每个小学生都知道,有些数学科目比其他科目更难。在教室里,这很烦人。在外面,它可能有用。例如,给定两个素数,不管它们有多大,将它们相乘得到它们的乘积是很容易的。但是,如果不事先知道这些质数是什么,就把这些乘积反分解成组成质数,这是很困难的,而且随着要分解的数越来越大,情况会迅速变得更困难。
将数字分解成质数可能听起来很深奥,但这个问题的单向性质——以及其他一些密切相关的数学任务——是许多现代加密技术所依赖的基础。这种加密技术有很多用途。它捍卫国家机密和公司机密。它保护资金流动和医疗记录。这也使得价值2万亿美元的电子商务产业成为可能。没有它,信用卡信息、银行转账、电子邮件和类似的东西就会在互联网上不受保护地快速传播,任何有意看到或窃取这些信息的人都是如此。
然而,没有人能确定这一切的基础是健全的。虽然数学家们没有找到快速解决质因数问题的方法,但他们也没有证明没有这样的方法。理论上,世界上数以百万计的专业或业余数学家中的任何一个人都可能在明天灵机一击,发布一个破解互联网密码和大多数互联网商务的公式。
发送量子位
事实上,类似的事情已经发生了。1994年,当时在美国贝尔实验室工作的数学家彼得·肖尔想出了一种快速有效的方法来求一个数的质因数。唯一的缺陷是,他的方法——被称为肖尔算法——需要量子计算机才能工作。
量子计算机依靠著名的量子力学的奇异特性来执行某些类型的计算,其速度远远快于任何可以想象得到的经典机器。它们的基本单位是“量子位”,这是经典机器所操纵的1和0的量子模拟。通过利用叠加和纠缠的量子力学现象,量子计算机可以执行某些形式的数学运算——尽管只是某些形式——比任何可以想象的经典机器都要快得多。
当肖尔博士发现这些计算机时,它们还只是科幻小说里的东西。但在2001年,IBM的研究人员宣布他们已经造出了一个,用肖尔的算法编写了程序,并用它计算出15的质因数是3和5。这台机器可以说是可以想象到的最原始的量子计算机。但自那以来,这方面一直在稳步取得进展。阿里巴巴、Alphabet(谷歌的母公司)、IBM、微软和其他公司都在竞相开发商用版本。
大型量子计算机将应用于人工智能和化学等领域。但肖尔算法带来的威胁吸引了最多的公众关注。大型组织或许可以使用所谓的量子密码来绕过这个问题。它以一种无法被对抗的方式检测窃听者。但由于必须在一个特殊的、专用的网络上运行,它的价格昂贵,而且是试验性的,而且不适合在互联网上使用。因此,对于大多数人来说,要想绕过肖尔的算法,最好的办法就是找到一点单向的数学方法,使量子计算机无法获得优势。
有一些候选方案。密码学家们正在讨论这些数学奇点的相对优点,如超奇异等征,结构化和非结构化格,以及作为量子证明密码学基础的多元多项式。但是,将一段数学转化为可用的计算机代码,然后将其传送到需要更新的无数机器上并不容易。
一个问题是,截止日期是什么时候?什么时候才会有一台能破网的电脑呢?今天最好的机器可以操纵几十个量子位元。微软研究院安全与密码学团队负责人布莱恩•拉玛奇亚认为,一台“对密码学感兴趣”的量子计算机可能能够处理大约1000到10000个这样的数据。预测进展是困难的。但是拉玛奇亚博士估计这样的机器可能在2030年到2040年之间的某个时间准备就绪。
这听起来很遥远,令人安心。但一些研究人员认为,事情已经太迟了。虽然许多通信都是短暂的,但有些人对他们希望长时间保持秘密的信息进行加密。世界各地的间谍和警察已经储存了大量的在线数据,他们希望即使现在不能解密,将来也能这样做。正如荷兰内梅亨大学密码学家彼得•施瓦布观察到的那样:“如果10年或20年后,有人能破解我现在与银行之间的通信,那么,我可能就不会太在意了。”但如果我是某个专制国家的异见人士,和其他异见人士交谈?这可能是另一个故事。”
