概要

• 量子計(jì)算機(jī)將對(duì)網(wǎng)絡(luò)安全構(gòu)成重大威脅。大型容錯(cuò)量子計(jì)算機(jī)建造出來(lái)后，最常用的密碼系統(tǒng)將分崩離析。這一威脅事關(guān)重大，其應(yīng)對(duì)具有緊迫性。
• 保護(hù)完全經(jīng)典的協(xié)議，免受量子技術(shù)武裝的對(duì)手是可能的，但需格外謹(jǐn)慎，不能僅限于認(rèn)真選擇密碼系統(tǒng)。
• 量子技術(shù)還會(huì)對(duì)網(wǎng)絡(luò)安全帶來(lái)積極影響。采用最先進(jìn)技術(shù)的量子設(shè)備可用來(lái)提升安全性，實(shí)現(xiàn)傳統(tǒng)不可能實(shí)現(xiàn)的任務(wù)，比如具有完美安全性的密鑰擴(kuò)展。量子計(jì)算機(jī)將成為未來(lái)通信和計(jì)算網(wǎng)絡(luò)中不可或缺的一部分，我們需要開(kāi)發(fā)實(shí)用的方法，使用與安全經(jīng)典計(jì)算具有相同安全保證的量子計(jì)算機(jī)。

計(jì)算機(jī)系統(tǒng)和攻擊者在軟硬件方面與時(shí)俱進(jìn)，不斷創(chuàng)新非常重要。人們可以想象到的最引人注目的發(fā)展，莫過(guò)于計(jì)算模型范式的變化。量子技術(shù)似乎讓我們接近這種變化。本文探究網(wǎng)絡(luò)安全和量子技術(shù)研究的交叉領(lǐng)域。

量子技術(shù)時(shí)代的開(kāi)端。量子論的發(fā)展是20世紀(jì)的重大科學(xué)革命之一。從早期一直到完整數(shù)學(xué)形式主義的發(fā)展，以及隨后第一批應(yīng)用(比如晶體管和超導(dǎo)體等)，量子論在許多不同的環(huán)境中非常成功。然而，按預(yù)期控制量子系統(tǒng)的能力有限，這限制了技術(shù)應(yīng)用的種類。

近年來(lái)，這種情況發(fā)生了變化，對(duì)量子系統(tǒng)的控制已大大增強(qiáng)，而由于興趣和投入加大，加上已有的科學(xué)突破，似乎有希望在不遠(yuǎn)的將來(lái)取得進(jìn)一步的進(jìn)展。全球多國(guó)已啟動(dòng)了國(guó)家量子技術(shù)計(jì)劃，投入的資金龐大。谷歌、IBM、微軟和BAT等各大工業(yè)公司及眾多量子初創(chuàng)公司已設(shè)立了開(kāi)發(fā)量子硬件的實(shí)驗(yàn)室。這掀起了所謂的“第二場(chǎng)量子革命”：按預(yù)期操控量子系統(tǒng)的能力引領(lǐng)了新時(shí)代，眾多新技術(shù)層出不窮，在一些情況下有望取代現(xiàn)有的解決方案。

可以說(shuō)，最重要的量子技術(shù)將是開(kāi)發(fā)利用量子現(xiàn)象的計(jì)算設(shè)備(即量子計(jì)算機(jī))。量子計(jì)算機(jī)可能會(huì)成為顛覆性創(chuàng)新，提供比經(jīng)典計(jì)算機(jī)強(qiáng)大得多的計(jì)算能力。

早已取得了杰出的量子技術(shù)成就。僅舉兩例：谷歌最新的量子處理器Bristlecone擁有創(chuàng)記錄的72個(gè)量子比特，錯(cuò)誤率很低。衛(wèi)星量子密鑰分配已實(shí)現(xiàn)，可以在7600千米的跨洲距離上實(shí)現(xiàn)信息理論安全加密。

