信息化觀察網(wǎng)

00、引言

一些有影響力的美國決策者、學(xué)者和分析人士非常關(guān)注量子計算對國家安全的影響。與冷戰(zhàn)時期美蘇對抗背景下對空間技術(shù)的看法類似，他們認(rèn)為量子計算的科學(xué)進(jìn)步是一場具有重大國家安全后果的競賽，也是正在形成的美中對抗的一部分。據(jù)稱，這場競賽的獲勝者能夠破解失敗者的所有加密工作，并可以不受限制地訪問失敗者的任何國家機密。此外，獲勝者能夠以比當(dāng)前加密技術(shù)更高的安全性來保護(hù)自己的秘密。本文認(rèn)為這三個主張被高估了，決策者和學(xué)者應(yīng)該將重點轉(zhuǎn)移到量子計算將影響另一個國家安全的問題上。在現(xiàn)代密碼的保護(hù)下，如何保證秘密信息的長期安全性，使其不受未來量子計算機的攻擊，是當(dāng)前需要關(guān)注的主要挑戰(zhàn)。

本文針對此問題采用了技術(shù)上可行的方法。首先，列出了有關(guān)量子計算的當(dāng)前大多數(shù)討論中預(yù)想的國家安全問題。其次，它將評估量子計算機在密碼學(xué)領(lǐng)域比傳統(tǒng)計算機具有的技術(shù)優(yōu)勢。第三，它將解釋量子計算的技術(shù)現(xiàn)實與主要關(guān)注領(lǐng)域不一致的具體方式。第四，它將突出顯示大多數(shù)情況下未公開討論的量子計算帶來的更為緊迫的國家安全問題。第五，本文最后將提供有關(guān)如何緩解此問題的建議。

01、主要關(guān)注領(lǐng)域

當(dāng)前圍繞量子計算的一些政策論述圍繞以下三個相關(guān)主題展開：

（1）美國和中國爭奪量子霸權(quán)的競賽。

（2）由于量子計算，密碼方案失敗。

（3）通過啟用量子計算的加密方案來提高安全性。

更廣泛地說，許多人斷言，美國與中國正在爭奪量子計算領(lǐng)域的霸主地位，這場競賽對國家安全具有重大影響。這些觀點來自科學(xué)界的評估，即量子計算將在解密對手的加密消息方面提供優(yōu)勢，并且量子計算將允許使用量子加密方案發(fā)送消息，與當(dāng)前的加密方案相比，量子加密方案可提供更高的安全性。此外，他們擔(dān)心首先擁有量子計算能力的國家將獲得超過其對手的優(yōu)勢。

1.1主題：爭奪量子霸權(quán)

量子至上是科學(xué)界人士設(shè)定的一個人工基準(zhǔn)，它標(biāo)志著量子計算機比傳統(tǒng)計算機能更有效地計算出一個定義明確的問題答案。盡管這在很大程度上是一個科學(xué)目標(biāo)，但許多作家和分析家已將該術(shù)語作為共同目標(biāo)，并將其設(shè)定為美國應(yīng)迅速向前邁進(jìn)和首先實現(xiàn)的目標(biāo)。事實上，他們將實現(xiàn)量子霸權(quán)與美蘇在太空和導(dǎo)彈技術(shù)領(lǐng)域爭奪霸權(quán)的歷史性競爭聯(lián)系起來。例如，《華盛頓郵報》稱量子計算是“自太空競賽以來最重要的科技競賽”，而外交關(guān)系委員會（Council on Foreign Relations）稱之為“美國輸不起的量子競賽”。另外，類似于上世紀(jì)五六十年代與蘇聯(lián)在導(dǎo)彈技術(shù)上的競爭，以及人們普遍認(rèn)為美國正在追趕的評價。當(dāng)前有人說“中國科學(xué)家走在這場技術(shù)競賽的前列”，美中之間存在著“量子鴻溝”，而且美國處于劣勢。

