雙劍合璧 中國(guó)電信迎戰(zhàn)Q-Day

Q-Day（量子計(jì)算攻破現(xiàn)有加密體系）何時(shí)到來(lái)？

一個(gè)每秒能做1萬(wàn)億次運(yùn)算的經(jīng)典計(jì)算機(jī)，破解一個(gè)300位的密碼需要15萬(wàn)年，但如果是一臺(tái)擁有300邏輯比特位的量子計(jì)算機(jī)，運(yùn)用Shor算法，破解只需一秒。這一刻便是Q-Day。

2023年2月，量子防御公司（QD5）預(yù)測(cè)，可能最快在2025年，世界就會(huì)迎來(lái)Q-Day。當(dāng)然，也有樂(lè)觀者估計(jì)，Q-Day將在21世紀(jì)中葉到來(lái)。

不管Q-Day何時(shí)到來(lái)，正如IBM在《量子計(jì)算時(shí)代的安全》所言，量子計(jì)算是對(duì)經(jīng)典數(shù)據(jù)安全的“生存威脅”，存在與否無(wú)須爭(zhēng)論，而是更應(yīng)擔(dān)心多快到來(lái)和破壞性多大。

“中國(guó)電信正深入推動(dòng)量子+，打造運(yùn)營(yíng)商級(jí)的安全能力。”中國(guó)電信董事長(zhǎng)柯瑞文在不久前的中期業(yè)績(jī)說(shuō)明會(huì)上透露，基于QKD（量子密鑰分發(fā)）、PQC抗量子加密等技術(shù)體系，中國(guó)電信正構(gòu)建涵蓋量子密鑰分發(fā)、量子密碼資源池和量子密碼管理平臺(tái)的量子安全基礎(chǔ)設(shè)施，形成“一網(wǎng)一池一平臺(tái)”的量子安全基礎(chǔ)設(shè)施建設(shè)方案。

《IT時(shí)報(bào)》記者獨(dú)家獲悉，中國(guó)電信旗下的中電信量子集團(tuán)是目前國(guó)內(nèi)唯一一家在QKD和PQC兩條抗量子攻擊安全路線(xiàn)上“齊步走”的企業(yè)，預(yù)計(jì)今年底，中國(guó)電信將在全國(guó)10～15個(gè)城市部署量子城域網(wǎng)。未來(lái)將逐漸與骨干網(wǎng)打通，加上天上的墨子號(hào)量子通信衛(wèi)星，最終形成天地一體的量子通信網(wǎng)。

繼寬帶網(wǎng)、移動(dòng)網(wǎng)、物聯(lián)網(wǎng)、衛(wèi)星網(wǎng)、視聯(lián)網(wǎng)之后，中國(guó)電信的第六張網(wǎng)——量子通信網(wǎng)，小荷正露尖尖角。

 PQC

人腦和量子的“頂尖數(shù)學(xué)大戰(zhàn)”

“密碼戰(zhàn)是人類(lèi)智力最殘酷、最高級(jí)的較量”，正在熱映的電影《解密》中，解密是一整套系統(tǒng)工程，是天才與天才之間的對(duì)決。如今，數(shù)十年過(guò)去，密碼戰(zhàn)依然是頂尖大腦之間的攻防戰(zhàn)。

8月13日，美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）正式發(fā)布首批PQC標(biāo)準(zhǔn)，旨在推出更安全的加密算法和技術(shù)，以抵御量子計(jì)算機(jī)對(duì)傳統(tǒng)信息安全體系的攻擊，簡(jiǎn)而言之，便是為量子計(jì)算機(jī)找?guī)椎离y解的數(shù)學(xué)題。

現(xiàn)代密碼戰(zhàn)，本質(zhì)上是一場(chǎng)高水平的“數(shù)學(xué)大戰(zhàn)”。當(dāng)前全球主流加密方式采用的是非對(duì)稱(chēng)密碼算法，比如我們常聽(tīng)說(shuō)的RSA算法，就是一道數(shù)學(xué)難題，秘鑰藏在答案中，攻擊者通常采用“暴力破解”，也即將所有答案都試一遍。谷歌的 Craig Gidney 和瑞典斯德哥爾摩 KTH 皇家理工學(xué)院的 Martin Ekera的一項(xiàng)研究工作顯示，即便是最快的超級(jí)計(jì)算機(jī)，破解主流的2048位RSA加密也需要數(shù)十年，而量子計(jì)算機(jī)利用量子位（qubits）的特性，算力呈指數(shù)級(jí)上升。理論上，量子算法Shor 8小時(shí)便可破解2048位RSA加密。

