信息技術(shù)的偉大突破之一正將世界拋向巨大變革的風(fēng)口浪尖。從數(shù)據(jù)分析到機(jī)器學(xué)習(xí)，計(jì)算機(jī)科學(xué)所有領(lǐng)域的跨越式邁進(jìn)，都將源于該重大突破。但所有人類(lèi)技術(shù)成就，從內(nèi)燃機(jī)到核電，都具備雙刃劍屬性，量子技術(shù)也不例外。量子計(jì)算機(jī)已經(jīng)在保護(hù)數(shù)字空間安全的基礎(chǔ)設(shè)施中鉆了無(wú)數(shù)始料不及的漏洞。

我們今天采用的幾乎所有加密密碼都有一個(gè)基本設(shè)想：密碼的復(fù)雜性讓黑客即便使用最先進(jìn)的常規(guī)計(jì)算機(jī)也要花費(fèi)數(shù)年時(shí)間才能破解。但量子計(jì)算會(huì)改變這一切。

量子計(jì)算機(jī)的算力注定會(huì)將我們當(dāng)下最先進(jìn)的計(jì)算機(jī)遠(yuǎn)遠(yuǎn)甩在身后。最近，谷歌的科學(xué)家已開(kāi)始測(cè)試其72量子位的量子計(jì)算機(jī)。研究人員希望以此證明量子的無(wú)比優(yōu)越，證明量子計(jì)算機(jī)具備傳統(tǒng)計(jì)算機(jī)無(wú)法企及的計(jì)算能力。

盔甲上的裂痕

今天的標(biāo)準(zhǔn)加密技術(shù)基于所謂的公鑰基礎(chǔ)設(shè)施(PKI)，也就是上世紀(jì)70年代引入信息技術(shù)領(lǐng)域的一套協(xié)議。PKI體系中，以隨機(jī)數(shù)產(chǎn)生的復(fù)雜密碼，只有給定消息的收家，也就是持有私鑰的人，才可以解密。

作為加密數(shù)據(jù)的系統(tǒng)，PKI明智而可靠。但現(xiàn)實(shí)世界中要作為一種方法來(lái)加以實(shí)現(xiàn)的話(huà)，還有一個(gè)問(wèn)題是必須要解決的：實(shí)體該如何確認(rèn)要求通信的一方的身份呢?身份確認(rèn)問(wèn)題為網(wǎng)絡(luò)罪犯打開(kāi)了假冒合法服務(wù)器的大門(mén)。更有甚者，罪犯還可以插入用戶(hù)間的對(duì)話(huà)，竊聽(tīng)他們的通信，也就是所謂的中間人攻擊(MITM)。

業(yè)界以數(shù)字證書(shū)來(lái)解決身份驗(yàn)證問(wèn)題，此類(lèi)電子文檔含有能證明發(fā)家在身份上所言非虛的內(nèi)容。會(huì)話(huà)伊始時(shí)提交的證書(shū)，能讓會(huì)話(huà)各方知曉自己即將通信的對(duì)方都是誰(shuí)。當(dāng)下，被稱(chēng)為證書(shū)頒發(fā)機(jī)構(gòu)(CA)的可信第三方，負(fù)責(zé)創(chuàng)建和提供這些從個(gè)人用戶(hù)到大企業(yè)都仰賴(lài)的證書(shū)文件。

這其中有個(gè)問(wèn)題：證書(shū)本身的可靠性依賴(lài)公鑰加密功能，但公鑰加密在不遠(yuǎn)的將來(lái)就會(huì)被量子計(jì)算機(jī)打破。屆時(shí)，網(wǎng)絡(luò)罪犯很有可能利用經(jīng)篡改的證書(shū)來(lái)偽造其身份，完全破壞證書(shū)作為一種身份驗(yàn)證方法的可靠性。

分散威脅

在加密問(wèn)題上，人類(lèi)被迫創(chuàng)新也不是頭一次了。

當(dāng)比特幣創(chuàng)造者，身份成謎的中本聰，在2008年的白皮書(shū)中提出他劃時(shí)代的創(chuàng)意時(shí)，他同時(shí)也向世人介紹了我們今天廣為談?wù)摰膮^(qū)塊鏈技術(shù)——一套獨(dú)特的點(diǎn)對(duì)點(diǎn)身份驗(yàn)證系統(tǒng)。區(qū)塊鏈的核心思想，在于免第三方驗(yàn)證的永久記錄節(jié)點(diǎn)間交易的公開(kāi)賬本。區(qū)塊鏈基于去中心化概念，將身份驗(yàn)證過(guò)程分散到眾多用戶(hù)身上。沒(méi)有整個(gè)網(wǎng)絡(luò)上多數(shù)用戶(hù)的同意，是無(wú)法更改任何一點(diǎn)數(shù)據(jù)的。

多年來(lái)，區(qū)塊鏈和比特幣幾乎是一體的，很多人眼中這兩者就是同一個(gè)東西。大約5年前，業(yè)內(nèi)弄潮兒開(kāi)始意識(shí)到區(qū)塊鏈不僅僅可以應(yīng)用到保護(hù)加密貨幣上。為比特幣涉及的原始區(qū)塊鏈系統(tǒng)稍微改動(dòng)一下，就能應(yīng)用到很多不同行業(yè)，比如醫(yī)療、保險(xiǎn)、大選等等。逐漸地，新的去中心化系統(tǒng)開(kāi)始出現(xiàn)，比如Ripple和Litecoin。2015年，比特幣代碼庫(kù)原始貢獻(xiàn)者 Vitalik Buterin 發(fā)布同樣基于區(qū)塊鏈的以太坊項(xiàng)目。這些新平臺(tái)引入的，是記錄除加密貨幣交易之外的新類(lèi)型數(shù)據(jù)的能力，比如借貸和合同協(xié)議。

區(qū)塊鏈概念的優(yōu)勢(shì)很快變得明朗。2017年，全球近15%的金融機(jī)構(gòu)在用區(qū)塊鏈保護(hù)其業(yè)務(wù)安全。引入去中心化系統(tǒng)的行業(yè)持續(xù)增加。

拯救PKI

保護(hù)加密不受我們?nèi)找嬖鲩L(zhǎng)的算力侵?jǐn)_的最佳解決方案，是將去中心化引入PKI。

基本上，這意味著什么呢?意味著我們不再將數(shù)字證書(shū)集中存放，而是分發(fā)到世界范圍的賬本上，讓攻擊者根本沒(méi)可能加以篡改。因?yàn)槿粢薷淖C書(shū)，攻擊者得一一改過(guò)網(wǎng)絡(luò)空間中無(wú)數(shù)各種各樣的節(jié)點(diǎn)上存儲(chǔ)的數(shù)據(jù)。

去中心化已被證明是記錄防篡改的超有效方法。用類(lèi)區(qū)塊鏈系統(tǒng)代替單一實(shí)體的CA，可以讓我們的數(shù)字證書(shū)更安全。事實(shí)上，這是目前唯一可預(yù)見(jiàn)的防止量子革命損及PKI基礎(chǔ)的解決方案。

【本文是51CTO專(zhuān)欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過(guò)安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文