收藏
下载资源 加入会员免费下载

量子时代的区块链.pdf

返回 相关 举报
量子时代的区块链.pdf_第1页
第1页 / 共19页
量子时代的区块链.pdf_第2页
第2页 / 共19页
量子时代的区块链.pdf_第3页
第3页 / 共19页
量子时代的区块链.pdf_第4页
第4页 / 共19页
量子时代的区块链.pdf_第5页
第5页 / 共19页
亲,该文档总共19页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述
量子时代的区块链2 0 2 1 云 安 全 联 盟 版 权 所 有 2 云安全联盟量子安全工作组地址: h t t p s : / / c l o u d s e c u r i t y a l l i a n c e . o r g / w o r k i n g - g r o u p s / q u a n t u m - s a f e - s e c u r i t y / 云安全联盟大中华区区块链安全工作组地址: h t t p s : / / c - c s a . c n / r e s e a r c h / u n i o n - d e t a i l / i - 2 2 . h t m l 2 0 2 0 云 安 全 联 盟 - 保 留 所 有 权 利 。 本 文 档 英 文 版 本 发 布 在 云 安 全 联 盟 官 网 ( h t t p s : / / c l o u d s e c u r i t y a l l i a n c e . o r g ) , 中 文 版 本 发 布 在 云 安 全 联 盟 大 中 华 区 官 网 ( h t t p : / / w w w . c - c s a . c n ) 。 您 可 在 满 足 如 下 要 求 的 情 况 下 在 您 本 人 计 算 机 上 下 载 、 存 储 、 展 示 、 查 看 、 打 印 此 文 档 : ( a ) 本 文 只 可 作 个 人 信 息 获 取 , 不 可 用 作 商 业 用 途 ; ( b ) 本 文 内 容 不 得 篡 改 ; ( c ) 不 得 对 本 文 进 行 转 发 散 布 ; ( d ) 不 得 删 除 文 中 商 标 、 版 权 声 明 或 其 他 声 明 。 在 遵 循 美 国 版 权 法 相 关 条 款 情 况 下 合 理 使 用 本 文 内 容 , 使 用 时 请 注 明 引 用 于 云 安 全 联 盟2 0 2 1 云 安 全 联 盟 版 权 所 有 3 致 谢 本文档量子时代的区块链( B l o c k c h a i n s i n t h e Q u a n t u m E r a ) 由 C S A 量子安全工作组专 家编写,C S A 大中华区区块链工作组专家翻译并审校。 中 文 版 翻 译 专 家 : 组织者:刘洁 贡献者:姚凯、余晓光、吴潇、杨喜龙、王贵宗、邓辉、于乐、张威、赵刚 主要审核者:黄连金、刘洁 贡献单位:华为、天融信、吉大正元、宇链科技 英 文 版 原 创 作 者 : 主要作者: B r u n o H u t t n e r 贡献者:J o h n H o o k s 、 A a r o n K e n t 、 J o h n Y o u n g 审 核者 : B o u l e v a r d A l a d e t o y i n b o 、 A n d r e w B r i c k 、 N a d i a D i a k u n - T h i b a u l t 、 K e n H u a n g ( 黄 连 金 ) 、 A s h i s h M e h t a 、 U r m i l a N a g v e k a r C S A 员工: H i l l a r y B a r o n 、 A n n M a r i e U l s k e y ( G r a p h i c D e s i g n ) 在此感谢以上专家。 如译文有不妥当之处, 敬请读者联系 C S A G C R 秘书处给与雅正 ! 联系 邮箱: i n f o c - c s a . c n ; 云安全联盟 C S A 公 众号2 0 2 1 云 安 全 联 盟 版 权 所 有 4 序 言 首先祝贺 量子时代的区块链 ( B l o c k c h a i n s i n t h e Q u a n t u m E r a ) 的中文版本的发布, 这本 白皮书由 C S A 量子安全工作组专家编写,C S A 大中华区区块链工作组专家翻译并审校。 