网络安全-安全见闻(5)

声明
学习视频来自 B 站UP主泷羽sec，如涉及侵权马上删除文章。
笔记的只是方便各位师傅学习知识，以下网站只涉及学习内容，其他的都与本人无关，切莫逾越法律红线，否则后果自负。

  
X

这篇是关于量子计算的安全见闻，紧张是让大家了解一下，前沿科技技术对网络安全的一个应用和影响。实在不单单是量子计算，我们要学会闻一知十了解并使用其他前沿技术引申拓展到网络安全方向，结合多个层面多个方向，站在更高的维度去审视安全。
量子物理学及量子计算

一、学习方向

量子物理学基础

了解量字力学的基本原理，如量子态、叠加态、纠缠等概念，这是明白量子计算的基础。
学习量子力学的数学表达，包括波函数、算符等，以便更好地分析量子计算体系的特性。
   量子力学是描述微观粒子（如电子、光子等）举动的物理学分支，它在20世纪初由物理学家如普朗克、爱因斯坦、海森堡、薛定谔、狄拉克等人发展起来。量子力学的基本原理包括以下几个方面：
  

• 波粒二象性：微观粒子既表现出波动性，也表现出粒子性。比方，电子在某些实验中表现出波的性质，如干涉和衍射现象。
  
• 量子态的描述：微观粒子的状态由波函数描述，波函数的平方给出粒子在空间中某位置出现的概率密度。
  
• 不确定性原理：由海森堡提出，表明粒子的位置和动量不能同时被精确测量，位置的不确定性和动量的不确定性的乘积大于或即是某个常数。
  
• 量子叠加原理：一个量子体系可以同时处于多个大概状态的叠加。只有当体系被观测时，它才会“坍缩”到一个确定的状态。
  
• 量子纠缠：两个或多个粒子可以处于一种特别的量子态，纵然它们相隔很远，一个粒子的状态无论何时被测量，都能立即确定另一个粒子的状态。
  
• 量子隧道效应：粒子有一定概率穿过势垒，纵然它们的动能小于势垒的高度。
  
• 量子力学的数学情势：量子力学的数学表述通常使用线性代数和希尔伯特空间，波函数是希尔伯特空间中的向量。
  
• 薛定谔方程：描述量子体系波函数随时间演化的偏微分方程。
  
• 泡利不相容原理：在原子中，没有两个电子可以同时具有相同的四个量子数（主量子数、角量子数、磁量子数和自旋量子数）。
  
• 量子场论：将量子力学与狭义相对论结合起来，描述粒子的产生和湮灭。
  

  量子计算原理与技术

掌握量子比特、量子门、量子电路等量子计算的核心概念。
研究差别的量子计算模型，如量子线路模型、绝热量子计算等。
了解量子算法，特别是对传统密码学构成威胁的算法，如Shor算法。（Shor算法,使用量子计算技术，对传统密码学降维打击）
   Shor算法是一种量子算法，由彼得·肖尔（Peter Shor）在1994年开发，用于快速分解大整数，这一算法对现代加密体系构成了潜在威胁。以下是Shor算法的简介：
算法配景：Shor算法的出现表明，量子计算机在理论上可以或许比任何已知的经典算法更快地分解大整数。这一算法直接威胁到了基于大数分解困难性的公钥密码体系，如RSA加密。
算法原理：Shor算法包罗两个紧张部分：经典预处理和量子部分。经典部分将分解问题简化为寻找特定函数的周期。量子部分使用量子计算机高效地找到该函数的周期，从而用于分解数字。
算法步骤：
  

• 选择一个要分解的大复合数N，N有两个质因数p和q。
  
• 选择一个小于N且与N互质的随机数a。
  
• 对一组n个量子比特应用量子傅里叶变更（QFT），生成全部大概的周期函数值的等概率叠加。
  
• 测量QFT的输出，得到周期函数的一个随机值s。这个测量使得状态叠加塌缩到一个单一状态。
  
• 计算N和(a^s/2) ± 1的最大公约数（GCD）。假如GCD不即是1或N，则找到了N的一个非寻常因子。否则，重复步骤2-5直到找到非寻常因子。
  

  量子周期寻找：Shor算法的核心是量子周期寻找，它使用量子叠加和量子纠缠的特性，通过量子傅里叶变更找到周期函数的周期。这一步骤在量子计算机上可以高效完成，而在经典计算机上则非常耗时。
实验验证：Shor算法在2001年由IBM的研究团队初次在量子硬件上实现，乐成分解了数字15。这一实验标记着量子计算从理论走向实践的紧张一步。
算法影响：Shor算法不仅是量子计算范畴的一个紧张里程碑，也对现代加密技术提出了挑战。随着量子计算技术的发展，Shor算法的实现大概会对现有的加密体系产生重大影响。
  传统网络安全知识

