后量子时代的应用密码策略
I.S. Kabanov, R.R. Yunusov, Y.V. Kurochkin and A.K. Fedorov
Cambridge & Skolkovo
来源:https://arxiv.org/abs/1703.04285
量子密钥分发技术保证了信息安全,目前正在商业应用中部署试用。我们通过使用经典密码、量子密码、混合经典量子和后量子密码,研究通信和分布式存储应用中信息安全技术的新领域。我们分析了当前最先进的关键特征、发展趋势以及这些技术在企业信息保护系统中的应用局限性,讨论了企业在分支的通信网络中如何选择合适的加密技术。
通用量子计算机实现了一种更高效的解决某些数学问题的方式,特别是在处理整数分解和离散对数问题的任务[1]。因此,任何基于上述任务的数学复杂性实现密码学安全性的安全协议、产品或安全系统[2]都非常容易受到使用量子计算机的攻击[3]。一方面,构建大型量子计算机所需时间的问题仍然需要研究。但目前已经有许多物理方式可以实现不同形式的量子计算设备,例如超导量子比特、超冷原子和囚禁离子[4]。另一方面,量子计算机可能在近期出现的事实改变了信息安全的发展趋势。
这种变化的典型例子包括增加对不易受量子计算机攻击的安全工具的关注,即所谓的量子安全技术。一般来说,这些技术可以分为两类。
第一种方法基于信息理论上的安全方法,因为他们不会对窃听者的计算资源做出假设,例如一次一密加密机制[5]和Wegman-Carter认证方案[6]。但是,一次一密加密机制对于安全建立共享密钥有较大的要求。一个值得关注的突破是,密钥分发的过程可以通过单光子使用单个量子系统有效地实现,旨在设计量子密钥分配(QKD)器件以实际应用一次一密加密机制[7]。QKD系统与其他加密工具也能结合使用在混合经典量子加密系统中,目前市场上也推出了QKD密码设备[8]。
第二类方法基于计算问题,但目前认为这对经典和量子计算设备来说都很难。特别是,有研究人员提出可以使用后量子密码学原语[9]或AES等对称密码(使用量子密钥分配方案),因为密码可以通过增加密钥大小来使加密算法适应量子攻击。
本文的主要目标是分析这些技术的关键特征、发展趋势和局限性,关键分析能够在企业安全系统中实际应用的加密工具。典型的安全系统往往需要处理不同重要程度的信息。因此考虑如何选择适当的加密技术以适用于不同的应用(如安全通信和分布式存储)是有意义的。由于近几十年来数据存储越来越普遍,在“立即存储-后期解密”( store now — decrypt later)的模式下,分析发展趋势对于长期的数据安全尤为重要。因为敏感数据可能现在以加密的形式存储,但在未来可能出现的量子计算机(或新颖的数学算法)就能对其进行破译。
由于并非所有加密算法都容易受到量子攻击,因此研究人员对量子计算下的安全方法的兴趣日益增加,从而提供了可抵御量子计算机攻击的长期信息保护机制。如下所述,人们可以从通用量子计算机的特征来分析利用密码学保障信息安全的几种方法。
我们首先描述基于QKD的一次一密加密机制。这种方法的操作可以描述如下:两个合法用户(Alice和Bob)具有预共享认证密钥和直接发送信道,即Alice和Bob应该彼此点对点连接,然后他们建立一个QKD会话(允许他们获得包含一些错误的原始量子密钥)。在QKD安全性证明中,假设原始量子密钥中的所有错误都是由于窃听[7]。而这就是Alice和Bob使用认证的公共频道进行后置处理程序的原因[10,11]。之后,Alice和Bob拥有了一个可用的密钥,并且它被证明能在理论上抵御任意形式的攻击,包括量子攻击[12]。
但是基于QKD的一次一密加密机制的实际应用遇到了许多实际挑战。首先,Alice和Bob应该同时具备直接信道(光纤或自由空间)用于传输单光子信道和认证经典信道用于保证信息协调性。其次,密钥生成率较低。由于光纤中光子的光学损失和单光子探测器的不完善性,密钥生成率将随着Alice和Bob之间距离的增加而显著减小。为了克服这个挑战,研究人员需要开发新一代单光子源和探测器。最后,用于信息协调的后置处理程序进一步提高了计算成本,例如低密度奇偶校验进行纠错[11]。尽管如此,基于QKD的一次一密加密机制仍然是实用且绝对安全的,这意味着即使Eve(攻击者)拥有无限的计算资源(包括经典或量子),这种机制总是会是安全的[7,12]。
