微軟近日發(fā)布全球首個基于拓撲架構(gòu)的量子芯片Majorana 1，標志著量子計算能力的重大突破：一枚芯片即可集成百萬量子比特，勝過地球上全部超算。微軟表示,這種系統(tǒng)"將能夠解決最復雜的工業(yè)和社會問題"。然而在網(wǎng)絡(luò)安全領(lǐng)域，更多人看到的，是Majorana 1 芯片通過推進量子計算能力加速了對當前加密協(xié)議的威脅，加劇了過渡到后量子密碼學的緊迫性。

安全挑戰(zhàn)緊隨量子芯片突破而來

來自微軟的消息稱，微軟Majorana 1使用了全球首個拓撲導體，這種材料能夠觀察和控制Majorana 粒子。這是微軟基于新架構(gòu)的第一款量子處理器。該量子處理器采用新型拓撲架構(gòu),利用拓撲絕緣體材料產(chǎn)生更穩(wěn)定的量子態(tài),有望集成數(shù)百萬量子比特,遠超當前最大規(guī)模。微軟表示,這一系統(tǒng)"將能夠解決最復雜的工業(yè)和社會問題"。

"比特"是傳統(tǒng)計算機的基本構(gòu)建塊,可以取0或1的值。量子等價物稱為量子比特,可以是0或1。然而,量子比特也可以處于疊加態(tài)，即0和1的任意組合。這使得量子比特系統(tǒng)能夠以比即使是最快的傳統(tǒng)系統(tǒng)解決某些問題所需時間的一小部分來處理信息。

微軟表示,世界上所有當前運行的計算機加在一起都無法做到一臺100萬量子比特的量子計算機所能做到的事情。實現(xiàn)下一階段的量子計算將需要一種量子架構(gòu),能夠提供100萬或更多的量子比特,并達到數(shù)萬億次快速可靠的運算。

業(yè)界普遍認為，因為這種規(guī)模的量子計算機將能夠快速解決構(gòu)成當前加密協(xié)議(如RSA和AES)的數(shù)學方程。在這種情況下,所有組織使用的數(shù)據(jù)、連接和組件都將暴露無遺。有消息說，惡意行為者已經(jīng)開始囤積加密數(shù)據(jù),期待量子技術(shù)成熟,這種被稱為"現(xiàn)在收獲,以后解密"的攻擊。

"微軟的這一發(fā)布代表了一個行業(yè)巨頭對許多組織已經(jīng)認識到的事情的有力認可:量子計算即將到來,而且比人們想象的要快。" Entrust高級產(chǎn)品和解決方案經(jīng)理Iain Beveridge評論說，"從數(shù)據(jù)安全的角度來看,這將產(chǎn)生廣泛的影響,可能會在組織的密碼學格局中留下大的漏洞。"

過渡到量子安全密碼學已經(jīng)刻不容緩。

后量子密碼學應用實踐

為應對量子密碼攻擊，2024年8月,美國國家標準與技術(shù)研究院(NIST)確定了世界上第一個后量子密碼學標準。該標準包括Kyber 、Dilithium 和SPHINCS+三種后量子密碼算法,為不同類型的系統(tǒng)和用例提供量子抗性解決方案。其中包括用于認證身份的數(shù)字簽名和用于在公共信道上建立共享密鑰的密鑰膠囊機制。這些標準為組織提供了一個框架,以保護系統(tǒng)和數(shù)據(jù)免受未來量子威脅。

NIST敦促組織開始準備將其系統(tǒng)過渡到使用這些算法的量子安全解決方案。這需要在量子計算機足夠強大以破解現(xiàn)有加密之前完成。

Entrust網(wǎng)絡(luò)安全研究所2024年10月的一份報告強調(diào)了實現(xiàn)量子密碼學轉(zhuǎn)換的重大障礙。這些包括組織內(nèi)部缺乏對轉(zhuǎn)換的明確所有權(quán),以及缺乏對密碼資產(chǎn)的可見性。

盡管如此，在緊迫的需求下，后量子密碼學還是取得了顯著的進展。 有人預測，2025 年企業(yè)將開始大規(guī)模部署后量子密碼學超越探索階段。這包括量子硬件供應商與網(wǎng)絡(luò)安全公司合作,開發(fā)健壯的加密方法。

金融業(yè)在開發(fā)用于敏感數(shù)據(jù)存儲和通信的量子安全解決方案方面一直處于領(lǐng)先地位。英國銀行匯豐在2024年9月成功試用首個應用量子安全技術(shù)買賣實物黃金代幣的案例。

