量子计算有望革命性地改变半导体行业几十年来的计算模式，但它也引发了广泛的网络安全威胁的前景。
量子计算网络攻击的发生速度将比传统计算的任何攻击都快数百万倍。虽然量子计算还处于发展的早期阶段，但专家们现在正在研究，随着量子计算的成熟，尤其是与人工智能的结合，网络攻击将如何变得更加强大。
在量子计算中，很难理解“快”的概念，尤其是在量子超级计算机方面。由惠普企业公司制造的前沿超级计算机被认为是当今最快的非量子超级计算机。Frontier位于美国橡树岭国家实验室(ORNL)，每秒可以进行2 × 1018次计算。然而，Frontier要花47年才能完成谷歌(Google)制造的Sycamore量子计算机在几秒钟内就能完成的数字运算任务(尽管需要做更多的工作来提高准确性和量子位相干性)。换句话说，量子芯片一秒钟能处理的东西，传统计算机芯片需要一万年。
量子加人工智能的危险
然而，量子计算令人难以置信的速度是一把双刃剑。一方面，它有助于更快地解决困难的数学问题。另一方面，它将使网络攻击能力增加到无法理解的程度。
安全IP产品管理总监Dana Neustadter表示:“当你将量子计算和人工智能结合在一起时，你可以获得两者可以提供的优势的指数级增长。”“量子计算将能够提高人工智能的准确性、速度和效率。出于许多原因，增强人工智能可以更好地改变游戏规则。与量子计算相结合，人工智能将有更大的能力解决非常复杂的问题。此外，它还将分析做出决策或做出预测所需的大量数据，比传统人工智能更快、更准确。”
通过增强的人工智能，可以创建非常高效和有弹性的威胁检测和安全管理解决方案，从而改变我们今天所知道的网络安全。“然而，如果出于错误的原因，这些强大的技术也会威胁到网络安全，”Neustadter说。例如，它可以自动化窃取或破坏数据的过程，或者提高攻击的速度和效率。当量子计算机在商业上变得更加普及时，它们就有能力打破目前用于保护互联网数据的公钥加密技术。这是一个重大威胁，因为我们在数字通信中几乎无处不在地使用公钥加密技术，如椭圆曲线加密技术和RSA，用于加密、数字签名和依赖数字证书证明真实性的通信协议。”
人工智能增加了在密码学中发现模式的能力，比传统方法快得多。
杰出工程师Steve Hanna指出:“随着人工智能在自动驾驶汽车等安全关键应用中得到信任，成功攻击这些人工智能系统的影响可能会被极大地放大。”“对自动驾驶汽车的成功攻击可能会使对手通过远程控制造成事故。人工智能系统的安全性——实际上是所有计算机系统的安全性——通常在很大程度上依赖于加密技术来实现安全通信、安全更新和其他功能。因此，我们可以清楚地看到，在量子计算达到可以打破经典密码算法的地步之前，安全关键系统和关键基础设施必须过渡到后量子加密，或者包括其他适当有效的对策。否则，损失将是巨大的。”
为什么量子网络攻击如此令人担忧
如今，用户依靠密码来保护他们的系统。提供防止身份盗窃服务的“家庭安全英雄”（Home Security Heroes）发现，在1560万个常用密码中，有一半以上的密码可以在不到一分钟的时间内被人工智能破解。使用今天的计算机，更安全的12个字符的密码需要3万年才能破译。但有了量子计算，它们可以在几秒钟内被破解。出于同样的原因，量子计算可以很容易地破解目前普遍部署的公钥。
网络安全公司Barracuda报告称，从2022年8月到2023年7月，使用人工智能的勒索软件攻击增加了一倍。想象一下使用量子计算和人工智能的攻击。这样的攻击将摧毁传统的加密技术。它将不再能够保护一切，从电子邮件和文本到在线会议、金融和银行信息、在线交易、机密和敏感材料，以及数字签名。国家支持的针对高价值目标(如政府机构和基础设施)的网络攻击将非常激烈。
