Tuta 推出电子邮件后量子加密技术

我们很高兴地宣布，在此版本中，所有新的 Tuta 邮件账户都将默认启用量子安全加密。现在，我们将用名为 TutaCrypt 的量子安全混合加密协议取代经典的非对称加密技术（RSA-2048）：它结合了后量子密钥封装机制（CRYSTALS-Kyber）和椭圆曲线-差分-赫尔曼密钥交换（x25519）。

Tuta Mail 首席执行官 Arne Möhle 表示："通过 TutaCrypt，我们正在彻底改变电子邮件的安全性。现在，人们第一次可以发送和接收加密程度如此之高的电子邮件，即使量子计算机也无法破解加密和破译邮件。而 Tuta Mail 最棒的地方在于只需交换一个简单的密码，这种独特的加密技术就能向世界上的任何人发送端到端加密的电子邮件，无论他们的电子邮件提供商是谁！在 Tuta，我们将自己视为安全通信的先驱。早在 2014 年，我们就发布了首款自动加密电子邮件服务 Tutanota。十年后的今天，我们很高兴能为量子安全电子邮件铺平道路！我们希望让尽可能多的人现在和将来都能轻松、安全地进行通信。随着 TutaMail 中 TutaCrypt 的发布，我们现在已经达到了另一个里程碑，为未来的在线通信安全提供了保障。

Tutanota（现为Tuta Mail）于2014年3月推出时，是首家端到端加密电子邮件提供商，使人们能够轻松加密发送给世界上任何人的电子邮件。多年来，我们不断加强 Tuta Mail 的安全级别，将算法从 AES 128 升级到AES 256，这已使所有静态加密都具有量子安全性。我们还将基于密码的密钥推导功能从 bcrypt 升级到Argon2，因为 Argon2 是保护密码和推导加密密钥最安全的哈希函数。

确保电子邮件安全的挑战

虽然使用 AES 256 可以轻松实现静态抗量子加密，但电子邮件面临的挑战是使用非对称加密。我们需要新的后量子算法来实现非对称加密和公钥加密，美国国家标准与技术研究院已经发布了 CRYSTALS-KYBER（密钥建立）和 CRYSTALS-Dilithium（数字签名）作为最佳候选算法。

我们已经从头开始重新构建了 Tuta 密码协议，目前正在使用抗量子算法和传统算法（Kyber 与 AES 256 和 ECDH x25519 结合的混合协议）升级我们的加密技术，不仅用于电子邮件的非对称公钥加密，还用于日历共享、联系人列表共享和未来的文件共享服务。后一种服务，即后量子安全驱动器和文件共享，已在德国政府资助的研究项目中与伍珀塔尔大学并行开展。

如何启用量子安全加密

新的 Tuta 用户无需采取任何行动，只需更新到最新版本的 Tuta 应用程序，即可使用后量子算法保护他们的电子邮件、日历和联系人。新协议也将慢慢推广到所有现有的 Tuta 用户。

新一代加密技术将保护 Tuta 中存储的所有数据，并防止 "现在收获，稍后解密 "的概念。攻击者想要获取 Tuta 电子邮件的加密数据，需要同时破解新的后量子算法和经典 AES/ECC 加密技术。

这是电子邮件安全领域的一次重大飞跃，我们很自豪能够引领未来更私密的数字世界。

Tuta Mail 是一个开源项目，您也可以在我们的GitHub 存储库中查看协议的实现。

安全特性

领先的密码学专家和美国政府都建议采用网络安全战略，即现在就更新为量子安全加密算法。

按照这种最先进的方法，我们 Tuta 现在可以保护所有数据免受攻击者的攻击，这些攻击者现在就收集加密信息，以便在大规模通用量子计算机可用时对其进行解密。这种攻击者模式被称为 "现在收集，稍后解密"。由于我们不考虑能够在协议运行期间篡改和破坏信息的主动量子对手，因此后量子场景不需要验证和完整性。随着威胁的发展和量子计算机的出现，我们计划相应地改进当前的协议。