量子網(wǎng)絡(luò)安全。大型量子計(jì)算機(jī)的發(fā)展及其帶來(lái)的額外計(jì)算能力會(huì)給網(wǎng)絡(luò)安全帶來(lái)可怕的后果。比如說(shuō)，如果開(kāi)發(fā)出足夠大的“容錯(cuò)”通用量子計(jì)算機(jī)，可高效解決分解因子和離散對(duì)數(shù)之類的重要問(wèn)題——這些問(wèn)題的難度確保了許多廣泛使用協(xié)議(比如RSA、DSA和ECDSA)的安全性。然而，應(yīng)對(duì)采用量子技術(shù)帶來(lái)的重大風(fēng)險(xiǎn)不是網(wǎng)絡(luò)安全界的唯一問(wèn)題，量子技術(shù)在網(wǎng)絡(luò)安全界必將發(fā)揮作用。

量子網(wǎng)絡(luò)安全領(lǐng)域的研究影響通信和計(jì)算安全和隱私的方方面面，這都離不開(kāi)量子技術(shù)的發(fā)展。

量子技術(shù)被對(duì)手利用時(shí)對(duì)網(wǎng)絡(luò)安全會(huì)帶來(lái)消極影響，但被誠(chéng)實(shí)方使用時(shí)則會(huì)帶來(lái)積極影響。量子安全研究一般分為三類，這取決于誰(shuí)可以使用量子技術(shù)、這種技術(shù)有多先進(jìn)(見(jiàn)圖1)。在第一類中，我們確保目前可以執(zhí)行的任務(wù)保持安全;在另兩類中，我們探究量子技術(shù)帶來(lái)的新前景。

圖1.量子網(wǎng)絡(luò)安全研究領(lǐng)域的示意圖

與密碼學(xué)中一樣，先假設(shè)資源方面的最糟糕場(chǎng)景：誠(chéng)實(shí)方完全借助經(jīng)典技術(shù)(沒(méi)有量子能力)，而對(duì)手可使用任何量子技術(shù)(不管這項(xiàng)技術(shù)目前是否存在)。尤其是，假設(shè)對(duì)手擁有大型量子計(jì)算機(jī)。確保經(jīng)典協(xié)議的安全和隱私保證完好無(wú)損就叫后量子安全。

在第二類中，我們?cè)试S誠(chéng)實(shí)方使用量子技術(shù)以獲得增強(qiáng)的屬性，但限制只能使用那些現(xiàn)有的量子技術(shù)。同樣，對(duì)手可以使用任何量子技術(shù)。在這一類中，我們專注于獲得經(jīng)典功能，但通過(guò)使用目前最先進(jìn)的量子設(shè)備，能夠增強(qiáng)經(jīng)典協(xié)議的安全或效率。

在第三類中，著眼于更長(zhǎng)遠(yuǎn)的未來(lái)，分析因量子計(jì)算機(jī)而帶來(lái)的協(xié)議具有的安全和隱私。到時(shí)會(huì)有涉及量子計(jì)算機(jī)和通信，處理量子信息的任務(wù)，有關(guān)方想保持?jǐn)?shù)據(jù)的隱私，又想要所處理任務(wù)的安全有保證。這段時(shí)期不會(huì)太遙遠(yuǎn)，因?yàn)槿缃耖_(kāi)發(fā)的量子設(shè)備已突破量子計(jì)算的限制，經(jīng)典超級(jí)計(jì)算機(jī)可以模擬量子計(jì)算。

這三類涵蓋網(wǎng)絡(luò)網(wǎng)絡(luò)的所有方面。本文著重介紹量子計(jì)算機(jī)給密碼攻擊和利用新量子硬件漏洞的攻擊帶來(lái)的影響。至于利用現(xiàn)有經(jīng)典硬件其他漏洞的方法(比如時(shí)序攻擊)，我們預(yù)計(jì)不會(huì)顯著受益于量子技術(shù)，因而不作深入探討。

量子計(jì)算的誤區(qū)與現(xiàn)實(shí)

量子計(jì)算機(jī)常被描述成神奇的計(jì)算設(shè)備，可瞬間解決幾乎任何難題。實(shí)際上，量子計(jì)算機(jī)的能力沒(méi)那么夸張。我們下面澄清下量子計(jì)算機(jī)和量子對(duì)手的計(jì)算能力，以及四個(gè)最常見(jiàn)的誤解。