量子计算技术的飞速发展,使得采用量子计算机攻击区块链的现实威胁越来越近。量子 计算机可以执行传统计算机无法执行的计算,威胁到区块链中使用的几种密码学原语。一些 公司和世界各国政府已经建造了具有有限输入规模和有限计算量的小型量子计算机,有些量 子计算机甚至可以通过互联网访问,并可用于测试量子算法。 量子技术的发展对于区块链的安全有什么影响?这本文档总结了区块链的技术和可能受 到量子计算破解的区块链密码学算法,分析了一些主流区块链网路的密码学算法和量子计算 的关系, 包括比特币、 以太坊、 超级账本框架 ( H L F ) 和 Z c a s h , 同时分析了抵抗量子破解的密 码学算法和在区块链中的应用。文章深入浅出,值得大家参考。 李雨航 Y a l e L i C S A 大中华区主席兼研究院院长2 0 2 1 云 安 全 联 盟 版 权 所 有 5 目 录 致谢. 3 序言. 4 1 . 简介. 6 2 . 区块 链概 述. 6 2 . 1 区块链是什么 ?. 6 2 . 2 它是如何开始的 : 比特币和加密货币. 6 2 . 3 新范式:智能合约. 7 2 . 4 新兴区块链应用. 7 3 . 量子 时代. 8 4 . 区块 链使 用的主 要密 码学工 具. 9 4 . 1 随机数生成. 9 4 . 2 哈希函数. 9 4 . 3 公钥签名. 1 0 5 . 几种 区块 链技术 的风 险分析. 1 1 5 . 1 比特币. 1 1 5 . 2 以太坊. 1 2 5 . 3 超级账本框架 ( H L F ). 1 3 5 . 4 Z c a s h. 1 3 6 . 未来 解决 方案. 1 4 6 . 1 量子安全签名与加密. 1 1 6 . 2 后量子 区块链签名属性. 1 2 6 . 3 标准化下的后量子签名. 1 3 6 . 4 量子区块链. 1 5 7 . 结论 :从 前量子 到后 量子区 块链的 转变. 1 8 附录 :名 词表. 1 92 0 2 1 云 安 全 联 盟 版 权 所 有 6 1 . 简 介 区块链等分布式账本技术 ( D L T ) 正作为跨越多个细分市场的众多应用程序的一部分进行部署。 开发人员利用区块链去中心化、不可篡改、加密安全和透明的特点,发挥其在数据冗余、不可篡 改和增强审计/ 合规方面的优势。 区块链基础设施广泛使用数字签名算法、 哈希算法和公钥加密技 术。量子计算技术的飞速发展,使得量子计算机网络攻击的前景变得非常现实。例如,可见于最 近 C S A 发表的关于量子威胁的文章。 因此, 目前正在采取措施来设计用 于抵抗量子计算机攻击的加密算法 , 用来增强当今的 D L T / 区 块 链 基 础 设 施 。 这 些 后 量 子 算 法 是 基 于 量 子 计 算 机 很 难 用 S h o r 算 法 或 G r o v e r 算 法 来 解 决 的 计 算问题。 本文介绍了 D L T / 区块链技术及其一些代表性应 用 , 并总览了目前正在积极研究的 领先的 后量子算法中有代表性的部分。 2 . 区 块 链 概 述 我们假设读者对区块链有 一定的了解 。如果没有, 我们推荐以下相关资料 : C o i n D e s k 的区块 链介绍或 N I S T 的区块链技术介绍。这里我们简要回顾一下区块链主要的思想和工具。 2 . 1 区 块 链 是 什 么 ? 区块链是一个去中心化的分布式帐本,在一个多节点网络上,具有特定的更新机制,确保所 有节点之间的同步。帐本由包含交易的区块互相链接组成。用户创建一笔交易,这些交易必须通 过网络中的节点验证后才能追加到账本。 为了保证数据不可篡改, 整个数据结构被加密过程保护: 通过网络验证的交易不能被篡改。 区块链主要基于两个密码学原语,密码哈希函数和公钥签名。签名有两个目的,它们允许用 户使用其私钥对他们的交易进行身份验证, 并使区块链能够使用公钥验证其有效性。 哈希函数提 供 了不 可变 性 : 一 旦交 易块 的哈 希 在区 块链 上发 布 ,该 交易 就无 法 被修 改。 然后 这 个哈 希值 将包 含在下一个交易块中,再下一个区块也是一样,如此继续,建立一连串的交易块,即区块链。恶2 0 2 1 云 安 全 联 盟 版 权 所 有 7 意节点对前期交易块的任何修改都会转化为对所有后续区块的修改,这将很快被诚实节点发现并 拒绝。 2 . 