然而，由于量子网络攻击不是迫在眉睫的威胁，许多人可能会采取观望的立场。BlackBerry Certicom副总裁兼总经理Jim Alfred认为，这是一个错误。“鉴于这一里程碑的时间表仍然相对遥远，许多行业已经对量子计算风险按下了小睡按钮。他们没有考虑到改变密码系统所需的时间，或者今天降低风险所需的最小努力。”
的首席执行官马克•惠特曼对此表示赞同。他说:“这个行业远没有准备好应对量子攻击。”但好的一面是，解决这个问题的工作已经开始。重要的是要继续努力，以跟上不断增长的攻击能力。”
后量子时代
虽然商用量子计算部署可能还需要10到15年的时间，但为量子计算能力所带来的巨大网络安全威胁做好准备永远不会太早。至少，开发人员需要有一个从前量子到后量子(post-quantum，PQ)时代过渡的清晰路径。
在现代数字通信中，包括电子邮件交换、文件传输和网络连接，正在使用安全密钥。到目前为止，公钥基础设施(PKI)管理中最安全、最常用的两种加密算法是RSA(由Rivest-Shamir-Adleman发明)和ECC(椭圆曲线加密)加密算法。
ECC密钥比相同位长度的RSA密钥更安全，但实现起来更复杂。在对称加密中，加密和解密使用一个密钥，而非对称加密使用两个不同的密钥。但RSA和ECC都无法抵挡量子网络攻击。将需要新的量子安全密码技术。这也被称为后量子密码学(post-quantum cryptography，PQC)。
安全IP产品管理高级总监Gijs Willemse指出:“ECC和RSA加密等非对称算法包含在最常用的高级协议中，以建立安全通信。”Teams聊天、Zoom会议、YouTube视频或Google搜索等应用程序通常通过基于TLS连接的互联网浏览器，TLS连接是使用最广泛的应用层(第4层)安全协议，它依赖于密钥交换来建立安全的通信通道。IPsec是用于保护公司网络的协议，保护两个或多个站点之间的IP层(第三层)通信。然后，您有一个更低的层，在MAC级别(第2层)，定义了一个称为MACsec的安全协议。这通常用于数据中心，用于保护两台服务器之间的高性能链路。最后，所有这些协议都使用ECC和RSA密钥交换，这意味着它们面临量子网络攻击的风险。”
还有多个组织致力于PQC和制定标准。也许最引人注目的是美国商务部下属的国家标准与技术研究院(NIST)。2022年，NIST宣布了四种加密算法，这些算法将成为NIST后量子加密标准的一部分，该标准将于2024年发布。从2016年开始，NIST启动了后量子加密标准化项目，呼吁来自世界各地的密码学家提交能够抵御后量子网络攻击的加密方法。许多提交的作品都经过了考虑，最终选出了前四名。该机构将继续用其他抗量子算法加强新标准。
这些新的量子安全算法是基于通用加密和数字签名的高等数学而开发的。对于一般加密，在网络上使用公钥进行信息交换。新算法可以抵御量子网络攻击，而且相对较小。数字签名用于数字事务或远程文档签名中的身份验证。
NIST并不是孤立地工作。该机构与许多其他组织合作制定了PQ标准，包括:
-IETF，它已经标准化了基于状态哈希的签名，目前正在进行面向PQC迁移的新工作;
-ETSI，它发布了量子安全报告，并就同一主题举办了研讨会;
-欧盟专家组PQCrypto和SAFECRYPTO，他们提出了建议并发布了报告
-ISO/IEC JTC 1 SC 27，也在进行PQC标准化工作。
此外，其他组织和公司也在为PQ攻击做准备。2023年8月，CISA、NSA和NIST联合发布了《量子准备情况概况》，以帮助业界为量子威胁做好准备。2023年2月，GSM协会发布了《后量子电信网络影响评估》白皮书，帮助电信公司实施PQC。