第二种方法是使用后量子密码学工具[9],例如基于码、多变量、基于格和基于哈希的密码系统,因为目前还没有出现高效的破译算法。谈到应用,后量子密码方案与具有相同安全级别的前量子方案相比往往具有更好的性能。但是密钥、消息和签名通常较大。此外,这些方案可能很有用,但它们并不能保证绝对的隐私。与经典的公钥密码学原语一样,由于存在着发明“后量子计算机”的可能性,这些方法并不能抵抗“现在存储-后来解密”的模式。
最后,一个有用的方法就是结合多种加密技术。例如,QKD与经典分组密码相结合形成经典-量子混合密码算法,并增加主密钥更新的频率。这个想法被用于商业QKD设备[8],若干个信息安全应用程序还允许将公钥密码系统和QKD分发的密钥进行组合。混合系统,如使用QKD和AES算法的系统,都是量子安全的。
我们下面分析一个简单的经典-量子混合密码模型。在经典密码的部分,有一个安装在系统起始点的主密钥KM,以及一个通过非量子安全工具获得的会话密钥KS。Alice和Bob使用函数d(KM,KS,M)来加密消息M。使用密钥KM和KS的参数,基于可能的攻击估计信息绝对安全的时间TS。量子部分包括以下组成:基于量子安全密钥分发方案(例如QKD)的密钥KQ以频率f升级主密钥KM,即KM + 1 = g(KM,KQ)。因此,在混合系统中,具有加密算法d(g(KM,KQ),KS,M)和信息绝对安全时间TS + Q(f)> TS,并且主密钥以频率f升级。但是找到一个合适的算法估计TS + Q(f)是一个重要的问题。
另一个有趣的想法是将QKD与经典认证方法结合起来[13,14],量子密钥不仅可以应用于经典的密码学,而且让经典算法应用到量子世界,变得更强大。在经典密码理论中,巨大的计算能力通过攻击广泛存在的“现在存储-稍后解密”模式来威胁传输的数据。在量子背景下,由于量子通信的特性,即使攻击者截取信号也不能获得所有信息。这种方法也用于量子数据传输[15]和量子认证[16],量子认证是将低比特率量子信道应用于企业需求的方向之一。
我们预计企业信息安全保护策略将在新兴量子计算机的影响下转变。目前没有通用标准来加密所有数据,而在后量子时代,企业,政府和公共机构将面临类似的权衡挑战,同时制定有效的战略。
加密系统用户不可能马上完全过渡到量子加密,新的标准和抗量子计算技术的产品将随着时间的推移而发展,但企业现在应该考虑即将到来的量子抵抗算法,并基于此设计他们的信息保护工具。文献[3]给出了对时间的估计:如果大规模量子计算机在基础设施调整为量子安全之前就得以建成,那么加密信息将变得不安全。因此,值得要注意的是,改造IT基础设施的时间估计应该包括量子安全和混合加密工具的标准化工作。
一个适当的加密策略应该取决于组织信息的敏感性、数据存储和传输方法。在选择适当的加密工具之前,组织必须确定加密对象并将加密计划作为整体企业风险管理和数据治理计划的一部分。
组织在规划其新出现的加密策略时应考虑的另一个方面是数据在整个生命周期中的保护方式。 因此,重要的是要考虑受保护数据的状态:①通过网络传输数据,②静态数据(Data-at-Rest),③正在生成、更新、删除或查看过程中的数据。每一种状态中都面临着独特的挑战,并且显著影响着用于保护数据安全的加密算法的选取。
随着网络边界不断消失,其中一个关键问题就是如何保护静态数据。目前静态数据的主要加密类型包括全盘加密、硬件安全模块、加密文件系统和数据库。动态数据(Data-in-Motion)的加密类型包括网络访问保护和服务器通信加密。随着第三方服务提供商越来越多地通过公有云托管和处理数据,云计算需要保护数据的安全。然而使用中的数据(Data-in-Use)是最难保护的,因为它总是需要在解密后才能被使用(不考虑同态加密)。具体来说,这个挑战与密钥有关,为了加密提供安全性,攻击者必须完全无法获得密钥,因此保护密钥存储的环境对于在加密策略中至关重要。
