近日,inewb区块链前沿与上海交通大学密码与计算机安全实验室(LoCCS)取得联系,进行了关于量子的专访:
信任,对我们现在所处的互联网世界来说,可以算得上是「奢饰品」,人们想尽各种办法让相互不认识的陌生人在互联网上产生「信任」,不过,大多数都没有成功。作为前沿的信息技术,区块链技术代表了一种全新的数据处理方式,它彻底解决了互联网中人与人之间的信任问题。可以说,区块链不仅是一场技术革命,更是一场信任革命。大名鼎鼎的比特币就是最为人所知的一项使用区块链技术的应用。为了方便大家对区块链技术有基本的了解,先举例简单介绍下区块链技术。
假设我和你打赌明天北京的天气如何,赌资50元。我赌它会是晴天,你赌它会是雨天。我们会找一个中立的第三者,每人分别先给他50元,结果揭晓后,他再把所有的钱,也就是100元给赢家。无奈的是,这个第三者有可能卷款潜逃。我们无法信任陌生人,也觉得打官司劳神伤财。
区块链技术就很有趣,因为它可以帮我们实现安全、快速和便宜的交易方式。就刚刚的例子,我们可以通过撰写一段代码,让它执行在区块链网络(Blockchain Network)上,进行交易。这段代码一到次日即会自动确认天气状况,揭晓结果,并且自动将100元汇到赢家的帐户里。在区块链网络上的交易,是无法被窜改或否认的,这其中涉及到多种关键技术,尤为重要的是共识机制及密码技术。共识机制用于确保交易信息/区块信息在整个区块链网络中达成一致,而密码技术用于保障交易信息/区块信息的安全可靠(不可篡改、不可否认等)及隐私保护。
由此可以看出,区块链技术的广阔应用前景。然而,令人遗憾的是,现阶段的区块链技术并非十全十美,一旦技术不成熟导致「信任危机」,可以说,对整个区块链技术未来的发展都将会是一场灾难。需要强调的是,随着量子计算机的出现,作为区块链底层安全支撑技术之一的传统公钥密码的安全性将受到严峻的挑战,它将对已有区块链系统的安全性造成极大的杀伤力。
接下来,我们将通过简单的Q&A的方式让大家能够更好地了解量子理论与量子技术、量子技术对区块链系统的挑战、量子计算机的发展现状、如何应对量子技术带来的挑战、具有抗量子特性的、面向未来的Hcash系统以及迄今为止主流分布式账本系统支持抗量子特性的情况,等等。
Q&A
1、 问:量子理论与量子技术到底是什么?
量子力学、相对论是现代物理学的两大基本支柱。量子既指光子、电子、原子、原子核、基本粒子等微观粒子,也指玻色—爱因斯坦凝聚、超导体、薛定谔猫等宏观尺度下的量子系统,其特征是遵循量子力学的规律。量子力学中的几大重要理论如下:
1)量子态叠加原理:量子态是量子力学中用来描述量子系统的状态,量子态也被称为波函数或几率幅,记为,假定量子客体有两个确定的可能状态0或者1,通常写成|0⟩、|1⟩,由于量子状态是不确定的,它一般不会处于|0⟩或|1⟩的确定态上,只能处于这两种确定态按某种权重叠加起来的状态上,这就是量子世界独有的量子态叠加原理。
2)海森堡测不准原理:在经典力学中,测量对物理系统本身没有任何影响,可以无限精确地进行;在量子力学中,测量过程本身对系统造成影响;对于两个不同的物理量A和B(如坐标和动量,时间和能量等),不可能同时具有确定的测量值,这是由于测量过程对微观粒子行为的“干扰”,致使测量顺序具有不可交换性。
3)量子纠缠:对于由多个粒子组成的系统,其每个粒子的状态往往无法被分离出来,因此,单个粒子的状态被称为是纠缠的;纠缠的粒子有惊人的特性,例如:对一个粒子的测量,可以导致整个系统的波包立刻塌缩,因此也影响到另一个、遥远的、与被测量的粒子纠缠的粒子。
4)量子退相干:量子纠缠是量子技术的重要资源,是量子计算机、量子模拟等重大应用的物理基础;量子纠缠十分脆弱,环境会破坏其量子特性而使“纠缠”消失掉,即两个纠缠的量子客体最终会演化为非局域关联或完全断开,被称为量子退相干。
基于上述量子理论所构建的量子技术包括:
1)量子通信:量子通信是指利用量子纠缠效应或海森堡测不准原理进行信息传递的一种通讯方式;量子通信的本质是用量子态作为信息载体,通过量子态的传送实现大容量信息的传输。