為了應對未來量子計算對傳統(tǒng)加密方案的破解風險,谷歌云近日在其密鑰管理服務(Cloud KMS)中引入了量子安全數(shù)字簽名功能，目前正處于預覽階段。這一舉措符合美國國家標準與技術(shù)研究院(NIST)的量子密碼學(后量子密碼學)標準。谷歌在Cloud KMS(軟件)和Cloud HSM(硬件安全模塊)中集成量子抗性密碼學。所采用的兩種算法是基于格的數(shù)字簽名算法ML-DSA-65(FIPS 204)和無狀態(tài)哈希簽名算法SLH-DSA-SHA2-128S(FIPS 205)。

此外，F(xiàn)uturex 等公司正在與企業(yè)合作提供解決方案,包括支持 NIST 標準化后量子密碼學算法的 Futurex CryptoHub 。該平臺允許企業(yè)無縫集成量子安全加密到現(xiàn)有基礎(chǔ)設(shè)施中。它是硬件安全模塊行業(yè)中的統(tǒng)一平臺,旨在管理關(guān)鍵的密碼功能,同時支持 NIST 標準化的最新后量子密碼學算法,包括 Kyber 、Dilithium 和SPHINCS+。

過渡到后量子密碼學的七個關(guān)鍵步驟

用戶端向后量子密碼學過渡的積極性也很樂觀。

通用動力信息技術(shù)"量子波"研究顯示，在美國，50%的聯(lián)邦 IT 領(lǐng)導者正在積極制定戰(zhàn)略，加速向后量子密碼學的過渡。研究還顯示,35%的受訪者正在制定后量子密碼學準備的計劃和預算。該研究還發(fā)現(xiàn)，46%的受訪者已經(jīng)確定了當前密碼實踐的關(guān)鍵風險，但尚未開始正式評估。

GDIT 高級副總裁兼首席技術(shù)官 Ben Gianni 表示：“各機構(gòu)必須加快遷移步伐。通過今天制定靈活和可擴展的戰(zhàn)略,他們將為現(xiàn)代化和建立長期抵御新興量子威脅的能力做好準備。”

那么，組織該如何向后量子密碼學過度呢？安全牛建議，組織可以采取以下幾個關(guān)鍵步驟:

1.評估量子風險

• 識別漏洞: 徹底分析依賴密碼算法的系統(tǒng)和數(shù)據(jù),重點關(guān)注需要長期安全性的領(lǐng)域,如財務記錄或醫(yī)療數(shù)據(jù)。
• 確定資產(chǎn)優(yōu)先級: 確定哪些系統(tǒng)最容易受到量子威脅,并優(yōu)先過渡。

2.監(jiān)控標準發(fā)展

• 保持了解: 關(guān)注 NIST 的后量子密碼學標準化的最新進程,并參與行業(yè)論壇,了解推薦算法的最新情況。
• 采用行業(yè)標準: 確保符合最終確定的標準,如 Kyber 、Dilithium 和SPHINCS+。

3.制定過渡計劃

• 清點密碼系統(tǒng): 記錄組織內(nèi)所有密碼使用情況。
• 分階段實施: 從非關(guān)鍵系統(tǒng)開始測試策略,然后再擴大規(guī)模。
• 以風險為導向的路線圖: 根據(jù)數(shù)據(jù)敏感度和保護需求制定路線圖。

4.實施混合密碼學

• 結(jié)合經(jīng)典和后量子算法: 使用混合系統(tǒng),在引入量子防御措施的同時保持與現(xiàn)有基礎(chǔ)設(shè)施的兼容性。
• 測試和驗證: 徹底測試以確保安全性和性能。

5.升級基礎(chǔ)設(shè)施

• 硬件和軟件升級: 確保系統(tǒng)能夠處理后量子密碼學算法所需的更高計算需求和更大密鑰大小。
• 優(yōu)化性能: 最小化對用戶體驗和系統(tǒng)性能的影響。

6.建立專業(yè)知識并讓利益相關(guān)者參與

• 培訓和教育: 培養(yǎng)內(nèi)部后量子密碼學專業(yè)知識,并讓利益相關(guān)者了解其重要性。
• 與供應商合作: 密切跟進供應商的后量子密碼學相關(guān)解決方案的進展，與供應商合作采用兼容,并解決供應鏈漏洞。

7.保持靈活性并進行溝通

• 密碼靈活性: 保持靈活性以適應不斷發(fā)展的標準和技術(shù)。
• 利益相關(guān)者溝通: 確保組織內(nèi)部清晰溝通,以促進統(tǒng)一的過渡工作。

我們現(xiàn)在正身處量子計算與密碼學較量的關(guān)鍵時期。量子時代的大門正在打開,后量子密碼學將引領(lǐng)我們走向未來。機遇與挑戰(zhàn)并存,只有未雨綢繆，提前布局，才能勇敢擁抱這場安全領(lǐng)域的"量子革命"!