在黑客世界里，當(dāng)下流行的一種攻擊模式是“囤貨殺”。盡管還沒(méi)有足夠算力攻破企業(yè)的加密體系，但黑客選擇先將整個(gè)機(jī)密數(shù)據(jù)庫(kù)全部下載，等待Q-Day到來(lái)之后，再一舉攻破。

留給全球企業(yè)的時(shí)間不多了。經(jīng)過(guò)8年全球遴選，美國(guó)NIST終于選出了四道難題，其中三道題便是此次官宣的PQC標(biāo)準(zhǔn)。

“無(wú)論數(shù)學(xué)層面，還是物理層面，PQC都需要沉淀。”中電信量子集團(tuán)一位密碼技術(shù)專(zhuān)家告訴《IT時(shí)報(bào)》記者，面向抗量子攻擊，PQC目前處于“可證明安全”階段，的確還沒(méi)有人能找到解題的路徑，是應(yīng)對(duì)Q-day有效的緩解方式，但既然是題就一定有解，并不排除將來(lái)可能有一種新的量子算法破解PQC加密。事實(shí)上，2022年4月、8月和2023年初，全球各地都有研究者發(fā)文稱(chēng)采用新算法對(duì)抗PQC。

魔高一尺，道高一丈，PQC選擇的是一條永遠(yuǎn)沒(méi)有盡頭的路。

目前，我國(guó)在PQC標(biāo)準(zhǔn)化方面亦有動(dòng)作，目前已進(jìn)行多輪PQC算法評(píng)選，但暫未正式啟動(dòng)PQC標(biāo)準(zhǔn)算法的公開(kāi)征集。不過(guò)，一位業(yè)內(nèi)人士分析，2024年內(nèi)，應(yīng)該會(huì)對(duì)PQC算法遷移計(jì)劃開(kāi)始征求意見(jiàn)。

PQC大規(guī)模應(yīng)用的前提是修改整個(gè)現(xiàn)有的密碼體系，甚至已有的軟件和硬件系統(tǒng)都要隨之更改，是一個(gè)生態(tài)工程， 業(yè)內(nèi)人士預(yù)估，PQC產(chǎn)業(yè)從標(biāo)準(zhǔn)出臺(tái)到大規(guī)模應(yīng)用還需要至少3年時(shí)間。因此，國(guó)家在確定標(biāo)準(zhǔn)時(shí)極為謹(jǐn)慎，“否則很容易陷入‘建成便落后’的陷阱。”上述密碼技術(shù)專(zhuān)家表示。

QKD

中國(guó)領(lǐng)先一步

全球范圍內(nèi)，抗量子攻擊有兩條主要路線(xiàn)，一條是前文介紹的PQC加密，另一條便是量子密鑰分發(fā)（QKD），前者是人類(lèi)頂尖大腦與量子計(jì)算機(jī)的對(duì)抗，而后者則是利用量子態(tài)來(lái)傳輸密鑰信息，一旦發(fā)現(xiàn)有第三方試圖獲取信息，雙方會(huì)立即察覺(jué)并廢棄該部分密鑰。

QKD依賴(lài)的是基本物理特性，安全性和可靠性由物理定律保障，但對(duì)網(wǎng)絡(luò)要求較高，需要輸出和輸入雙方都在同一個(gè)量子傳輸網(wǎng)內(nèi)。近幾年來(lái)，美國(guó)、韓國(guó)、歐洲等國(guó)家和地區(qū)都在試點(diǎn)建設(shè)QKD網(wǎng)絡(luò)，網(wǎng)絡(luò)規(guī)模最大、應(yīng)用實(shí)踐最成熟的，還是中國(guó)。

2014年，中國(guó)電信與國(guó)盾量子共同建設(shè)了上海陸家嘴金融量子保密通信應(yīng)用示范網(wǎng)，此后又建成全球規(guī)模最大、用戶(hù)最多、應(yīng)用最全的合肥量子城域網(wǎng)，2016年全球首個(gè)量子衛(wèi)星“墨子號(hào)”成功發(fā)射，并于2017年在全球率先實(shí)現(xiàn)千公里級(jí)衛(wèi)星和地面之間的量子糾纏分發(fā)、量子密鑰分發(fā)和量子隱形傳態(tài)。如今，由中國(guó)科學(xué)技術(shù)大學(xué)組建的跨越4600公里天地一體化量子通信網(wǎng)絡(luò)已試驗(yàn)成功。

