InterValue：新型抗量子攻擊密碼演算法解析

InterValue（互聯價值）以提供全球價值互聯網基礎設施為目標，針對現有區塊鏈基礎設施存在的各種問題，提出優化區塊鏈技術在各個層面的協議和機制，實現價值傳輸網路各層次的支撐協議。目前，InterValue 2.0測試版已發布，獨立設計並實現了全新的HashNet共識機制，單分片突破28萬TPS，平台整體容量和交易確認速度提升至百萬量級。在項目建立全領域生態的底層基礎設施的目標下，安全性（抗量子攻擊特性）無疑是InterValue的重頭戲。

01

量子攻擊是什麼呢？

量子計算是建造計算機的新方式——利用粒子的量子屬性以與傳統計算機非常不同的方式在數據上執行操作。在某些情況下，演算法加速量非同尋常。正是這種特性使得原來在電子計算機環境下的一些困難問題，在量子計算機環境下卻成為容易計算的。量子計算機的這種超強計算能力，使得基於特定數學困難問題的現有公鑰密碼的安全受到挑戰，這就是量子攻擊。

02

抗量子攻擊意味著什麼呢？

演算法一直是區塊鏈技術的底層核心。目前的絕大部分演算法，都無法抵擋量子攻擊。意味著用戶的所有的信息，都將會暴露在量子計算機的面前。如果有了抗量子攻擊演算法，意味著個人的信息得到最安全的保障，至少以目前的技術手段是無法破解的。抗量子攻擊演算法意味著安全。量子攻擊對數字貨幣的打擊是毀滅性的。量子攻擊會直接瓦解現有的信息安全體系，量子攻擊會讓發動攻擊者攝取數字行業的資產，包括挖礦的收益；你錢包的密鑰都將會被破解，錢包不再安全。現有的安全體系直接瓦解。所以預先地開發抗量子攻擊演算法勢在必行。是堅實維護用戶個人隱私安全的必要技術手段。

InterValue在抗量子攻擊層面，採用新型抗量子攻擊密碼演算法，通過將 ECDSA 簽名演算法替換為基於整數格的NTRUsign簽名演算法，同時用Keccak512 哈希演算法替換現有的 SHA 系列演算法，降低了量子計算高速發展和量子計算機逐步普及帶來的威脅。

03

採用NTRUsign數字簽名演算法

當前ECDSA 簽名演算法無法抵抗量子攻擊

當前區塊鏈系統大多採用基於橢圓曲線的 ECDSA 數字簽名演算法，該簽名演算法：首先，需要生成個人的公私鑰對，私鑰用戶自己保留，公鑰可以分發給其他人；其次，可以通過私鑰對一個具體的信息進行簽名；最後，擁有該簽名公鑰的一方能夠進行簽名的驗證。ECDSA 具有系統參數小、處理速度快、密鑰尺寸小、抗攻擊性強和帶寬要求低等優點。但是量子計算機下針對 ECDSA 簽名演算法可執行非常高效的 SHOR 攻擊演算法，ECDSA 簽名演算法無法抵抗量子攻擊。

採用新的NTRUsign-251簽名演算法

目前抗量子 SHOR 演算法攻擊的公鑰密碼體制主要包括基於格理論的公鑰密碼、以 McEliece 公鑰密碼為代表的基於編碼公鑰體制和以 MQ 公鑰密碼為代表的基於多變數多項式三類。McEliece 公鑰密碼體制的安全性基於糾錯碼問題，安全性強，但計算效率低。MQ 公鑰密碼體制，即多變元二次多項式公鑰密碼體制，基於有限域上的多變元二次多項式方程組的難解性，在安全性方面的缺點比較明顯。相比之下，基於格理論的公鑰加密體制演算法簡潔、計算速度快、佔用存貯空間小。InterValue 採用基於格理論的簽名演算法 NTRUSign-251。演算法具體實現流程如下：