TutaCrypt 提供以下安全特性：

• 保密性（经典和后量子）：只有目标收件人（和发件人）能够访问 TutaCrypt 加密信息的内容。

• 完整性（经典）：TutaCrypt 加密信息经发送方加密后，在接收方解密时不会被发现而被修改。

• 真实性（经典）：收件人获得加密保证，即任何 TutaCrypt 加密信息都是由其认可的发件人发送的。

密码构件

在发布 TutaCrypt 之前，您的安全邮件客户端会在注册时生成一个 RSA 密钥对。随着 TutaCrypt 的发布，我们现在生成两个密钥对：

• 一个曲线为 X25519 的椭圆曲线密钥对，用于椭圆曲线 Diffie-Hellman 密钥交换 (ECDH)
• 和一个用于密钥封装的 Kyber-1024 密钥对。

私钥加密存储在我们的服务器上（密钥来自用户密码），因此可在用户的任何设备上使用。新的 Tuta 邮件账户从现在起将只有 TutaCrypt 密钥对，而没有 RSA 密钥对，这在我们的加密页面上有详细解释，说明我们如何在我们位于德国的服务器上加密和保护用户的密钥，以实现最佳的数据保护。

对于量子安全和经过验证的对称加密，TutaCrypt 使用 CBC 模式下的 AES-256 和 HMAC-SHA-256。

长期 AES-256 密钥用于加密服务器上存储的数据，该密钥通过 Argon2 从用户密码中提取。

对称加密密钥使用 HKDF-SHA-256 导出。

它是如何工作的？

TutaCrypt 结合上述算法交换加密密钥，用于加密和解密邮件，包括邮件正文、主题和附件。

该协议在发件人的身份密钥（IKA）、发件人生成的短暂密钥（EKA）和收件人的身份密钥（IKB）之间使用 ECDH 技术生成两个共享密钥。

这两个密钥（DHI 和 DHE）与从 Kyber 密钥封装（SSPQ）中获得的第三个共享密钥一起用作密钥推导函数的输入。衍生密钥对信息密钥进行加密和解密。

TutaCrypt 的共享密钥计算。

逐步向所有 Tuta 用户推广

随着 TutaCrypt 的发布，所有新 Tuta 邮件账户新生成的加密密钥都将使用量子安全算法生成。

在 TutaCrypt 的第二步中，我们正在开发一种机制，用于旋转应用程序中使用的不同密钥。一旦这项功能可以公开发布，我们将开始向所有 1000 万现有用户推出量子安全后加密。

进一步计划

TutaCrypt 是对 Tuta 加密技术的重大改进。我们很高兴能成为第一家使用量子安全加密技术加密用户数据的电子邮件提供商。这证明复杂而强大的加密技术可以为每个人所用。但我们计划更进一步。

我们已经解释了协议目前具有的安全特性。不过，我们也意识到，在身份验证方面还存在一些限制，尤其是在长期身份密钥被泄露的情况下。

我们在伍珀塔尔大学PQDrive 项目中的合作伙伴并未发现 TutaCrypt 协议存在任何安全问题。此外，我们计划在不久的将来对协议进行正式审查和验证。

我们正在与伍珀塔尔大学一起改进该协议，从长远来看，我们的目标是实施完整的PQMail 协议，以实现完美的前向保密性和未来保密性作为额外的安全属性。

虽然所有这些都是提供最佳安全性所必需的，但我们希望现在就为所有客户启用 TutaCrypt，这样他们就能从后量子加密技术中获益。下一步，我们还将增加密钥验证功能，使 TutaCrypt 也能提供有加密保证的身份验证。

