傳輸方法。在選擇適當的加密工具之前,組織必須確定加密對象并將加密計劃作為整體企業風險管理和數據治理計劃的一部分。
組織在規劃其新出現的加密策略時應考慮的另一個方面是數據在整個生命周期中的保護方式。 因此,重要的是要考慮受保護數據的狀態:①通過網絡傳輸數據,②靜態數據(Data-at-Rest),③正在生成、更新、刪除或查看過程中的數據。每一種狀態中都面臨著獨特的挑戰,并且顯著影響著用于保護數據安全的加密算法的選取。
隨著網絡邊界不斷消失,其中一個關鍵問題就是如何保護靜態數據。目前靜態數據的主要加密類型包括全盤加密、硬件安全模塊、加密文件系統和數據庫。動態數據(Data-in-Motion)的加密類型包括網絡訪問保護和服務器通信加密。隨著第三方服務提供商越來越多地通過公有云托管和處理數據,云計算需要保護數據的安全。然而使用中的數據(Data-in-Use)是最難保護的,因為它總是需要在解密后才能被使用(不考慮同態加密)。具體來說,這個挑戰與密鑰有關,為了加密提供安全性,攻擊者必須完全無法獲得密鑰,因此保護密鑰存儲的環境對于在加密策略中至關重要。
之前曾提到,加密應該是組織安全策略的一部分,有效的數據分類對于實現彈性數據保護功能至關重要。應該完善數據映射,正確處理信息的存儲位置,確保所有位置(移動設備、備份系統和云服務等)的數據得到適當保護。數據分類的另一個重要性挑戰是,大規模量子計算機的出現可能會使非量子算法加密的數據受到威脅,而這些算法在生命周期中具有顯著的長期價值。
我們提出一個簡單的模型用于描述信息,其中包含N個不同的分支機構;用C = {c1,c2,……,cM}表示一個組織對信息進行分類的集合,其中c1是一類公開信息,cM代表最重要的信息。我們假設信息成本明顯高于實施量子安全工具的成本;用T = {t1,t2,……,tK}表示為一組信息的時間類別,其中t1表示生命周期的一個時間段內需要保證安全的一類信息,tK代表整個生命周期中都需要保證安全的一類信息。
在分析這些技術在企業安全系統中應用的關鍵特征,發展趨勢和局限性的基礎上,我們提出了一個實用的權衡(Trade-Off)框架。該框架為極限情況提供下了可能的解決方案。首先,如果數據具有集合C和T中最低的類別,那么可以使用最簡單和最便宜的方法進行保護。 其次,如果考慮的信息具有集合C和T中最高的類別,那么就必須使用量子安全系統(如QKD)。在其他情況下,可以使用具有不同參數的混合加密方法,如調整密鑰的大小(主密鑰,量子密鑰和會話密鑰)和主密鑰升級頻率,以實現安全和成本的權衡(Trade-Off)。
4 網絡架構:多對一混合系統
在這里,我們建議將所有不同的加密技術結合起來考慮其關鍵特征、發展趨勢以及這些技術在特殊網絡架構中的局限性,決定它是否直接集成到企業安全系統中。
在所考慮的上述問題之前,應該關注組織的網絡拓撲結構。使用基于QKD的量子安全工具需要一個直接通信信道。正如上文所述,從構建網絡的角度來看,QKD作為一種點對點技術,就物理層面而言,這意味著每個單光子應通過光纖(或自由空間)通道連接到檢測器,并通過認證的公共通道進入后置處理程序。盡管能夠通過QKD獲得對稱密鑰,但QKD硬件成本存在“不對稱性”,接收端的成本通常較高,并且需要部署額外的基礎設施(如光子檢測器)。另一方面,可以在多信道體制中使用接收端設備來降低成本。QKD的另一個限制來自后置處理程序的計算成本。
為了克服上述挑戰,我們提出以下網絡架構。假設Bob位于公司的數據中心,并且Alice(分支機構)連接到Bob用于量子、混合或非量子安全信息保護應用。這種方案允許為部署QKD硬件(SSPD)創建了合適的基礎設施,有助于調用公司數據中心的計算資源運行后置處理程序以實現信息協調。如果對于兩個分支Ai和Aj都在與公司數據中心之間部署了基于QKD的直接通道,就能有效地保證它們之間的通信安全。同時,這種架構也是能夠快速集成到企業安全系統中的。
我們還建議使用QKD用于分布式存儲協議中實現信息保護。保護靜態數據和傳輸數據就像是陰和陽。保護傳輸數據是量子技術的一個基本應用,而量子態低壽命使針對靜態數據的保護不是非常有效。一個強有力的保護靜態數據的方法是使用HJKY 95協議在多個地點之間進行主動式秘密共享[17]。由于在一個地點的某個時間段存在攻擊威脅,秘密必須重新分享。而為了實現更安全的數據保護,這個方案也需要QKD的支撐。
量子計算技術同時也對基于區塊鏈技術的產品構成了重大的安全威脅[18]。最近,研究人員提出了一種可能解決量子時代區塊鏈安全風險的方案[19]。