第二个问题是修复需要多长时间。国家标准与技术协会(NIST)是一个美国的标准组织,其决策经常被世界各地遵循,该组织正在举办一场竞赛,以淘汰各种量子抗扰提案。但其结论要到2024年才能得出。正如互联网基础设施公司Cloudflare负责密码学的尼克•沙利文所观察到的那样,历史表明,即使新标准达成一致,升级也将是缓慢而混乱的。尽管——或者可能是因为——信息技术产业对新奇事物的痴迷,互联网就像古罗马和伊斯坦布尔那样的古城,现代建筑建立在被遗忘的旧的、未维护的代码层之上。
例如,1996年研究人员报告了MD5的第一个弱点,这是一种被称为哈希函数的广泛使用的加密算法。另一种名为SHA-1的算法形式很容易提供替代算法。经过二十多年的升级劝告,更不用说利用MD5弱点进行高调的网络攻击,旧算法仍然经常被使用。类似地,2015年发现的一个名为FREAK的漏洞依赖于这样一个事实,即许多现代应用程序,包括谷歌的安卓操作系统和白宫网站的默认浏览器,可能会被说服恢复到旧的、为了遵守早已废弃的美国出口法规,安装了容易破解的密码系统。
测试,测试
那些拥有最大权力的人是那些控制着大部分互联网管道的大公司。即使在NIST慎重考虑的时候,他们也开始进行自己的测试。在微软,拉玛奇亚博士计划在连接公司数据中心的链路上测试抗量子加密技术。谷歌已经尝试将不同种类的量子抗密码学集成到其网页浏览器Chrome的实验版本中,并与Cloudflare合作测试其在现实世界中的影响。
结果大多令人鼓舞,但也不完全如此。加密的改变改变了浏览器与网站协商连接的方式。谷歌对2500个最受欢迎的网站进行了测试,其中约21个网站——包括社交网络LinkedIn和域名注册商Godaddy.com——无法处理额外的数据,并拒绝连接。与传统密码学相比,所有提出的量子抗方案都有明显的延迟。
大公司也将在其他方面拥有权力。IBM的量子计算研究员瓦迪姆·尤巴舍夫斯基指出,量子计算机需要大量的呵护。大多数必须冷却到接近绝对零度的温度。这意味着,在可预见的未来,对机器的访问将以云计算服务的形式出售,用户可以从机器所有者那里租用时间。尤巴舍夫斯基博士说,这给了公司在代码运行前审查代码的权力,这可能有助于限制恶意使用。
还有其他的问题。沙利文博士说,新的密码方案通常比旧的需要更多的计算工作量。对于台式机和智能手机来说,这不太可能成为问题。但是嵌入从工业控制系统到传感器等小发明中的小型芯片可能会遇到困难。另一个担忧是,新的算法可能会有自己无法预见的弱点。数学家们已经花了几十年的时间来解决素因子问题,专注于加密的安全公司Cryptosense的老板格拉汉姆·斯蒂尔说。作为后量子计划基础的数学也没有经过类似的实战检验。出于这个原因,第一个实现可能会同时使用新旧两种密码学来对冲风险。
在NIST决定新标准之前,大公司不太可能完全承诺进行升级。即便如此,这项任务的规模也是令人生畏的。斯蒂尔表示,他的一个客户有数以千计的应用程序需要更新。随着芯片应用于从汽车、儿童玩具到照明系统和智能电表的所有领域,工作量只会增加。
所有这些都意味着,对互联网进行量子防护将成为一项昂贵、耗时且可能不完整的工作。斯蒂尔博士将其比作处理千年虫,当时很多程序在处理日期时都有一个怪癖,这意味着它们必须以巨大的代价进行改造,以应对从1999年到2000年的过渡。结果,多亏了数千名程序员的努力,千年虫基本上被避开了。如今,风险更高了。当今世界的计算机化程度要比当时高得多。不管怎样,这都意味着密码学家有大量稳定的工作要做。
