未来的量⼦计算机有可能迅速破解现代密码。⽽现在,研究⼈员发现,⼀种有望保护计算机免受⾼级攻击的算法在短短4分钟内就能被攻破。令⼈惊奇的是,这只需4分钟的破解并不是由尖端机器完成的,⽽是⼀台10年前的传统台式计算机。研究⼈员表示,这⼀最新的意外失败说明,后量⼦密码技术在应⽤之前,还需要克服诸多障碍。
理论上,量⼦计算机能够快速解决传统计算机可能需要花上⼀辈⼦才能解决的问题,这种差异被作为现代密码学的基 础。密码学加密机制的强度来⾃传统计算机很难解决的某些数学难题,例如,巨⼤数字的因式分解。但是,量⼦计算机 原则上能够运⾏算法,快速破解这类加密。
为了应对这种量⼦威胁,世界各地的密码学家在过去20年⾥,⼀直在设计后量⼦密码学(PQC)算法。这些算法以量⼦ 计算机和传统计算机都难以解决的新数学问题为基础。
多年来,美国国家标准技术研究所等组织的研究⼈员⼀直在研究哪种PQC算法能够成为世界将采⽤的新标准。2016年, 美国国家标准技术研究所宣布征求候选PQC算法,并在2017年收到82份提交⽅案。2022年7⽉,经过3轮审查后,美国 国家标准技术研究所公布了4种算法将成为标准,以及另外4种算法将可能作为附加竞争者进⼊另⼀轮审查。
⽬前,⼀项新的研究揭示了⼀种可完全破解超奇异同源密钥封装(SIKE)的⽅法,SIKE是正在接受审查的竞争者之⼀ (亚⻢逊、Cloudflare、微软和其他公司⼀直在研究这种算法)。“这⼀打击是突然的,⼦弹是致命的。”并未参与这项新 ⼯作的美国密歇根⼤学的密码学家克⾥斯托弗?佩科特(Christopher Peikert)说。SIKE是涉及椭圆曲线的⼀类PQC算法。“数学研究椭圆曲线由来已久。
”未参与相关研究的美国国家标准技术研究所数学 家达斯汀?穆迪(Dustin Moody)说。穆迪说,1985年,“数学家发现了⼀种⽅法,可以建⽴涉及椭圆曲线密码系统,⽽且这些系统得到了⼴泛的部署。不过,事实证明, 这些椭圆曲线密码系统很容易被量⼦计算机破解。”2010年左右,研究⼈员发现了⼀种在密码学中使⽤椭圆曲线的新⽅法。“⼈们相信这种新的理念不容易被量⼦计算机破解。”他说。
穆迪说,这种新⽅法的基础是,如何在椭圆曲线上添加2点,以导出椭圆曲线上的另⼀个点。“同源”是指从⼀条椭圆曲 线到另⼀条椭圆曲线的映射保持椭圆曲线加法定律。“如果让这种映射⾜够复杂,假设很难找到两条给定的椭圆曲线之间同源,就可⽤于数据加密。”⽐利时鲁汶⼤学的数学密码学家托⻢斯?德克鲁(Thomas Decru)说,他是介绍SIKE破解论⽂的共同作者之⼀。
SIKE是⼀种基于同源的密码⽅法,它以超奇异同源Diffie-Hellman(SIDH)密钥交换协议为基础。“SIDH/SIKE是第⼀ 批实⽤的基于同源的密码协议。”德克鲁说。不过,SIKE存在⼀个漏洞:为了能够⼯作,它需要公开提供额外的信息,名为辅助扭转点。“攻击者⼀直试图利⽤额外信息,但未能⽤它成功破解SIKE。
”穆迪说,“不过,这篇新的论⽂(讲述了)⼀种⽅法,使⽤ 相当⾼级的数学来破解SIKE。”德克鲁解释说,虽然椭圆曲线是⼆维对象,但在数学中,椭圆曲线可以被视为任意维度的对象。⼈们可以在这些⼴义对 象之间创建同源。应⽤⼀条25年前的定理,这种新破解⽅法可以使⽤SIKE公开的额外信息构建⼆维同源。然后,这种同源可以重构SIKE⽤来加密信息的密钥。
2022年8⽉5⽇,德克鲁和该⼩组的⾸席研究员沃特?卡斯特⾥科(Wouter Castryck)在密码研究预印本(Cryptology ePrint Archive)上详述了他们的发现。“最让我惊讶的是,这种攻击似乎不知道是从哪⾥冒出来的。
”未参与这项新⼯作的⻢⾥兰⼤学帕克分校的密码学家乔纳森?卡茨(Jonathan Katz)说,“之前很少有研究结果表明SIKE有任何弱点,然后就突然出现了这种完全毁灭性打击的研究结果。也就是说,它找到了整个密钥,⽽且不需要任何量⼦计算即可相对快速地破解。”使⽤基于这种新型打击的算法,⼀台10年前的英特尔台式电脑只⽤了4分钟就找到了SIKE保护的密钥。
“从⾸次提出SIDH,到完全被攻破,⼗⼀⼆年来对SIDH/SIKE的攻击实际上毫⽆进展。”佩科特说。SIKE的漏洞直到现在才被发现的原因是,这种新型攻击“采⽤了⾮常先进的数学⽅法,除了攻破系统外,我想不出还有哪些场景下的攻击会拥有如此深度的数学运算。
”未参与该研究的新⻄兰奥克兰⼤学的数学家史蒂⽂?加尔布雷斯(Steven Galbraith)说,“世界上能够同时理解这个底层数学⽅法和加密⽅法的⼈不⾜50个。”