巩固传统加密算法、哈希函数、数字署名等网络安全技术。
熟悉网络安全架构、访问控制、漏洞管理等方面的知识，以便对比量子计算对传统安全的影响
量子密码学

学习量子密钥分发(QKD)的原理和技术，，掌握其优势和局限性。
研究抗量子密码算法，如基于格的密码、基于哈希的密码等。
   量子密钥分发（QKD）是一种使用量子力学原理来安全分发密钥的技术。它允许两个通信方（通常称为Alice和Bob）在存在窃听者（Eve）的环境下，生成和共享一个安全的密钥。
原理：
  

• 量子态的传输：Alice发送经过量子加密的光子（量子比特）给Bob。
  
• 测量与随机性：Bob随机选择基底对这些光子进行测量，得到一系列随机结果。
  
• 公开通信：Alice和Bob通过一个公开的信道比较他们的测量基底，保存那些基于相同基底的测量结果。
  
• 密钥生成：他们使用这些结果生成一个共享的密钥。
  
• 安全性检测：通过统计分析，他们可以检测是否有窃听者。假如Eve试图盗取密钥，她的干涉会改变量子态，从而被Alice和Bob发现。
  技术：
  

  

• 量子比特的制备：使用量子态（如光子的极化）来编码信息。
  
• 量子信道：通过光纤或自由空间传输量子比特。
  
• 量子测量：使用探测器来测量量子比特的状态。
  
• 经典通信：用于Alice和Bob之间的基底比较和错误校正
  

  优势：
  

• 无条件安全性：基于量子力学的基本原理，如不可克隆定理和不确定性原理，提供了理论上的无条件安全通信。
  
• 检测窃听：任何对量子体系的观测都会干扰体系的状态，这种干扰可以被Alice和Bob检测到。
  
• 密钥的新鲜性：每次通信会话都可以生成新的密钥，减少了密钥重用的风险。
  

  局限性：
  

• 传输距离限定：量子信号在光纤中的传输距离受限于衰减，虽然通过量子中继和量子卫星技术可以扩展，但仍有技术挑战。
  
• 错误率：量子信道中的噪声和不完美的量子测量大概导致错误，必要通过量子纠错和隐私放大技术来办理。
  
• 装备要求：QKD体系必要精密的量子态制备和测量装备，这些装备目前成本较高，限定了QKD的广泛应用。
  
• 现实摆设的安全性：现实摆设的QKD体系大概存在物理实现上的漏洞，如侧信道攻击，必要额外的安全措施来防范。
  
• 密钥生成速率：在某些实现中，密钥生成速率大概较低，这对于高速通信体系大概是一个问题。
  

    抗量子密码算法（Post-Quantum Cryptography, PQC）是为了应对量子计算机对现有加密算法构成威胁而计划的新一代密码算法。这些算法可以或许在量子计算期间保持安全性，纵然在量子计算机出现的环境下也能反抗攻击。以下是几种紧张的抗量子密码算法及其特点：
基于格的密码（Lattice-based）
基于哈希的密码（Hash-based）
基于编码的密码（Code-based）
基于多变量的密码（Multivariate-based）
使用这些抗量子算法，让我们在量子计算机期间，依然可以或许保持安全性的加密方法。
  量子计算安全政策与法规

了解国表里关于量子计算安全的政策法规，以及行业标准的发展动态。
关注量子计算安全范畴的伦理和法律问题
二、漏洞风险

加密算法被破解风险

传统非对称加密算法（如RSA、ECC)大概被量子计算机上的Shor算法快速破解。
哈希函数大概受到量子计算的攻击，导致碰撞攻击更轻易实行。
“现在劳绩，以后解密”风险

攻击者大概在当前收集加密数据，等候量子计算技术成熟后进行解密。
区块链安全风险

量子计算大概破解区块链用户的私钥，威胁加密钱币的安全
量子密钥分发风险

量子信道大概受到干扰，影响密钥的生成和传输。（影响数据完整性，可用性）
装备和体系大概存在安全漏洞，被攻击者使用。
量子计算体系自身风险

量子计算体系存在错误和噪声问题，大概被攻击者使用来粉碎计算过程或获取敏感信息。
供应链安全风险，硬件装备或软件大概被植入恶意代码
三、测试方法

加密算法测试使

用量子计算模仿器或量子硬件，尝试运行Shor算法对传统加密算法进行破解。
分析差别加密算法在量子计算环境下的安全性，评估其被破解的难度和时间。
“现在劳绩，以后解密”测试

模仿攻击者收集加密数据的场景，分析在未来量子计算技术发展后，这些数据被解密的大概性。
研究数据存储和保护策略，以低沉“现在劳绩，以后解密”的风险。
区块链安全测试

分析量子计算对区块链的影响，特别是对私钥安全性的威胁。
测试抗量子密码算法在区块链中的应用效果。
量子密钥分发测试

对量子信道进行干扰测试，评估其对密钥分发的影响。
查抄量子装备和体系的安全性，包括硬件漏洞、软件漏洞等
量子计算体系自身测试

进行错误注入测试，观察量子计算体系在错误和噪声环境下的性能和安全性。
审查量子计算体系的供应链，确保硬件装备和软件的安全性。
四、渗透测试方法

信息收集阶段

目标配景调研

了解目标量子体系所属的机构、其在量子研究或应用中的角色、相关的项目信息等。比方，确定该量子体系是用宇科研实验、量子通信网络建设，还是量子计算服务等，以便更好地明白其潜在的价值和大概存在的安全重点。
技术架构分析