2 它 是 如 何 开 始 的 : 比 特 币 和 加 密 货 币 从历史上看,第一个区块链也是现在应用最广泛的区块链应用是比特币。比特币中每一笔交 易都是以货币形式出现。比特币是第一个加密货币。此后,基于类似的原理,人们发明了许多其 他加密货币。加密货币的主要优点是去中心化、有限的匿名化和公开验证的交易的不可篡改性。 2 . 3 新 范 式 : 智 能 合 约 区块链结构还可以应用于不同类型的交易。例如,在以太坊区块链中,交易也可以由一些软 件支持,这些软件可以在满足一组条件时执行。这就是“智能合约”的基础,它是新兴应用程序 的核心。 2 . 4 新 兴 区 块 链 应 用 区块链技术的内在特征使其成为一种颠覆性技术,能够跨多个细分市场进行创新业务转型。 它的去中心化和不可篡改的特性可以使交易双方超高可信的执行交易、 验证交易和审计历史交易。 虽然过往区块链技术一直是以比特币为代表的加密货币的代名词,但智能合约的功能为自动化业 务流程和工作流提供了最大的变革潜力。简要回顾一下其他细分市场中的一些新兴应用案例,可 以帮助说明区块链应用程序在未来的量子计算机攻击中所面临的风险越来越大。 金 融服 务 清 算和 结算 。 使用区块链 技术可以大幅减少 金融资产交易或兑 换的清算和结 算时间。 一个基于区块链的服务可以自动更新数据库 / 注册表以及相关的工作流, 可以将这个时间 间隔从几天缩短到几分钟。 更多细节可参见惠普关于金融行业区块链的技术意见书 , 以及 C S A 发 表的另一篇关于区块链用例的论文。 身份 管理 服务 。 区块链技术特别 适合支持分布式身份管理服务 。 可以在区块链上 为每个 人创建一个加密的安全 “数字身份” 。 然后, 双方可以使用身份 “证明” 或来自数字身份的属性 来证实该用户的身份。 最近 N I S T 在有关身份管理的技术意见书中对此进行了明确的说明2 0 2 1 云 安 全 联 盟 版 权 所 有 8 医 疗 健 康 。 区 块 链 技 术 潜 在 地 支 持 各 种 医 疗 健 康 用 例 ( 例 如 , 安 全 访 问 患 者 健 康 记 录 , 对医疗健康交易进行安全审计, 减轻或防止欺诈性处方药的流动) 。 有兴趣的读者可以咨询医疗 健康中有关区块链的介绍,以及医疗健康中有关区块链的技术意见书。 智 能 家居 和 物 联网 。 家庭 环境 中具有 区块链 功能 的物联 网 ( I o T ) 设备 可以 以安全 的方式 远程 控 制 和 管 理 ( 如 家 用 电 器 、 消 费 电 子 产品 ) 。 例 如 , 参 见 物 联 网 中 基 于 区 块 链 的 安全 访 问 控 制 以及 C S A 在物联网区块链上发表的另一篇论文。 供 应链 和物 流。 启用了区块 链的 I o T 设备(例如 运动传感器, G P S 传感器,温 度传感器 , 车辆信息传感器) 可以在货物穿越复杂的供应链时提供详细的状态更新。 还可以部署智能合约来 自动执行任务 (例如, 当冷藏卡车内的温度降得太低时, 可以自动启动补救措施) 。 世界经济论 坛的一份技术意见书以及 C S A 发布的一份文件都提到了这一点。 汽车 行业 。 目前正在评估区块链技 术在支持自动驾驶汽车 、自动加油支付、智能停车和自 动交通控制方面的适用性。可以在 C u b e 的技术意见书中找到示例。 在不同细分市场中创建的关键业务区块链应用可能会在同一攻击面出现相同的量子安全漏洞。 一旦这一攻击面成为未来量子计算机攻击的目标,整个行业范围的区块链安全风险敞口将迅速超 过其他归因于比特币加密货币的安全风险敞口。潜在的,恶意的参与者可能正在收集这些被量子 脆弱的加密方案保护的数据,以待量子硬件可用时解密数据。因此,尽早制定合适的量子安全对 策变得越来越迫切。 3 . 量 子 时 代 完整的区块链框架依赖其底层密码流程的安全性。没有可信的哈希函数和公钥签名就不会有 区块链。 量子计算 机 ( Q u a n t u m C o m p u t e r ) 可以执行 传统计算机无法执 行的计算 , 威胁到区 块链 中使 用的几 种密码 学原语 ( C r y p t o g r a p h i c P r i m i t i v e ) 。要 攻破密 码学原 语背后 的数学 问题, 通用且 可扩展的量子计算机是必不可少的。虽然目前尚不可用,但一些公司和世界各国政府已经建造了 具有有限输入规模和计算量有限的小型量子计算机。有些量子计算机甚至可以通过互联网访问, 并 可 用 于 测 试 量 子 算 法 。 