信息化觀察網(wǎng)

本文來(lái)自微信公眾號(hào)“內(nèi)生安全聯(lián)盟”。

網(wǎng)絡(luò)安全專家對(duì)量子計(jì)算的長(zhǎng)期和普遍擔(dān)憂是，這些系統(tǒng)最終會(huì)獲得足夠強(qiáng)大的處理能力來(lái)破解經(jīng)典的RSA加密。盡管這種前景在三十年前就已經(jīng)因Shor算法而廣為人知，但它仍然掩蓋了一個(gè)被忽視的風(fēng)險(xiǎn)——現(xiàn)在的量子計(jì)算機(jī)不僅可能成為攻擊者的平臺(tái)，而且作為目標(biāo)本身也是非常脆弱的。

兩位研究專家指出，盡管對(duì)強(qiáng)大的后量子密碼學(xué)（PQC）的需求極為重要，但我們同樣不能忽視量子計(jì)算系統(tǒng)本身可能遭遇的網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)。在即將于本月在拉斯維加斯舉行的Black Hat USA 2024會(huì)議上，Bitdefender的高級(jí)安全研究員Adrian Colesa與Transilvania Quantum公司聯(lián)合創(chuàng)始人、軟件工程師Sorin Bolos將共同探討量子計(jì)算機(jī)的潛在漏洞風(fēng)險(xiǎn)及其對(duì)現(xiàn)實(shí)世界可能帶來(lái)的影響。

01

評(píng)估針對(duì)后量子計(jì)算平臺(tái)的風(fēng)險(xiǎn)

Bolos和Colesa將于8月8日（周四）召開(kāi)的、主題為“從武器到目標(biāo)：量子計(jì)算機(jī)悖論”的會(huì)議中，通過(guò)一份白皮書揭曉他們的研究成果。

大部分時(shí)候，人們一提到量子計(jì)算機(jī)和安全性結(jié)合在一起的話題，人們首先會(huì)聯(lián)想到Shor算法。這個(gè)算法意味著，如果你擁有一臺(tái)性能足夠的量子計(jì)算機(jī)，就能運(yùn)用它來(lái)分解數(shù)字，從而破解密碼學(xué)，”Bolos說(shuō)道。“但我們的思路與此相反，我們要探討的是：'量子計(jì)算機(jī)自身怎么樣？它們的安全性如何？有人會(huì)攻擊它們嗎？”

作為一家總部設(shè)在羅馬尼亞的初創(chuàng)企業(yè)，Bolos開(kāi)發(fā)了用于量子算法原型設(shè)計(jì)的開(kāi)源量子計(jì)算平臺(tái)Uranium。該公司決定讓Transilvania Quantum研究量子計(jì)算的底層基礎(chǔ)設(shè)施可能存在的安全風(fēng)險(xiǎn)。“由于我們只有量子技術(shù)方面的專業(yè)知識(shí)和經(jīng)驗(yàn)，而不是網(wǎng)絡(luò)安全領(lǐng)域的，所以我們選擇了Bitdefender，”他說(shuō)。

去年十月，兩位研究人員各自著手運(yùn)用他們?cè)诰W(wǎng)絡(luò)安全與量子計(jì)算領(lǐng)域的專業(yè)互補(bǔ)展開(kāi)工作。其中一人專注于研究如何攻擊量子計(jì)算機(jī)，尤其是IBM和IonQ等公司提供的量子計(jì)算機(jī)，以及像Qiskit這樣的量子軟件開(kāi)發(fā)工具包。

作為端點(diǎn)防護(hù)、云計(jì)算和托管網(wǎng)絡(luò)安全解決方案的供應(yīng)商，Bitdefender在量子計(jì)算方面對(duì)PQC（后量子密碼學(xué)）這一Transilvania關(guān)注的領(lǐng)域有著豐富的專業(yè)知識(shí)和經(jīng)驗(yàn)。

Colesa解釋道：“Bitdefender團(tuán)隊(duì)調(diào)查了傳統(tǒng)的攻擊途徑，例如攻擊終端用戶系統(tǒng)或者量子開(kāi)發(fā)軟件可能被攻擊者惡意篡改的情況，然后又研究了如何攻擊那些提供量子計(jì)算機(jī)接入的云端服務(wù)。”

