(台灣英文新聞 / 林靜怡 台北專訪報導)歐美國家及亞洲國家都注意到需要改用後量子密碼學,最近被攻擊事件激增的台灣顯然不能例外。中央研究院資訊科學研究所研究員楊柏因教授提醒,整個社會在後量子密碼學這件事情上,要有共識,公部門應砸重本,延攬好的人才來協助遷徙到可對抗量子電腦威脅的密碼系統。
對於後量子密碼未來的發展,中研院資科所研究員楊柏因表示,30年後,當後量子密碼學(Post-quantum cryptography),又稱抗量子計算密碼學的演算法,取代所有現在不能夠抵抗量子電腦攻擊的密碼系統,那時講密碼學時,就不用特別去加「後量子」三個字。
對於量子電腦到底到什麼時候會發展到可以破解現在的公開金鑰密碼學(Public-key cryptography),楊柏因表示,這個部份還值得爭論,可能5年、10年或更久。他並提醒,其實,每個人都有想要隱藏30年的資料,從政府機構的機敏性高的資料、金融資料、醫療紀錄,到其他具有高價值的資料,這些都要保密很久。所以,當我們決心從現在的公鑰密碼系統轉換到後量子的公鑰密碼系統時,這個中間還需要5到10年,而這段期間是危險期。
「密碼學」對大眾來說是陌生的,但若提到資訊安全、例如手機裡的固態硬碟或電腦的硬碟加密、自動櫃員機的晶片卡,對話軟體的端對端加密等名詞,大家就知道,原來密碼學已經融入日常生活裡。
楊柏因提出,如今某些國家級的勢力已在收集所有網路上,他們以為值得收集的加密傳輸資訊,等到某個時間點,他們有量子電腦時,他們就可破密並讀取所有的資訊。
為了資訊安全,美國政府在2022年簽署第10號國家安全備忘錄
楊柏因表示,後量子密碼學有其發展史,最早一次出現的後量子密碼系統是1978年,由Robert McEliece開發的一種非對稱加密算法「McEliece」,是存在很久的系統,並不是今天才出現的,一直到1994年被Shor發現量子電腦可破解傳統的公鑰密碼學後,大家才意識到需要研究新的密碼學。
2003年,為了區別所研究的公鑰密碼系統有沒有抗量子,有人才給了這一門研究一個新名字叫「後量子密碼學 (Post-Quantum Cryptography, PQC )」,所以他不是完全新的密碼系統,也不是完全新的學問,只是最近七、八年才被重視。
2006年,有一群後量子密碼學研究者舉辦了「第一屆後量子密碼學國際會議(PQCrypto)」至今已快二十屆,雖然不是最頂級或是最受到大家的重視的資安研討會,但卻也廣受學術和業界關注。
楊柏因談到1989年IBM所做的實驗,該公司用一個相當大的分子中的氫原子模擬七個量子位元,透過 Shor 分解因數的演算法 成功的把整數15分解成三乘五,這是Proof of Concept (概念驗證),表示「這是可能的」。多年來,IBM 的量子電腦位元數只增加到百位數。雖然感覺在量上進步不大,但是因為現在的量子位元已經是超導體或陷阱中的原子等等各種可擴的量子位元,所以質的方面其實有很大的推展。
楊柏因投入後量子密碼學的各方面研究長達20年,對他來說,學問本身是很美妙,當然因為這個原因而去研究它比較像一種宗教信仰,就跟山在那所以登山家去爬山的意思一樣。
他認為,後量子密碼學,不管是理論還是實作,各項主題都應該研究。而且,台灣製造晶片的技術是一大優勢,他相信台灣的業界會因此在後量子有良好的發展空間,而在後量子密碼學這一塊,台灣絕對不能缺席。
楊柏因建議,第一,我們需要整個社會對後量子遷移這件事情,有共識。第二,所有跟密碼學有關的程式,應由公部門帶頭,提供快速、安全、高效和免費的程式,並排除專利、著作權等法律問題。第三、公部門應下重本,挖好的人才到台灣就業。
楊柏因說明,今天,一位懂後量子密碼學的人,他可以在業界拿到相當高的薪水,公部門只要能出跟業界不要差太多的錢,就能把他留在台灣。但是如果不能的話,那後量子密碼學的遷徙效果就不見得很好。以Google、IBM或者是Amazon為例,他們稍微有點年資的研究人員,他的薪水是我國研究人員的好幾倍,若是提供足夠的誘因和相對優渥的薪資,就能吸引我國留學博士生或是外國高級專業人才到台灣就業。但是這件事情是私領域很難合理化的開銷,所以他認為這件事最好公部門能夠帶頭,否則久了基本上是難以為繼,這不單單是資安或後量子密碼學的問題,其他科技領域也一樣。