量 子 霸 权 ( Q u a n t u m S u p r e m a c y ) 描 述 了 量 子 计 算 机 明 显 优 于 传 统 计 算 机2 0 2 1 云 安 全 联 盟 版 权 所 有 9 的时间点, 这一点已经或即将实现。 因此, 最重要的是了解量子计算对区块链构成的威胁并提出 可能的解决方案。 4 . 区 块 链 使 用 的 主 要 密 码 学 工 具 未来的量子计算机攻击将针对区块链的区块构件,因此必须更详细地分析每个威胁。 4 . 1 随 机 数 生 成 随 机数 生成 ( R a n d o m N u m b e r G e n e r a t i o n ) 是 大多 数密 码 流程 的核 心 。 由 于传 统计 算 机是 确定 性的, 因此生成良好的随机性并不容易。 在许多情况下, 不良的随机性会导致灾难, 后面最近的 案例证明了这一点。 对于在协议的各个级别应用随机数的区块链来说尤其如此。 对于隔离的服 务器, 问题更加严重, 因为在隔离的服务器中, 大多数计算都是在没有人工干预的情况下执行的。 在这里量子技术实际上可以提供帮助。 量子理论本质上是不确定的, 因此基于量子生成随机 数是提供良好随机性更安全的方法。 现在 ,量子 随机数 生成器 ( Q u a n t u m R a n d o m N u m b e r G e n e r a t o r , Q R N G ) 的外 形尺寸 非常小 , 如 I D Q u a n t i q u e 的 Q u a n t i s Q R N G 芯 片 。 这 样 的 小 型 Q R N G 可 以 轻 松 集 成 到 服 务 器 中 , 维 护 区 块 链 的节点,甚至可以集成到各种终端,如用户端的 P C 和智能手机中。 4 . 2 哈 希 函 数 密码哈希函数( H a s h F u n c t i o n ) 确实是实现区块 链密码流程的主力军 。 哈希函数将任意 长度的文 本输入转换为固定长度的输出。输出确定地对应到输入,除非使用暴力尝试每个输入直到找到正 确的输出,否则不可能从输出恢复输入。 哈希函数在区块链中用于两 个目的 。 一是保证区块的不可篡改性 。 最常用的哈希函数 S H A 2 5 6 具有 2 5 6 位输出, 对该函数进行暴力攻击 需要运行 2 2 5 6 次操作, 甚至超过了最大的超级 计算机的 能 力 。使 用 G r o v e r 算 法 进行 量 子 攻击 会 将 操作 减 少 到 2 1 2 8 次 , 但 仍然 是 不 可行 的 。 量子 计 算 机无2 0 2 1 云 安 全 联 盟 版 权 所 有 1 0 法破坏区块链的不可篡改性,但可能需要将哈希函数的运算级别加倍。 许 多区 块 链哈 希 函数 的 第二 个 目的 是 提 供所 谓 的工 作 量证 明 ( P r o o f - o f - W o r k , P o W ) , 网络 中 的 节 点必 须完 成 工作 才能 添 加 新 的区 块 ( B l o c k ) 。 这个 想法 是 ,当 准备 在网 络 上 添 加 新 的区 块时 , 矿 工( M i n e r ) 竞相在该区块上执行计算 。 第一个完成计算的矿工可以 添加该区块并获得奖励 。 该计算 精确地转化了具有较短输出的哈希函 数 。 同样, 在量子计算机上实现的 G r o v e r 算法将实现更快的 计算。 4 . 3 公 钥 签 名 公 钥密 码学 ( P u b l i c - k e y C r y p t o g r a p h y ) 用 于验 证在 区 块链 上完 成 的交 易。 发 送方 A l i c e 使 用她 的 私钥对交易进行数字签名。 然后, 接收者和任何感兴趣的一方都可以使用 A l i c e 的公钥验证数字签 名 是 否 有 效 。 公 钥 密 码 学 机 制 还 用 于 支 持 区 块 链 上 的 数 字 钱 包 ( D i g i t a l W a l l e t ) 操 作 。 数 字 钱 包 通 过对用户的公钥进行某种形式的哈希运算,与区块链上的公开地址关联。数字钱包通常用于安全 地存储区块链用户的私钥以及交易的相关数据,这些交易可能与区块链应用程序有关。对于比特 币( B i t c o i n ) 或以太坊( E t h e r e u m ) ,该数据可能是用户当前的加密货币余额。 