FIDO联盟开发了基于公钥加密的web应用程序FIDO认证标准。它比密码和短信OTPs(移动电话使用的一种身份验证方法)更安全。为了保证量子安全，谷歌在2023年宣布了一种混合算法，该算法结合了经典的椭圆曲线数字签名算法(ECDSA)、用于网络连接的数字签名算法(DSA)和nist认可的PQC Dilithium算法。
“尽管黑客无法破解目前加密的数据，但他们仍然可以现在收集数据，并在量子计算机可用时对其进行解密，”新思科技的诺伊施塔特说。“今天我们可以做些什么来构建量子安全的解决方案?”对对称加密算法(如AES)使用更大的密钥，对散列使用更大的输出。此外，开始基于最新的NIST PQC候选算法(例如，Crystals Kyber/Dilithium, Falcon, SPHINCS+， XMSS/LMS)创建敏捷公钥解决方案，这些解决方案可以适应标准的发展，理想情况下，硬件更改最小甚至不需要更改。”
此外，她建议参考美国国家安全局(NSA)的商业国家安全算法套件CNSA 2.0，该套件建议将特定的抗量子算法用于软件和固件更新、公钥和对称算法的商业应用，以及特定的过渡时间目标。“例如，对于软件和固件签名，建议立即开始向CNSA 2.0过渡，到2025年支持并偏爱它，到2030年完全使用它。新思科技一直致力于这些领域的解决方案，包括敏捷公钥IP。它由RTL和嵌入式固件和软件组成，可以随着PQC标准的发展进行有效升级，并可以针对特定的应用目标进行配置，以实现最佳性能、功耗和面积(PPA)。”
PQC迁移
不过，对于如何继续下去，目前还没有明确的答案。开发人员必须根据自己的需要定义自己的迁移路径来实现PQC。总体而言，安全架构不需要改变，仍然需要遵守信任根等基本网络安全设计规则。
的Hanna建议采取一些步骤，为量子计算机能够破解当今的加密算法的时代做好准备。“首先，设计系统，使它们能够顺利地从经典密码算法(如RSA)过渡到后量子密码(PQC)，”他说。“这就是所谓的‘加密敏捷性’，这总是一个好主意。第二，尽快将固件签名迁移到PQC算法。NSA鼓励供应商立即开始采用NIST SP 800-208签名XMSS和LMS。在某些情况下，可以使用两个签名—经典算法和PQC算法，其中两个签名都需要验证。这可以保护你，如果任何一个算法被破坏。最后，在选择加密软件或硬件的供应商时，选择已经是PQC专家的公司。英飞凌在加密硬件方面拥有数十年的经验。英飞凌最近的一些产品包括对PQC的支持，在不久的将来还会添加更多的支持。”
此外，还有不同的过渡方式。一种是直接从旧的切换到新的。另一种是将新旧结合起来，建立某种形式的安全网。“在世界各地，不同的机构对此提出了不同的建议，”PQShield产品创新和安全主管阿克塞尔•波什曼(Axel Poschmann)表示。“无论采用何种过渡方法，在可预见的未来，新旧标准都需要得到支持，这将进一步增加对面积和内存的要求。这对成本敏感和资源受限的环境来说将是一个挑战。”
所有这些考虑对芯片和系统架构都有影响，而加密的方式需要设计者来解决。
整合PQC
整合NIST推荐的PQC算法是一个很好的起点，现在是审查当前网络安全系统设计和算法的好时机，以确保它们在基本设计原则(包括信任根)上是最新的。由于一些芯片具有较长的生命周期，因此以长远的眼光看待具有新IP的安全芯片是至关重要的。
Arm技术战略副总裁兼研究员Andy Rose表示:“随着人们对量子技术的兴趣日益浓厚，对手们已经开始窃取加密数据，并将其存储起来，直到量子技术得到更广泛的应用，这样他们就能破译加密。”“这种关注导致世界各地的政府和行业机构要求公司在2025年之前开始(或在某些用例中完成)后量子密码学(PQC)之旅。”