楊柏因剛剛退役了一台服務了14年的高級計算伺服器,2009年時他以約100萬元採購。他想告訴大家,研究後量子密碼學比生醫、生化、製藥來的便宜很多,「我們不會一個試劑下去就幾萬塊就沒了,因此後量子密碼學的沉没成本不會這麼高,當然也沒有辦法立竿見影的看到回收,但這是必要的投資」。
楊柏因點出另一個盲點,大家都把「安全」當成一個「Cost (成本)」來看。雖然,安全就是要花錢、花時間,但是我們必須要讓大家知道,在安全上投資是便宜而且必需的。你不提供安全的密碼環境,你的成本在未來就會無限上升。
他舉例,如果有包商想要標政府的案子,他又不使用已知安全的後量子密碼學,那政府可以預告在七到十年後,跟將來的美國一樣,會不准他投標。這樣子才能讓大家使用新的密碼系統。相反的,若包商可以不用後量子密碼學投標,他就不會想要用它 – 今天後量子密碼學的人才比較少,能夠寫出這套程式的人也一定不多,所以就比較貴。我們應透過不同方法,讓使用後量子密碼學比不使用後量子密碼學的更有利,因為如果有一天,你因為沒有改用後量子而被駭客破密了的話,你的代價將遠比不投資更大,這也是為什麼要公部門帶頭並提供快速、安全、高效和免費的程式。
楊柏因鼓勵政府和企業,都應該有專業的資安人員做後量子密碼的遷徙。在遷徙之前,他們需盤點軟硬體設備中,那些還在使用舊的密碼系統的地方,需依其風險的高低和進程,逐步換成新的加密系統。為了保證大家能夠落實,公部門應該出相當的資源提供高效並經形式驗證的公用程式,如果政府願意提供後量子密碼學公用程式庫,並且可以讓大家在採用時免除法律責任,那代價變低,大家就比較肯改用後量子密碼學。
對於台灣未來可參考那些國家所推行的後量子密碼學,楊柏因不諱言,亞洲地區的國家都是被動的,並沒有真的有誰想要來打造一個後量子生態圈(PQC Ecosystem)。若問那個國家比較勤快,韓國正在進行他們自己的後量子競賽,並將他們變成自己的國家標準。中國雖然也有這樣的競賽,但是他們看起來沒有要標準化贏家的意思,即使未來他們一定會有官方 (不是學界或業界) 出品的國家標準。
楊柏因提到,美國國家標準暨技術研究院(National Institute of Standards and Technology, NIST) 舉行的「後量子密碼學標準化(Post-Quantum Cryptography, PQC)」競賽,將用於決定他們的國家標準。而他們的標準,事實上到了最後就會變成這個世界大多數人的標準,所以NIST PQC其實相當重要。近年來,幾乎所有的公鑰密碼學家把大部分的時間,都投入在這競賽裡。
楊柏因分享他和其他學者研發的Rainbow密碼系統的故事,和他的團隊打進NIST PQC 決選的參賽經驗,他指出Rainbow是UOV (不平衡油醋簽章) 的加強版並被選為最決選者 (相當於打入決賽),但現在已經被淘汰了。那是因為有一位年輕的比利時人Ward Beullens發現了一個非常漂亮的攻擊,所以Rainbow的系統就不安全了。
楊柏因認為,研究團隊花在Rainbow的研究,不管是理論還是實作,沒有真的被浪費掉。基本上,密碼系統會在提出後,尋找它既安全也適合實作的參數,然後實作出來,接下來,要說服夠多的人將它嵌進實用中的系統裡,Rainbow是這樣,UOV也是這樣。UOV和Rainbow的大多數性質和實作的部件是相同的,那為什麼一開始不提出UOV呢? 因為 Rainbow 中為了更高的效能做了些修改,這個決定最後被Beullens決定性地證明為錯誤。但是 UOV 仍是這一輪呼聲最高的演算法。
楊柏因並不喜歡用「超前部署」形容後量子密碼學,而是一件不得不做的工作。在當歐美國家即將進行後量子密碼學的遷徙時,他認為,即時知道現在所下的每一個賭注可能直接付諸流水,但我們仍然要下注,下注永遠是有風險的,但就算下的賭注不一定是對的,但你沒下注,就一定會輸。
楊柏因呼籲台灣各界,盤點那些地方使用了密碼學,並且把不安全的密碼學切換到安全後量子密碼學,目前除了橢圓曲線密碼學(Elliptic Curve Cryptography)跟RSA加密演算法要切換外,SHA-1 (Secure Hash Algorithm 1),MD5 (Message-Digest Algorithm)等過氣的演算法也都應該淘汰,上述這些演算法,台灣還有很多地方還在使用。台灣的動作目前比別人慢,需要藉由硬體優勢,在後量子密碼學的遷移上跟上國際腳步。