1 通 过 以 下 方 式 实 现 这 一 点 : 对 区 块 进 行 哈 希 , 然 后 将 该 哈 希 与 一 个 随 机 数 ( n o n c e ) 再 次 进 行 哈 希 , 直 到 获 得 具 有 给 定 数 量 的 前 导 零 的 哈 希 值 。 实 现 这 一 目 标 唯 一 的 已 知 方 法 是 暴 力 破 解 。 通 过 发 送 随 机 数 的 值 并 要 求 其 他 节 点 检 查 可 以 很 容 易 地 验 证 这 一 点2 0 2 1 云 安 全 联 盟 版 权 所 有 1 1 5 . 几 种 区 块 链 技 术 的 风 险 分 析 尽管所有区块链技术都依赖于相同的密码学原语, 但实现细节是不同的。 因此, 量子威胁 在不同的层面产生作用。 我们通过简要分析几个现有的区块链来举例说明这一点。 这就要求我 们对区块链结构及其技术细节进行相对深入的探索。 其目的是通过一些选定的例子来说明风险 的性质,以及如何降低风险。更完整的分析超出了本文的范围。 5 . 1 比 特 币 比特币是第一个也是最流行的区块链。 对于那些不熟悉比特币工作原理的读者来说, 最好 的信息来源是中本聪的原著 (中本聪是整个比特币体系发明者的化名) , 尽管这个著作有些过 时。在这里,我们将简单列出与量子计算机攻击可能有关的基本问题。 链的不可篡改性: 这个目标是通过散列算法实现的, 这被认为是量子安全的 。 只要使用 足够长的哈希 值 , 则这方面风险 很小 (即, 考虑到 G r o v e r 的算法, 2 5 6 位及以上的位 允许降级 二分之一)。比特币就是这种情况,它使用 S H A 2 5 6 算法。 公开地址: 交易由地址标识, 地址是接收方公钥的散列值 。 因此, 如果一个用户想要接 收 比特 币, 他们 必须 创 建一 个公 钥 / 私 钥对 ,并 计算 一个 地 址, 该地 址是 他 们公 钥的 散列 。比 特币使用的非对称算法是 E C C (椭圆曲线) , 这不是量子安全的。 但是, 只要公钥被哈希函数 隐藏, 它就会得到很好的保护。 当用户需要花费与地址相关联的比特币时 , 公钥被公布。 这是 为了保证区块链对交易的确认。 然而, 在交易中 , 链接到此地址的所有比特币都必须用完 。 原 则上, 剩下的任何 “ 找零” 都会发送到一个新地址 。 如果遵循这一规则, 量子计算机带来的唯 一风险就是对手拦截交易, 破解密钥并执行另一笔交易, 所有这一切都在几分钟内完成 。 量子 计算机不太可能在短期内足够快地做到这一点。 因此, 这种风险微乎其微。 然而, 出于实用性 考虑, 许多用户在多个交易中重复使用相同的地址。 这不是正确的做法, 会让他们的比特币面 临量子计算机的风险。 对 于 P o W ( 工 作量 证 明 ) :拥 有 量 子 计 算机 的 对 手 执行 P o W ( 工 作量 证 明 ) 的速 度 可 能比其他矿工快得多, 并获得很大优势 。 特别是, 配备量子计算机的恶意用户可能会尝 试 5 1 % 的攻击并控制区块链。 然而, 这可能不会比比特币初期面临的问题更糟, 当时矿工使用定制硬 件相比较于依赖通用 P C 的其他人有很大优势。这个问题还需要更详细地研究2 0 2 1 云 安 全 联 盟 版 权 所 有 1 2 5 . 2 以 太 坊 以太 坊是第二 大受欢 迎的区块 链平台 。 它是 一个全球 性的开 源平台, 用于构 建和运行 去 中心化应用程序, 并且是流行的以太币的基础平台。 许多商业应用程序基于以太坊构建 。 公 共以太坊平台用于债券发行和结算, 供应链自动化, 基于区块链证书的凭证, 简化公用事业提 供商的付款流程等。 以太坊的一个不错的学习书籍是 精通以太坊 。 在本节中, 我们将简 单列出它与量子安全相关的基本问题。 链的不可篡改性 (或 链的不可变性) : 与比特币类似, 以太坊网络中的不可篡改性 (或 不可变性)是 通过散列算法,具体来 讲是 K e c c a k - 2 5 6 算法(或以太 坊圈子中通常称为 S H A - 3 ) 来实现的,具有量子抗性。 共识: 以太坊使用的共识机制目前是工作量 证明 ( P o W ) , 与比特币一样 , 拥有量子计 算机的对手可以尝试 5 1 % 的攻击并控制区块链。 资金和合约的所有权: 以太坊使用公钥加密技术, 利用公私密钥对表示以太坊帐户 , 包 括, 可公开访问的帐户句柄 (地址) 和该帐户中的资金所有权 ( 以太) , 以及该帐户使用智能 合约时所需要的任何身份认证。 私钥通过作为创建数字签名所需的唯一性信息片段来控制访问, 任何花费该账户中资金的交易都需要这个数字签名来签署。 