看看开发新的加密标准以防范量子计算攻击并取代RSA等公钥加密方法的竞争

密码学家的职业是偏执，但他们对量子计算机的担忧可能是合理的。在接下来的10到15年内，量子计算机解决一些问题的速度可以比经典计算机快数百万倍，有朝一日还可以破解许多用于保护互联网安全的防御措施。

密歇根大学(University Of Michigan)计算机科学与工程副教授克里斯·佩克特(Chris Peikert)研究密码学已有20年之久，他说：“最坏的情况是相当糟糕的。”

这就是为什么佩克特博士和数百位世界顶尖密码学家参与了为美国开发新的加密标准的竞争，该标准将防范经典和量子计算的网络攻击。

今年夏天，联邦官员宣布了将被考虑标准化的15种算法，这意味着获胜者将成为互联网架构的一部分，保护人们的敏感数据。

下一步，研究人员将花费大约一年的时间试图打破它们，看看哪些能站稳脚跟，并对它们进行测试，以获得性能和安全性的最佳平衡。

量子计算机仍处于早期发展阶段。这些机器利用量子物理的特性，包括叠加和纠缠，从根本上加快了与金融、医疗保健和制造相关的复杂计算，这些计算对于今天的计算机来说是很难处理的。这些机器是由初创公司和科技公司制造的，比如国际商业机器公司(International Business Machines Corp.)和Alphabet Inc.的谷歌(Google)。它们距离完全商业化还有几年的时间。

传统计算机将信息存储为0或1，而量子计算机使用量子比特，即量子比特，它同时将信息表示和存储为0和1。

一些研究人员估计，需要一台拥有2.5亿量子比特的机器才能破解今天的公钥密码术。今天的早期量子计算机只有很小一部分的能力。

该倡议由美国商务部下属的国家标准与技术研究所(National Institute Of Standards And Technology)管理。NIST要求参赛者设计他们认为可以抵御来自量子计算机的网络攻击的加密算法。这项比赛始于2017年，大约有70种算法。

剩下的15种算法包括7种可能在2023年之前标准化的方法，以及8种替代方法，这将需要更多的时间来研究，但仍有希望。

“我们不能证明它们永远不会被破解，但所有的密码学都是如此，”领导后量子密码学竞赛的NIST数学家达斯汀·穆迪(Dustin Moody)说。

竞争的目标是取代目前常用的公钥加密方法，包括一种名为RSA的流行方法，如果一台功能强大的量子计算机上市，这种方法将面临特别大的风险。RSA以其开发者Ron Rivest、Adi Shamir和Leonard Adleman的名字命名，用于保护电子邮件、在线银行、电子商务和医疗保健行业等电子通信的安全。

RSA容易受到量子计算机的攻击，因为它基于整数因式分解，即本质上是反向乘法，使用的数字长度可以达到1000位左右。

对于普通计算机，即使是超级计算机，也不可能迅速将那么长的数字进行因式分解。不过，量子计算机解决整数因式分解问题的速度可能比经典计算机快数百万倍。

如果坏演员得到了一台足够强大的量子计算机，他们就可以破解任何用RSA加密的东西，这代表了互联网的一大片区域。密码学家说，即使是现在，这种威胁也是真实存在的，因为黑客可能正在收集大量数据，等待量子计算机出现时进行攻击，这种做法被称为“收获和解密”。

IBM欧洲研究院(IBM Research Europe)的密码学家瓦迪姆·柳巴舍夫斯基(Vadim Lyubashevsky)表示：“我们非常不幸，量子计算机之所以能有如此指数级的加速，正是我们在20世纪80年代密码学的基础。”IBM欧洲研究院的密码学家瓦迪姆·柳巴舍夫斯基(Vadim Lyubashevsky)是IBM的一个安全部门。柳巴舍夫斯基博士是三份最终入围作品的合著者。

NIST竞赛中几个最有前途的密码系统是基于所谓的数学网格的，这种网格可以类似于可以超过1000维的几何形状。

到目前为止，研究人员还没有找到一种算法，可以在经典或量子计算机上破解并破解基于安全晶格的加密方法。伦敦大学皇家霍洛威信息安全讲师雷切尔·佩雷尔(Rachel Player)表示，如果有人这样做了，那将是令人惊讶的：格子在密码学中的研究已经有大约25年的历史了。

尽管如此，Player博士和其他密码学家将在接下来的一年左右时间里，试图想出算法来攻击和测试剩余的提交文件，包括那些基于网格的提交文件。“发现这个算法真的很酷，但你花了这么长时间来构建这个算法，破坏它将是一种耻辱，”Player博士说，他参与了一个基于网格的提交，但没有进入决赛。

其中两个最终入围的算法被命名为晶体Dilithium和晶体Kyber。晶体是密码学套件for Algebraic Grid的缩写。晶体Kyber用于安全共享密钥，晶体Dilithium用于身份验证。粉丝们可能会认出“星球大战”(光剑由凯伯晶体制成)和“星际迷航”(曲速驱动器中使用的是双锂晶体)中的名字。

微软公司杰出的工程师Brian LaMacchia领导着微软研究院的安全和密码学团队，他说：“我们从中得到了一些乐趣。”

LaMacchia博士是NIST的两个备选方案的合著者，其中一个叫做FrodoKEM。这个名字是对J·R·R·托尔金(J.R.R.Tolkien)的“指环王”(The Lord Of The Rings)中弗罗多·巴金斯的致敬。LaMacchia博士说，密码方案是基于之前的工作，使用了一个包含代数环的格子。研究人员决定去掉环以加强算法的安全性，他们还进行了另一项修改，增加了密钥封装模型(KEM)。

世界各地的其他组织，如欧洲电信标准研究所，正在研究抵抗量子计算攻击的算法，并提供行业指导。

私营公司也是如此，特别是在金融服务领域，包括Visa Inc.。Visa技术总裁拉贾特·塔内贾(Rajat Taneja)表示，摩根大通(JPMorgan Chase&Amp；Co.)在后量子密码学领域的研究始于近6年前。“我们拥有的数据是敏感的，而且数量巨大，所以保护这些数据是我们的首要任务，”他说。

Visa和摩根大通计划在NIST的新标准面世后开始采用这些标准，这将需要与行业组织进行协调。专家表示，新的加密方法可能需要长达15年的时间才能确保互联网活动的安全。

NIST的挑战是独一无二的，因为它主要是理论上的。佩克特博士说，这些专家正在努力设计能够抵御量子计算机的密码系统，他们不知道如何建造量子计算机，只能假设量子计算机将会存在。

对于许多密码学家来说，到2023年提出新的加密标准将是后量子密码学领域10年或15年工作的高潮。

“我认为标准化是一个苦乐参半的时刻，”Peikert博士说，他也是FrodoKEM提交文件的合著者。“这意味着我们实际上已经完成了一些事情。完了。对于像我这样在理论方面工作更多的研究人员来说，我们更兴奋的是15年后会有什么伟大的事情。“。

作为保护互联网数据的竞赛出现在2020年10月9日的印刷版上。