由于存在各种不可避免的环境噪声,量子纠缠态的品质会随着传送距离的增加而变得越来越差,为此,如何提纯高品质的量子纠缠态、设计高效的量子中继器件是实现远程量子通信的关键挑战。
2)量子计算:量子计算是一种遵循量子力学规律调控量子信息单元进行计算的新型计算模式;量子计算机是一类遵循量子力学规律进行高速数学和逻辑运算、存储及处理量子信息的物理装置,该装置处理和计算的是量子信息、运行的是量子算法。
量子计算机使用的是量子比特,量子计算机能秒杀传统计算机得益于两个独特的量子效应:量子叠加和量子纠缠。量子叠加能够让一个量子比特同时具备0和1的两种状态,量子纠缠能让一个量子比特与空间上独立的其他量子比特共享自身状态,创造出一种超级叠加,实现量子并行计算,其计算能力可随着量子比特位数的增加呈指数增长。
2、 问:量子技术对区块链系统的挑战是什么?
随着量子计算机的出现,作为区块链底层安全支撑技术之一的传统公钥密码的安全性将受到严峻的挑战,从而对已有区块链系统的安全性造成极大的杀伤力。具体原因如下:
目前可用于密码破译的量子计算算法主要有Grover算法和Shor算法,对于密码破译来说,Grover算法的作用相当于把密码的密钥长度减少一半,Shor算法适用于解决大整数分解、离散对数求逆等困难数学问题,对目前广泛使用的RSA、EIGamal、ECC公钥密码、ECDSA签名算法和DH密钥协商协议等可以进行有效攻击,因此,在量子计算环境下,RSA、EIGamal、ECC公钥密码、ECDSA签名算法和DH密钥协商协议将不再安全。
Shor算法:
适用范围:
大整数分解问题 / 对应于RSA公钥密码
求解离散对数问题/ 对应于ECC公钥密码、ECDSA签名算法等
算法效用:
假设n是上述困难数学问题的规模(一般为160,256, 1024, 2048等),N=2n,则:
经典计算机破译上述公钥密码的时间复杂度:O(N1/2),而量子计算机通过Shor算法破译上述公钥密码的时间复杂度: O((log N)3)。例如:对于经典计算机,破译256-bit ECC公钥密码或ESDSA签名算法的时间复杂度为2128(约为1018年),而在量子计算机下,采用Shor算法在很短的时间内即可攻破256-bit的ECC公钥密码或ESDSA签名算法。
Grover算法:
算法效用:
假设n是对称密码的密钥长度(一般为128,256),N=2n ,则有:
经典计算机下攻破对称密码的时间复杂度:O(N),而量子计算机下通过Grover算法攻破对称密码的时间复杂度:O(N1/2) (存储复杂度为O(log N) )。例如:对于经典计算机,攻破AES-128的时间复杂度为2128(约为1018年),而量子计算机采用Grover算法约需20天可攻破AES-128,但AES-256仍是安全的。
在量子计算机出现之后,基于传统公钥密码(如ECDSA签名方案)的区块链系统将不再安全:
1)对于Bitcoin, Ethereum, Qtum等,它们所使用的数字签名方案将不再安全,攻击者可以根据公钥计算出私钥,这就意味着交易的不可伪造、不可否认等特性将不复存在,个人用户的数字钱包将变成公共钱包;
2)对于现有的、基于环签名技术构建的、具有隐私保护特性的数字货币(如Monero),由于其环签名方案依赖于椭圆曲线公钥密码,其隐私保护性、甚至数字货币本身的基础安全性都将不复存在;
3)对于现有的、基于零知识证明+承诺构建的、具有隐私保护特性的数字货币(如Zerocoin, Zerocash, DWC等),由于其安全性依赖于Diffie-Hellman假设(本质上是离散对数求逆问题),其隐私保护性将不复存在;
4)对于Hyperledger Fabric、RSCoin等联盟链系统,由于其使用的数字签名方案或证书机制是基于离散对数求逆问题,这意味着系统的基础安全性将不复存在。
3、 问:量子计算机到底离我们有多遥远?