誤區(qū)1.量子計(jì)算機(jī)執(zhí)行運(yùn)算方面比經(jīng)典計(jì)算機(jī)快得多。

從每秒執(zhí)行大量操作的角度來(lái)看，量子計(jì)算機(jī)并非速度更快。量子計(jì)算機(jī)之所以能加快計(jì)算速度，是由于量子論允許算法支持經(jīng)典計(jì)算機(jī)幾乎不可能執(zhí)行的操作。因此，實(shí)現(xiàn)加速需要發(fā)明適當(dāng)使用這些操作的新算法，這并非易事。確實(shí)，加速效果主要取決于考慮的特定問(wèn)題。這解釋了為什么量子對(duì)手只能破解某些公鑰密碼系統(tǒng)，其他人只需稍加改動(dòng)(比如改動(dòng)密鑰長(zhǎng)度)就能保持安全。

誤區(qū)2.量子計(jì)算機(jī)同時(shí)執(zhí)行(概率)計(jì)算的所有分支，可以立即找到接受路徑。

量子計(jì)算機(jī)以一種獨(dú)特的方式探索新的可能性或計(jì)算分支。這類似經(jīng)典概率計(jì)算機(jī)(Bpp)，重要區(qū)別在于量子計(jì)算機(jī)的行為存在帶有復(fù)雜值的“概率”。該行為導(dǎo)致某些分支被“取消”。該屬性以及利用它的算法帶來(lái)量子加速。然而在量子計(jì)算結(jié)束時(shí)，僅通過(guò)一次讀出/測(cè)量來(lái)獲得結(jié)果，因此所有“未實(shí)現(xiàn)”的分支都不起作用，與這個(gè)誤區(qū)恰好相反：量子計(jì)算機(jī)并行執(zhí)行所有分支，某人可以提取那些分支中的所有信息。

誤區(qū)3.量子計(jì)算機(jī)可以有效地解決NP完全問(wèn)題(比如旅行商問(wèn)題，即TSM問(wèn)題，是最基本的路線規(guī)劃問(wèn)題)。

量子計(jì)算機(jī)可以有效解決的一類決策問(wèn)題名為BQP。它與其他已知類的(推測(cè))關(guān)系可從圖2中看到。尤其是，NP并不包含在BQP中，量子計(jì)算機(jī)無(wú)法有效地解決NP完全問(wèn)題。不過(guò)值得一提的是，量子計(jì)算機(jī)在處理BQP之外的許多問(wèn)題(比如二次搜索加速)時(shí)，可提供多項(xiàng)式或恒定加速，包括針對(duì)NP完全問(wèn)題的這種加速。針對(duì)許多任務(wù)，即便這種小幅加速也可能很重要。比如在網(wǎng)絡(luò)安全界，它影響保證要求的安全級(jí)別所需要的密鑰大小。

圖2.復(fù)雜性類的推測(cè)關(guān)系。

誤區(qū)4。使用量子計(jì)算機(jī)難以解決問(wèn)題，足以使密碼協(xié)議免遭任何量子攻擊。

這是必要但并非充分的條件。量子攻擊者會(huì)以各種方式使用量子性，不僅為了更快地解決一些經(jīng)典問(wèn)題。接下來(lái)我們舉例(疊加攻擊)，并指明安全定義和證明技術(shù)都需要改動(dòng)。

后量子安全：量子對(duì)手

我們現(xiàn)在需要對(duì)付量子攻擊者，這有三大原因。首先，安全有可能被未來(lái)的技術(shù)破解。比如，如果一些機(jī)構(gòu)攔截并存儲(chǔ)發(fā)送的加密電子郵件，開(kāi)發(fā)出量子計(jì)算機(jī)后，可以用來(lái)解密郵件。其次，開(kāi)發(fā)后量子安全的密碼解決方案，獲得高效率。對(duì)這些解決方案的安全樹(shù)立信心，需要多個(gè)獨(dú)立頂尖研究小組開(kāi)展多年的研究。第三，我們改變密碼基礎(chǔ)設(shè)施需要數(shù)年的時(shí)間。

