PDF通往量子抗性的复杂路径
您的组织准备好了吗?
Atefeh Mashatan 博士和 Douglas Heintzman
地平线上出现了一种新技术,它将永远改变信息安全和隐私行业的格局。量子计算与量子通信相结合,将有许多有益的应用,但也能够破解当今许多最流行的加密技术,这些技术有助于确保数据保护——特别是敏感信息的保密性和完整性。这些技术普遍嵌入于当今的数字结构中,并被金融、医疗保健、公用事业以及更广泛的信息通信技术 (ICT) 社区等许多行业实施。因此,ICT主管必须为从量子易受攻击技术向量子抗性技术过渡做好准备。
对于具有供应商依赖性和/或遗留基础设施的大型组织而言,这种过渡将尤其复杂、耗时且昂贵。因此,ICT领导者至关重要的是要花费足够的时间——现在,当他们还有时间这样做的时候——来规划过渡并确定他们的下一步行动。否则,他们可能会发现自己的组织处于混乱状态,争先恐后地赶上合规期限,或防止其自身、客户或合作伙伴的敏感信息实际丢失保密性或完整性。缺乏周全的计划可能会导致进一步的延误和安全漏洞。最终,这可能会对其核心业务和利润底线产生巨大的影响。
好消息是,可以使用当今的经典计算机来实现不易受量子攻击的安全系统(即量子抗性系统)。组织不需要量子计算机来抵抗另一方的量子计算机的攻击。一些在数学上被证明是量子抗性的算法已经存在。
美国国家标准与技术研究院 (NIST) 和欧洲电信标准协会 (ETSI) 等标准化机构自 2015 年以来一直在致力于量子抗性原语的标准化12,23,并承诺在 2025 年之前提供最终的替代方案集。然而,在许多情况下,这些算法可能与当前的硬件或软件不兼容。例如,当现有算法被硬编码到硬件中时,用量子抗性替代方案替换量子易受攻击的算法需要更换硬件。
鉴于威胁的严重性,组织应该问的问题是,即使解决方案尚未标准化,如何才能及时且经济高效地完成向量子抗性系统过渡的过程?
行业面临的挑战在于迁移到兼容的硬件平台,并确保在这些平台上运行的软件升级到使用量子抗性协议。根据组织的需求及其密码管理方法,对数字信息安全系统的修改范围可能从相对简单、快速且廉价;到极其复杂、旷日持久且成本高昂。过渡到量子抗性状态也不例外。
相互竞争的量子抗性提案目前正在经历学术界的尽职调查和行业领导者的审查。在新制定的量子抗性标准最终确定之前,ICT 领导者应尽最大努力规划平稳过渡。本文为这些决策者提供了一系列建议,包括他们今天需要了解和做的事情。它将帮助他们制定有效的量子过渡计划,该计划具有全面的视角,考虑了人员、流程和技术中受影响的资产。为此,决策者首先需要理解量子计算的本质,以便掌握迫在眉睫的量子威胁的影响并认识到其严重性。
量子计算
量子计算机使用量子比特(qubits),而不是经典比特,来处理信息。量子比特是二态量子系统。虽然经典比特可以是 1 或 0,但量子比特可以处于 0 和 1 的任何量子叠加态。测量量子比特的状态会导致它坍缩为两种状态之一。对于经典计算,四个比特可以有 24 (16) 种可能的状态,但一次只能处于一种状态。叠加允许量子计算同时处理四个量子比特的所有 24 种可能的状态。
的确,在寻找方程的答案时,叠加为大规模并行化铺平了道路。随着量子比特数量的增加,状态的数量也随之增加,但呈指数级增长。例如,使用 30 个量子比特,您可以同时表示和处理超过 10 亿个值。在叠加态中使用量子比特使量子计算机能够比经典计算机更快地解决某些问题。这种加速是量子计算对信息系统安全和隐私构成威胁的原因。
网络安全威胁
量子计算对信息安全的主要潜在威胁在于密码学领域。密码学在幕后运行,用户看不到,以保持信息和通信安全。存在两种广泛类型的密码学:对称/密钥密码学和非对称/公钥密码学。理解两者之间的区别至关重要,因为量子计算对两者的影响不同。
让我们看一个例子,说明可扩展量子计算机对敏感数据安全的影响。世界上许多数据安全实践都依赖于 RSA(Rivest-Shamir-Adleman)密码系统,该系统使用两个大素数的乘积,并假设对手很难分解所得乘积以找到初始素数。这被称为整数分解问题 (IFP),其难解性是确保在线安全的基石。
这样做是有充分理由的:如果您仔细选择数字,分解所得的大乘积确实非常困难。一台经典的 2.2-GHz Opteron CPU(一个标准基准)将需要大约 10145 年才能分解一个 1,024 位数字,大约是宇宙年龄的 7.25 x 10135 倍。如果开发出每秒可以执行 1 亿条指令的量子计算机(在今天的台式计算机中并非闻所未闻),它可以在几秒钟内分解该数字。26 主要的替代密码系统——ECC(椭圆曲线密码学)——也未能幸免。尽管它基于不同的数学问题——即离散对数问题 (DLP)——但它也可以被可扩展的量子计算机有效地破解。此时,问题不是量子计算机是否会破解今天的加密标准,而是它们何时会达到破解标准的性能水平。
