“后量子加密芯片”在國(guó)外面世，國(guó)內(nèi)研究團(tuán)隊(duì)“另有打算”？

日前，慕尼黑工業(yè)大學(xué) (TUM) 一團(tuán)隊(duì)創(chuàng)造了一種計(jì)算機(jī)芯片，可以有效地實(shí)施后量子加密技術(shù)。
?
后量子加密技術(shù)是指可以抵抗量子計(jì)算機(jī)攻擊的密碼技術(shù)。其中，后量子加密中的“后”字并非是指該技術(shù)需要到量子計(jì)算發(fā)展后期才能夠推出和使用，實(shí)際上它還有一個(gè)名稱：抗量子密碼技術(shù)。
?

TUM創(chuàng)造的后量子加密芯片

TUM的后量子加密芯片由TUM 信息技術(shù)安全教授 Georg Sigl 領(lǐng)導(dǎo)的團(tuán)隊(duì)完成。Sigl 和他的團(tuán)隊(duì)實(shí)現(xiàn)了軟硬件協(xié)同設(shè)計(jì)，在這個(gè)過(guò)程中，專用組件和控制軟件相輔相成?！拔覀兊男酒堑谝粋€(gè)基于后量子密碼學(xué)的軟硬件協(xié)同設(shè)計(jì)的芯片，”Sigl 教授表示，“因此，它可以使用‘Kyber’來(lái)實(shí)現(xiàn)加密——后量子密碼學(xué)最有前途的候選者之一——速度大約是依賴純軟件解決方案的芯片的二十倍，消耗的能量大約少八倍，同時(shí)幾乎是像它們一樣靈活?！?br /> ?
該芯片是專用集成電路 (ASIC)，基于開(kāi)源 RISC-V 標(biāo)準(zhǔn)修改了開(kāi)源芯片設(shè)計(jì)，能夠使用基于格的后量子加密算法，例如 Kyber，而且還可以與 SIKE 算法一起使用。
?
據(jù)該團(tuán)隊(duì)稱，TUM 開(kāi)發(fā)的芯片可以比依賴軟件進(jìn)行加密的芯片快約21倍的速度執(zhí)行算法。在專家看來(lái)，如果基于網(wǎng)格的方法在某些時(shí)候被證明不再安全，則 SIKE 被視為一種有前途的替代方案。無(wú)論何時(shí)長(zhǎng)期使用芯片，這種保護(hù)措施都是有意義的。
?
值得注意的是，研究人員還在芯片中內(nèi)置了硬件木馬。他們想調(diào)查該如何揭穿這種“來(lái)自芯片工廠的惡意軟件”。 “到目前為止，我們對(duì)真正的攻擊者如何使用硬件木馬知之甚少，”Georg Sigl 解釋說(shuō)。“為了制定保護(hù)措施，我們必須將自己置于攻擊者的角度，自己開(kāi)發(fā)和隱藏木馬。這就是為什么我們?cè)谖覀冮_(kāi)發(fā)的后量子芯片中內(nèi)置了四個(gè)木馬，它們的工作方式大不相同?！?br /> ?