根據(jù)對(duì)手使用“量子能力”的方式，可將后量子密碼學(xué)研究分為三類(見(jiàn)圖1)。第一類是對(duì)手是經(jīng)典對(duì)手，擁有還能解決BQP問(wèn)題的額外能力。換句話說(shuō)，這類對(duì)手如同標(biāo)準(zhǔn)的經(jīng)典對(duì)手，可另外訪問(wèn)oracle/量子計(jì)算機(jī)。在第二類和第三類中，我們?yōu)閷?duì)手賦予額外的能力，比如允許他們發(fā)送量子態(tài)的輸入(查詢)，然后使用(量子)輸出及其量子計(jì)算機(jī)oracle，以危及協(xié)議安全。第二類討論安全定義的建模和改動(dòng)以及直接后果。第三類討論這種新的量子安全模型中(涉及的)證明技術(shù)所需的改變。

應(yīng)注意，就使用的技術(shù)而言，后量子安全類別中的所有協(xié)議都是完全經(jīng)典的協(xié)議。所有如實(shí)步驟都在經(jīng)典設(shè)備中實(shí)現(xiàn)。了解量子計(jì)算(問(wèn)題的難度)和總體量子技術(shù)(為其他類型的攻擊建模)對(duì)于證明安全性至關(guān)重要。

防范使用oracle量子計(jì)算機(jī)的敵手。第一個(gè)也是研究最深入的領(lǐng)域是，確保所用協(xié)議的安全性基于對(duì)量子計(jì)算機(jī)來(lái)說(shuō)仍很難的問(wèn)題具有的難度。這顯然是優(yōu)先事項(xiàng)，因?yàn)橐坏┲圃斐隽孔佑?jì)算機(jī)，攻擊涉及的問(wèn)題對(duì)量子計(jì)算機(jī)并不難的密碼系統(tǒng)將輕而易舉。如圖2所示，存在BQP之外的NP問(wèn)題;在對(duì)手可以訪問(wèn)oracle量子計(jì)算機(jī)的情況下，公鑰密碼仍切實(shí)可行。

有許多密碼系統(tǒng)可以防御這種類型的攻擊。它們可以分為基于散列、基于代碼、基于格、多元和密鑰等密碼技術(shù)。這里探討三個(gè)問(wèn)題：信心、易用性和效率。

問(wèn)題很難，而在一些情況下，問(wèn)題源自包含復(fù)雜性類的理論含義，這種觀念常基于無(wú)法找到高效的解決方案或無(wú)法改進(jìn)現(xiàn)有解決方案，盡管許多小組長(zhǎng)期付出了努力。為經(jīng)典計(jì)算機(jī)分解因子面臨的困難就是這種情況。我們針對(duì)量子計(jì)算機(jī)分析密碼系統(tǒng)中所用的問(wèn)題具有的難度時(shí)，我們的信心一般更弱。更重要的是，量子算法和量子復(fù)雜性理論方面的研究也是新的，從量子對(duì)手的角度對(duì)系統(tǒng)進(jìn)行適當(dāng)?shù)拿艽a分析還不如經(jīng)典計(jì)算來(lái)得透徹。

最后，可能最大的挑戰(zhàn)是效率問(wèn)題。對(duì)于國(guó)防和金融市場(chǎng)等某些應(yīng)用而言，即使以性能較差為代價(jià)，也需要最高安全性，但對(duì)于眾多日常應(yīng)用，服務(wù)速度變慢不可接受?？紤]到所有方面，現(xiàn)有的后量子密碼系統(tǒng)缺乏效率。改進(jìn)這方面或確定哪些應(yīng)用可以容忍這其中一方面效率較低，是活躍的研究領(lǐng)域。

疊加攻擊：改動(dòng)安全概念。安全性通常根據(jù)對(duì)手在某些假設(shè)的交互活動(dòng)中獲勝的可能性方面來(lái)加以定義。比如說(shuō)，有人將不可區(qū)分(indistinguishability)定義為對(duì)手無(wú)法以高于50%的概率獲勝的活動(dòng)，這表明隨機(jī)猜測(cè)明文比特是所能采取的最好方法。

在該活動(dòng)中，對(duì)手獲得使用學(xué)習(xí)階段的額外能力，可以請(qǐng)求所選擇明文的密文。提供這些額外能力的動(dòng)機(jī)基于這種場(chǎng)景：對(duì)手可能說(shuō)服誠(chéng)實(shí)方加密所選擇的信息。為了確保隱私，這番操作不會(huì)為對(duì)手在試圖解密消息方面提供任何優(yōu)勢(shì)?，F(xiàn)在，我們要考慮這種活動(dòng)中有另外的能力進(jìn)行量子查詢(并接收量子答案)的對(duì)手。量子對(duì)手可能嘗試使用這些疊加密文來(lái)破解密碼系統(tǒng)。