为什么我们现在就需要后量子加密技术

抗量子或后量子加密技术是我们抵御未来量子计算机攻击，提高安全性、数据隐私和数据保护的最佳选择。

量子计算机的兴起给我们的网络语言带来了巨大优势，但也给我们的安全和隐私带来了巨大风险。随着量子革命的日益临近，引入强大的后量子加密技术变得至关重要：现在就必须实施新算法，以保护我们的数据免受量子计算机未来的攻击。在这篇文章中，我们将解释后量子加密技术的目的、后量子加密技术的工作原理，以及为什么我们现在就需要抗量子加密技术，而不是量子计算机时代一开始就需要。

我们所熟知的互联网依赖于加密：保密通信、安全电子邮件、金融交易、关键基础设施--如果加密被破解，所有这些都将面临风险。如今，出于多方面的原因，各行各业都在大力投资开发量子计算机。

这些计算机有望为信息技术带来巨大优势，尤其是在与人工智能（AI）相结合的情况下。但量子计算机也可能变成前所未有的监控机器，威胁我们的网络安全：量子计算机与后量子加密技术之间的竞赛正在展开！

量子计算机威胁加密

量子计算和抗量子密码学将以前所未有的方式改变信息技术。

过去的研究已经产生了各种量子算法，可以有效解决当今被认为过于困难的各种问题。正是由于这种能力，量子计算将为信息技术的不同领域带来巨大进步。

然而，它们也对加密技术构成了严重威胁，因为目前广泛使用的非对称密码系统（RSA、ECC、(EC)DSA 和 (EC)DH）仅依赖于两个困难数学问题的变体，而不幸的是，量子计算能够更快地解决这两个问题：整数因式分解问题和离散对数问题。

通过在通用量子计算机上运行肖尔算法（1994 年），这两个问题都可以在多项式时间内解决。

椭圆曲线密码学具有量子抗性吗？

这意味着依赖于 RSA 和 ECC 的相应密码系统实际上是可以被破解的。

流行的加密算法，如椭圆曲线加密算法（ECC），并不具有量子抗性，很容易被量子计算破解。值得注意的是，ECC 以及基于 AES 和 RSA 的 PGP 加密将在未来几年 NIST 的后量子加密竞赛结束后被淘汰。这些传统算法最多只能用于混合协议，并与量子安全算法相结合。

攻击者需要多少时间才能破解 RSA 和 ECC 加密取决于量子计算机的能力。根据德国联邦信息安全办公室（BSI）的一项研究，在 100 天内破解 2048 位 RSA 需要约 100 万物理量子比特，在一小时内破解则需要约 10 亿量子比特。算法设计的进步将进一步降低这些数字。

量子安全解决方案竞赛

"密码学家拉斐尔-米索茨基（Rafael Misoczki）说："这意味着量子计算机有可能最终破解地球上最安全的通信。为了应对大规模通用量子计算机带来的威胁，人们开始竞相创造保护数据和通信的新方法。

例如，美国联邦调查局和国家安全局等联邦机构已被要求采用后量子安全技术，私营部门也被建议效仿。这一要求是拜登政府于 2023 年 3 月发布的《国家网络安全战略》的一部分。显然，政策制定者已经了解量子计算机对网上机密和秘密通信的网络安全威胁。

量子计算何时才能成为现实？

迄今为止，尚未开发出实用的量子计算机。不过，量子计算是一个非常活跃的研究领域，在过去，特别是最近几年，已经取得了快速进展。

IBM、谷歌和英特尔等大公司定期宣布量子计算的进展。然而，这些计算机只能在大约 50 至 70 个物理量子比特上运行。根据上述 BSI 研究，能够破解当今密码系统的量子计算机在短期内不会成为现实。

然而，爱德华-斯诺登（Edward Snowden）披露的信息表明，加密数据 如今已被不同的行为者所存储。现在是时候确保这些行为者在未来数年内无法解密这些数据了，届时大规模通用量子计算机将已建成。