當(dāng)前主流的后量子加密方式

實(shí)際上，后量子加密技術(shù)也并非是新理論，量子計(jì)算概念興起之后，人們就已經(jīng)開(kāi)始了相關(guān)的技術(shù)探索。正如2018年中科院大學(xué)網(wǎng)安學(xué)院五班在整理《格密碼學(xué)習(xí)筆記》時(shí)提到的，在量子計(jì)算模型下，經(jīng)典數(shù)論假設(shè)的密碼體系（如大整數(shù)分解，計(jì)算有限域/橢圓曲線上的離散對(duì)數(shù)問(wèn)題等），存在多項(xiàng)式時(shí)間（PPT）的量子算法，換而言之，經(jīng)典數(shù)論密碼體系受到了極大的沖擊，將有可能成為舊時(shí)代的眼淚。也就是說(shuō)，使用Shor算法來(lái)快速分解大整數(shù)可能在不久的將來(lái)會(huì)成為一件非常簡(jiǎn)單的事情，手機(jī)SIM卡、銀行U盾、比特幣、網(wǎng)絡(luò)證書(shū)，TLS/SSL等協(xié)議都有可能被量子計(jì)算機(jī)一擊而潰。
?
格密碼是一類備受關(guān)注的抗量子計(jì)算攻擊的公鑰密碼體制，格密碼的發(fā)展大體分為兩條主線：一是從具有悠久歷史的格經(jīng)典數(shù)學(xué)問(wèn)題的研究發(fā)展到近30多年來(lái)高維格困難問(wèn)題的求解算法及其計(jì)算復(fù)雜性理論研究；二是從使用格困難問(wèn)題的求解算法分析非格公鑰密碼體制的安全性發(fā)展到基于格困難問(wèn)題的密碼體制的設(shè)計(jì)。
?
目前來(lái)看，在后量子加密的所有方法中，對(duì)格子的研究是最活躍和最靈活的。2020年7月22日，美國(guó)國(guó)家標(biāo)準(zhǔn)局NIST公布了其舉辦的后量子密碼標(biāo)準(zhǔn)競(jìng)賽的第三輪入選算法，在7個(gè)正式入選第三輪的算法中，有5個(gè)都屬于格密碼的范疇。格是n維線性空間中離散點(diǎn)的集合，格中的每個(gè)元素都是一個(gè)向量。盡管格子密碼系統(tǒng)的優(yōu)化和安全性證明都需要極其復(fù)雜的數(shù)學(xué)，但基本思想只需要基本的線性代數(shù)。
?
Mr.Yi在分享《基于格密碼的算法研究》博客時(shí)提到，格密碼的主要數(shù)學(xué)基礎(chǔ)是格中的兩個(gè)困難問(wèn)題：
(1)格的最短矢量問(wèn)題(SVP)：對(duì)于給定的一組基，找出其所生成的格中歐氏距離（兩點(diǎn)之間的距離）最小的非零向量。即在格上找到一個(gè)非零向量v，滿足對(duì)格上的任意非零向量u，均有||v||≤||u||。
(2)格的最近矢量問(wèn)題(CVP)：對(duì)于給定的格及任一向量，找出格中與該向量距離最近的向量。
即在格上找到一個(gè)向量v，滿足對(duì)格上的任意非零向量u，均有||v-y||≤||u-y||。
?
同時(shí)，他也強(qiáng)調(diào)說(shuō)，格上的困難問(wèn)題在代數(shù)上是很好解決的，但在幾何上是困難的。
?
基于格的公鑰加密算法目前較為普遍，此外基于格的數(shù)字簽名算法和其他基于格的加密算法目前在后量子加密算法中也處于領(lǐng)先位置。
?
除了基于格問(wèn)題的密碼體制，后量子密碼研究的相關(guān)技術(shù)還有基于糾錯(cuò)編碼解碼問(wèn)題的密碼體制，基于多變量方程組求解問(wèn)題的密碼體制，基于橢圓曲線同源問(wèn)題的密碼體制和基于哈希函數(shù)的密碼體制等。
?
糾錯(cuò)編碼又稱之為信道編碼，它已成功地應(yīng)用于各種通信系統(tǒng)中。1978年，Berlekamp等人證明了一般線性碼譯碼是NPC難題?；谶@一事實(shí)以及Goppa碼的特點(diǎn)，McEliece首次利用糾錯(cuò)碼構(gòu)造出一類公鑰密碼體制，即M公鑰體制，從而開(kāi)創(chuàng)了糾錯(cuò)碼在現(xiàn)代密碼學(xué)中的新的研究領(lǐng)域。因此，基于糾錯(cuò)編碼解碼問(wèn)題的密碼體制大部分都是"公鑰密碼"。目前在數(shù)據(jù)傳輸中，主要有三種誤碼控制的方法，即自動(dòng)請(qǐng)求重發(fā)(ARQ)、前向糾錯(cuò)(FEC)和混合糾錯(cuò)(HEC)方式。
?
基于多變量方程組求解問(wèn)題也有簽名加密和公鑰加密等方案。列舉一種簽名方案的實(shí)現(xiàn)方式：基于結(jié)合多層Matsumoto-Imai (MMI)方案中心映射的多層構(gòu)造，CyclicRainbow簽名方案，以及隱藏域方程(HFE)的中心映射構(gòu)造便能夠設(shè)計(jì)出一種加密方案。
?
基于橢圓曲線同源問(wèn)題的密碼體制此前在后量子加密算法研究中非常不受重視，不管是公鑰加密還是秘鑰交換，不僅效率低下，且普遍性地被認(rèn)為不安全。2011年，Jao提出了超奇異橢圓曲線同源問(wèn)題，同源密碼學(xué)又再次引起了大家的興趣。2017年，基于同源的加密方案和秘鑰封裝協(xié)議SIKE被提交到美國(guó)NIST，參與后量子密碼方案的候選?！逗罅孔用艽a之橢圓曲線同源密碼學(xué)》一文提到，基于超奇異橢圓曲線同源密碼體制有以下特點(diǎn)：
·相對(duì)于其他后量子密碼具有秘鑰尺寸短的優(yōu)勢(shì)；
·其實(shí)現(xiàn)的效率相比于基于糾錯(cuò)碼和基于格的均不占優(yōu)勢(shì)；
·同源密碼學(xué)建立在已經(jīng)比較復(fù)雜的橢圓曲線密碼之上，導(dǎo)致其構(gòu)造非常復(fù)雜；
·同源密碼學(xué)系統(tǒng)的結(jié)構(gòu)非常特殊，設(shè)計(jì)加密方案時(shí)需要借助圖論的知識(shí)構(gòu)建超奇異同源圖，而無(wú)法在此之上定義群，導(dǎo)致許多現(xiàn)有密碼協(xié)議拓展到該系統(tǒng)之上。
?
因此，基于橢圓曲線同源問(wèn)題的密碼體制目前還處于初期研究階段。
?
基于哈希的簽名算法最早出現(xiàn)于1979年，被認(rèn)為是傳統(tǒng)數(shù)字簽名 （RSA、DSA、ECDSA等）的可行代替算法之一。哈希函數(shù)有多重構(gòu)造方式，包括直接定址法、數(shù)字分析法、平方取中法和折疊法等。在密碼的實(shí)現(xiàn)方式上，可以采用基于公鑰秘法的構(gòu)造方法，基于分組密碼的構(gòu)造方法和直接構(gòu)造的方式。不過(guò)，華為在《后量子密碼》中提到此類算法只能用于簽名。其中一個(gè)限制是每個(gè)私鑰僅可用于生成有限數(shù)量的簽名，需要繼續(xù)研究如何優(yōu)化和使用?；诠５乃惴ǖ膬?yōu)點(diǎn)是，其安全性比較容易理解和分析。
?

