现代公钥密码作为通信安全的基石,为我们的日常生活交流、金融交易和商业安全提供了坚实的保护。然而,随着量子计算技术的飞速发展,尤其是量子计算机的出现,传统安全加密体系正面临被颠覆的风险,现有商用密码技术体系亟需革新。在这一背景下,抗量子密码技术(PQC)立足于全球密码学界和产业界广泛认可的复杂数学难题,提供了一种新的安全解决方案。
此次系列访谈,安全419将走近多家国内商用密码领域的头部企业,关注他们的洞见和行动,与之探讨抗量子密码的前沿发展,并了解相关的量子安全解决方案和系列产品,为行业发展提供参考与借鉴。
吉大正元以密码技术为核心,开展信息安全软件的研发、生产和销售及服务,面向政府、军工、金融、能源、电信等重点行业和领域提供基于密码的可信身份认证及可信数据保障等多层次、全方位的综合性安全解决方案。企业近年来聚焦于量子计算、抗量子密码方面的前沿探索且多有建树。
本期,安全419采访到了吉大正元研究院副院长李武璐,深入了解吉大正元在抗量子密码领域的深刻见解与实际行动。
量子计算重塑密码体系 进入抗量子密码迁移时代
李武璐表示,量子计算是以量子力学为基础,利用费曼量子计算模型,借助量子计算机为载体,实现远超经典计算能力的计算技术。量子计算对现有通信方式、加密手段、认证模式产生长远影响。虽然当前实用化的通用量子计算机仍未面世,但是以量子为基础信息载体的通信与计算方式将随着量子计算机的实用化而得到快速发展,未来量子通信有可能替代现有的信息通信与网络媒介,这对产业界会带来长远的影响。
其中,Shor、Grover等量子算法可在多项式时间内求解离散对数和整数分解问题,对现有以RSA、椭圆曲线为核心的公钥密码体系构成严重威胁。量子计算的强大计算能力动摇了基于整数因式分解和离散对数等数学问题的传统PKI基础,身份认证、安全通信等关键领域面临严峻风险,对电子政务、电子商务、互联网、支付、办公以及娱乐等各行各业的方方面面产生深远影响。他指出,研究并替换为能够抵抗量子计算攻击的密码算法与协议刻不容缓,为此世界各国已经陆续开展抗量子算法征集以及抗量子密码迁移工作,预计将在2030年前后完成主要的迁移工作。
内力比拼新赛道 技术实现需持续试点探索
抗量子密码技术发展和成熟将带来新一轮的产品需求与商机,对于密码和安全厂商而言,也面临革命性的机遇和挑战。吉大正元认为,一方面,伴随着国家密码体系的抗量子迁移替换工作,各行各业使用的密码产品与服务将面临更新换代,对厂商来说,除了新的订单机会之外,还可以借此机会完成技术升级与转型。另一方面,由于抗量子密码技术路线多样,实现机理差异性较大,性能优化难度较高,这对于厂商而言意味着更高的研发成本与投入,也是各厂商比拼内力的新赛道。
由于密码领域的特殊性,在当前国家抗量子算法商密标准、产品标准和检测标准仍未公布的背景下,社会各界对抗量子密码的使用仍处于探索与试点阶段,在生产环境和重要业务中使用抗量子密码算法的普及程度较低。此外,一些新型密码技术,例如全同态加密、属性加密、零知识证明等,也是基于格等抗量子密码底层困难问题而设计实现的,在一些数据要素安全计算、访问控制等场景中有一定的试点案例。
依托自身优势 开拓抗量子密码技术革新与生态合作
李武璐表示,吉大正元以数字密码技术做为立足之本,深耕PKI和电子认证领域多年,在国内积累了广泛了客户资源和应用场景,在2018年前后就已布局抗量子密码研究与实现,跟踪国际算法征集与标准化进程。