此外，量子计算不再遥不可及，而是已经成为现实。日本 Riken 研究所宣布，它将在网上为一些企业和学术机构提供该国首台国产量子计算机。Riken计划在 2025 年之前将这台量子计算机原型与世界上速度第二快的超级计算机 "Fugaku "连接起来，以扩大其在现实世界中的应用案例，包括与材料和制药相关的研究。

这不是一个孤立的发展，而是**量子计算 "军备竞赛 "**的一部分。根据日本科学技术振兴机构的数据，在过去的三十年里，中国是全球注册量子计算专利最多的国家，约有 2,700 项，其次是美国，约有 2,200 项，日本有 885 项。

显然，随着量子计算机的出现，世界即将迎来一场技术革命，它有望带来前所未有的处理能力，并能解决传统计算机无法解决的复杂问题。

这固然令人兴奋，但也会对当前的加密协议构成威胁，因为量子计算机可以轻易破解这些协议，从而使敏感信息暴露在攻击者面前。这就是为什么美国国家网络安全战略呼吁向后量子加密技术过渡，后量子加密技术使用的算法可以抵御量子计算机的攻击。该战略认为有必要为未来做好准备，确保加密协议在面对不断变化的威胁时依然安全。

虽然量子计算机成功破解当前端到端加密协议的可能性预计不会在近期成为现实，但必须尽快努力防止这类威胁，因为高效的解决方案需要时间来开发。

量子计算机的工作原理

普通计算机以1 和 0 的形式存储数据。而量子计算机使用量子比特来存储数据。每个量子比特都处于 1 和 0 的叠加状态。量子算法会改变这种可能性。由于每个量子比特同时代表两种状态，因此每增加一个量子比特，状态总数就会增加一倍。

因此，一个量子位代表两个可能的数字，两个量子位代表四个可能的数字，三个量子位代表八个可能的数字。自从冠状病毒大流行以来，我们都了解了指数数字。我们可以了解到，一台拥有 100 个量子比特的量子计算机会有多么强大。例如，一台拥有 300 个量子比特的量子机器所代表的数值可能比可观测宇宙中的原子数量还要多。

大约 20 年前，日本的研究人员开创了超导量子位：他们将某些金属冷却到极低的温度，为量子计算机创造了稳定的工作环境。

这种方法前景广阔，引发了谷歌、IBM 和英特尔的研究项目。

实际的量子计算机看起来与普通计算机完全不同。相反，它们是由金属和缠绕电线组成的大型圆柱体，被放置在大型冰箱中。研究人员向机器发送信息，然后接收计算结果，就像使用普通计算机一样。

IBM 甚至允许外部研究人员购买其 Q System One 的计算能力。这样，世界各地的研究人员就可以使用量子计算机，而无需亲眼看到或亲手触摸。

它们固有的同时对所有状态进行并行计算的能力，将使这些强大的计算机器能够破解目前无法破解的加密。

我们为什么需要加密

当我们使用互联网时，加密就在我们身边。它是任何需要保密的数字流程中不可或缺的一部分：通信、金融、商业、关键基础设施、医疗保健以及我们日常生活中的更多领域都离不开强大的加密保护。当这些过程中使用的加密算法因大规模通用量子计算机的发展而变得无法破解时，能够访问这些计算机的攻击者就会威胁到我们日常生活的许多方面。

我们所熟知的互联网只有在无法破解加密的情况下才能运行。现在是引入后量子加密技术，为量子革命做好准备的时候了。

什么是后量子加密技术？

抗量子加密可以保护您的数据免受量子计算机的威胁。

后量子加密技术描述的是在传统计算机上运行的加密算法，但依赖的数学问题被认为对传统计算机和量子计算机来说太难破解。只要没有一种高效的量子算法能更有效地解决这些问题，我们就可以认为量子计算机无法破解这些问题。