我國(guó)在后量子加密方面的研究進(jìn)展

當(dāng)前，國(guó)內(nèi)也在積極致力于后量子加密技術(shù)的研究，已在積極推進(jìn)現(xiàn)有商用密碼算法標(biāo)準(zhǔn)SM2、SM3、SM4、SM9、ZUC等成為國(guó)際標(biāo)準(zhǔn)。
?
去年10月，相關(guān)報(bào)道指出我國(guó)在后量子加密芯片方面取得了令人矚目的進(jìn)展，來(lái)自清華大學(xué)的科研團(tuán)隊(duì)在《采用低復(fù)雜度快速數(shù)論變換和逆變換技術(shù)在 FPGA 上高效實(shí)現(xiàn) NewHope-NIST 算法的硬件架構(gòu)》提出一種低計(jì)算復(fù)雜度的快速數(shù)論轉(zhuǎn)換與逆變換方法，設(shè)計(jì)了一款具有普適的通用性的后量子密碼硬件架構(gòu)，顯著降低了算法的運(yùn)算量，在進(jìn)展方面，要比同類研究平均速度快 2.5 倍左右。
?
除了清華大學(xué)的研究，國(guó)內(nèi)目前還有一項(xiàng)研究值得關(guān)注。相較于TUM團(tuán)隊(duì)打造的后量子加密ASIC芯片方式，中科大潘建偉、張強(qiáng)團(tuán)隊(duì)與云南大學(xué)、上海交通大學(xué)及科大國(guó)盾量子公司等單位合作，完成了量子密鑰分發(fā)（QKD）和后量子算法（PQC）的融合應(yīng)用。
?
在《量子密鑰分發(fā)與后量子算法實(shí)現(xiàn)融合應(yīng)用》報(bào)道中提到，抵御量子計(jì)算威脅、實(shí)現(xiàn)信息安全機(jī)制主要有兩種：一是量子密碼，如具有信息論安全的量子密鑰分發(fā)（QKD）；二是后量子密碼（PQC），如格密碼。中科大等聯(lián)合團(tuán)隊(duì)首次將兩種看似完全不同的技術(shù)進(jìn)行融合，技術(shù)優(yōu)勢(shì)互補(bǔ)，利用PQC解決QKD預(yù)置密鑰的關(guān)鍵問(wèn)題，而QKD則彌補(bǔ)了PQC待驗(yàn)證的長(zhǎng)期安全性問(wèn)題，兩者聯(lián)合最終保證了網(wǎng)絡(luò)系統(tǒng)安全性。
?
當(dāng)然，無(wú)論是什么方式的后量子加密，當(dāng)前的研究都處于早期階段，且基本用于當(dāng)前計(jì)算系統(tǒng)對(duì)量子計(jì)算機(jī)的防御。目前已知的量子計(jì)算均還無(wú)法破解，因此也就沒(méi)有漏洞可供研究。當(dāng)然隨著人類對(duì)量子計(jì)算的理解加深，伴隨著算力提升，量子計(jì)算想必也會(huì)需要保護(hù)，不過(guò)那時(shí)候的加密算法想必會(huì)復(fù)雜很多。