研究目标量子体系的技术架构，包括所使用的量子装备范例（如量子计算机的型号、量子通信装备的技术标准等)、体系的拓扑结构、与传统网络的连接方式等。这可以通过查阅相关的技术文档、学术论文，或者与熟悉该体系的职员进行交流来获取信息。
公开信息搜集

使用互联网搜索引擎、学术数据库、专业论坛等渠道，收集与目标量子体系相关的公开信息。大概包括体系的开发者或供应商发布的技术资料，研究团队的学术陈诉、相关的消息报道等。这些信息可以帮助渗透测试职员了解体系的基本特性、已公开的漏洞或安全事件，以及大概存在的安全隐患。
威胁建模阶段

识别潜在威胁源

分析大概对量子体系构成威胁的主体，包括外部的黑客组织、竞争对手、恶意研究职员等，以及内部的体系管理员、研发职员等大概存在的误操作或恶意举动。同时，考虑量子计算技术自己大概带来的新的威胁，如量子算法对传统加密的挑战。
确定攻击路径

根据收集到的信息和对威胁源的分析，确定大概的攻击路径。比方，对于量子通信体系，攻击路径大概包括对量子信道的干扰、对通信装备的物理攻击或软件漏洞使用；对宇量子计算体系，大概的攻击路径包括对量子算法的攻击、对控制体系的入侵等。
评估影响程度

对每种大概的攻击路径进行影响评估，确定假如攻击乐成，大概对目标量子体系造成的影响，如数据泄露、体系瘫痪、量子密钥被破解等。这将有助于确定渗透测试的重点和优先级
漏洞分析阶段

装备漏洞扫描

使用专业的漏洞扫描工具，对量子体系中的硬件装备进行扫描，查找大概存在的安全漏洞。比方，查抄量子计算机的控制体系、量子通信装备的接口等是否存在已知的漏洞或设置不当的问题。
软件漏洞检测

对于量子体系中运行的软件，包括操作体系、控制软件、通信协议等进行漏洞检测。可以使用静态代码分析工具、动态漏洞扫描工具等，查找大概存在的代码漏洞、缓冲区溢出、权限管理不当等问题
量子算法分析

针对量子体系所使用的量子算法，分析其安全性。比方，对于量子密钥分发算法，查抄其是否存在被窃听或破解的风险；对子量子计算算法，研究是否存在大概被使用来攻击体系的漏洞
渗透攻击阶段

漏洞使用尝试

根据发现的漏洞，尝试使用漏洞获取对量子体系的访问权限。比方，假如发现了一个长途代码执行漏洞，尝试通过发送精心构造的数据包来执行恶意代码，获取体系的控制权。
量子信道干扰

对于量子通信体系，尝试通过干扰量子信道来影响通信的安全性。这大概包括使用强磁场、强光等方式干扰量子态的传输，或者尝试窃听量子信道中的信息
社会工程学攻击

使用社会工程学方法，尝试获取量子体系相关职员的信任，获取敏感信息或访问权限。比方，通过发送垂纶邮件、伪装成技术支持职员等方式，诱使目标职员透露账号密码、体系设置等信息
后渗透攻击阶段

内部网络探测

在乐成获取量子体系的访问权限后，进一步探测体系内部的网络结构了解体系中其他装备的连接环境和访问权限，以便发现更多的潜在目标。
数据盗取与分析

尝试盗取量子体系中的敏感数据，如量子密钥、实验数据、用户信息等，并对盗取的数据进行分析，以获取更多的信息和潜在的漏洞
权限提升与持久化

尝试提升自己在量子体系中的权限，以便获取更高的访问级别和更多的操作权限。同时，采取措施使自己的访问权限持久化，以便在后续的测试中可以或许继续访问体系。
陈诉阶段

结果整理与分析

将渗透测试过程中发现的漏洞、攻击路径、获取的信息等进行整理和分析，总结出量子体系存在的安全问题和潜在的风险
陈诉撰写

编写详细的渗透测试陈诉，陈诉中应包括测试的目标、，范围、方法、过程、发现的问题、风险评估以及发起的修复措施等。陈诉应具有清楚的结构和准确的表述，以便目标机构的管理职员和技术职员可以或许明白和采取相应的措施。
总结

我们会发现不论是web层面的攻击，还是对计算机的攻击，甚至是现在对量子计算机的攻击，他们之中最紧张、最紧张的是攻击的思路，攻击的思路是我们掌握的精髓，是不变的但也灵活的，技术是根据想要攻击的目标而改变。师傅说：既然要做安全，就要闻一知十，一通百通。

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。