其研发团队围绕抗量子密码的设计、分析、实现、产品化开展工作,多次参与密标委密码算法标准研究与制定课题工作,精通基于格、多变元、哈希等抗量子密码技术路线,已经为特定领域算法征集设计了多个原创抗量子算法。除了已公开专利的哈希签名算法之外,吉大正元在格密码路线上也设计了多个原创算法,利用可变误差分布、随机化截断等创新技术,兼顾性能与安全性,相关技术将在未来发布。
吉大正元在抗量子混合证书、多层安全抗量子认证技术、高性能抗量子隐私计算等方面进行了深入研究与探索,已经实现了与传统证书格式兼容的抗量子混合证书签发与认证功能,实现了多算法多签名的高安全证书认证机制,在自研“元安全”隐私计算平台上实现了抗量子隐私求交、隐私查询等自研算法协议。
在抗量子电子认证体系迁移替换方面,吉大正元拥有成型产品,已经在抗量子混合证书设计、根CA-运营CA分层安全架构、电子认证统一监控等方面设计和开发出了原型系统,正在积极申请“十四五”国家重点研发计划“网络空间安全治理”重点专项。
此外,丰富的安全合作生态圈也为吉大正元产品的安全性提供坚实的技术基础。企业与吉林大学、中科院软件所、中科院信工所、北航、北理工、西电等高校院所长期保持深度交流与合作,通过联合项目等途径在抗量子密码的设计、分析、实现等方面已经启动了多个课题合作,取得了一系列高价值成果。
抗量子PKI解决方案:构筑五大领域的安全基石
量子计算的崛起威胁着广泛采用的安全协议和算法,使得数字信任的未来变得岌岌可危。在云计算基础设施的普及、全球互联的加深以及在线服务的扩展背景下,对公钥基础设施(PKI)管理的需求日益迫切。PKI在确立数字通信和交易的信任中扮演着关键角色。然而,随着量子计算技术的持续进步,因PKI管理不善而引发的风险或将扩大。
在这一方面,吉大正元聚焦五大性能。一是高安全性,即抗量子算法强度可抵御量子计算攻击;二是高可靠性,即在量子计算的攻击下保持稳定可靠;三是高兼容性,可全面兼容传统PKI使用方式和习惯;四是灵活性,可支持多种抗量子算法并根据需求选用;五是合规性,可保持传统PKI原有的商密合规性。
为此,吉大正元推出抗量子PKI解决方案,在泛安全、安全物联网、安全互联网、安全电子商务、安全电子政务等五个主要领域配备相应能力。
·泛安全将安全融入应用,面向应用场景、中小企业和个人提供泛安全服务;
·安全物联网可解决抗量子时代下物联网设备的安全身份认证和端到端安全通讯;
·安全互联网可解决抗量子时代下互联网站点身份的真实性,以及站点与客户端之间的数据加密传输安全问题;
·安全电子商务可解决抗量子时代下电子商务中身份的真实性、数据的保密性、交易的不可抵赖性;
·安全电子政务可解决抗量子时代下电子政务内、外网之间,以及内、外网内部的信息安全问题。
在此基础上,吉大正元开发研制了量子安全签名服务、量子安全身份认证网关以及量子安全密码服务平台。目前,已经应用于政企场景、安全视频视景和政务云场景等。
李武璐为我们透露,正元新一代量子安全密码产品已经完成了统筹规划,拟在未来两年实现PKI、密管、签名、网关等密码产品具备量子随机数以及抗量子密码能力。其中,签名、网关产品已经完成第一阶段研制工作;量子安全PKI、密管产品的第一阶段研制工作也将于近期完成;即将推出基于超融合、抗量子与虚拟化技术的“元密一体机”,内置管理系统和集成云密码卡,实现计算、网络及密码资源的全面虚拟化,为业务系统提供独立、可扩展的密码服务。单设备即可覆盖数字签名、加密解密、电子签章等全功能。
尾声
机遇总是与挑战并行,量子计算对现有的加密算法构成巨大挑战,可能彻底颠覆传统的网络安全体系,迫使全球重新思考和构建信息安全架构。网安行业的各家厂商持续探索,推动抗量子密码技术从理论走向实践。通过在不同行业和场景中进行试点,为未来的规模部署和迁移打下坚实基础。