值得強(qiáng)調(diào)的是，擁有疊加與使用所有疊加項(xiàng)不一樣。比如說(shuō)，如果某人直接測(cè)量這種疊加，會(huì)收到隨機(jī)選擇的明文密文，安全不會(huì)受到危害。相反，攻擊需要在可揭示密碼系統(tǒng)隱藏結(jié)構(gòu)的另一種量子算法中使用密文狀態(tài)的這種輸出疊加。

防范量子對(duì)手的證明技術(shù)。我們應(yīng)該將量子對(duì)手的內(nèi)部空間建模為通用量子態(tài)，將其所有動(dòng)作以及與誠(chéng)實(shí)方的通信建模為通用量子操作。用量子手段為對(duì)手建模有兩個(gè)影響。一方面，它給了對(duì)手更多的偏離/攻擊方式，比如上述的疊加攻擊中。另一方面，它對(duì)如何證明安全性有影響，因?yàn)槟M視角需要模擬量子過(guò)程而不是經(jīng)典過(guò)程。請(qǐng)注意，表明證明技術(shù)不適用并不意味著找到破解相應(yīng)密碼系統(tǒng)的攻擊，只意味著它不再可以被證明是安全的。

量子增強(qiáng)安全：面向經(jīng)典用戶的量子設(shè)備

量子技術(shù)還可以為網(wǎng)絡(luò)安全研究提供優(yōu)勢(shì)。不妨考慮在(誠(chéng)實(shí))協(xié)議中加入量子步驟的可能性，旨在與相應(yīng)的完全經(jīng)典環(huán)境相比獲得某些改進(jìn)。改進(jìn)在原則上是可行的，最有名的例子就是量子密鑰分配(QKD)。在QKD中，使用不可信的量子通道和驗(yàn)證身份的經(jīng)典通道，可以在空間上分離的雙方之間建立共享的密鑰，并擁有信息理論安全。僅使用經(jīng)典通信，不可能完成這項(xiàng)任務(wù)(實(shí)際上是信息理論安全密鑰擴(kuò)展)。重要的是，擁有信息理論安全的協(xié)議意味著，其安全并不基于任何計(jì)算假設(shè)，因此即使攻擊者使用量子計(jì)算機(jī)也保持安全。量子增強(qiáng)的另一個(gè)例子是量子指紋，雙方可使用少量通信來(lái)確定是否在共享同樣的比特串。

量子增強(qiáng)安全領(lǐng)域的大部分研究針對(duì)QKD，然而存在其他諸多協(xié)議和功能，它們承認(rèn)增強(qiáng)，需要類似或稍微復(fù)雜的量子技術(shù)。其中一些技術(shù)包括：量子隨機(jī)數(shù)生成器、量子指紋識(shí)別、量子數(shù)字簽名、量子硬幣翻轉(zhuǎn)、電子投票、拜占庭協(xié)議、量子貨幣、量子秘密信息檢索、安全多方計(jì)算(SMPC)和位置驗(yàn)證。

量子技術(shù)發(fā)展迅速，越來(lái)越多的量子增強(qiáng)協(xié)議變?yōu)楝F(xiàn)實(shí)，實(shí)用量子設(shè)備的前景隨之廣闊起來(lái)。比如說(shuō)，除了各方之間的簡(jiǎn)單量子通信外，我們現(xiàn)在可以讓各方擁有小型量子處理器。當(dāng)前是進(jìn)行這種研究的大好時(shí)期，我們可以考慮量身定制的構(gòu)造，以增強(qiáng)特定的相關(guān)加密協(xié)議(比如電子投票或SMPC)的性能。

量子實(shí)現(xiàn)的安全：安全使用量子計(jì)算機(jī)

