对于今天的密码学来说,资源估算正朝着不利方向发展
两篇新的白皮书正在为长期以来关于后量子安全的讨论增添紧迫性。据 Ars Technica 报道,独立研究团队得出结论:一种能够破解椭圆曲线密码学的实用规模量子计算机,所需资源可能远少于一两年前的估算。
这并不意味着所谓的 Q Day 已经到来。两篇论文都未经同行评审,也没有人声称今天就有实用机器能够破解广泛使用的椭圆曲线系统。但研究指向一个明确方向:攻击关键公钥密码的成本曲线,可能比许多防御者希望看到的变化更快。
其中一篇论文研究了将中性原子作为具有广泛连通性的可重构量子比特,认为这种架构可以在 10 天内破解 256 位椭圆曲线密码学,且所需开销比此前估算低约 100 倍。另一篇来自 Google 研究人员的论文则展示了为比特币和其他加密货币区块链提供保护的 ECC 可能在不到 9 分钟内被破解,同时资源需求减少 20 倍。
为什么椭圆曲线密码学如此重要
ECC 支撑着现代数字安全的很大一部分。它被用于安全通信、身份验证系统和区块链基础设施,因为它在相对高效的密钥长度下提供了强安全性。正因为覆盖面如此之广,资源估算的变化才格外重要。问题不在于当前量子计算机今天是否能破解 ECC。问题在于,在迁移变得紧迫而非仅仅审慎之前,各机构还剩多少预警时间。
Ars Technica 将这两篇论文视为进一步证明,与密码学相关的量子计算正在取得有意义的进展。这种进展既来自硬件改进,也来自算法改进。研究人员不仅在开发更具容错性的量子架构,也在探索更高效实现底层数学的方法,包括与 Shor 算法相关的改进。
这些结果之所以值得注意,正是因为这种合力。即便实用量子攻击仍需数年才可能出现,趋势本身就很重要。政府、企业和基础设施运营方的安全迁移都需要时间。如果未来量子攻击的可行成本下降得比迁移计划推进得更快,那么有序过渡的窗口就会缩小。
进展,不是恐慌
来源中最克制的观点来自密码学工程师 Brian LaMacchia,他表示,这些论文并没有给出实用的、与密码学相关的量子计算何时到来的确切日期。但他也说,这些研究支持一个结论:朝着那种机器的进展仍在继续,而且并没有放缓。
这个框架是正确的。这不是一则关于互联网安全即刻崩溃的报道,而是一则关于假设正在恶化的报道。安全规划者过去常常依赖这样一种预期:容错量子硬件在更长时间内仍会昂贵到难以承受。现在这些论文表明,这种估计可能没有当初看上去那么令人安心。
实际后果很简单:推迟迁移到后量子密码学就更难自圆其说了。当突破使所需资源减少 20 倍或 100 倍时,机构不需要对威胁何时真正出现有绝对确定性。他们只需要意识到,这种威胁正在变得更具可行性,而且其规划周期会与现实系统缓慢更换的周期重叠。
天并没有塌下来。但破解基础密码系统的经济条件似乎正在变化,而这正是安全专业人士在最后期限到来之前必须认真对待的警示。
本文基于 Ars Technica 的报道。阅读原文。
Originally published on arstechnica.com
