ACM通信

ACM新闻

后量子密码学:保护今天免受明天的伤害

R.科林·约翰逊
受中华艺术学院工作人员委托
2021年10月5日
评论

全球范围内，数据隐私与那些犯罪和国家支持的黑客之间的竞赛正在进行，这些黑客希望消除对个人、政府和工业机密的保护。这种威胁来自使用未来量子计算机破解当前公钥加密的能力。

早在1994年，ACM研究员Peter Shor发表这个开创性的算法展示了如何打破公开密钥加密标准，尽管只适用于未来的量子计算机。从那时起，民族国家一直在将加密信息存档，等待商业量子计算机能够解密这些信息的那一天。

幸运的是，我们有可能设计出更复杂的算法来保护秘密，使它们对未来的量子计算机具有弹性，从而创造出后量子密码学。

后量子密码学使用今天的传统计算机来运行更安全的加密算法。1996年，Miklós阿吉泰描述一种晶格密码算法，其安全性由寻找解密密钥的np -硬度(非确定性多项式时间硬度)来保证。

从那以后，许多这样的算法被创造出来，它们的解决方案对未来的量子计算机具有弹性，但几乎没有人使用它们——除了像国家安全局(NSA)这样财力雄厚的政府机构，他们有能力建造定制加速器。世界上其他国家正在等待后量子密码学正式标准化，因为如果没有标准，所需的硬件加速器将过于昂贵，无法大规模生产(到目前为止，如果没有硬件加速，后量子密码学算法在经济上是禁止的)。

后量子密码学的纯软件实验已经由谷歌(使用名为新的希望)及微软(LatticeCrypto)，但都没有被广泛使用。

现在，德国慕尼黑工业大学(TUM)和麻省理工学院(MIT)通过制造硬件加速器打破了僵局，该加速器与最有可能被标准化的后量子加密算法协同工作。希望最早在明年为后量子密码学的采用和商业化铺平道路，届时美国国家标准与技术研究院(NIST)预计将公布第一个标准。

慕尼黑工业大学电气与计算机工程系信息技术安全专业的教授Georg Sigl说:“有几个小组在研究后量子加密加速器。据我所知，到目前为止，麻省理工学院只开发了一种芯片，但麻省理工学院的芯片只包含一个硬件加速器，它没有集成硬件/软件协同设计，我们的也是如此。因此，(我认为)TUM的政策更加灵活。”

NIST后量子计算机团队的领头人、数学家达斯汀·穆迪(Dustin Moody)说，他并不偏爱哪个芯片，但他证实，他也只知道TUM和MIT的原型芯片。

NIST从2017年开始快速追踪后量子密码标准化过程，有69个候选算法，目前已被缩小到七个决赛．

穆迪说:“我们即将结束第三轮评估和分析。这包括7个决赛选手，包括Kyber[和McEliece, ntrun - number理论家R Us和Saber，加上3个数字签名决赛选手]，以及8个替补选手。我们包括了公钥加密、密钥封装以及公钥数字签名的方案。我们预计将在今年年底(2021年)之前大致确定我们将标准化的算法。”

获胜的算法(一个专注于加密/解密，另一个专注于数字签名)将作为美国标准提供。NIST预测，在2025-2030年左右出现第一个破解密码的量子计算机之前，还有四到九年的时间来完成典型的标准化过程——包括公开审查。

穆迪表示，这一努力是NIST章程的核心，即“通过推进测量科学、标准和技术，以增强经济安全和改善我们的生活质量的方式，促进美国的创新和工业竞争力。”

“从一开始，动机就在于大规模量子计算机可能威胁到公钥加密系统的威胁。NIST已经认真对待这一威胁，并一直在(通过其后量子密码标准化过程)作出回应。”

一旦标准到位，所有主要的芯片制造商都将加入竞争，但他们将拥有TUM和MIT的原型来开始他们的设计。

TUM的原型芯片比MIT的更复杂，因为TUM还想测试后量子密码学能否发现隐藏的特洛伊木马，让芯片的制造国或销售假货的犯罪分子通过嵌入恶意软件绕过其安全实现。这两项工作由TUM的Sigl(负责后量子加密)和TUM的信息技术安全主席Johanna Baehr(负责隐藏四个硬件特洛伊木马)领导，两项工作都在Sigl实验室开发的单一应用专用集成电路(ASIC)芯片上实现。

TUM的原型芯片基本上包含两个独立的部分，一个专注于后量子加密，另一个专注于硬件特洛伊木马检测。一个纸在今年的ACM国际计算前沿会议(CF 2021)上，介绍了该芯片对隐藏木马的磁带剥离，该芯片已成功制作成TUM的原型芯片。

研究人员报告说，当在Kyber (NIST标准化工作的顶级决赛项目之一)上运行后量子加密技术时，他们的加速器运行代码的速度比单独使用软件快10倍。同样，超奇异同源键封装(SIKE)算法——NIST决赛备选方案之一——帮助软件运行速度比单独使用软件快20倍以上。

两种后量子密码都由芯片的有限场加速器加速。TUM将有限场加速器的实现构建为RISC-V核心(在ACM计算机辅助设计国际会议上的一篇较早的论文中进行了描述)。TUM还在ARM a -9核上添加了有限场加速器作为概念验证。在这两种情况下，硬件/软件协同设计使用这些专门的硬件组件和控制软件来相互补充。研究人员报告说，他们的联合设计方法只使用了在非加速核心上单独运行的软件的八分之一的能量。

Baehr报告称，在TUM的量子抗加密芯片中成功隐藏了四种类型的硬件木马:拒绝服务(导致间歇性停顿)、数论转换(操纵指令计数器)、硬件泄漏(打破硬件循环)和泄漏(启用侧通道信息泄漏)。与Sigl团队一起，Baehr计划对芯片的功能进行逆向工程，通过破坏性地逐步去除电路路径，拍摄每个连续的层，并使用机器学习重构精确的功能，希望这将有助于未来的后量子加速器芯片检测隐藏的特洛伊木马。

麻省理工学院的研究人员得到了德州仪器公司和台积电(TSMC)的支持，他们还开发了一种低功耗物联网(IoT)原型芯片，旨在证明在后量子密码学应用于电池供电的物联网设备的可行性。

根据一项纸他们在两年前的ACM/IEEE国际固态电路会议(ISSCC 2019)上提出，基于晶格的后量子密码术80%的功耗，如Kyber所使用的，支持创建足够的随机数，以保护其操作不受黑客攻击。

为了在物联网设备的功率预算范围内产生这些随机数，麻省理工学院设计了一个两平方毫米的芯片，运行数论变换(日本电报电话公司)．ntt的工作原理类似于傅里叶变换，它将输入分解为多个频率，分配到四个单端口存储设备上，这些设备所占的总面积比传统使用的多端口存储设备少三分之一，从而满足了对小模区物联网设备的要求。

r·科林·约翰逊他是京都奖获得者，做了20年的科技记者。

---

没有发现记录