微软近日发布全球首个基于拓扑架构的量子芯片Majorana 1,标志着量子计算能力的重大突破:一枚芯片即可集成百万量子比特,胜过地球上全部超算。微软表示,这种系统"将能够解决最复杂的工业和社会问题"。然而在网络安全领域,更多人看到的,是Majorana 1 芯片通过推进量子计算能力加速了对当前加密协议的威胁,加剧了过渡到后量子密码学的紧迫性。
安全挑战紧随量子芯片突破而来
来自微软的消息称,微软Majorana 1使用了全球首个拓扑导体,这种材料能够观察和控制Majorana 粒子。这是微软基于新架构的第一款量子处理器。该量子处理器采用新型拓扑架构,利用拓扑绝缘体材料产生更稳定的量子态,有望集成数百万量子比特,远超当前最大规模。微软表示,这一系统"将能够解决最复杂的工业和社会问题"。
"比特"是传统计算机的基本构建块,可以取0或1的值。量子等价物称为量子比特,可以是0或1。然而,量子比特也可以处于叠加态,即0和1的任意组合。这使得量子比特系统能够以比即使是最快的传统系统解决某些问题所需时间的一小部分来处理信息。
微软表示,世界上所有当前运行的计算机加在一起都无法做到一台100万量子比特的量子计算机所能做到的事情。实现下一阶段的量子计算将需要一种量子架构,能够提供100万或更多的量子比特,并达到数万亿次快速可靠的运算。
业界普遍认为,因为这种规模的量子计算机将能够快速解决构成当前加密协议(如RSA和AES)的数学方程。在这种情况下,所有组织使用的数据、连接和组件都将暴露无遗。有消息说,恶意行为者已经开始囤积加密数据,期待量子技术成熟,这种被称为"现在收获,以后解密"的攻击。
"微软的这一发布代表了一个行业巨头对许多组织已经认识到的事情的有力认可:量子计算即将到来,而且比人们想象的要快。" Entrust高级产品和解决方案经理Iain Beveridge评论说,"从数据安全的角度来看,这将产生广泛的影响,可能会在组织的密码学格局中留下大的漏洞。"
过渡到量子安全密码学已经刻不容缓。
后量子密码学应用实践
为应对量子密码攻击,2024年8月,美国国家标准与技术研究院(NIST)确定了世界上第一个后量子密码学标准。该标准包括Kyber 、Dilithium 和SPHINCS+三种后量子密码算法,为不同类型的系统和用例提供量子抗性解决方案。其中包括用于认证身份的数字签名和用于在公共信道上建立共享密钥的密钥胶囊机制。这些标准为组织提供了一个框架,以保护系统和数据免受未来量子威胁。
NIST敦促组织开始准备将其系统过渡到使用这些算法的量子安全解决方案。这需要在量子计算机足够强大以破解现有加密之前完成。
Entrust网络安全研究所2024年10月的一份报告强调了实现量子密码学转换的重大障碍。这些包括组织内部缺乏对转换的明确所有权,以及缺乏对密码资产的可见性。
尽管如此,在紧迫的需求下,后量子密码学还是取得了显著的进展。 有人预测,2025 年企业将开始大规模部署后量子密码学超越探索阶段。这包括量子硬件供应商与网络安全公司合作,开发健壮的加密方法。
金融业在开发用于敏感数据存储和通信的量子安全解决方案方面一直处于领先地位。英国银行汇丰在2024年9月成功试用首个应用量子安全技术买卖实物黄金代币的案例。
为了应对未来量子计算对传统加密方案的破解风险,谷歌云近日在其密钥管理服务(Cloud KMS)中引入了量子安全数字签名功能,目前正处于预览阶段。这一举措符合美国国家标准与技术研究院(NIST)的量子密码学(后量子密码学)标准。谷歌在Cloud KMS(软件)和Cloud HSM(硬件安全模块)中集成量子抗性密码学。所采用的两种算法是基于格的数字签名算法ML-DSA-65(FIPS 204)和无状态哈希签名算法SLH-DSA-SHA2-128S(FIPS 205)。
此外,Futurex 等公司正在与企业合作提供解决方案,包括支持 NIST 标准化后量子密码学算法的 Futurex CryptoHub 。该平台允许企业无缝集成量子安全加密到现有基础设施中。它是硬件安全模块行业中的统一平台,旨在管理关键的密码功能,同时支持 NIST 标准化的最新后量子密码学算法,包括 Kyber 、Dilithium 和SPHINCS+。
过渡到后量子密码学的七个关键步骤
用户端向后量子密码学过渡的积极性也很乐观。
通用动力信息技术"量子波"研究显示,在美国,50%的联邦 IT 领导者正在积极制定战略,加速向后量子密码学的过渡。研究还显示,35%的受访者正在制定后量子密码学准备的计划和预算。该研究还发现,46%的受访者已经确定了当前密码实践的关键风险,但尚未开始正式评估。
GDIT 高级副总裁兼首席技术官 Ben Gianni 表示:“各机构必须加快迁移步伐。通过今天制定灵活和可扩展的战略,他们将为现代化和建立长期抵御新兴量子威胁的能力做好准备。”
那么,组织该如何向后量子密码学过度呢?安全牛建议,组织可以采取以下几个关键步骤:
1.评估量子风险
- 识别漏洞: 彻底分析依赖密码算法的系统和数据,重点关注需要长期安全性的领域,如财务记录或医疗数据。
- 确定资产优先级: 确定哪些系统最容易受到量子威胁,并优先过渡。
2.监控标准发展
- 保持了解: 关注 NIST 的后量子密码学标准化的最新进程,并参与行业论坛,了解推荐算法的最新情况。
- 采用行业标准: 确保符合最终确定的标准,如 Kyber 、Dilithium 和SPHINCS+。
3.制定过渡计划
- 清点密码系统: 记录组织内所有密码使用情况。
- 分阶段实施: 从非关键系统开始测试策略,然后再扩大规模。
- 以风险为导向的路线图: 根据数据敏感度和保护需求制定路线图。
4.实施混合密码学
- 结合经典和后量子算法: 使用混合系统,在引入量子防御措施的同时保持与现有基础设施的兼容性。
- 测试和验证: 彻底测试以确保安全性和性能。
5.升级基础设施
- 硬件和软件升级: 确保系统能够处理后量子密码学算法所需的更高计算需求和更大密钥大小。
- 优化性能: 最小化对用户体验和系统性能的影响。
6.建立专业知识并让利益相关者参与
- 培训和教育: 培养内部后量子密码学专业知识,并让利益相关者了解其重要性。
- 与供应商合作: 密切跟进供应商的后量子密码学相关解决方案的进展,与供应商合作采用兼容,并解决供应链漏洞。
7.保持灵活性并进行沟通
- 密码灵活性: 保持灵活性以适应不断发展的标准和技术。
- 利益相关者沟通: 确保组织内部清晰沟通,以促进统一的过渡工作。
我们现在正身处量子计算与密码学较量的关键时期。量子时代的大门正在打开,后量子密码学将引领我们走向未来。机遇与挑战并存,只有未雨绸缪,提前布局,才能勇敢拥抱这场安全领域的"量子革命"!