之前曾提到,加密应该是组织安全策略的一部分,有效的数据分类对于实现弹性数据保护功能至关重要。应该完善数据映射,正确处理信息的存储位置,确保所有位置(移动设备、备份系统和云服务等)的数据得到适当保护。数据分类的另一个重要性挑战是,大规模量子计算机的出现可能会使非量子算法加密的数据受到威胁,而这些算法在生命周期中具有显著的长期价值。
我们提出一个简单的模型用于描述信息,其中包含N个不同的分支机构;用C = {c1,c2,……,cM}表示一个组织对信息进行分类的集合,其中c1是一类公开信息,cM代表最重要的信息。我们假设信息成本明显高于实施量子安全工具的成本;用T = {t1,t2,……,tK}表示为一组信息的时间类别,其中t1表示生命周期的一个时间段内需要保证安全的一类信息,tK代表整个生命周期中都需要保证安全的一类信息。
在分析这些技术在企业安全系统中应用的关键特征,发展趋势和局限性的基础上,我们提出了一个实用的权衡(Trade-Off)框架。该框架为极限情况提供下了可能的解决方案。首先,如果数据具有集合C和T中最低的类别,那么可以使用最简单和最便宜的方法进行保护。 其次,如果考虑的信息具有集合C和T中最高的类别,那么就必须使用量子安全系统(如QKD)。在其他情况下,可以使用具有不同参数的混合加密方法,如调整密钥的大小(主密钥,量子密钥和会话密钥)和主密钥升级频率,以实现安全和成本的权衡(Trade-Off)。
在这里,我们建议将所有不同的加密技术结合起来考虑其关键特征、发展趋势以及这些技术在特殊网络架构中的局限性,决定它是否直接集成到企业安全系统中。
在所考虑的上述问题之前,应该关注组织的网络拓扑结构。使用基于QKD的量子安全工具需要一个直接通信信道。正如上文所述,从构建网络的角度来看,QKD作为一种点对点技术,就物理层面而言,这意味着每个单光子应通过光纤(或自由空间)通道连接到检测器,并通过认证的公共通道进入后置处理程序。尽管能够通过QKD获得对称密钥,但QKD硬件成本存在“不对称性”,接收端的成本通常较高,并且需要部署额外的基础设施(如光子检测器)。另一方面,可以在多信道体制中使用接收端设备来降低成本。QKD的另一个限制来自后置处理程序的计算成本。
为了克服上述挑战,我们提出以下网络架构。假设Bob位于公司的数据中心,并且Alice(分支机构)连接到Bob用于量子、混合或非量子安全信息保护应用。这种方案允许为部署QKD硬件(SSPD)创建了合适的基础设施,有助于调用公司数据中心的计算资源运行后置处理程序以实现信息协调。如果对于两个分支Ai和Aj都在与公司数据中心之间部署了基于QKD的直接通道,就能有效地保证它们之间的通信安全。同时,这种架构也是能够快速集成到企业安全系统中的。
我们还建议使用QKD用于分布式存储协议中实现信息保护。保护静态数据和传输数据就像是阴和阳。保护传输数据是量子技术的一个基本应用,而量子态低寿命使针对静态数据的保护不是非常有效。一个强有力的保护静态数据的方法是使用HJKY 95协议在多个地点之间进行主动式秘密共享[17]。由于在一个地点的某个时间段存在攻击威胁,秘密必须重新分享。而为了实现更安全的数据保护,这个方案也需要QKD的支撑。
量子计算技术同时也对基于区块链技术的产品构成了重大的安全威胁[18]。最近,研究人员提出了一种可能解决量子时代区块链安全风险的方案[19]。
如果我们把目光转向更遥远的将来,数据可以在无需解密的情况下进行处理,很多概念性的工作都描绘了量子计算机在不知道数据内容的情况下对数据进行加工和计算。在未来,即使是非可信的实体也能够为我们提供绝对安全的运算服务。
随着量子计算将越来越受到政府和大型企业的关注,后量子时代可能比预期更快到来。因此,至少在某些应用中,需要开始考虑针对量子计算的安全机制。在这篇文章中,我们介绍了在企业安全系统中为处理不同重要程度信息选取密码技术的方法,提出了面向企业的量子通信网络架构,实现了不同的密码技术在通信和分布式存储中的有效结合。