这提出了一个重大挑战,因为标准化的 RSA 和 ECC 密码系统是许多保护世界经济的网络安全工具和技术的基础。量子计算机时代的到来将具有巨大的颠覆性。可以安全地假设,在未来十年或二十年内,恶意行为者(个人或组织)将能够绕过当今常用的和受信任的保护机密信息的方式。
组织现在应该问问自己,这将在多大程度上影响他们,以及他们需要做些什么来减轻风险。
如果量子威胁还很遥远,组织会想知道为什么他们应该担心量子威胁,这并非不合理。这在一定程度上是有道理的。的确,攻击者在拥有可扩展的量子计算机之前无法真正攻击今天的网络安全生态系统,但他们意识到未来不可避免地会出现可扩展的量子计算机,这可能会刺激当前的数据收集漏洞攻击。此外,即使威胁并非迫在眉睫,重大的安全更改,特别是那些涉及非对称密码学的安全更改,也需要时间才能实施。5 需要立即进行仔细的分析、计划和行动。
在规划应对策略时,安全专业人员需要关注两种形式的攻击:实时攻击和先收集后解密攻击。29
当量子计算机实际上掌握在对手手中时,就会发生实时攻击。如前所述,依赖于 IFP 或 DLP 的非对称密码学极易受到可扩展量子计算机的攻击而崩溃。对称密码学也容易受到攻击,至少以其当前的密钥长度而言,原因略有不同。当可扩展的量子计算机实现时,其通信、交易和身份验证仍在使用当前非对称或对称算法的组织或个人可能会受到攻击。12 这些实时攻击目前是不可能的,因为可扩展的量子计算机尚未可用。
先收集后解密攻击发生在对手捕获并存储加密数据并将其搁置,直到量子计算机可用以提供解密手段时。29 根据数据的敏感性或保质期,这种类型的攻击可能是当前严重的威胁。恶意行为者可能会在今天收集加密数据,将其搁置几年,并等待廉价量子计算机的可用性,以便他们可以解密该数据。考虑到 2013 年和 2014 年雅虎、2018 年万豪喜达屋酒店以及 2019 年第一资本等公司许多广为人知的大规模安全漏洞,这种威胁非常真实。(请注意,仅在 2019 年,就有 40 亿条记录被泄露。27)与此同时,攻击者试图造成伤害,而安全专业人员的任务是阻止他们,双方之间正在进行一场持续不断的猫捉老鼠的游戏。
对称密码学的影响
对称密钥密码学使用在两个用户之间共享的密钥。甲方可以使用密钥加密数据并将结果发送给乙方,乙方使用相同的密钥解密并读取数据。用户之间安全交换密钥(也称为密钥管理)构成了对称密码学的安全基础。该系统的漏洞是双重的:传输密钥的需要引入了密钥可能在传输过程中被拦截的可能性,以及量子计算机可以使用 Grover 算法16 来提高暴力破解攻击的效率。
密钥是使用随机源生成的,并且具有预定的大小。因此,由于创建过程,并且由于只有一个密钥,因此没有数学关系可以破解。攻击对称算法的唯一两种方法是密码分析和暴力破解。暴力破解攻击包括尝试每个可能的密钥来解密密文并获得明文。平均而言,攻击者必须尝试所有可能密钥的一半才能获得正确的密钥。因此,具有足够熵和长度的密钥可以充分保护加密信息。然而,Grover 算法可以利用量子比特的叠加来加速暴力破解攻击,大约提高一个二次因子(即,与经典计算可以对密钥空间进行暴力破解攻击的速度的平方成正比6,22)。这使对称算法的强度降低了大约 50%。例如,256 位高级加密标准 (AES 256) 只能提供 128 位安全性。29
幸运的是,当算法规范可以容纳时,将对称密钥大小加倍可以使这种形式的密码学保持安全。12 然而,将密钥大小加倍并非易事。当密码学在软件中实现时,这是相当简单的,因为更新可能允许有效的密钥大小更改。但在密码学在硬件中实现的情况下,更改大小更具挑战性和成本。例如,某些类型的路由器和所有硬件安全模块 (HSM) 都需要更换为能够容纳更大密钥大小的硬件。根据组织的大小及其对称密码学的使用程度,这可能是一项极其耗时且成本高昂的任务。无论如何,从变更管理的角度来看,这将是一场大规模的行业范围内的转型。
非对称密码学的影响