這些分析具有實際的政策含義。美國政策界的一些人，如約翰·科斯特洛（John Costello）十分擔(dān)心，如果中國首先實現(xiàn)量子霸權(quán)，將對美國的國家安全產(chǎn)生直接的負(fù)面影響?？扑固芈宓膱蟾姹砻?，如果中國實現(xiàn)量子霸權(quán)，中國將通過“破壞美國的網(wǎng)絡(luò)間諜活動和信號情報能力”以及“將美國敏感信息系統(tǒng)置于危險之中”獲得重大戰(zhàn)略優(yōu)勢。此外，國會議員威爾赫德（R-TX）稱量子計算是“下一個巨大的安全風(fēng)險”。

共和黨和民主黨的關(guān)鍵人物都認(rèn)同這些觀點。2018年，白宮發(fā)布了一份政策備忘錄，概述了美國政府的研發(fā)重點，其中將量子計算列為“保持美國在戰(zhàn)略計算領(lǐng)域的領(lǐng)導(dǎo)地位”的關(guān)鍵領(lǐng)域。此外，特朗普總統(tǒng)簽署了《國家量子倡議法案》，并發(fā)布了《量子信息科學(xué)國家戰(zhàn)略概述》，作為加速美國量子計算科學(xué)進(jìn)步努力的一部分。同樣在2018年，參議員卡馬拉·哈里斯（D-CA）提出了《量子計算研究法案》，其目的是“建立一個國防部量子計算研究聯(lián)盟，以促進(jìn)美國在量子計算領(lǐng)域的競爭優(yōu)勢和發(fā)展”。參議員哈里斯還發(fā)表了推文，以支持她提出的立法“量子計算將是改變世界的下一個技術(shù)前沿，我們不能承受落后”。

政策界支持這樣的觀點：量子霸權(quán)的競賽正在進(jìn)行，美國正在輸?shù)簦绹茖W(xué)界正在迅速向技術(shù)優(yōu)勢邁進(jìn)，就像美國在太空競賽中所做的那樣，這對國家安全戰(zhàn)略至關(guān)重要。

1.2主題：量子計算使當(dāng)前的加密過時

一些分析人士和學(xué)者在查閱了技術(shù)文獻(xiàn)后發(fā)現(xiàn)，量子計算機將能夠運行允許對加密信息進(jìn)行解密的算法，而無須訪問解密密鑰。根據(jù)他們的說法，這些量子算法將使“當(dāng)前的加密方法變得微不足道”。破壞這些算法后，它將使受害者面臨重大的戰(zhàn)略和安全風(fēng)險，并允許美國的對手閱讀軍事通信、外交電報和其他敏感信息?？梢詫⑦@種情況與第二次世界大戰(zhàn)中英國和美國打破德國的謎碼和日本的紫碼，使同盟國在戰(zhàn)略上超過了軸心國的事件相提并論。

圍繞這一問題的一些政策討論受到以下建議的影響：在對手取得量子霸權(quán)后，美國本身可能成為破譯密碼既成事實的受害者。例如，量子產(chǎn)業(yè)聯(lián)盟執(zhí)行董事保羅·斯蒂默斯（Paul Stimers）特別指出，“破解加密”的能力是一種“改變游戲規(guī)則的軍事應(yīng)用”。有人指出，如果美國失去與中國爭奪量子霸權(quán)的競爭，這是美國可能面臨的主要戰(zhàn)略風(fēng)險之一。

1.3主題：量子計算使新的加密比當(dāng)前的加密更安全

回顧了技術(shù)文獻(xiàn)的分析家和學(xué)者們還發(fā)現(xiàn)，量子計算機能夠使用不依賴于數(shù)學(xué)假設(shè)的密碼方案。“量子通信……這個新概念試圖利用量子物理學(xué)的規(guī)則來保證安全性，以實現(xiàn)新的密碼協(xié)議”。諸如此類的陳述暗示著量子物理學(xué)的安全保證遠(yuǎn)大于數(shù)學(xué)假設(shè)的安全保證。這導(dǎo)致了政策界的一種觀點，即量子通信比經(jīng)典密碼學(xué)安全得多。