如果我們把目光轉向更遙遠的將來,數據可以在無需解密的情況下進行處理,很多概念性的工作都描繪了量子計算機在不知道數據內容的情況下對數據進行加工和計算。在未來,即使是非可信的實體也能夠為我們提供絕對安全的運算服務。
5 討論與展望
隨著量子計算將越來越受到政府和大型企業的關注,后量子時代可能比預期更快到來。因此,至少在某些應用中,需要開始考慮針對量子計算的安全機制。在這篇文章中,我們介紹了在企業安全系統中為處理不同重要程度信息選取密碼技術的方法,提出了面向企業的量子通信網絡架構,實現了不同的密碼技術在通信和分布式存儲中的有效結合。
原文:https://arxiv.org/abs/1703.04285
參考文獻
[1] P.W. Shor, SIAM J. Comput. 26, 1484 (1997).
[2] B. Schneier, Applied cryptography (John Wiley & Sons, Inc., New York, 1996).
[3] Quantum Safe Cryptography V1.0.0 (2014-10). ETSI White Paper.
[4] C.R. Monroe, R.J. Schoelkopf, and M.D. Lukin, Sci. Am. 314, 50 (2016).
[5] C.E. Shannon, Bell Syst. Tech. J. 27, 379 (1948).
[6] M.N. Wegman and J.L. Carter, J. Comp. Syst. Sci. 22, 265 (1981).
[7] N. Gisin, G. Ribordy, W. Tittel, and H. Zbinden, Rev. Mod. Phys. 74, 145 (2002).
[8] ID Quantique, www.idquantique.com
[9] D.J. Bernstein, Introduction to post-quantum cryptography (Springer-Verlag Berlin Heidelberg, 2009).
[10] E.O. Kiktenko, A.S. Trushechkin, Y.V. Kurochkin, and A.K. Fedorov, J. Phys. Conf. Ser. 741, 012081 (2016).
[11] E.O. Kiktenko, A.S. Trushechkin, C.C.W. Lim, Y.V. Kurochkin, and A.K. Fedorov, Phys. Rev. Applied 8, 044017 (2017).
[12] V. Scarani, H. Bechmann-Pasquinucci, N.J. Cerf, M. Dusek, N. Lu¨tkenhaus, and M. Peev, Rev. Mod. Phys. 81, 1301 (2009).
[13] Y.V. Kurochkin, SPIE Proc. 5833, 213 (2005).
[14] A.S. Trushechkin, P.A. Tregubov, E.O. Kiktenko, Y.V. Kurochkin, and A.K. Fedorov, arXiv:1706.00611.
[15] D.J. Lum, M.S. Allman, T. Gerrits, C. Lupo, V.B. Verma, S. Lloyd, S.W. Nam, and J.C. Howell, Phys. Rev. A 94, 022315 (2016).
[16] S. Fehr and L. Salvail, arXiv:1610.05614.
[17] A. Herzberg, S. Jarecki, H. Krawczyk, and M. Yung, Lect. Notes Comp. Sci. 963, 339 (1995).
[18] D. Aggarwal, G.K. Brennen, T. Lee, M. Santha, and M. Tomamichel, arXiv:1710.10377.
[19] E.O. Kiktenko, N.O. Pozhar, M.N. Anufriev,A.S. Trushechkin,R.R. Yunusov,Y.V. Kurochkin,A.I. Lvovsky, and A.K. Fedorov, arXiv:1705.09258.