02

發(fā)現(xiàn)量子位缺陷

Bolos說(shuō)，他們研究了量子位的安全性，量子位相當(dāng)于經(jīng)典計(jì)算環(huán)境中的比特。他們的研究探討了不必要交互的可能性、對(duì)提示注入的敏感度，以及傳統(tǒng)計(jì)算環(huán)境中廣泛存在的一些攻擊手段。

Bolos說(shuō)：“我們已經(jīng)對(duì)量子世界的攻擊策略進(jìn)行了針對(duì)性的適配，并成功完成了相關(guān)實(shí)驗(yàn)。”

據(jù)Bolos所說(shuō)，目前使用量子計(jì)算的組織主要通過(guò)量子服務(wù)提供商來(lái)獲取，這些服務(wù)供應(yīng)商提供的平臺(tái)通常是托管于云端服務(wù)之中，例如微軟的Azure或亞馬遜的網(wǎng)絡(luò)服務(wù)（AWS），或者由自建量子云的公司提供。

近年來(lái)，一些資金實(shí)力雄厚的機(jī)構(gòu)已經(jīng)開(kāi)始探索量子計(jì)算如何幫助它們處理那些即使是世界上最強(qiáng)大的傳統(tǒng)計(jì)算機(jī)系統(tǒng)也難以應(yīng)對(duì)的復(fù)雜計(jì)算任務(wù)。

其中包括從事藥物發(fā)現(xiàn)和醫(yī)學(xué)研究的公司，比如安進(jìn)、克利夫蘭診所、默克和強(qiáng)生等。此外，像美國(guó)銀行、摩根大通銀行和富國(guó)銀行這樣的全球最大金融服務(wù)提供商大多數(shù)都設(shè)立了研究項(xiàng)目，目的是創(chuàng)造那些經(jīng)典計(jì)算技術(shù)無(wú)法達(dá)成的金融模型。所有這些都有可能成為網(wǎng)絡(luò)犯罪分子的主要攻擊對(duì)象。

然而，這兩位研究人員指出，由于這類組織都在尋求通過(guò)新的突破來(lái)?yè)魯「?jìng)爭(zhēng)對(duì)手，比如藥物發(fā)現(xiàn)或金融模型，因此安全防護(hù)常常被放在次要位置。

Colesa表示，他們將研究分為四個(gè)方面，探討攻擊者可能針對(duì)量子計(jì)算機(jī)的四種不同的攻擊方式。

●從經(jīng)典系統(tǒng)發(fā)起對(duì)量子計(jì)算機(jī)的攻擊。

●操控量子比特的量子處理器（QPU）的攻擊。

●利用量子組件攻擊量子處理器。

●對(duì)RSA加密數(shù)據(jù)的攻擊。

他們發(fā)現(xiàn)的量子計(jì)算系統(tǒng)中的許多漏洞與經(jīng)典計(jì)算環(huán)境具有相同的特點(diǎn)，這意味著它們需要采取類似的防護(hù)措施。

例如，核實(shí)軟件開(kāi)發(fā)套件（SDK）是否來(lái)自可信來(lái)源，或者檢查被轉(zhuǎn)換的電路（相當(dāng)于量子編譯）確實(shí)是要被發(fā)送至量子計(jì)算機(jī)的正確內(nèi)容，Colessa說(shuō)。

Bolos提醒到，隨著量子計(jì)算機(jī)量子容量的持續(xù)提升，達(dá)到或超過(guò)1000個(gè)量子位后，服務(wù)商必須重視糾錯(cuò)機(jī)制的重要性。所謂糾錯(cuò)，實(shí)則是指識(shí)別并解決可能對(duì)整個(gè)組織造成風(fēng)險(xiǎn)的根源問(wèn)題。

他解釋道：“錯(cuò)誤可能是由于人為干預(yù)所致，也可能是環(huán)境因素自帶的。”接著，他強(qiáng)調(diào)，“糾正這些錯(cuò)誤是抵御惡意攻擊的重要步驟之一。”