量子计算机的出现将使基于传统公钥密码的区块链系统退出历史舞台,需要及时未雨绸缪。那么,量子计算机到底离我们有多遥远?
2017年11月11日,IBM宣布:成功研制出了量子计算机原型机,量子计算机商业化正在加速!
2017年12月18日,消息传来,摩根大通将与IBM进行量子计算试验。这个试验的应用重点,将放在金融行业中,包括交易策略、投资组合优化、资产定价和风险分析等。摩根大通只是IBM量子计算机的商业化的一个合作伙伴而已。随后,奔驰戴姆勒、本田、三星、化学品公司JSR也迅疾纷纷宣布,将与IBM开始量子计算机合作。
可以预见,量子计算机离我们已不再遥远!
4、 问:如何应对量子技术带来的挑战?
方案一:量子密码+对称密码
量子密码体系采用量子态作为信息载体,经由量子通道在合法的用户之间传送密钥。量子密码的本质是用于解决密钥分配问题,从该意义上说,量子密码即为量子密钥分配。
量子密码的安全性由量子力学原理所保证,具体来说,其安全性依赖于:
1)量子不可克隆性:窃听者无法克隆出正确的量子比特序列
2)海森堡测不准原理:用于「基于单光子量子信道的量子密码」
3)量子纠缠:用于「基于量子相关信道的量子密码」
量子密码的出发点是一次一密加密体制。Shannon证明,若密钥为长度不小于待加密的明文长度的随机序列,且任何一密钥仅使用一次,该加密体制(一次一密加密体制,C=P⊕K)是无条件安全的(Perfect Secrecy)。
为何「一次一密」密码迄今未被广泛使用呢?主要原因是,「一次一密”要大量消耗「密钥」,需要通信双方不断地更新密码本,而「密码本」的传送(称为「密钥分配」)是关键问题所在。量子密码(即「量子密钥分配」)为「一次一密」加密体制在公开信道进行安全、高效的密钥分配提供很好的解决方案。
进一步地,为了确保交易的不可篡改、不可否认等特性,除了使用量子密码进行实时、安全的密钥分配,还需要结合对称密码来设计安全、高效的共识机制,例如:采用MAC(消息认证码)技术 + PBFT协议(或类似于PBFT)的共识机制。
方案一需解决的关键问题:
1)需构建大规模的、安全可靠的量子通信网络;
2)需有效抵抗各种量子攻击技术,特别地,对于窃听攻击,虽然通信双方能够感知窃听者的存在,从而舍弃当前密钥信息,但是,若窃听者一直存在,通信双方就无法获得安全的密钥;
3)如何使用对称密码来设计安全高效的共识机制,实现交易的不可篡改、不可否认。
不难看出,方案一还有不少关键问题需解决,为此,更为可行的、抗量子计算的区块链系统的解决方案是使用后量子密码技术
方案二:后量子密码技术(推荐使用的抗量子计算攻击的方案)
当前的研究认为:量子计算机虽具有超强计算能力,但并不能解决所有困难问题。基于量子计算机不能解决的那些困难问题构造密码,就可以抵抗量子计算的攻击,人们称能抵抗量子计算机攻击的密码为抗量子计算密码,或后量子密码。国际上从2006年开始举办「抗量子计算密码学术会议(Post-Quantum Cryptography)」,每两年举行一次,至今已举办了4届,已经产生了一批重要的研究成果,让人们看到了抗量子计算密码的曙光。
到目前为止,已有四类主流的后量子密码技术:
1)Hash-based cryptography(基于Hash函数的后量子密码),其安全性依赖于抗碰撞的Hash函数;
2)Multivariate-quadratic-equations cryptography(基于多变量二次方程的后量子密码),其安全性依赖于有限域上的多变量二次多项式映射(陷门单项函数);
3)Code-based cryptography(基于编码理论的后量子密码),其安全性依赖于纠错码理论;
4)Lattice-based cryptography(基于格理论的后量子密码),其安全性基于格上的困难问题。
5、 问:在区块链系统中实现后量子密码技术需解决的关键问题?在Hcash中如何解决这些关键问题?
