量子计算机运行能够快速破解加密的算法

未来的量子计算机可能会迅速突破现代密码学。现在研究人员发现，一种设计用于保护计算机免受这些高级攻击的有前途的算法可能在4分钟内即被破坏。问题是，这4分钟的时间还不是由现如今的尖端机器完成的，而是由一台使用了10年的普通台式计算机实现的。研究人员说，这一最新的令人惊讶的失败凸显了后量子密码术在采用前需要清除的许多障碍。

理论上，量子计算机可以快速解决问题，而经典计算机可能需要更多难以预测的时间才能解决。例如，许多现代密码学依赖于经典计算机在处理数学问题时所面临了极端困难，如分解大量数字。然而，量子计算机原则上可以运行能够快速破解这种加密的算法。

为了在这一量子威胁面前保持领先，世界各地的密码学家在过去二十年中一直在设计后量子密码（postquantum cryptography，PQC）算法。这些都是基于量子和经典计算机都难以解决的新数学问题。

多年来，国家标准与技术研究所（NIST）等组织的研究人员一直在研究哪些PQC算法应该成为世界应该采用的新标准。NIST于2016年宣布正在寻找候选PQC算法，并于2017年收到82份提交。7月，经过三轮审查后，NIST宣布四种算法将成为标准，另外四种算法被认定为是候补选手，将进入下一轮的筛选。

现在，一项新的研究揭示了一种方法，可以完全打破这些被审查的竞争者之一SIKE，微软、亚马逊、Cloudflare和其他公司已经对此进行了调查。要知道，他们破解的算法SIKE一直以来都被寄予厚望，过去12年都无人破解。密歇根大学安娜堡分校的密码学家Christopher Peikert有参与这项新的研究，他说：“这是突然发生的，是一颗银弹。”

SIKE （Supersingular Isogeny Key Encapsulation） 是一种涉及椭圆曲线的PQC（后量子计算）算法。NIST的数学家Dustin Moody说：“椭圆曲线在数学中已经研究了很长时间了。它们由方程y2=x3+Ax+B描述，其中A和B是数字。例如，椭圆曲线可以是y2=x3+3x+2。”

在1985年，“数学家们找到了一种方法来制作涉及椭圆曲线的密码系统，这些系统已经被广泛应用，”Moody说，“然而，这些椭圆曲线密码系统很容易受到量子计算机的攻击。”

大约在2010年，研究人员发现了一种在密码中使用椭圆曲线的新方法。Moody说：“人们相信这一新想法不会受到量子计算机的攻击。” 这种新方法是基于如何在椭圆曲线上添加两个点，以获得椭圆曲线上的另一个点。“同构”是从一条椭圆曲线到另一条保持该加法定律的椭圆曲线的映射。

“如果你把这张地图弄得足够复杂，那么可以对数据进行加密的推测难题是，给定两条椭圆曲线，很难找到它们之间的同构关系，”该研究的合著者、比利时库鲁汶的数学密码学家Thomas Decru如此表示。

SIKE是一种基于超奇异同根Diffie-Hellman（SIDH）密钥交换协议的同根密码学。“SIDH/SIKE是第一个实用的基于同构的密码协议，”Decru说。

然而，SIKE的一个弱点是，为了使其工作，它需要向公众提供额外的信息，称为辅助扭转点。Moody说：“攻击者试图利用这些额外信息已有一段时间，但未能成功地利用这些信息来破坏SIKE。然而，这篇新论文找到了一种方法，使用了一些相当先进的数学方法。”

为了解释这种新的攻击，Decru说，尽管椭圆曲线是一维对象，但在数学上，椭圆曲线可以被视为二维或任意其他维度的对象。也可以在这些广义对象之间创建同构。

通过应用一个已有25年历史的定理，新的攻击利用了SIKE公开的额外信息来构造二维同构。然后，这种同构可以重构SIKE用来加密消息的密钥。Decru和研究资深作者Wouter Castryck于8月5日在Cryptology ePrint Archive中详细介绍了他们的发现。

马里兰大学帕克分校的密码学家Jonathan Katz说：“对我来说，最令人惊讶的是，这次攻击似乎是无缘无故的。之前很少有结果显示SIKE存在任何弱点，然后突然出现了一个完全破坏性的攻击，即它找到了整个密钥，并且在没有任何量子计算的情况下相对快速地完成了。”

使用基于这种新攻击的算法，研究人员发现，一台使用了10年的Intel台式机需要4分钟就找到了由SIKE保护的密钥。

“通常，当一个提出的密码系统受到严重攻击时，这发生在系统被提出后，或开始引起注意后，或随着时间的推移，研究结果的进展，或不是完全破坏，而是系统的显著削弱。在这种情况下，我们没有看到任何情况，”Peikert说，“对SIDH/SIKE的袭击从最初提出SIDH以来的11年到12年中基本上没有进展，直到完全中断。”

