網絡安全在保障數字通信和服務方面扮演著重要角色。2023年7月17日,歐洲政策中心(European Policy Centre)發布《歐洲量子網絡安全議程》,文件指出量子計算的快速發展為網絡安全帶來了一系列新的挑戰,并就歐盟如何加強應對量子網絡安全風險提出政策建議。元戰略摘編文件重要內容,探討未來量子計算對網絡安全的影響。
一、量子計算為網絡安全帶來的挑戰
量子計算機利用量子力學對數字信息進行編碼和運算,其特性使得量子計算機與經典計算機的工作方式不同,這為網絡安全帶來了一系列新挑戰,其中最緊迫的問題直接影響了在線信息的安全傳輸和使用。加密是保障數字通信安全的基礎,從網頁搜索到敏感情報,在加密過程中,數學算法對信息進行編碼,確保通信僅在授權的各方之間進行,并確保信息的保密性、完整性和可用性。研究表明,到2026年,量子計算機將有14%的幾率破解最常用的加密系統,到2031年這一幾率將高達50%,并且有中國學者在2023年初發表的研究表明,這種情況可能會更早發生。
利用量子計算機可以對加密技術進行網絡攻擊,解碼加密信息,干擾通信,并在未經許可的情況下訪問網絡和信息系統,從而打開了竊取和分享機密信息的大門。網絡犯罪分子和地緣政治對手正爭相獲取目前無法讀取的敏感加密信息,一旦量子計算機可用,這些敏感的加密信息就會被解碼。這類網絡攻擊已經對歐洲的網絡安全構成風險。在比利時,根據不同的保密級別,保密文件需要遵循20年、30年和50年的解密期限。在法國,保密文件通常在50年后可公開訪問,其他歐盟國家也有類似的例子。然而,在保密文件可公開訪問之前,敵對方最快可能在7年內就可以使用量子計算機竊取、閱讀和傳播保密信息。
密碼學攻擊還會對歐洲經濟以及各國公司的競爭力造成負面影響。隨著密碼學攻擊日益頻繁,量子計算機將增加知識產權盜竊或數據泄露的可能性,而負責關鍵基礎設施的公司(如交通、能源分配系統或通信等領域)將更加容易受到攻擊。僅修復2020年SolarWinds網絡攻擊的漏洞就會給全球經濟造成高達1000億美元的損失。
二、美國和歐盟管理量子轉型的做法
在各國為量子計算機準備網絡安全架構的過程中,人們對哪種技術能夠更好地保護信息安全仍持有疑問。迄今為止,最有前景的兩種技術是量子密鑰分發(Quantum Key Distribution,QKD)和后量子加密(Post-quantum Cryptography,PQC),兩者各有優缺點。
量子密鑰分發使參與雙方可以基于量子物理學建立一個安全的通信渠道。由于量子比特(qubits)的特性,共享數據是無法復制的,這在通信過程中可保護信息不被竊取。此外,通信渠道中的任何干擾都會被參與雙方察覺,從而決定立即停止通信,這在防止第三方“監聽”對話方面提供了獨特的優勢。然而,雖然可以檢測到竊聽行為,但量子密鑰分發需要預先共享加密密鑰,這可能會帶來身份驗證問題,未經授權的第三方可能會冒充其中一方的身份。量子密鑰分發需要特定的基礎設施,這增加了轉型的時間和成本,且由于其對竊聽的敏感性可能會增加拒絕服務(DoS)網絡攻擊的風險。此外,廣泛采用量子密鑰分發還面臨多重挑戰,比如通信距離的限制(目前很難超過200公里),需要使用可信節點來解決這個問題。由于這些原因,雖然量子密鑰分發的應用前景廣闊,從長遠來看可以增加價值,但人們普遍認為其仍處于發展的早期階段。
相較于量子密鑰分發,后量子加密是一個更成熟的領域,但也存在理論和實踐上的挑戰。后量子加密是一組具有量子抵抗性的加密算法,這些算法可在經典硬件上運行,其部署速度更快、成本更低,因此僅需更新少量的軟件即可實現。然而,后量子加密協議與當前的加密系統存在相同的漏洞,而技術進步可以實現對這些算法的追溯解密。目前還沒有證據表明,其他解密算法是否會破解目前正在開發的后量子加密技術。
目前美國引領著后量子網絡安全的轉型,其中后量子加密技術將起主導作用。