问题一:系统的性能效率问题
通过对已有后量子签名方案(包括Hash-based signature schemes:MSS, LMS, XMSS, SPHINCS, NSW; Lattice-based signature schemes:GVP, LYU, GLP, BLISS, DILITHIUM, NTRU; Code-based signature schemes: CFS, QUARTZ; Multivariate-polynomial-based signature schemes:RAINBOW, 等等)进行深入地安全性及性能效率分析评估,发现与传统的签名方案(如现有密码货币系统中使用的ECDSA算法)相比,抗量子签名方案的公钥、签名长度大幅增长,若在已有密码货币或区块链系统中简单引入抗量子签名方案,将会造成已有系统的TPS大幅降低,以比特币系统为例,目前其TPS至多为7笔/秒,若引入抗量子签名方案(如DILITHIUM),其TPS将降至0.389笔/秒。
针对该问题,一方面,在Hcash中,我们设计了新型、安全、高效的共识机制:通过创造性地提出PoW双层链结构+两级挖矿思想,可以在不影响共识安全的前提下大大提升系统的性能效率。例如:比特币系统的吞吐量不超过7TPS,而Hcash系统的吞吐量可达450TPS,并可根据需要调整参数进一步提升系统的吞吐量; 另一方面,我们创新性地提出了一种新型隔离见证机制,该机制能很好地解决抗量子签名算法中签名较长带来的吞吐量明显下降的问题。
问题二:后量子签名方案的实现安全性(即抵抗旁路攻击的能力)
密码方案的安全性可分为两个层面,一个层面是密码理论上(数学上)的安全性,另一个层面是密码方案的软硬件实现的安全性(即是否能够很好地抵抗旁路攻击)。
简单来说,密码理论上(数学上)的安全性是指:密码方案的安全性是依赖于某个困难数学问题,即若能够有效破译(在多项式时间内破译)该密码方案,则能有效解决(在多项式时间内解决)相应的困难数学问题。
在描述密码方案的软硬件实现的安全性之前,先引入旁路攻击的概念:
在密码方案的硬件实现、以硬件为表现形式的软件实现或是纯软件实现环境中(称为密码实现),譬如智能卡、RFID、密码协处理器、SoC 密码芯片等,攻击者往往不仅具备「黑盒」攻击的条件,而且还可以通过电路剖析和软件逆向分析等手段获得算法的硬件结构和编码实现方法,并可以观察和测量密码变换的运行时间、能量消耗、电磁辐射等信息,甚至可以“干预”密码变换的正常运行使其出错。攻击者利用这些额外的信息有可能实现比“黑盒攻击”更有效的密码破译。人们通常把这种环境下的攻击称为“旁路攻击(Side Channel Attack)”。旁路攻击主要包括功耗攻击、故障攻击、计时攻击等。
密码方案的软硬件实现的安全性是指:密码方案的软硬件实现能够有效抵抗旁路攻击。
针对该问题,我们深入评估了拟在Hcash中采用的后量子签名方案的抗旁路攻击能力,并在此基础上设计并实现了安全、高效的抗旁路攻击方案。
6、 问:Hcash系统的抗量子特性具有哪些特色?