美國國會已經(jīng)提出了這樣一種觀點，即量子通信將提供比基于經(jīng)典計算的加密更高級別的安全性。眾議院科學(xué)、空間和技術(shù)委員會的詹姆斯·F·黑澤斯（James F.Kurose）博士在國會的證詞甚至暗示，量子通信“提供了……絕對安全通信的承諾”。

02、政策關(guān)切與技術(shù)現(xiàn)實之間的矛盾

2.1量子計算不會使加密過時

量子計算確實威脅到了當(dāng)前加密系統(tǒng)RSA、ECDH和更小密鑰AES的生存能力。但這在某種程度上過分夸大了這個問題，使人覺得這個迫在眉睫的問題似乎沒有解決辦法，而事實上，卻有解決辦法。

對于對稱加密，AES的256位模式對所有已知的攻擊仍然是安全的。雖然值得注意的是，它處于不安全的邊緣，但它仍然可以抵御那些有大量時間和資源投入的對手的攻擊。此外，通過AES的多個應(yīng)用構(gòu)造一個安全級別更高的方案，就像DES和3DES那樣，將是一個簡單易行的擴展，可以創(chuàng)建一個更安全的密碼系統(tǒng)。

對于非對稱加密，目前密碼學(xué)領(lǐng)域正在研究后量子密碼學(xué)。這一研究的目的是尋找有效的非對稱方案，用新的量子安全加密方案取代RSA和ECDH。這些新提出的方案基于NP中不存在于P或BQP中的新問題，例如最短向量問題或校驗子解碼問題。

圖1復(fù)雜度分類

實際上，NIST目前正在對量子安全公鑰加密系統(tǒng)進(jìn)行標(biāo)準(zhǔn)化，該系統(tǒng)將于2024年完成。美國國家安全局（NSA）緊隨其后，發(fā)布了CNSA加密套件，該套件旨在成為量子安全之前的過渡加密標(biāo)準(zhǔn)，使量子安全加密標(biāo)準(zhǔn)化。這些新算法可以使用傳統(tǒng)計算機運行。在未來，將會出現(xiàn)與傳統(tǒng)計算機的加密方案相同安全級別的針對量子計算機的加密方案。

2.2量子計算沒有提供明顯的新加密功能

QKD確實解決了竊聽者的檢測問題。正因為如此，政策學(xué)者們聲稱，“接收者和發(fā)送者確定消息是否被截獲”的能力是經(jīng)典密碼學(xué)的一個“主要優(yōu)勢”。雖然這在技術(shù)上是一個有趣的進(jìn)步，但它實際上并沒有在安全通信中提供相對于經(jīng)典密碼學(xué)的安全優(yōu)勢，因為最初竊聽檢測并不是安全通信中的問題。

當(dāng)Alice和Bob使用QKD時，Eve不能得到密文，因此不能得到任何對應(yīng)的明文。當(dāng)Alice和Bob使用經(jīng)典密碼學(xué)時，Eve可以得到密文。但是，Eve無法解決在沒有解密密鑰的情況下解密密文所需的底層NP問題，因此Eve無法獲得任何相應(yīng)的明文。雖然QKD和經(jīng)典密碼學(xué)使用完全不同的方法，但在這兩種方法中，提供給Alice和Bob的安全級別毫無區(qū)別。無法竊聽的竊聽者與無法從恢復(fù)的密文中獲取有效信息的竊聽者之間的操作差異可以忽略不計。由此得出的結(jié)論是，量子計算并不能提供比經(jīng)典計算更高級別的安全性。