数字签名还用于认证合约的所有者 或用户。 以太坊当前使用 E C D S A 来签署交易并不具有量子抗性。 以太坊地址: 这些是唯一性标识 , 这些标识是使用 K e c c a k - 2 5 6 单向哈希函数从公 钥或合 约生成的,该函数具有量子抗性。 目前 正在 进行的 以太 坊新版 本 E t h e r e u m 2 . 0 是一 个重 大升级 。计 划于 2 0 2 2 年完 成, 其 中包 括开发 功能, 性能和 安全性 的升级 。此版 本将依 赖于权 益证明 ( P o S ), 这是另 一类共 识 机制。 在 P o S 中, 每个验证节点对新区块的 添加进行投票。 每个验证节点的权重取决于 它愿意 承 担 的 资 金 量 份 额 。 P o S 的 优 势 包 括 安 全 性 提 升 , 中 心 化 风 险 降 低 以 及 性 能 提 高 。 这 在 P o S 的常 见问 题( F A Q ) 中进 行了 描述 。此 外, 它将 包括通 过诸 如 L a m p o r t 算法 ( 逻辑 时钟 ) ,X M S S (扩展 M e r k l e 签名方案)或 S P H I N C S 之类的抗量子签名方案来解决量子威胁2 0 2 1 云 安 全 联 盟 版 权 所 有 1 3 5 . 3 超 级 账 本 框 架 ( H L F ) 超级账本 框架 ( H L F ) 是一个需授权 的分布式 账本平台 , 最初由 I B M 和 D i g i t a l A s s e t 开发。 它 是 L i n u x 基 金 会 于 2 0 1 5 年 创 建 的 H y p e r l e d g e r 项 目 中 的 一 个 特 定 框 架 。 超 级 账 本 框 架 ( H L F ) 是 用于开发模块化应用程序的企业级平台。 它提供了一个可扩展且安全的平台, 这个平台支持私 有交易和私密智能合约。在这里,我们将确定与量子安全相关的基本问题: 链的 不可 篡改 性: 就像 比特 币一 样, 框架 ( F a b r i c )中 的不 可篡 改性 (或 不可 变性 )是 通过散列(S H A - 2 5 6 算法)实现的,这被认为是量子安全的。 交易:交易是向超级账本 框架 ( H L F ) 提出修改账本状态的请 求。密码学通过将交易链接 到之前的区块确保交易的完整性, 如果受到保护, 则通过链接以前链接的块中的密码或哈希值 来确保交易的完整性。超 级账本框架 ( H L F ) 中的加密模块是可插拔 的,因此可以更新模块以确 保其量子安全。 身份和访问管理: 由于 F a b r i c 是需授权网络 , 因此它重度依赖于被网络所 识别和确认的 所 有 成 员 。 它 使 用 专 门 的 数 字 证 书 颁 发 机 构 ( C A ) 向 区 块 链 网 络 的 成 员 颁 发 证 书 。 证 书 颁 发 机构基于在 F a b r i c 中可插拔的加密功能模块, 并且可以通过加密模块升级 以确保它们达到量子 安全的目标。然而,目前在 超级账本框架 ( H L F ) 中使用的签名方案本质上并 不具有量子抗性 。 目前正在进行研究 以探索基于格结构的数字签名方案 ( 比如 q T E S L A ) 的使用。 该数字签名方案已 被 N I S T 第 2 轮 候选 数 字 签名 接 受 ,但 尚 未进 入 第 3 轮 。因 此 , 很可 能 会 提出 一 种新 的 签 名方 案来测试超级账本框架 ( H L F ) 的量子抗性。 5 . 4 Z c a s h Z c a s h 是比 特币的分 支,它提 供了打 开与交易 相关的 隐私功能 的附加功 能。支 付人和收 款 人信息以及交易金额受到隐 私保护 , 但同时 Z c a s h 提供了与任何主流基于区块 链的系统相关的 不 可 篡 改 性 和 可 验 证 性 。 隐 私 特 征 和 交 易 有 效 性 是 通 过 零 知 识 证 明 , 特 别 是 使 用 Z K - S N A R K ( Z e r o - K n o w l e d g e S u c c i n c t N o n - I n t e r a c t i v e A r g u m e n t o f K n o w l e d g e ) 来 实 现 的 。 Z K - S N A R K s 需 要 设置受信任方才能启用 Z K 证明系统。 