作為電信運(yùn)營(yíng)商，中國(guó)電信正在深入推動(dòng)“量子+”，打造運(yùn)營(yíng)商級(jí)的安全能力，最核心的任務(wù)便是構(gòu)建一張涵蓋量子密鑰分發(fā)（QKD）、量子密碼資源池和量子密碼管理平臺(tái)的量子安全基礎(chǔ)設(shè)施，形成一張量子加密的全國(guó)公共網(wǎng)，從而為所有用戶(hù)提供普遍性的量子安全服務(wù)。屆時(shí)，無(wú)論是移動(dòng)的5G應(yīng)用，還是長(zhǎng)途OTN應(yīng)用，或是本地MSTP應(yīng)用，都可以從這張量子城域網(wǎng)上動(dòng)態(tài)獲取量子密鑰，利用量子密鑰對(duì)線(xiàn)路上傳輸?shù)臄?shù)據(jù)進(jìn)行加密。

柯瑞文在業(yè)績(jī)說(shuō)明會(huì)上透露，中國(guó)電信已經(jīng)在合肥、雄安、上海等重點(diǎn)城市基本建成量子城域網(wǎng)。

與此同時(shí)，量子密鑰分發(fā)骨干網(wǎng)也在緊鑼密鼓的建設(shè)中。據(jù)了解，目前中國(guó)已建成總里程超過(guò)12000公里的量子密鑰分發(fā)骨干網(wǎng)，覆蓋京津冀、長(zhǎng)三角、粵港澳、成渝等重要區(qū)域，并結(jié)合“墨子號(hào)”“濟(jì)南一號(hào)”量子通信衛(wèi)星等形成天地一體化的廣域量子密鑰分發(fā)網(wǎng)絡(luò)。

“QKD的標(biāo)準(zhǔn)也正在不斷推進(jìn)，國(guó)際標(biāo)準(zhǔn)化組織ISEN、歐洲標(biāo)準(zhǔn)協(xié)會(huì)ETSI、中國(guó)密碼行業(yè)標(biāo)準(zhǔn)化技術(shù)委員會(huì)以及中國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì)，都在推進(jìn)標(biāo)準(zhǔn)化工作。”量子科技產(chǎn)學(xué)研創(chuàng)新聯(lián)盟副秘書(shū)長(zhǎng)、中國(guó)信息協(xié)會(huì)量子信息分會(huì)會(huì)長(zhǎng)趙勇曾在上半年舉行的智算云生態(tài)大會(huì)·量子信息論壇上表示。

全球范圍內(nèi)，中國(guó)企業(yè)在QKD標(biāo)準(zhǔn)制定上已經(jīng)先行一步。2024年3月4日至15日舉行的國(guó)際電信聯(lián)盟電信標(biāo)準(zhǔn)部門(mén)第13研究組全體會(huì)議上，由中國(guó)電信研究院牽頭的國(guó)際標(biāo)準(zhǔn)立項(xiàng)提案“量子密鑰分發(fā)網(wǎng)絡(luò)——服務(wù)感知框架”獲批新立項(xiàng)。同時(shí)，中國(guó)電信研究院與信通院和北京郵電大學(xué)聯(lián)合牽頭的國(guó)際標(biāo)準(zhǔn)立項(xiàng)提案“量子密鑰分發(fā)與IPSec集成框架”和“量子密鑰分發(fā)網(wǎng)絡(luò)——自主服務(wù)質(zhì)量保證的功能架構(gòu)”獲批新立項(xiàng)。

7月，世界三大國(guó)際標(biāo)準(zhǔn)化組織之一的國(guó)際電信聯(lián)盟（ITU）批準(zhǔn)通過(guò)了《量子密鑰分發(fā)節(jié)點(diǎn)保護(hù)的安全要求》國(guó)際標(biāo)準(zhǔn)，這是全球首個(gè)系統(tǒng)性規(guī)范關(guān)于可信中繼節(jié)點(diǎn)安全實(shí)施部署方面的國(guó)際標(biāo)準(zhǔn)，可為量子保密通信網(wǎng)絡(luò)節(jié)點(diǎn)的安全實(shí)施和操作提供指導(dǎo)，標(biāo)準(zhǔn)由國(guó)科量子牽頭，聯(lián)合國(guó)盾量子、新加坡國(guó)立大學(xué)共同制定。

雙劍合璧

向量子攻擊“亮盾”

“當(dāng)然，最安全的方案還是PQC+QKD，而中電信量子是目前國(guó)內(nèi)唯一一家‘雙劍合璧’的企業(yè)。”上述密碼技術(shù)專(zhuān)家表示。

在實(shí)際應(yīng)用中，PQC和QKD往往適用于不同的場(chǎng)景。作為一種密碼算法，PQC可分成兩大應(yīng)用：一是密鑰協(xié)商，用于保護(hù)數(shù)據(jù)信息安全，二是數(shù)字簽名，用于身份認(rèn)證，QKD則側(cè)重于通信過(guò)程中的數(shù)據(jù)加密。