已經證明 NTRUSign-251 簽名演算法的安全性最終等價於求一個 502 維整數格中的最短向量問題，而對於格中最短向量問題 SHOR 攻擊演算法是無效的，在量子計算機下也沒有其他的求解快速演算法，目前最好的啟發式演算法也是指數級的，攻擊 NTRUSign-251 簽名演算法的時間複雜度約為 2168, 因此採用 NTRUSign-251 演算法的 InterValue可以抵抗量子計算下的 SHOR 演算法攻擊。

04

採用Keccak512哈希演算法

常見抗量子哈希演算法

量子計算機下針對哈希演算法目前最有效的攻擊方法是 GROVER 演算法，該演算法可以將對 Hash 演算法的攻擊複雜度從O(2^n) 降為O(2^n/2)，因此，目前比特幣系統採用的哈希演算法 PIREMD160 演算法由於輸出長度只有 160 比特，在量子攻擊下是不安全的。抵抗量子攻擊的有效手段是通過增加哈希演算法的輸出長度來有效降低 GROVER 演算法威脅，目前普遍認為只要哈希演算法輸出長度不少於 256 比特時，是可以有效抵抗量子攻擊的。另外，除了量子攻擊威脅外，一系列在實踐中被廣泛應用的 Hash 函數如 MD4、MD5、SHA-1 和 HAVAL 等受到差分分析、模差分和消息修改方法等傳統方法的攻擊，因此區塊鏈中的哈希演算法也需要考慮對傳統攻擊的抵抗能力。

採用勝出哈希演算法Keccak512

早期的區塊鏈項目如比特幣、萊特幣、以太坊採用了存在設計缺陷（但不是致命的）的 SHA 系列哈希演算法，最近新的區塊鏈項目都採用以美國國家標準與技術研究院SHA-3 計劃系列演算法為代表的新哈希演算法。

InterValue 採用 SHA-3 計劃的勝出演算法Keccak512，該演算法蘊涵許多雜湊函數和密碼演算法最新的設計理念和思想，且設計方式簡單，非常方便硬體實現。演算法是 Guido Bertoni, Joan Daemen, Michael Peters, 和Giles Van Assche 在 2008 年 10 月提交的，Keccak512 演算法採用了標準的sponge結構，可將任意長度的輸入比特映射成固定長度的輸出比特，該演算法速度非常快速，在英特爾酷睿 2 處理器下的平均速度為 12.5 周期每位元組。

Keccak512演算法實現圖

如圖所示，在海綿結構的吸收階段，每個消息分組與狀態內部的r比特進行異或，然後與後面固定的c比特一起封裝成 1600 比特的數據進行輪函數f處理，然後再進入擠壓過程。在擠壓階段，可以通過迭代 24 次循環產生n比特固定輸出長度的Hash值，每個循環R只有最後一步輪常數不同，但是該輪常數在碰撞攻擊時經常被忽略不計。該演算法被證明具有很好的差分性質，至目前為止第三方密碼分析沒有顯示Keccak512 有安全弱點。量子計算機下針對 Keccak512 演算法的第一類原像攻擊複雜度是2^256, 量子計算機下針對 Keccak512 演算法的第二類原像攻擊複雜度是 2^128，因此採用 Keccak512 演算法的 InterValue 可以抵抗量子計算下的 GROVER 演算法攻擊。

04

寫在最後

量子計算從理論到實踐已經歷了40年之久，從出現到現在，在技術積累、商業環境、性能提升上已進入到量變到質變的階段。對於區塊鏈來說，最致命的並不是投資人的質疑，而是量子計算機的加速發展。未來量子計算機最有可能顛覆傳統經典計算的技術路線，擁有更大發展領域。我們既敬畏它能對現有區塊鏈的破壞力，也期待它能幫助整個區塊鏈行業塑造全新的生態。在即將進入新的「量子時代、信任社會」之際，InterValue團隊認為只有充分認知量子密碼（量子通信）與抗量子密碼的本質，才能立足高遠，從容布局。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！