为了应对量子威胁，全球网络安全界正在积极开展一场开发后量子加密算法的竞赛。这些算法旨在抵御来自经典计算机和量子计算机的攻击，确保安全通信的持久性。

**2016 年，美国国家标准与技术研究院（NIST）启动了一个程序，对这种量子安全算法进行标准化。密码界正在翘首以盼 NIST 后量子密码标准的最终结果。**目前，该进程正处于评估后量子安全加密标准算法的第四阶段，也几乎是最后阶段，首批四种抗量子加密算法--用于加密的 CRYSTALS-Kyber，以及用于数字签名的 CRYSTALS-Dilithium、FALCON 和 SPHINCS+ 已经公布。

为量子计算革命做好准备

开发和部署后量子加密技术迫在眉睫。尽管能够破解我们现在使用的密码系统的量子计算机可能不会在短期内成为现实，但经验表明，推出新的密码标准需要大量时间。必须对新算法进行仔细评估，通过深入的密码分析证明其安全性，并找到高效的实现方法。例如，尽管椭圆曲线加密法早在 20 世纪 80 年代末就已提出，但直到几年前才开始大规模应用。

现在收获，稍后解密

一旦量子计算机可以解密你的通信，索伦之眼就能洞察一切。

应该尽快部署后量子加密技术--这不仅是为了在大规模通用量子计算机成为现实时做好准备，也是为了保护目前使用标准算法加密的数据在未来不被解密。当前加密技术与后量子加密技术的区别在于，新的量子抗性算法将能够抵御来自量子计算机的攻击，而使用当前算法加密的数据将无力抵御此类攻击。

这种威胁被称为 "先收获，后解密 "策略：在互联网上传输的数据现在就被收集起来，例如被美国国家安全局（NSA）或其他五眼国家的特工部门收集起来，以便日后解密。

这种威胁让我们明白，等待量子计算机是否或何时问世已不再是一种选择。

这一切的目的是什么？

后量子加密技术的目的是确保加密数据在未来仍然安全。正如美国政府和 NIST 所解释的那样：所有使用标准算法加密的数据都无法达到这一新的安全级别要求，因此现在必须实施后量子加密算法。幸运的是，由于AES 256（对称加密）已经被认为具有量子抗性，因此一些数据可以相对容易地使用后量子加密技术来保护。

这意味着，任何存储在电脑或公司系统中的数据，如文档和文件，都可以很容易地通过成熟的 AES 256 算法得到保护。

非对称加密的挑战

不过，如果要以抗量子方式对数据进行非对称加密，例如用于加密文件共享或收发加密电子邮件，就会变得更加棘手。在您阅读本文的同时，我们正在研究和测试用于非对称加密和公钥加密的后量子新算法。

许多不同的公司已经开始在其应用中尝试使用抗量子非对称加密技术。与Signal和苹果公司最近的量子后更新类似，我们 Tuta Mail 正在率先将抗量子算法与传统算法（Kyber 和 Dilithium 与 AES 256 和 RSA 2048 的混合协议）一起用于电子邮件的非对称公钥加密，同时也用于日历共享、联系人列表共享和未来的文件共享服务。

在此过程中，我们遵循 NIST、美国政府以及柳巴舍夫斯基等著名密码学专家的建议："如果你真的有敏感数据，现在就做，自己迁移"。

实现最大安全性的混合协议

由于量子抗性算法是一种相当新的算法，其安全性尚未得到充分验证，因此我们不能简单地用它们取代当前的加密算法。仍有可能发生这样的情况，即有人在传统计算机或量子计算机上运行攻击时，破解了所选择的量子安全算法。混合方法是一个核心要求，因为新算法尚未经过实战检验。即使使这些算法成为量子安全算法的数学结论是正确的，但在实现过程中也可能出现错误，从而破坏安全性。

因此，后量子加密算法和传统算法必须以混合方式结合起来。所有抗量子更新都采用了这种方法，如 Signal、苹果或 Tuta。

随着量子计算机即将成为现实，我们必须在后量子加密技术上领先一步，以确保现在和未来所有数据的安全！

如果您想成为第一批使用抗量子加密邮件的用户，请立即注册 Tuta 邮件！