非对称密码学使用两个密钥:公钥(任何人都可以看到)和私钥(只有授权人员才能看到)。这两个密钥在数学上是绑定的,这构成了非对称密码学安全的基础。可以使用几个计算上困难的数学问题来绑定这两个密钥并充当安全的基础。IFP 和 DLP 是两个更常用的问题。整数分解的安全性源于分解两个大素数乘积的难度。离散对数涉及从 g=bK 中找到未知的整数 K,其中 g 和 b 是具有某些数学属性的已知元素。
已经提出了其他数学问题作为绑定公钥和私钥对的方法,从而产生了各种不同的非对称密码系统。在所有此类密码系统中,RSA(基于 IFP)和 ECC(基于 DLP)已被标准化并被广泛使用。事实上,它们在简单性、效率和安全性之间取得了良好的平衡——也就是说,直到现在。当底层计算上困难的问题可以被可扩展的量子计算机有效解决时,攻击者可以及时回溯,并通过应用 Shor 算法来解密已经收集的加密数据。30 该算法利用了以下事实:通过在叠加中拥有足够的量子比特,量子计算机可以同时并行检查无数个 0 和 1 的组合,并且正如研究表明的那样,可以解决构成公钥算法安全基础的计算上困难的数学问题。
可以同时探索的组合数量取决于量子计算机可用的量子比特数量。有了足够的量子比特,量子计算机可以快速反向计算计算上困难的问题并获得私钥。12 换句话说,可以从公钥中恢复私钥,并且可以解密受保护的信息。
同样容易受到量子攻击的其他算法包括数字签名算法、Diffie-Hellman、椭圆曲线 Diffie-Hellman 和椭圆曲线数字签名算法。12 与 RSA 和 ECC 一起,这些算法是互联网、电子邮件、虚拟专用网络和物联网 (IoT) 安全性的支柱,这使得量子威胁非常严重且可能影响广泛。如果非对称密码学的漏洞同时发生,它们可能会导致保护数字社会的安全结构的恶化。
无论初始参数的大小增加多少,导致密钥更大,非对称密码系统所依赖的数学问题都可以在可扩展的量子计算机上以多项式时间求解。因此,标准化和广泛使用的非对称密码系统将受到足够强大的量子计算机的严重影响。
理解术语
量子信息计算和针对它的网络安全缓解措施正在学术界和工业界进行大量研究。由于如此多的研发、不同的方法以及该主题固有的复杂性,因此使用了不同的术语来描述这些相关领域的不同方面。当供应商的语言添加到此之上时,各种术语不可避免地变得混乱。因此,在继续之前,澄清一些常用术语是有用的。
量子密码学
量子密码学利用量子力学的特性,而不是数学,来执行密钥分配等密码学目标。量子密钥分发 (QKD) 是一种远距离传输密钥的方法。它允许双方生成只有他们知道的共享随机密钥,然后可以使用该密钥加密和解密消息,并且不会在双方注意不到的情况下被拦截,也不会被第三方复制。它是密钥管理问题的信息论安全解决方案,这意味着它的安全性不是基于任何计算难度假设。它是量子技术的使用,以及需要能够传输量子态的物理基础设施,这导致了量子密码学的标签(这不是本文的重点)。
后量子密码学
后量子密码学,也称为量子抗性或量子安全密码学,是经典密码学的一个子集,它可以部署在现有的经典设备上,并且目前被认为可以安全地抵御可扩展量子计算机的威胁。
量子计算机并不擅长有效解决每种数学问题。事实上,有一些加密方案可以在经典设备上运行,并且基于量子抗性的数学技术。量子抗性密码学的好处是它不需要新的物理基础设施来部署。缺点是它仍然依赖于计算安全性(一个难以解决的数学问题)。
自 1978 年 McEliece 密码系统在 NASA 喷气推进实验室开发出来以来,密码学家一直在提出此类密码系统。20 这些量子抗性密码系统尚未被采用的原因是,标准化的非量子抗性密码系统更简单、资源密集度更低(因此实施成本更低),并且“足够好”。因此,似乎没有必要使用量子抗性系统,毕竟,这些系统仅能防御理论上的未来威胁。这些系统更多地被视为密码学界的理论贡献。
此外,此类密码系统不像当前广泛使用的系统那样经过仔细检查,并且尚未标准化。作为任何标准化过程的一部分,算法通常要经过学术界和 NIST 和 ETSI 等标准化机构多年的尽职调查和审查。预测到量子发展正在加速,NIST 在 2015 年宣布了一项竞赛,征集其量子抗性算法过渡的标准候选提案。它计划在 2021 年或 2022 年评估提案,然后在 2024 年之前将选定的提案正式纳入标准草案。23
量子发展