2016年,美國國家標準與技術研究所(NIST)意識到量子計算的快速發展及其對信息安全的潛在影響,啟動了后量子加密算法的標準化進程。
在2022年提交的許多算法中,NIST選取了四個算法,并計劃在2024年之前完成標準化工作。在標準化進程持續推進的同時,美國還加快了專門用于保護敏感信息免受量子網絡攻擊的政策數量。
2022年,美國通過了《量子網絡安全準備法案》,制定了政府信息轉型到后量子加密的路線圖。此外,白宮還發布了一系列備忘錄,敦促聯邦機構報告編制加密系統清單,并開始向后量子加密轉型。
2023年,新美國國家網絡安全戰略將避免受到量子網絡攻擊作為戰略目標之一,這一優先事項包括使用后量子加密技術,并替換可能受到威脅的硬件、軟件和應用程序。
此外,美國國會正在討論一項新法律,將創建公私合作沙盒(sandboxes)(sandbox中文譯作“沙盒”,是一個計算機專業術語。在網絡安全中,“沙盒”指在隔離環境中,用以測試不受信任的文件或應用程序等行為的工具)以加速開發前景廣闊的量子技術應用。
歐盟在保護免受量子網絡攻擊方面的努力目前缺乏明確的戰略,此外,關于量子技術在保護歐洲網絡免受量子網絡攻擊的作用方面也存在疑問。盡管美國主導使用后量子加密,但歐盟目前只關注于量子密鑰分發,在《2020年網絡安全戰略》中也只提及了后量子加密對網絡彈性的重要性。這無疑阻礙了歐盟在后量子加密標準制定方面建立全球標準的能力,而美國正在領導并從歐洲的研究中受益。在NIST選定四組算法的19位研究人員中,有13名研究人員來自歐洲研究機構。此外,歐盟標準化機構很晚才加入后量子加密標準的競爭,這導致這些機構后續一直在跟隨NIST的進展。
2022年,歐洲網絡與信息安全局(ENISA)發布了關于后量子加密的整合研究報告,歐盟委員會為后量子加密的研究撥款1100萬歐元,但ENISA的研究報告只是關于應對在數字系統上實施后量子加密技術的挑戰,而不是實質性的研究成果。
事實上,歐洲的優勢在于歐洲量子信息基礎設施網絡(EuroQCI)項目。然而,盡管該項目未來可能成為安全通信的支柱,但它目前只專注于量子密鑰分發,并不能解決歐洲網絡安全面臨的緊迫挑戰。EuroQCI是歐盟的旗艦項目,旨在到2027年提供安全通信,這引起了歐盟各成員國的高度關注,歐盟的27個成員國都是該項目的簽署國。
2021年,在的里雅斯特市(意大利)、盧布爾雅那市(斯洛文尼亞)和薩格勒布市(克羅地亞)之間首次實現了州際量子安全通信(100.5公里)。
為支持和擴大EuroQCI網絡的地理范圍,歐盟于2022年通過了《歐盟安全連接計劃》,其中授權為EuroQCI開發IRIS2衛星網絡。然而,歐洲對EuroQCI網絡及其前景廣闊的應用過于關注,導致政策制定者忽略了對當今歐洲網絡安全議程(特別是量子網絡安全威脅方面)的需求。EuroQCI旨在保護政府通信和關鍵基礎設施的安全,但并不一定能防止其他關鍵網絡安全領域的威脅,如來自第三方或供應鏈的網絡攻擊。
表1 量子網絡安全倡議對比
三、歐盟為適應量子時代的政策建議
1. 制定歐盟量子轉型協調行動計劃,明確目標和時間框架,并監測各國后量子加密轉型計劃的實施情況。
2. 在歐洲網絡與信息安全局內成立一個新的專家組,由各國專家組成,以交流實踐經驗并確定向后量子加密轉型的障礙。
3. 確定后量子加密轉型的優先事項,并推動加密靈活性,以應對后量子加密系統中出現的漏洞。
4. 促進歐洲委員會、歐盟成員國、國家網絡安全機構和歐洲網絡與信息安全局之間的政治協調,以確定技術優先事項,并為量子安全技術找到相關的應用案例,特別是在一些成員國正在單獨評估使用后量子加密、量子密鑰分發或兩者組合的情況。
5. 促進歐盟的技術協調,以填補量子安全技術研究中的空白,例如開發量子節點以確保量子密鑰分發的遠程連接。
6. 探索利用沙盒來加速量子信息技術近期的應用開發。
來源:安全內參
