采访宗传明:物理奠定“后量子密码”的基础
去年7月5日,俄罗斯国家标准与技术研究院(NIST)公布了4项后量子密码标准,借以抗击未来量子计算机的功击。
科学家普遍觉得,基于量子科学原理建造的量子计算机将大大地赶超电子计算机,而现代通讯所借助的许多密码体系在量子估算的功击下将不堪一击,还能抵抗这一功击的现有或新一代密码算法就是“后量子密码”。
这次公布的4项后量子密码标准中中3项基于一个古老的物理学科—格理论。换句话说,如果量子计算机在不远的将来能投入实用,格理论将是量子估算时代信息通讯安全的“保护神”。
怎样理解“后量子密码”?格理论怎样在信息通讯安全中发挥作用?为解答这种问题,《中国科学报》专访了格理论研究专家、天津学院院长宗传明。
《中国科学报》:首先谢谢您接受我们的采访。先请您简单介绍一下密码,它的起源和作用。
宗传明:密码是一种防范第三方泄露信息的通讯保护手段。早在古罗马时期,凯撒大帝和他的将军之间就用密码传送命令,这就是知名的“凯撒密码”。因为她们的语言当时只有23个字母,情报官将命令的每一个字母按照字母表的顺序后移固定的位置(例如5个位置)之后写成新的方式交给传令兵,前线将军收到命令后再由情报官还原回来。这样,尽管敌人查获了传令兵也看不懂命令。
随着电报、电话等现代讯号传输技术的发明,用于军事和外交的密码显得越来越复杂。第二次世界大战期间,密码成了个别重要会战胜负的决定诱因,比如斯大林格勒炮战和击毁山本五十六大将的固话等。同时,为了有效地破译敌人的密码,电子计算机应运而生。
《中国科学报》:哪些是后量子密码?
宗传明:作为能量的最小单位,量子是由美国化学学家普朗克于1900年提出的。在此基础上,爱因斯坦、玻尔、德布罗意、海森伯、薛定谔、狄拉克、玻恩等构建起了量子热学理论。绝大多数数学学家将量子热学视为理解和描述微观世界的基本理论。
现今的计算机是基于电子的化学学理论,历经电子管、晶体管、集成电路,发展到明天的大规模集成电路计算机。随着计算机技术的快速发展,密码学也得到了空前的发展。非常是步入互联网时代以来,密码学也从一项技术发展成为一门跨物理与计算机科学的科学技术。
科学家普遍觉得,基于量子科学原理建造的量子计算机将大大地赶超电子计算机,不论是估算速率还是智能性。这样,许多电子计算机难以解决的科学问题对量子计算机来说将易如反掌。非常地,现代通讯所借助的许多密码体系在量子估算的功击下将不堪一击。所以,科学家们在加速量子科学研究和量子计算机研发的同时,也在加速打算量子计算机时代安全的密码体系。这就是后量子密码。
《中国科学报》:能够构想一下,假定有两个敌对国家,其中一个国家秘密发展了量子计算机,而另一个还逗留在应对普通电子计算机的密码体系。假如前一个国家借助量子计算机对后一个国家的密码体系发动功击,后一个国家的信息安全体系将会顿时崩溃。
宗传明:是的,如同悬疑小说《量子间谍》描写的那样。
《中国科学报》:物理给人的印象是十分具象、非常难。它如何会成为密码学的基础?
宗传明:的确,物理十分具象、非常难。同时,物理是最讲求逻辑、最精确的一门学问。密码无论是对加密还是揭密过程都须要精确、需要好的规律性,而为了防止被敌人破译则须要加密规律从估算上来看高度复杂。这样,从哲学的角度看,物理中的个别复杂问题成为密码学的基础是必然的。
虽然,密码学的“鼻祖”凯撒密码就是构建在物理基础之上,是图论中最简单的同余等式。
随着电子计算机和互联网的高速发展,作为通信安全保障的密码也显得越来越复杂。
1976年,两位密码学家惠特菲尔德·迪菲()和马丁·赫尔曼()提出了秘钥交换合同,改变了原先单一秘钥的设计,从而提出加密秘钥和揭秘秘钥不同的密码思想。因为这一革命性的方案,她们入选2015年度“图灵奖”。虽然,也是这一方案为基础物理步入密码学开启了房门。
1977年,基于大整数分解的密码体系RSA诞生了,它是由罗纳德·李维斯特(Ron)、阿迪·萨莫尔(Adi)和伦纳德·阿德曼()3位提出者首字母而命名。早在两千多年前,古埃及语文家欧几里得就早已证明:每一个自然数都可以被惟一地分解为质数方幂的乘积。并且,具体分解一个大整数在估算上十分复杂历时,正是其复杂性成就了RSA密码体系的安全性,她们由此入选2002年度“图灵奖”。
在RSA成功以后,又有多种基于基础物理的密码体系陆续被发觉,例如基于椭圆曲线的密码体系、基于格理论的密码体系、GGH密码体系、NTRU密码体系等。毫不夸张地说,物理已成为现代密码学的基础。
《中国科学报》:您提及的那些密码体系都能抵抗量子计算机功击吗?