對(duì)于兩種方式的利弊，國(guó)際上的基本共識(shí)是：QKD具有長(zhǎng)效安全性，但缺少認(rèn)證手段、應(yīng)用成本相對(duì)較高；PQC具有功能和應(yīng)用體系與傳統(tǒng)密碼兼容的優(yōu)勢(shì)，但缺少安全性證明。

美國(guó)電氣電子工程師學(xué)會(huì)IEEE Spectrum便曾發(fā)文表示，PQC不一定能提供QKD所承諾的堅(jiān)不可摧的“量子安全性”，目前尚不能判斷QKD和PQC兩種不同的“量子安全”技術(shù)誰(shuí)是贏家。

面對(duì)迫在眉睫的Q-Day，QKD和PQC的混合是量子安全網(wǎng)絡(luò)最有可能的解決方案。

早在2021年5月，國(guó)盾量子、中國(guó)科大、國(guó)科量子、濟(jì)南量子院與上海交大等單位組成的聯(lián)合團(tuán)隊(duì)便完成了國(guó)際首次量子密鑰分發(fā)（QKD）和后量子密碼（PQC）融合可用性的現(xiàn)網(wǎng)驗(yàn)證。

在量子技術(shù)與密碼技術(shù)融合發(fā)展方面，分為兩個(gè)層面，一是技術(shù)層面的融合：量子密鑰分發(fā)（QKD）和后量子密碼（PQC）的結(jié)合，可以充分發(fā)揮兩者的優(yōu)勢(shì)，提升網(wǎng)絡(luò)系統(tǒng)的安全性和可靠性。通過(guò)研發(fā)自主可控的PQC算法、協(xié)議在QKD網(wǎng)絡(luò)中進(jìn)行設(shè)備間的身份認(rèn)證，簡(jiǎn)化了密鑰管理并提高了網(wǎng)絡(luò)的操作效率；二是產(chǎn)品層面的融合，體現(xiàn)為密碼設(shè)備和密碼系統(tǒng)的開(kāi)發(fā)，這些密碼設(shè)備和系統(tǒng)可同時(shí)兼容QKD與PQC。

如今，中電信量子推出的量子安全商用密碼改造方案（量子密改），包括了一套創(chuàng)新性的分布式密碼系統(tǒng)架構(gòu)，該架構(gòu)融合了量子密鑰分發(fā)（QKD）網(wǎng)絡(luò)、國(guó)內(nèi)自研的多種PQC算法和密鑰管理系統(tǒng)，首次將量子密碼、后量子密碼與商用密碼完美結(jié)合，是國(guó)內(nèi)首創(chuàng)的抗量子攻擊融合方案。

如果在京滬間傳輸機(jī)密文件，一條“完美”的安全鏈路是這樣的：基于PQC的數(shù)字簽名可以對(duì)文件的電子簽名進(jìn)行“真實(shí)性”和“不可否認(rèn)性”的確認(rèn)，然后再通過(guò)QKD實(shí)現(xiàn)用戶(hù)側(cè)密鑰分發(fā)，從而確認(rèn)其傳輸過(guò)程的機(jī)密性。

在此過(guò)程中，安全認(rèn)證網(wǎng)關(guān)產(chǎn)品通過(guò)QKD獲取量子密鑰實(shí)現(xiàn)端到端加密通信，同時(shí)可通過(guò)PQC算法協(xié)商密鑰進(jìn)行安全通信；服務(wù)器密碼機(jī)產(chǎn)品既能存儲(chǔ)和使用QKD分發(fā)的量子密鑰，也可以通過(guò)PQC算法為應(yīng)用系統(tǒng)提供身份認(rèn)證、簽名驗(yàn)簽等密碼服務(wù)；密碼服務(wù)系統(tǒng)則融合了QKD網(wǎng)絡(luò)的分布式部署能力，可進(jìn)行跨域密碼協(xié)商和分發(fā)，并為應(yīng)用提供全面的PQC算法服務(wù)。

“從硬件到軟件，我們都是100%自主研發(fā)。”上述密碼技術(shù)專(zhuān)家認(rèn)為，從傳統(tǒng)商用密碼的發(fā)展歷程來(lái)看，今后中國(guó)的量子商用密碼體系一定仍然堅(jiān)持自主創(chuàng)新路線(xiàn)，目前，中電信量子的密改核心產(chǎn)品實(shí)現(xiàn)了“物理和環(huán)境安全”“網(wǎng)絡(luò)和通信安全”“設(shè)備和計(jì)算安全”“應(yīng)用和數(shù)據(jù)安全”密評(píng)四大技術(shù)領(lǐng)域要求全覆蓋，提供一站式密碼改造、測(cè)評(píng)迎檢服務(wù)能力，且全部設(shè)備和算法均為國(guó)產(chǎn)自主研發(fā)。

面對(duì)Q-Day，中國(guó)正在筑起堅(jiān)盾。