2.3量子霸權(quán)競爭主要是一場經(jīng)濟競爭

在后量子加密方案標(biāo)準(zhǔn)化之后，量子計算將不會對通過密碼學(xué)保證的安全通信構(gòu)成威脅。未來的美國通信將獲得與當(dāng)前加密技術(shù)所提供的計算機安全相同的級別。敵方情報機構(gòu)仍將受到美國加密方案的挑戰(zhàn)。同樣的道理，通過使用量子輔助密碼技術(shù)，對手也不會獲得更高級別的安全，以對抗美國的情報工作。雖然美國有可能像今天一樣陷入困境，但情況不會更糟。從本質(zhì)上講，美國及其對手的情報收集和信息保護(hù)能力將保持不變。在后量子加密標(biāo)準(zhǔn)化之后，從密碼學(xué)家的角度來看，這些領(lǐng)域沒有國家安全風(fēng)險。

這就引發(fā)了一個問題，為什么“爭奪量子霸權(quán)”的焦點似乎集中在了量子計算對密碼學(xué)的影響上。與中國的“量子霸權(quán)之爭”與其說關(guān)系到國家安全，不如說關(guān)系到經(jīng)濟優(yōu)勢和技術(shù)聲望。量子技術(shù)確實有許多非常有價值的商業(yè)應(yīng)用，發(fā)展最快的國家將可能獲得先發(fā)制人的經(jīng)濟優(yōu)勢。雖然經(jīng)濟能力無疑是國家權(quán)力的延伸，但這種“量子霸權(quán)之爭”并沒有通過太空競賽上演的導(dǎo)彈技術(shù)霸權(quán)之爭那么緊迫。

03、更緊迫的國家安全問題

盡管量子計算的技術(shù)現(xiàn)狀表明，量子計算不存在完全永久的安全隱患，但存在一個值得注意的長期國家安全問題。問題在于，通過現(xiàn)代加密方案確保了具有長期情報價值的機密信息的安全，這種加密方案將來可能被量子計算機打破。

04、決策建議

有許多短期預(yù)防措施可以緩解這一問題。盡管美國無法收回敵方情報機構(gòu)已經(jīng)擁有的任何加密數(shù)據(jù)，但美國可以制定一些短期改革措施，通過阻止未來數(shù)據(jù)流向敵方，使這一現(xiàn)實的影響不至于成為安全問題。

4.1 NIST標(biāo)準(zhǔn)建議

盡管已經(jīng)認(rèn)識到需要能夠抵抗量子計算機攻擊的加密方案，并且當(dāng)前的一些加密方案不能提供這種保護(hù)，但是NIST的官方標(biāo)準(zhǔn)目前并不支持這一立場。具體來說，NIST仍然規(guī)定，允許在2031年之后使用AES加密方案的128位和192位模式為聯(lián)邦政府?dāng)?shù)據(jù)提供加密保護(hù)。這些算法不能抵抗Grover算法的攻擊。NIST應(yīng)該使FIPS 197的各方面失效，F(xiàn)IPS 197是AES的官方NIST規(guī)范，允許使用AES-128和AES-192。雖然必須認(rèn)識到，“IT最佳實踐”建議無論如何都只能使用AES-256，但政府機構(gòu)或政府承包商仍然可以使用較弱的加密方案來遵守聯(lián)邦法規(guī)。這是一個安全風(fēng)險，可以通過AES-128和AES-192作為2031年后的失效的加密安全方案來輕松解決。

此外，由于量子計算的發(fā)展，美國國家安全局已經(jīng)撤銷了對AES-128和AES-192的支持，它們是加密安全的長期加密方案。美國國家安全局只允許在計劃逐步淘汰的遺留系統(tǒng)上使用這些方案，而且只能在特殊情況下使用。通過撤銷對AES-128和AES-192的支持，NIST將在美國密碼學(xué)標(biāo)準(zhǔn)的制定方式上與其對應(yīng)方保持一致。

需要重點關(guān)注的是，即使在量子霸權(quán)實現(xiàn)之后，實際攻擊也可能不會在很長時間內(nèi)實現(xiàn)，但沒有理由冒攻擊可能提前實現(xiàn)的風(fēng)險。使AES-128和AES-192作為加密安全方案在2031年以后失效的弊端是，迫使政府機構(gòu)和承包商在10年內(nèi)更新其加密方案會產(chǎn)生經(jīng)濟成本。與現(xiàn)狀的不利因素相比，這根本算不上什么?，F(xiàn)狀的不利因素是將敏感的或機密的聯(lián)邦政府信息暴露給對手會造成國家安全成本。即使預(yù)測來自該領(lǐng)域最重要的專家，也幾乎無法預(yù)測技術(shù)的發(fā)展。