量子計(jì)算機(jī)在處理許多問(wèn)題時(shí)具有計(jì)算方面的優(yōu)勢(shì)。如果有這種設(shè)備，人們?cè)谔幚磉€需要隱私和安全的任務(wù)時(shí)，自然想利用這額外的計(jì)算能力;換句話說(shuō)，我們尋求量子支持的協(xié)議具有安全性。所有安全概念都需要改動(dòng)，才適用于量子信息和量子計(jì)算，比如身份驗(yàn)證、加密以及更復(fù)雜的概念(比如加密數(shù)據(jù)計(jì)算和安全多方計(jì)算)。當(dāng)然，這種問(wèn)題要具有意義，我們先要有相當(dāng)龐大的量子計(jì)算設(shè)備，為日常問(wèn)題提供實(shí)在的計(jì)算優(yōu)勢(shì)。我們有望很快突破經(jīng)典模擬的極限，正進(jìn)入量子技術(shù)加速的時(shí)代。量子加速用于處理重要的日常問(wèn)題的時(shí)間可能也不遠(yuǎn)了。

這類研究正日新月異，已經(jīng)有許多協(xié)議，適用于量子加密、量子驗(yàn)證、量子非延展性、盲量子計(jì)算、安全多方量子計(jì)算和功能量子加密等。有多種協(xié)議在不同的優(yōu)值方面進(jìn)行優(yōu)化，比如最小化量子(或經(jīng)典)通信，最小化某幾個(gè)有關(guān)方的整體量子資源或量子資源，提供最高級(jí)別的安全(信息理論vs后量子計(jì)算)。

這類協(xié)議大多數(shù)需要雙方之間進(jìn)行量子通信，在大多數(shù)情況下，須對(duì)通訊的量子信息進(jìn)行量子計(jì)算。這引起了兩個(gè)問(wèn)題：一個(gè)是理論上，一個(gè)是實(shí)踐上。要實(shí)現(xiàn)這種任務(wù)，需要與量子通信設(shè)備兼容的量子計(jì)算設(shè)備。一方面，量子通信的最佳平臺(tái)是光子型的，因?yàn)楹苋菀走h(yuǎn)距離發(fā)送用光子編碼的量子信息。另一方面，量子計(jì)算設(shè)備最有前途的一種方法基于超導(dǎo)量子位。對(duì)通信和計(jì)算而言，優(yōu)選的量子比特類型并不一致;此外，目前甚至不知道它們是否兼容。目前不知道超導(dǎo)量子計(jì)算機(jī)是否可以成為“網(wǎng)絡(luò)架構(gòu)”的一部分，因?yàn)樗鼈兡壳坝脝误w架構(gòu)來(lái)制造，不清楚是否有可能發(fā)送和接收量子態(tài)。

未來(lái)

安全通信和高效計(jì)算的能力對(duì)社會(huì)無(wú)比重要。互聯(lián)網(wǎng)和物聯(lián)網(wǎng)對(duì)這個(gè)世界產(chǎn)生了革命性的影響。今后5至10年，隨著量子技術(shù)成為主流計(jì)算和通信領(lǐng)域的一部分，我們會(huì)看到廣闊的前景。未來(lái)的網(wǎng)絡(luò)肯定同時(shí)包括經(jīng)典設(shè)備及鏈路，以及量子設(shè)備和鏈路。

實(shí)現(xiàn)復(fù)雜的經(jīng)典和量子通信網(wǎng)絡(luò)，就必須依賴?yán)喂痰男禄A(chǔ)：能夠預(yù)見(jiàn)并處理實(shí)際實(shí)施和新應(yīng)用的復(fù)雜性。

圖3.未來(lái)的通信和計(jì)算網(wǎng)絡(luò)

后量子安全為經(jīng)典互聯(lián)網(wǎng)保持安全性鋪平了道路，而量子增強(qiáng)安全旨在從量子互聯(lián)網(wǎng)發(fā)展受益，以實(shí)現(xiàn)經(jīng)典通信無(wú)法取得的無(wú)與倫比性能。同時(shí)，具備各種功能的量子云服務(wù)正普及開(kāi)來(lái)。量子支持的安全提供了平臺(tái)，使?jié)撛谟脩舸_信量子云中這種前所未有的新計(jì)算能力，具有適當(dāng)?shù)臏?zhǔn)確性、可靠性和隱私標(biāo)準(zhǔn)。