许多组织正在努力开发可扩展的“通用门”量子计算机(或简称通用量子计算机),包括滑铁卢大学的量子计算研究所 (IQC)、代尔夫特理工大学的 QuTech、耶鲁大学的耶鲁量子研究所、新加坡的量子技术中心和马里兰州的联合量子研究所。微软、英特尔、IBM 和谷歌等知名公司也在争夺量子霸权。8 有些公司,例如 D-Wave,11 构建了具有数千个量子比特的系统,但使用量子退火而不是通用门架构。这些系统非常擅长找到“足够好”或“局部最小值”解决方案,而不是特定解决方案。量子退火计算机无法有效地运行 Shor 算法,因此不会像通用量子门计算机那样对密码学构成相同的威胁。关于这些组织中的哪个组织何时会生产出能够破解世界上大部分加密技术的量子计算机的预测差异很大,但大多数估计范围在 6 到 11 年之间,并且成功的概率不可忽略。22
衡量量子计算发展的一个重要指标是其执行 Shor 算法或执行 Grover 搜索的能力。这取决于量子比特的数量以及其他因素。目前对破解 RSA 2048(非对称密码学)和 AES 256(对称密码学)所需的通用量子计算机中量子比特数量的估计分别为 4,098 和 6,681。15,28 这个数字取决于几个因素,例如容错纠错码的效率、物理错误模型、物理量子计算机的错误程度、量子分解的优化以及分解算法到量子门的效率。22 主要公司能够使用的量子比特数量总结在图 1 中。
乍一看,可扩展的量子计算机似乎还很遥远,如果以历史为鉴,那么目前对量子计算机何时可用的估计可能过于乐观(或从密码学的角度来看是悲观的)。2009 年,思科预测第一台商用量子计算机将在 2020 年年中之前上市。13 2016 年,其他专家预测十年内将出现量子计算机。3 多年来,人们已经学到了很多东西,并取得了重大改进,这可能使最近的估计更具现实意义。Mosca 估计,在 10 年内,通用量子计算机有 20% 的可能性具备破解 RSA 2048 的能力。22 Mosca 还指出,“未来 20 年内出现可扩展量子计算机的可能性比 10 年前高出一个数量级。” 随着全球对量子计算的兴趣日益浓厚,以及投入其开发的资源不断增加,这些估计可能需要重新审视。
量子抗性安全性的战略意义
物理学、计算机科学和工程文献中充分记录了量子计算的性质和能力以及量子抗性原语的复杂性和权衡。随着量子计算和量子抗性技术的进步,几个已建立的研究实验室保持了对这些知识体系的更新。然而,一方面,对这些技术的理论和技术理解与另一方面,对企业的实际影响之间存在巨大差距。这些企业将需要花费时间和金钱来研究问题并采用新技术来保护自己。
随着量子计算机的快速发展,早期模型已经上市,ICT 社区对量子现实的总体看法正在缓慢改变。由于 NIST10 和 ETSI1、提供量子和量子抗性解决方案的组织、非营利组织14,17,32 以及最重要的,最近弥合了量子威胁的技术和管理方面及其影响的学术工作19 的努力,对该问题的认识已大大提高。
有一些重要的著作,例如 Bernstein 等人的书4 和 Yan 的书35、埃森哲实验室的白皮书24,以及 Mosca 全面考察该问题的文章。22 这些著作简洁地解释了哪些类型的密码算法容易受到量子攻击以及原因,并提供了出版时存在的可能解决方案。虽然 NIST 和 ETSI 等学术和标准化机构多年来一直在考虑组织应采取哪些步骤来应对量子计算机对密码学的威胁,但直到美国国家安全局在 2015 年年中开始发布警告10,12,该问题才引起大众媒体以及公众的关注。大约在同一时间,有关 D-Wave Systems 生产并由谷歌和 NASA 审查的第一台功能性量子计算机的新闻首次出现在大众媒体上。31
大约在同一时间,文献——包括学术文献和通俗文献——开始暗示组织需要实施量子抗性安全措施的业务影响。一些文献以及相关的研究和实验是经过衡量和务实的,而另一些则更耸人听闻。9,18,32 谷歌在 2016 年年中宣布,它正在其 Chrome 浏览器中使用代号为“New Hope”的算法试验量子抗性安全性。7 该公司表示,这并非旨在成为新标准;相反,这明确地是一项实验。大约在同一时间,微软发布了“LatticeCrypto”库,开发人员可以使用该库来试验量子抗性密钥交换。21 NIST 于 2016 年 4 月发布的关于后量子密码学的报告确定了量子计算对密码算法和量子抗性原语系列的影响。10
最近,针对贸易网站撰写了有针对性的供应商文章。22,33 这些文章以更实际的术语涵盖了该问题,但没有考虑行业在信息安全要求或密码管理结构方面的差异。值得注意的是,只找到一个涉及 ICT 管理人员调查的示例,这是一家在线网络安全杂志的非学术文章。25
虽然人们对量子计算的潜在威胁有了更多的认识,但这种进展可能还不够。随着量子现实越来越近,目前可以依赖的标准化密码原语的时间越来越短。组织必须开始工作并继续下一步。需要对呼吁制定计划以应对从量子易受攻击技术到量子抗性技术的大规模行业范围内的采用做出更多响应。