此外，NIST還可以開發(fā)和標(biāo)準(zhǔn)化密鑰長度更長的AES版本。與3DES（三重DES）通過多次使用不同密鑰應(yīng)用同一加密方案來取代DES的方式類似，NIST可以開發(fā)和標(biāo)準(zhǔn)化3AES，該3AES使用不同密鑰多次應(yīng)用AES以獲得更高級別的安全性。

4.2 NSA標(biāo)準(zhǔn)建議

如前所述，國家安全局指出，在國家安全系統(tǒng)中全面部署任何加密算法大約需要20年。鑒于量子計算對長期安全的威脅，這應(yīng)該被認(rèn)為是不可接受的。全面部署新的密碼算法將直接轉(zhuǎn)化為額外的20年長期情報漏洞，這可能會導(dǎo)致國家安全受到損害。跨NSS完全部署加密算法的時間應(yīng)降低到盡可能短的范圍內(nèi)。至少，它應(yīng)該大大低于20年，這對于實施加密標(biāo)準(zhǔn)來說時間過長。即使這段時間不能大大縮短，美國國家安全局也應(yīng)該采取措施，對現(xiàn)代化工作進(jìn)行分類，確保最敏感的系統(tǒng)和信息首先用量子安全加密方案進(jìn)行更新。

4.3降低風(fēng)險的建議

幸運的是，對于保密信息的捍衛(wèi)者來說，使用加密仍然具有可以放大的優(yōu)勢。雖然使用量子計算機的攻擊者可以在合理的時間范圍內(nèi)成功破解大量加密方案，但執(zhí)行此類攻擊仍可能需要大量的時間和資源。即使目前使用的加密方案最終可能會被破壞，但仍然可以采取降低風(fēng)險的措施，使解密信息的時間更長。

這可以通過設(shè)置蜜罐來實現(xiàn)，蜜罐被偽裝成僅包含無用的加密數(shù)據(jù)的易受攻擊的機密網(wǎng)絡(luò)，并允許它們被美國對手利用。這將迫使對手使用寶貴的計算機周期來解密無用的信息，從而浪費大量時間。根據(jù)執(zhí)行此操作的程度，這可能使對手解密有用的情報信息所需的平均時間和資源增加一倍或兩倍。此類操作將被歸類為“通過欺騙進(jìn)行防御”，這是一種成熟的策略，可以阻止想要竊取敏感信息的黑客。該策略只是舊的反情報策略的應(yīng)用，但可以解決新問題。

05、結(jié)論

量子計算將對國家安全產(chǎn)生影響，只是不會像政策界宣稱的那樣。量子計算不會顯著減少或增強加密技術(shù)在為通過不安全通道發(fā)送的消息提供機密性保證方面的內(nèi)在效用。此外，盡管美國可能在量子計算領(lǐng)域與近于平等的經(jīng)濟競爭對手展開經(jīng)濟和技術(shù)競爭，但這種競爭的結(jié)果不會從根本上改變大國之間軍事和情報優(yōu)勢的分配。

在這種情況下，美國需要警惕受到當(dāng)代加密方案保護(hù)的敏感信息的保密性受到的長期威脅。這些威脅可以通過更新NIST的建議以與NSA的建議保持一致，對傳輸和存儲敏感和機密信息的系統(tǒng)進(jìn)行加密更新，并采取對策，大大增加對手竊取加密信息所需的時間和資源。

盡管有些人認(rèn)為量子計算對保密構(gòu)成了威脅，但實際上，只要美國的管理機構(gòu)實施一些簡單的常識性改革，量子計算的威脅就可以控制。