Arm认为，任何联网设备都必须是安全的，并建立在信任的基础上。
Rose表示:“我们通过PSA认证等生态系统倡议来支持我们的合作伙伴，以支持我们的CPU IP中的加密支持，以及Mbed TLS、TrustedFirmware和Linux Kernel中的上行软件支持。”“如果产品今天使用非对称加密技术，我们建议通过保守但量子安全的固件更新机制实现具有加密灵活性的解决方案，这将允许后续升级到完整的PQC。如果系统的生命周期和/或捕获数据的生命周期延长到未来几年以上，那么支持PQC将很快成为强制性的，因此现在采取这一重要的主动步骤，以确保公司能够在未来保护自己。”
的Willemse认同这种说法。“如今开发者面临的一个问题是，芯片的生命周期很长。你更喜欢嵌入一个量子安全的引擎，而不需要设计一个全新的芯片。有两点需要考虑。您应该能够使用量子安全算法(如LMS和XMSS)安全地启动系统，这些算法利用现有的加密功能并在现有硬件上运行。”
然而，量子安全芯片需要替换ECC和RSA密钥生成、交换和加密算法，他说。“在大多数情况下，今天的芯片都有专门的硬件来加速ECC和RSA，因为这些算法是非常计算密集型的，CPU本身不够快，无法执行所有的计算来建立所有这些安全连接。你可以想象，Alphabet托管的一个数据中心要支持YouTube或谷歌，需要建立的连接数量，或者每天谷歌搜索的数量，是巨大的。其中每一个都需要在ECC和RSA加密下进行密钥交换。因此，非常需要专用的硬件来建立连接并进行数学计算。在后量子时代，这些现有的加密算法不再适用。集成新的量子安全引擎，在执行ECC和RSA的IP旁边添加新的IP，将能够加速这些新的加密算法，并保护您的下一代芯片免受量子计算的攻击。”
董事长Andersen Cheng指出，VPN是另一个考虑因素。“你现在可以采取的‘影响最小，回报最高’的步骤之一是升级到混合的量子安全VPN，以保护网站之间的数据流动。VPN是一种使我们能够通过公共互联网网络进行安全和私人连接的技术。”
研究人员和开发人员继续探索量子安全设计思想和芯片的想法。也许，在未来，研究人员可能会提出数据自动加密的想法。
解决方案和业务开发副总裁Frank Schirrmeister表示:“该领域的一个很有前景的趋势是完全同态加密(FHE)。“作为一种加密方案，FHE允许对加密数据进行计算。数据不需要解密，也不需要使用密钥。数据在任何时候都是加密的，FHE被认为是量子安全的。同态加密最显著的缺点之一是计算量大且速度慢。加密、解密和执行密文操作比纯文本占用更多的资源。Cornami首席执行官Wally Rhines在最近的DAC 2023主题演讲中指出，与fhe相关的数据移动挑战消除了现有的硬件架构。未来对FHE加速的芯片需求将包括具有10,000多个宽字的宽字处理，分布式内存上的大规模并行性，以及小尺寸的大量内核。因此，芯片上和芯片之间的数据移动相关构建模块，如内存接口和片上网络(noc)，将不得不相应地发展。”
结论
量子计算既是一项有用的技术，也是一种安全威胁。一方面，它有助于更快地解决困难的数学问题。另一方面，这将增加网络攻击的可能性。
专家们对什么时候可以商业化使用对策意见不一。普遍的共识是10到15年后，但这可能会更快发生。开发人员为未来的量子网络攻击做准备的最佳时机就是现在。由于每种情况都是不同的，因此需要时间来定义实施PQC的清晰路径。
NIST和其他组织已经提供了一些非常重要和有用的PQC信息，供开发人员采用。大多数开发人员可能没有意识到的是，以前的一些数据可能有很长的生命周期，所以相同的内容可能在20年后被使用。今天应用PQC将防止黑客在量子计算机可用时解码数据。