ICT 领导者必须制定具体的计划,并在其 5 到 10 年的预算分配中投入足够的资源。为此,他们需要充分了解对有价值的信息资产的威胁以及相关的业务影响。
建议
大型受监管行业的组织比小型和不受监管行业的组织更了解量子攻击的威胁及其影响。即使在那些意识到威胁的人中,也很少有人在标准化机构提出正式建议之前提前规划缓解措施。大多数组织没有所需的内部专业知识来了解该做什么或何时做。这可能会对那些处理具有较长有效期敏感数据的行业构成重大威胁,例如社会安全号码以及财务或健康记录。
此处提供的建议(如图 2 所示)侧重于组织可以有效评估和减轻其量子攻击风险的流程。这些建议基于现有文献,并结合了对 23 位 ICT 管理人员进行的调查研究中收集的经验信息,这些管理人员被询问了他们公司对量子威胁的意识水平以及向量子抗性过渡的计划。业务情景的范围比当前文献显示的范围要广得多,此处提出的灵活建议旨在比以前提出的建议更贴近业务经理。
下面详细介绍的步骤旨在帮助技术主管,并适用于各种规模和监管结构的组织,以及信息安全需求从最小到高度复杂和集成的组织。通过遵循这些建议,业务和技术经理可以有效地评估这种威胁对其各自组织的风险,然后制定并执行适当的缓解策略(情景 A-C,在侧边栏中描述)。
在所有情况下,建立/加强治理模型和 机构是遵循这些建议的先决条件。下一步是进行全面的 量子风险评估,以确定组织面临的风险范围、潜在的风险程度以及系统被破坏的可能性。此评估的输出结果因组织而异,并且很大程度上取决于其资产的敏感性以及当前保护资产的方法。
下一个常见的步骤是评估组织当前的密码学足迹,以确定正在使用哪些密码学方法以及确切的使用位置(软件、硬件或网络)。如果发现量子漏洞,则应根据技术和组织要求以及可行性,在适当的时间(情景 A-C)选择和实施抗量子替代方案。通过采取适当的建议步骤,技术经理可以确保他们有效地最大限度地减少量子攻击对其各自组织的威胁。
量子准备计划
确定过渡路径。 大型和复杂的组织倾向于依赖既定的法律法规和行业标准来指导其在采用、维护和淘汰技术方面的决策。这些决策通常是 5 到 10 年规划和资本支出预算周期的一部分。12 与此同时,商用级量子技术很有可能在未来 5-10 年内成为主流计算的一部分。34 因此,其中一些组织在开始计划过渡到“量子就绪”方面已经落后,并且将在时间耗尽之前仓促地保护他们可以保护的数据。22 在分配了适当的资源、进行了风险评估并确定了未来哪些系统可能面临量子攻击风险之后,组织将达到一个关键的决策点,如下所示
• 等待标准化。 在某些情况下,组织可以选择不采取行动,直到标准化机构宣布量子抗性安全性的正式建议,预计 NIST 将在 2024 年发布。当 ICT 管理者认为其组织的机密信息对恶意攻击者而言价值非常低、保质期非常短或本质上是暂时的时,这可能是一个合适的业务战略决策。当他们主要或完全依赖外部供应商来提供安全性,并且确信这些供应商将快速过渡到量子抗性安全性时,这也可能是合理的。
• 投资于密码敏捷性。 密码敏捷性是指组织能够轻松实施密码学变更的能力。如果存在重大风险且战略授权允许,组织应投资于密码敏捷性。此步骤并非量子攻击威胁所独有,但它是对标准最终确定后有效做出反应的先决条件。
• 建立并维护量子抗性路线图。 在量子抗性标准获得认证之前,具有攻击能力的量子计算机的预计时间表以及降低风险的选项都将得到改进。组织应建立一个路线图,跟踪这些发展如何与其自身特定情况相关,并且应在未来几年内维护该路线图,直到量子抗性安全性得到标准化、采用和实施。
• 实施混合密码学。 对于具有高风险、充足资源以及对其密码学生态系统具有端到端控制的组织,在现有前量子安全性之上叠加量子抗性安全层可能是有利的。它保留了针对当今经典计算机攻击的标准化和强制性缓解级别,同时降低了“先收集后解密”攻击的风险。尽管成本增加,但一些组织将有足够的激励和资源来追求混合策略。
补救项目。 无论选择哪种替代方案,一旦标准发布,组织都应根据随后的合规性要求迅速实施这些标准。采取观望态度的组织(情景 A)将需要根据其当时的各自情况研究其量子抗性路径。维护路线图但不实施混合解决方案的组织(情景 B)将执行其路线图。实施混合解决方案的组织(情景 C)只需对其已有的方案进行(相对较小的)调整即可。所有组织还需要确定其前量子密码学实现(例如,RSA 和 ECC)的弃用路径,因为这很可能在标准化机构的建议中强制执行。