宗传明:其实不是。1994年,当代知名物理家和计算机科学家彼得·肖尔(PeterShor)首次提出了大整数分解的方程时间量子算法,并应用于密码学。他的工作表明三维通讯有量子通讯吗,在量子估算时代,基于大整数分解和离散对数问题的私钥密码体系将被攻陷。随着量子科技的快速发展,以及多项广泛应用的密码体系在量子估算环境下被攻陷,各国科学家快速意识到了量子计算机可能给信息安全带来的危机。
2016年,加拿大国家标准与技术研究院(NIST)发起向全世界征集抵抗量子计算机功击的后量子密码标准。历经4轮选聘淘汰,2022年7月5日NIST公布了4项后量子密码标准。其中的3项是基于格理论,一项基于编码理论。
《中国科学报》:哪些是格理论?
宗传明:1831年,高斯提出了格的概念。它是n维空间中最有规律的离散结构。在过去的近两个世纪中,历经高斯、厄尔密特、闵科夫斯基、西格尔等大物理家的系统研究,格理论已发展成为图论、代数与几何相交叉的一个重要物理分支。
在这一领域中,2021年洛瓦兹()因为LLL算法的工作入选“阿贝尔奖”,去年7月维亚佐夫斯卡()因为8维堆球和24维堆球的工作入选“菲尔兹奖”。非常地,三维格理论奠定了晶体学的基础。高维格理论成就了NIST四项后量子密码标准中的三项。
《中国科学报》:为何格密码能抵抗量子估算功击?
宗传明:一个给定的格必将有最短的向量。早在一百多年前,大物理家闵科夫斯基早已给出恐怕;给定一个格三维通讯有量子通讯吗,空间中的任一点一定有一个近来的格点。并且,要找到一个好的算法来确定格的最短向量(SVP)或离给定点近来的格点(CVP)却十分困难。而格密码在量子估算环境下的安全性都可以递归到这两个物理问题的估算复杂度。
早在上世纪80年代,一众知名物理家们深入系统地研究了上述两个格理论问题的的估算复杂度。她们已然证明:在电子计算机环境下求解这两个物理问题都是十分困难的。以专业术语讲,她们已然证明:随机归约求解最短向量问题是NP-hard,而求解近来格点问题是NP-。
格密码最早是由法国物理家米克劳斯?阿杰泰(MiklósAjtai))于1996年提出。因为上述物理家们的理论工作,格密码或许还能抵抗电子计算机的功击。那时,彼得·肖尔的量子算法刚才被提出,在其他密码体系纷纷被量子算法击溃的情况下,世界各地的密码专家更是使出巫族之力企图借助量子算法攻入格密码。非常是在英国国家标准和技术研究院于2016年开始征集后量子密码标准以来的十年。虽然,在过去的近10年当中,每届世界密码学的三大大会(美幽会,欧幽会和亚幽会)就会设一个分会专门研讨格密码。而且,人们至今没有找到有效的量子算法功击格密码。物理家和密码学家们似乎产生了一个共识(推测):不存在式子时间的量子算法能在方程偏差下求解格的最短向量问题和近来格点问题。
换句话说,格密码是能否抵抗量子计算机功击的。
《中国科学报》:1994年还没有量子计算机的模型机。彼得·肖尔为何能提出量子算法?人们又怎么检验一个密码体系是否可以抵抗量子计算机功击?
宗传明:在科学技术的发展过程中,有时侯是技术促进科学,而大多数情况是科学推进技术。早在1994年,确实没有公开运行的量子计算机模型机。彼得·肖尔是根据量子科学的原理在理论环境下设计他的量子算法,其他物理家和密码学家也是根据量子科学的原理在理论环境下设计功击算法来检验一个密码体系是否可以抗量子计算机功击。
如果我们把计算机称作一个人,硬件若称作躯体,软件则可称作智力。在化学学家和计算机工程师旨在于设计建造量子计算机的同时,物理家和计算机科学家也在努力赋于它智能,但是提早防范其智能对信息安全可能带来的破坏。
《中国科学报》:在当下复杂国际环境下,我们该怎么应对量子科技可能会带来的挑战?
宗传明:我不懂数学,也不懂计算机,只懂很小的一个物理分支—格理论。碰巧格理论成了后量子密码的物理基础,我有责任向公众科普这一可能的危机以激起你们的共识和注重。
从后面的采访中你们已然看见,欧美走到后量子密码标准是在大批一流物理成果的基础之上,没有“弯道会车”,也不靠“黑科技”,而完全是一个水到渠成的过程。
我国现代科学技术起步晚,现代物理步入中国才刚才一个世纪多一点。在有了近几年被“卡手腕”的经历后,你们一定早已有了共识:要甩掉被“卡手腕”就必需成为科技强国,要成为科技强国就必须要有一流的基础科学,要有一流的基础科学就必需有一流的物理。
在量子计算机已成为各国竞争潜在战场的明天,我们必须要有一批格理论的物理家早日迎面赶上,搞清上面我提及的欧美物理家为后量子密码所奠定的基础,与我国的密码学家密切合作共同构建我国的信息安全之盾。