目前 , Z c a s h 加密 机制容易 受到量子 计算机 攻击。因 此,通 过使用已 知收款人 的地址 ,可 以发现与交易关联的金额以及加密的备忘录。另外,可以操纵验证过程以伪造 Z c a s h2 0 2 1 云 安 全 联 盟 版 权 所 有 1 4 目 前 正 在 进 行 大 量 研 究 以 开 发 后 量 子 ( P Q ) Z c a s h , 例 如 基 于 格 结 构 的 Z K - S N A R K s 。 一 种 潜 在 的 后 量 子 方 法 可 能 是 将 Z K - S T A R K s ( Z e r o - K n o w l e d g e S c a l a b l e T r a n s p a r e n t A r g u m e n t s o f K n o w l e d g e )作为 Z c a s h 协议的 一部分。 Z K - S T A R K s 的另一 个优点是不需 要设置受信任 的实体 , 从而减轻了这些实体对隐私的任何潜在攻陷可能。 6 . 未 来 解 决 方 案 6 . 1 量 子 安 全 签 名 与 加 密 量 子 计 算 机 可 能 会 破 坏 传 统 架 构 下 所有 的 安 全 连 接 , 解 密 已 加 密 保 存 的 安 全 数 据 库 , 修 改所有已经创建的区块链记录, 这可能会对互联网连接的区块链网络的安全性造成大规模的破 坏( 无论是技术还是经济上的) 。量子计算机将破坏大多数现有区块链(即数字签名方案 )背后 的至少一个基本密码学原语。 尽管由于它们的结构, 某些区块链, 尤其是那些利用对称密钥密 码学的区块链,相对具有适应性,而另一些区块链可能会因规则的一些简单更改而变得如此, 但 必须 对此 原语 进行 修 改。 此外 ,在 大 多数 区块 链实 施中 , 公钥 / 私 钥对 由用 户存 储在 数 字钱 包中。 这些钱包中有一些是在线存储的 , 例如在交易所 , 而有些则是由用户自己存储的, 通常 存储在便携式驱动器上。由于这些钱包存储了私钥,因此出现了机密性问题。 在大多数情况下, 公钥基础结构还提供了机密性, 对通过不安全通道交换的密钥进行加密。 这种加密也可能受到量子计算机的威胁。 但是, 由于可以使加密的钱包独立于区块链本身而具 有抗量子性,因此我们将不对其进行进一步讨论。 N I S T 的评估目前正在为量子抗性签名和密钥交 换机制选择合适的候选方案 , 这些候选方案 可用于加密私钥。我们将仅在下面审查签名方案。 6 . 2 后 量 子 区 块 链 签 名 属 性 目前, 一些行业计划正在制定适用于区块链使用的后量子密码系统。 除了提供必要的抵抗 未来量子计算机攻击的能力外, 这些算法必须从实际部署的角度来看是可行的。 一些特别重要 的属性包括2 0 2 1 云 安 全 联 盟 版 权 所 有 1 5 小的数字签名和哈希值: 因为区块链代表了一个不断增长的交易存储库 , 所以最小化数字 签名和哈希值的大小是很重要的。 小的公钥和私钥大小: 合适的后量子算法必须最小化密钥大小,以减少区块链存储需求 , 并减少与密钥操作相关的计算开销。 计算速度快: 为了支持高性能和可扩展的区块链基础设施 , 后量子算法的执行速度应该非 常快。 6 . 3 标 准 化 下 的 后 量 子 签 名 目 前 有三 家 入 围 N I S T 签 名 方案 标 准 化 的候 选 者 。两 种 基 于 格, 一 种 基 于多 元 密 码学 。 此 外有三个备选方案, 基于哈希函数、 零知识证明以及多元方案。 许多其他参加第一轮和第二轮 选 举 的 候 选 人 已 被 淘 汰 。 请 参 考 I E E E 最 近 发 表 的 关 于 领 先 的 后 量 子 算 法 的 评 估 。 这 些 算 法 的 简要总结如下: 6 . 3 . 1 入 围 基 于 格 的 密 码 系 统 基于格结构的密码系统是基于被称为格子的几何结构。 格是存在于 n 维空间中的点的周期 性结构。 像最短向量问 题 ( S V P ) 这样的问题是 N P - H a r d 的, 它涉及到确定 存在于这样一个格内两 点之间的最短非零向量。 这个问题和其他相关的问题不能用量子计算机非常有效地解决。 由于 这些方案的实现在计算上执行起来很简单, 因此它们非常适合在区块链中使用。 不幸的是, 它 们 目前 都需 要存 储 / 使 用大 的密 钥键 。这 些 增加 的密 钥大 小 引入 了大 量的 传输 延 迟, 即使 处理 时间通常比 R S A 对应的快。 