致谢
这项研究部分由 Burnie 集团的慷慨捐助资助,Burnie 集团是一家位于多伦多的管理咨询公司,在推出大规模技术转型方面拥有丰富的实践经验,以及加拿大自然科学与工程研究委员会 (NSERC) 在 Engage Grant (EGP 543598 — 19, PI: Atefeh Mashatan) 下的资助。作者要感谢 Robert Fullerton 和 Ryan Kennedy 在进行这项研究的初步阶段所提供的帮助。
参考文献
1. Alléaume, R., et al. 2018. 量子密码学的实施安全性:介绍、挑战、解决方案。 ETSI 白皮书第 27 号。 欧洲电信标准协会; https://www.etsi.org/images/files/ETSIWhitePapers/etsi_wp27_qkd_imp_sec_FINAL.pdf.
2. Barker, W., Polk, W., Souppaya, M. 2020. 为后量子密码学做好准备:探索与采用和使用后量子密码学算法相关的挑战。 网络安全白皮书。 美国商务部,国家标准与技术研究院; https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.05262020-draft.pdf
3. Bauer, B., Wecker, D., Millis, A., Hastings, B., Troyer, M. 2016. 关联材料的混合量子经典方法。 Physical Review X 6(3); https://journals.aps.org/prx/pdf/10.1103/PhysRevX.6.031045。
4. Bernstein, D. J. 2009. 后量子密码学导论。 在后量子密码学中,编辑。 D.J. Bernstein, J. Buchmann, 和 E. Dahmen, 1-14. 施普林格。
5. Bindel, N., Herath, U., McKague, M., Stebila, D. 2017. 过渡到量子抗性公钥基础设施。 在后量子密码学, PQCrypto 2017 会议论文集 编辑。 T. Lange 和 T. Takagi, 384-405. 施普林格; https://link.springer.com/chapter/10.1007/978-3-319-59879-6_22。
6. Boyer, M., Brassard, G., Hoeyer, P., Tapp, A. 1998. 量子搜索的严格界限。 Fortschritte der Physik, 46(4-5), 493-505; https://arxiv.org/abs/quant-ph/9605034。
7. Braithwaite, M. 2016. 尝试后量子密码学。 谷歌安全博客; https://security.googleblog.com/2016/07/experimenting-with-post-quantum.html。
8. Buchmann, J., Lauter, K., Mosca, M. 2018. 后量子密码学,第 2 部分。 IEEE Security & Privacy 16(5), 12-13; https://ieeexplore.ieee.org/document/8490197。
9. Campagna, M., Chen, L., Dagdelen, Ö., Ding, J., Fernick, J. K., Gisin, N., Hayford, D., Jennewein, T., Lütkenhaus, N., Mosca, M., et al. 2018. 量子安全密码学和安全性。 ETSI 白皮书第 8 号; https://www.etsi.org/images/files/ETSIWhitePapers/QuantumSafeWhitepaper.pdf。
10. Chen, L., Jordan, S., Liu, Y.K., Moody, D., Peralta, R., Perlner, R., Smith-Tone, D. 2016. 关于后量子密码学的报告。 美国.商务部,国家标准与技术研究院; https://nvlpubs.nist.gov/nistpubs/ir/2016/NIST.IR.8105.pdf。