Hcash系统的抗量子特性具有如下特色:
1) 兼容性:在目前抗量子计算机还没有真正出现之前,密码货币或区块链系统仍然可以使用ECDSA签名方案,Hcash兼容已有系统的ECDSA签名方案,从而能够很好地与目前各大主流密码货币交易平台进行对接,并为后续支持跨链互通特性提供基础;
2) 灵活性:Hcash支持两种经过国际密码学界充分分析/评估/论证过的、同时在安全性或性能效率方面非常突出的抗量子签名方案(后量子签名方案),这为系统提供了更大的灵活性与更好的安全性;
3) 安全性:Hcash支持的抗量子签名方案不仅具有密码理论上(数学上)的可证明安全,同时具有方案实现上的抗旁路攻击特性;
4) 高效性:Hcash系统中的抗量子特性与新型混合共识机制相结合,使得Hcash系统在吞吐量方面拥有绝对优势。例如:若在比特币系统中实现DILITHIUM抗量子签名方案,其TPS至多为0.389笔/秒,而实现抗量子特性及新型混合共识的Hcash系统的TPS大约为150笔/秒。
5) 适用性:Hcash的抗量子特性可以广泛适用于现有的密码货币或区块链系统。
7、 问:迄今为止主流分布式账本系统支持抗量子特性的情况?
分布式账本系统以密码学技术为基础,通过分布式多节点“共识”机制,可以“完整、不可篡改”地记录价值转移(交易)的全过程。到目前为止,分布式账本系统主要分为三类:
1)基于区块链技术的分布式账本系统,如:Bitcoin,Ethereum,Hcash、Qtum、Hyperleger Fabric,等等;
2)基于有向无环图(DAG)技术的分布式账本系统,如:IOTA、Byteball,等等;
3)基于公证人机制的分布式账本系统,如:Corda,Ripple,等等。
在所有基于区块链技术的分布式账本系统中,Hcash是迄今为止首个实现抗量子特性的分布式账本系统;
在所有分布式账本系统中,到目前为止,只有Hcash和IOTA实现了抗量子特性,与IOTA相比,Hcash系统具有如下优势:
1)Hcash系统兼容ECDSA签名方案,IOTA不能兼容;
2)Hcash系统支持多种主流的抗量子签名方案,IOTA只支持一种基于Hash函数的后量子签名方案;
3)Hcash系统是基于经过充分的理论与实践论证的区块链技术,而IOTA所依赖的DAG技术尚未经过较为充分的理论与实践论证,例如:到目前为止,还没有公开的、基于DAG技术的分布式账本系统相关的学术研究成果;此外,通过深入研究IOTA的共识机制,我们发现其共识安全很大程度上依赖于系统的交易频率(若交易频率较低,则系统易受攻击);
4)Hcash系统通过其混合共识机制,能很好地支持平滑友好的、去中心化的协议升级,而IOTA不能支持。
8、 问:Hcash系统未来在抗量子特性方面还会有哪些重磅工作?
Hcash系统是一个面向未来的公有链系统,我们的目标是在未来的2~3年内逐步将Hcash系统打造为下一代公有链系统的标杆。为此,在抗量子特性方面,我们将从如下两个方面进一步加强与完善Hcash系统:
1)在兼顾性能效率的前提下支持更多的主流后量子签名方案;
2)隐私保护是公有链系统的一大关键特色,然而,在量子计算机出现之后,现有的、基于环签名技术构建的隐私保护机制,或是已有的、基于零知识证明+承诺构建的隐私保护机制都将失效,为此,我们已经提前布局抗量子计算的隐私保护机制研究,包括上海交大LoCCS实验室、澳大利亚Monash大学/香港理工大学/新加坡南洋理工大学等密码学研究小组均已在该研究方向上开展了深入的研究工作,为将来在Hcash中实现抗量子计算的隐私保护机制奠定坚实的基础。
原文发布时间为:2017.12.20
本文作者:iNewB
本文来源:简书,如需转载请联系原作者。