由于共识机制寻求以最佳方式同步验 证处理和网络通信 , 因此减少 处理时间和提高传输延迟的影响取决于区块链/ D L T 。 C r y s t a l s - D i l i t h i u m 就 是 这 样 一 种 数 字 签 名 方 案 , 它 的 计 算 难 度 与 基 于 格 的 密 码 系 统 有 关 。 C r y s t a l s ( C r y p t o g r a p h i c S u i t e f o r A l g e b r a i c L a t t i c e s ) 组 织 建议 使 用 D i l i t h i u m - 1 2 8 0 x 1 0 2 4 参 数 集 , 以 实 现大 约 1 2 8 位 的安 全 性, 对 抗 所有 已 知的 经 典和 量 子攻 击 。 C r y s t a l s - D i l i t h i u m 数 字签 名 方案 是 N I S T 第 三 轮 数 字 签 名算 法 的 候 选 方 案 。 D i l i t h i u m 方 案 的 优 化 版 本对 于 区 块 链 的 部 署 非 常 有 意义, 因为从执行的角度来看, 它们代表了一些最快的方案 。 为了减少密钥大小, 还需要做一 些额外的工作2 0 2 1 云 安 全 联 盟 版 权 所 有 1 6 F a l c o n 是另一个进入第三轮决赛的基于格 的签名方案。与其他基于格的方案相比 ,它的数 字签名尺寸更小。 与其他相关方案相比, 快速傅立叶采样的使用也使得数字签名的生成和验证 操作更快。F a l c o n 也可能是在区块链中使用的一个有前途的候选者。 6 . 3 . 2 最 终 入 选 的 多 元 密 码 系 统 多元密码系统被期望达到对量子计算机攻击的有力抵抗, 因为它们依赖与求解多元多项式 方程组相关的计算难度。 基于多变量的签名方案可以以一种相对有效的方式实现, 并且只需要 相当少量的计算资源。 从区块链的角度来看, 这些属性是非常需要的。 尽管这些方案产生的签 名相对较短, 但它们可能需要使用相对较大的公钥。 然而, 这些方案不像基于格的同类方案那 样经过审查。 R a i n b o w 是 N I S T 第 三 轮 选 出 最 终 入 围 的 多 元 方 案 。 它 是 基 于 求 解 随 机 多 元 二 次 系 统 的 N P - H a r d 难度 。从 区块 链的 角度 来看 , R a i n b o w 的使 用显 示了 相当 大的 前景 ,因 为它 非常 高效 的签名生成和验证操作。 6 . 3 . 3 替 代 候 选 者 S P H I N C S + ( 基于哈 希的 ) : S P H I N C S + 是一种 无状态的 、 基于哈 希的数字签名 方案 , 因此具 有 “ 临 时替代” 现有数字签名方案 的优势 。 对原始 S P H I N C S 方案进行了改进, 以减少其数字签名 的大 小。 此方案依赖于一系列单向散列的相关性。 此方案的更安全版本可能不具备在区块链环境中 使用所需的性能特征。 P i c n i c ( M P C - i n - t h e - h e a d Z K P o K ) : 与 许多 其他 后 量子 数字 签 名候 选 方法 相比 , P i c n i c 基 于一 种 不同的方法。 它不是基于数论的计算 “ 难度” 级别, 而是利用零知识证明的概念, 结合对称密 码学、 哈希函数 和块密码。 尽管基于 P i c n i c 的方案 ( 如 P i c n i c 2 ) 具有一 定的安全 优势,但它 们可 能不具备部署区块链所需的性能特征。 G e M S S ( H E v - M u l t i v a r i a t e ) : G e M S S ( G r e a t M u l t i v a r i a t e S h o r t S i g n a t u r e ) 是 一 种 基 于 多 变 量 的2 0 2 1 云 安 全 联 盟 版 权 所 有 1 7 签名方案, 它产生的签名相对较小。 相关的签名验证过程被认为是快速的
展开阅读全文
相关资源
相关搜索
资源标签

copyright@ 2017-2022 报告吧 版权所有
经营许可证编号:宁ICP备17002310号 | 增值电信业务经营许可证编号:宁B2-20200018  | 宁公网安备64010602000642