11. D-Wave. 使用 D-Wave 处理; https://www.dwavesys.com/d-wave-two-system .
12. 欧洲电信标准协会 (ETSI)。 2015. 量子安全密码学和安全性; https://www.etsi.org/images/files/ETSIWhitePapers/QuantumSafeWhitepaper.pdf。
13. Evans, D. 2009. 前 25 项技术预测。 思科互联网业务解决方案组; https://www.cisco.com/c/dam/en_us/about/ac79/docs/Top_25_Predictions_121409rev.pdf。
14. evolutionQ; https://evolutionq.com/news.html.
15. Grassl, M., Langenberg, B., Roetteler, M., Steinwandt, R. 2015. 将 Grover 算法应用于 AES:量子资源估计。 arXiv 预印本 arXiv:1512.04965; https://arxiv.org/abs/1512.04965。
16. Grover, L. 1996. 用于数据库搜索的快速量子力学算法。 第 28 届年度 计算理论研讨会论文集, 212-219; https://dl.acm.org/doi/10.1145/237814.237866。
17. Isara. Isara 的企业量子安全准备计划。 Isara; https://www.isara.com/services/quantum-readiness-enterprise.html。
18. Majot, A., Yampolskiy, R. 2016. 量子计算机的全球灾难性风险和安全影响。 Futures 72, 17-26; https://www.sciencedirect.com/science/article/abs/pii/S0016328715000294?via%3Dihub。
19. Mashatan, A., Turetken, O. 2020. 为量子计算机的信息安全威胁做准备。 MIS Quarterly Executive 19(2); https://aisel.aisnet.org/misqe/vol19/iss2/7。
20. McEliece, R. 1978. 基于代数编码理论的公钥密码系统。 DSN (深空网络) 进展报告 42-44; https://tmo.jpl.nasa.gov/progress_report2/42-44/44N.PDF。
21. Microsoft. 2016. 格密码库。 微软; https://www.microsoft.com/en-us/research/project/lattice-cryptography-library/。
22. Mosca, M. 2018. 量子计算机时代的网络安全:我们准备好了吗? IEEE Security & Privacy 16(5), 38-41; https://www.computer.org/csdl/magazine/sp/2018/05/msp2018050038/17D45W9KVFr。
23. 国家标准与技术研究院。 2020. 后量子密码学第三轮决赛入围者:公钥加密和密钥建立算法。 NIST; https://csrc.nist.gov/Projects/post-quantum-cryptography/round-3-submissions。
24. O'Connor, L., Dukatz, C., DiValentin, L., Farhady, N. 2018. 后量子世界的密码学:现在为智能企业为安全的未来做准备。 埃森哲实验室; https://www.accenture.com/_acnmedia/pdf-87/accenture-809668-quantum-cryptography-whitepaper-v05.pdf。
25. Olenick, D. 2015. 量子飞跃? SC Magazine 26(12), 16-17; https://www.scmagazine.com/home/security-news/quantum-leap-the-impact-of-quantum-computing-on-encryption/。
26. Phillips, T., 量子计算背后的数学。 https://www.math.stonybrook.edu/~tony/whatsnew/may07/quantumI.html
27. Rafter, D. 2019. 2019 年数据泄露事件:迄今为止已泄露 40 亿条记录。 诺顿; https://us.norton.com/internetsecurity-emerging-threats-2019-data-breaches.html。
28. Roetteler, M., Naehrig, M., Svore, K. M., Lauter, K. 2017. 用于计算椭圆曲线离散对数的量子资源估计。 arXiv 1706.06752; https://arxiv.org/abs/1706.06752。
29. Schanck, J., Whyte, W., Zhang, Z. 2016. 用于量子安全混合密码学的公钥密码算法选择标准。 互联网草案。 IETF; https://tools.ietf.org/html/draft-whyte-select-pkc-qsh-02。