尽管研究人员对SIKE进行了十多年的测试，“SIKE未被选为标准化的原因之一是人们担心它太新，研究不够，”新西兰奥克兰大学的数学家Steven Galbraith说（他没有参与这项新工作），“人们自然会担心可能仍旧存在重大袭击有待发现 —— 他们是对的。”

到目前为止，SIKE的漏洞尚未被检测到的一个原因是，新的攻击“应用了非常先进的数学——“我想不出还有哪种情况下，与被破坏的系统相比，攻击使用了如此深入的数学，”Galbraith说。Katz对此表示赞同，他说：“我怀疑世界上只有不到50个人理解基本的数学和必要的密码术。”

此外，加州帕洛阿尔托PQC初创公司Sandbox AQ的密码学家David Joseph说，同族基因“从实现和理论角度来看都是出了名的‘困难’（他没有参与这项新工作）。“这使得更可能的是，根本性缺陷在竞争中持续到很晚才被发现。”

“We proposed a system， which everyone agrees seemed like a good idea at the time， and after subsequent analysis someone is able to find a break. It is unusual that it took 10 years， but otherwise nothing to see here.”

—David Jao， University of Waterloo

此外，“需要注意的是，在前几轮中有更多的算法，密码分析的传播更为稀疏，而在过去几年中，研究人员能够专注于较小的一批算法，”Joseph说。

SIKE的共同发明人、加拿大滑铁卢大学教授David Jao表示，“我认为这项新成果是一项伟大的工作，我对作者给予了最高的赞扬。”他说，“起初，我对SKIE被宣告无效感到难过，因为这是一个数学上的方案，但新发现只是反映了科学是如何运作的。我们提出了一个系统，当时每个人都认为这是一个好主意，在随后的分析之后，有人能够找到一个突破。这是不寻常的，它花了10年，但除正常的进展过程外，这里什么都看不到。”

此外，Jao说，“现在打破SIKE比在一些假设的替代世界中要好得多，在这个世界中，SIKE被广泛部署，每个人都会在它被打破之前依赖它。”

BREAKS IN THE SYSTEM

SIKE是今年第二位被破解的NIST PQC候选人。二月份，苏黎世IBM研究中心的密码学家Ward Beullens透露，他可以在周末用笔记本电脑破解第三轮候选人Rainbow。“因此，这表明所有PQC方案仍需要进一步研究，”Katz说。

指出，尽管如此，这些新发现打破了SIKE，但没有打破其他基于同构的密码系统，如CSIDH或SQIsign。“来自外部的人可能认为基于同构的密码术已经死了，但这远非事实，”Decru说，“如果你问我的话，还有很多需要研究。”

此外，这项新工作也可能不会以某种方式反映NIST的PQC研究。SIKE是NIST收到的82份提交文件中唯一基于同构的密码系统。Decru说，同样，Rainbow是这些提交文件中唯一的多元算法。

Galbraith说，NIST正在采用的其他设计作为标准或已进入NIST第四轮的设计“基于数学思想，密码学家的研究和分析记录更长。这并不能保证他们一定是安全的，但这只是意味着他们经受了更长时间的攻击。”

Moody同意这一观点，并指出“总是会发现一些惊人的突破性结果，打破密码系统。我们无法绝对保证任何密码系统的安全性。我们能说的最好的是，经过许多聪明人的大量研究，没有人在密码系统中发现任何裂缝”。

Moody表示：“我们的程序设计为允许攻击和中断。我们在每一轮评估中都看到了它们。这是获得对安全的信心的唯一途径。”Galbraith表示同意，并指出这种研究“正在进行”。

尽管如此，“我觉得Rainbow和SIKE的结合会让更多人认真考虑为NIST后量子标准化过程中出现的任何赢家制定一个后备计划，”Decru说，“仅仅依靠一个数学概念或方案可能太危险。这也是NIST自己认为的。他们的主要方案很可能是基于晶格的，但他们需要非晶格备份。”

Decru指出，其他研究人员已经在开发SIDH/SIKE的新版本，他们认为可能会阻止这种新的攻击。Decru说：“我预计接下来会有更多这样的结果，人们试图修补SIDH/SIKE，并改进我们的攻击。”

总而言之，这一新攻击的起点是一个“与密码学完全无关”的定理，这一事实也表明了“为了理解密码系统，纯数学基础研究的重要性，”Galbraith说。

Decru同意这一观点，并指出“在数学中，不是所有的东西都能立即适用。有些东西几乎肯定永远不会适用于任何现实生活中的情况。但这并不意味着我们不应该让研究不时转向这些更模糊的话题。”