[1] P.W. Shor, SIAM J. Comput. 26, 1484 (1997).
[2] B. Schneier, Applied cryptography (John Wiley & Sons, Inc., New York, 1996).
[3] Quantum Safe Cryptography V1.0.0 (2014-10). ETSI White Paper.
[4] C.R. Monroe, R.J. Schoelkopf, and M.D. Lukin, Sci. Am. 314, 50 (2016).
[5] C.E. Shannon, Bell Syst. Tech. J. 27, 379 (1948).
[6] M.N. Wegman and J.L. Carter, J. Comp. Syst. Sci. 22, 265 (1981).
[7] N. Gisin, G. Ribordy, W. Tittel, and H. Zbinden, Rev. Mod. Phys. 74, 145 (2002).
[8] ID Quantique, www.idquantique.com
[9] D.J. Bernstein, Introduction to post-quantum cryptography (Springer-Verlag Berlin Heidelberg, 2009).
[10] E.O. Kiktenko, A.S. Trushechkin, Y.V. Kurochkin, and A.K. Fedorov, J. Phys. Conf. Ser. 741, 012081 (2016).
[11] E.O. Kiktenko, A.S. Trushechkin, C.C.W. Lim, Y.V. Kurochkin, and A.K. Fedorov, Phys. Rev. Applied 8, 044017 (2017).
[12] V. Scarani, H. Bechmann-Pasquinucci, N.J. Cerf, M. Dusek, N. Lu¨tkenhaus, and M. Peev, Rev. Mod. Phys. 81, 1301 (2009).
[13] Y.V. Kurochkin, SPIE Proc. 5833, 213 (2005).
[14] A.S. Trushechkin, P.A. Tregubov, E.O. Kiktenko, Y.V. Kurochkin, and A.K. Fedorov, arXiv:1706.00611.
[15] D.J. Lum, M.S. Allman, T. Gerrits, C. Lupo, V.B. Verma, S. Lloyd, S.W. Nam, and J.C. Howell, Phys. Rev. A 94, 022315 (2016).
[16] S. Fehr and L. Salvail, arXiv:1610.05614.
[17] A. Herzberg, S. Jarecki, H. Krawczyk, and M. Yung, Lect. Notes Comp. Sci. 963, 339 (1995).
[18] D. Aggarwal, G.K. Brennen, T. Lee, M. Santha, and M. Tomamichel, arXiv:1710.10377.
[19] E.O. Kiktenko, N.O. Pozhar, M.N. Anufriev,A.S. Trushechkin,R.R. Yunusov,Y.V. Kurochkin,A.I. Lvovsky, and A.K. Fedorov, arXiv:1705.09258.