30. Shor, P. 1997. 量子计算机上用于素数分解和离散对数的 多项式时间算法。 SIAM Journal on Computing 26(5), 1484-1509; https://epubs.siam.org/doi/10.1137/S0097539795293172。
31. Simonite, T. 2015. 谷歌称已证明其有争议的量子计算机确实有效。 麻省理工科技评论; https://www.technologyreview.com/s/544276/google-says-it-has-proved-its-controversial-quantum-computer-really-works/。
32. Soukharev, V. 2020. InfoSec Global 迁移到 NIST 新标准的路线图。 InfoSec Global; https://www.infosecglobal.com/post/infosec-globals-roadmap-to-migrate-to-nists-new-standards。
33. Totzke, S. 2017. 关于在金融交易中使用量子安全安全性的五个首要问题。 FinTech Futures; https://www.fintechfutures.com/2017/07/top-five-questions-about-using-quantum-safe-security-in-financial-transactions。
34. Wallden, P., Kashefi, E. 2019. 量子时代的网络安全。 Communications of the 62(4), 120; https://cacm.acm.org/magazines/2019/4/235578-cyber-security-in-the-quantum-era/fulltext。
35. Yan, S. Y. 2013. 量子抗性密码系统。 在针对公钥密码系统的量子攻击中, 189-203. 波士顿:施普林格; https://doi.org/10.1007/978-1-4419-7722-9_5。
Atefeh Mashatan 博士是瑞尔森大学 Ted Rogers 信息技术管理学院的副教授,也是网络安全研究实验室的创始人和主任。 Mashatan 在全球网络安全领域前沿的专业知识在 2019 年获得 SC Magazine 的认可,当时她被评为安全领域最具影响力的五位女性之一。
Douglas Heintzman 是一位在企业软件领域拥有 30 年经验的技术战略家。 他为世界各地的公司提供关于创新和技术颠覆的咨询服务。
版权所有 © 2021 归所有者/作者所有。 出版权已许可给 。
最初发表于 Queue vol. 19, no. 2—
在 数字图书馆 中评论这篇文章
更多相关文章
Jinnan Guo, Peter Pietzuch, Andrew Paverd, Kapil Vaswani - 使用机密联邦学习的可信 AI
安全性、隐私性、问责制、透明度和公平性原则是现代 AI 法规的基石。 经典 FL 的设计非常强调安全性和隐私性,但以透明度和问责制为代价。 CFL 通过将 FL 与 TEE 和承诺相结合,弥合了这一差距。 此外,CFL 还带来了其他理想的安全属性,例如基于代码的访问控制、模型机密性和推理期间的模型保护。 机密容器和机密 GPU 等机密计算的最新进展意味着,现有的 FL 框架可以无缝扩展以支持 CFL,且开销较低。
Raluca Ada Popa - 机密计算还是密码学计算?
通过 MPC/同态加密与硬件 enclave 进行安全计算,在部署、安全性和性能方面存在权衡。 关于性能,您考虑的工作负载非常重要。 对于简单的求和、低阶多项式或简单的机器学习任务等简单工作负载,这两种方法都可以在实践中随时使用,但对于复杂的 SQL 分析或训练大型机器学习模型等丰富的计算,目前只有硬件 enclave 方法对于许多实际部署场景来说足够实用。
Matthew A. Johnson, Stavros Volos, Ken Gordon, Sean T. Allen, Christoph M. Wintersteiger, Sylvan Clebsch, John Starks, Manuel Costa - 机密容器组
此处展示的实验表明,Parma(Azure 容器实例上驱动机密容器的架构)增加的额外性能开销不到底层 TEE 增加的额外性能开销的百分之一。 重要的是,Parma 确保了容器组所有可达状态的安全不变性,该不变性植根于证明报告中。 这允许外部第三方与容器安全地通信,从而实现需要机密访问安全数据的各种容器化工作流程。 公司获得了在云中运行最机密工作流程的优势,而无需在其安全要求上妥协。
Charles Garcia-Tobin, Mark Knight - 使用 Arm CCA 提升安全性
机密计算具有通过将监管系统从 TCB 中移除来提高通用计算平台安全性的巨大潜力,从而减小 TCB 的大小、攻击面以及安全架构师必须考虑的攻击向量。 机密计算需要在平台硬件和软件方面进行创新,但这些创新有可能增强对计算的信任,尤其是在第三方拥有或控制的设备上。 机密计算的早期消费者将需要就他们选择信任的平台做出自己的决定。
© 保留所有权利。