Daniel J. Bernstein谈Chris Peikert当年剽窃Jintai Ding教授导致PQC算法标准被延迟很多年为世界所用的文章-中文翻译版本
LIUJIN
高音喇叭把别人专利重新再放一遍,就不是抄袭剽窃了吗?
为什么全球的抗量子计算机破解算法标准,应用,和部署,
会被延迟这么多年?
本文作者:Daniel J. Bernstein
全球最著名的抗量子计算机破解算法密码学家之一
文章链接:https://blog.cr.yp.to/20220129-plagiarism.html
本文烧脑,全文读完需要10到15分钟
第一章
公开实验,先存后破
2004年,我与美国国家安全局NSA的密码学家Art Drisko打了个赌:我赌20美元,到2024年前,JPEG文件就可以直接在浏览器里自动显示,他说:那不可能。
2014年,我与法国专攻算法破译的数学家Antoine Joux打了个赌: 我赌截止2032年,密码学算法RSA2048一定会被量子计算机破解! 尤其是1991年RSA公司发布的那个RSA2048 破解挑战赛,(链接:https://en.wikipedia.org/wiki/RSA_Factoring_Challenge )Antonie Joux这位擅长破解各类算法的法国退役大校说:RSA2048算法一定会在2032年前被破解,但不是被量子计算机破解,而是直接就被数学方法破解了。
2017年,我与墨西哥的密码学家Francisco Rodríguez-Henríquez打了个赌:我赌2048美元,还是关于破解RSA2048。我赌2033年前,RSA2048算法一定会被量子计算机破解,他说:那不可能吧!
如果我赢了这三场公开的打赌,大家就会明白,就会意识到这样一个事实,并且,会告诉所有人:Daniel J. Bernstein看起来是赢了2048美元,其实是清楚明白地昭告天下:量子计算机对全球的信息安全,互联网通讯,都已造成巨大冲击,密码学算法因为被破解,而在底层基础上发生结构性的重组重构。
只要这样一类公开的打赌,竞赛,实验,其结果被公开公布,我们都会看到,知道,了解,或者意识到一些什么,这些无论是谷歌,IBM,还是任何其他赢得公开竞赛的公司或个人,宣布RSA2048被公开破解的所昭示的潜在影响。
根据这些被公开公布的竞赛结果,就可以推测,任何RSA2048的公钥都将被破解,除非采用了抗量子计算机破解的算法;就可以推测,实际上有那么一些大规模的攻击者,早在我们知道这些被公开公布的结果前若干年,就已经秘密地在开发,改进,实验攻击破解方法,也许早就已经具有这些破解能力了。
这些大规模攻击者,它们到底是来自哪里呢?是敌?还是友?
所以,必须让竞赛公开公正进行,让实验顺利公开进行,只有这样公众才能得通过结果得到警示警报!
当然,也许我们并不知道,量子计算机破解RSA2048算法,是不是会很快发生!也许量子计算机的研发,会遇到一个无法克服的障碍,会在2032年之后才发生,会需要更长的时间。
但是,许多年以来,我们早就知道的是,有很多人,既有所谓的敌方,也有所谓的友方,无论敌友,就是那些未来潜在的大规模量子计算机攻击者,早就已经在,尽可能多地收集所有可以通过互联网通讯来收集的各种数据和信息了。
“先收集存储,日后再破解”,这种“先吸再破”的方式,早就不是什么秘密了!
这些被收集存储的数据和信息,基本上都是用RSA2048加密的,这些数据和信息会因为暂时不能破解,而被丢掉扔掉吗?当然不会!无论敌方还是友方,都将永远保留这些数据和信息,然后等着有那么一天,他们开发出可以破解RSA2048的量子计算机,然后再解密这些年来收集存储的既包括敌方,也包括友方的数据和信息。
这种“先收集存储,日后再破解”即“先吸再破”的一直在悄悄地,偷偷摸摸干着的事情,在全球无处不在,每天都在发生!(链接:https://www.forbes.com/sites/andygreenberg/2013/06/20/leaked-nsa-doc-says-it-can-collect-and-keep-your-encrypted-data-as-long-as-it-takes-to-crack-it/ )
------------------------
第二章
谷歌公司 流产实验
在抗量子计算机破解算法PQC方面,谷歌公司曾经有过一次流了产的实验。
前面说到,对于那些无论敌方,还是友方,未来一定会利用量子计算机,来进行大规模破解的攻击者,我们并不能阻止他们,去进一步研发制造包括攻击破解型量子计算机在内的各种破解方式方法。但我们可以采取必要的行动,来抵抗这种未来,尤其是大型的攻击破解型量子计算机。尤其是我们可以采用抗量子计算机破解算法,英文名Post Quantum Cryptography即PQC算法。
我们可以采用合适的PQC算法,来代替RSA2048算法。
我们当然也可以用合适的PQC算法,来代替当前正在全球互联网通讯上使用的,无处不在的,几乎所有的非对称密码学算法。所有的非对称密码学算法,都可以抵抗经典电子计算机破解,经典电子计算机需要用几百万年,甚至几千万年才能破解这些非对称密码学算法,但是,这所有的非对称密码学算法,并不能抵抗量子计算机的破解。
那么PQC算法,究竟能不能实际应用,实际部署,实际运行起来呢?
这就是为什么,谷歌公司早在2016年7月,就开始了测试部署一种抗量子计算机破解算法的实验,谷歌公司当时是这样宣布实验的
(链接:https://security.googleblog.com/2016/07/experimenting-with-post-quantum.html )
今天,谷歌公司宣布在Chrome浏览器中,进行一项实验!
谷歌公司准备在桌面浏览器Chrome,和谷歌的服务器之间的一些互联网连接的技术上,采用抗量子计算机破解的密钥交换算法,而不是采用我们现在通常都在使用的,不能抗量子计算机破解的椭圆曲线密钥交换算法。
全世界都知道,接下来发生了什么事情!
后来是发生了以下这样的事情吗?
谷歌公司的这个被命名为CECPQ1的实验,它成功啦!
这实验表明:HTTPS协议可以很容易地部署抗量子计算机破解的密钥交换算法。这后续实验,应该就像滚雪球一样开始,很快地!该实验就会使得全球的抗量子计算机破解算法,进入各种各样的大规模部署。
谷歌也将这一类实验,扩展到了所有的Chrome浏览器连接,其他应用也会很快跟进。
对于那些已经被大规模攻击者,存储了很多年的,更早些时候是采用RSA2048加密的互联网数据和信息,也许我们已经无能为力,干不了什么。但之后,从谷歌的CECPQ1实验成功的那时刻开始,全球各国家地区的,凡是稍微敏感一点的互联网信息和数据,都可以省心地,安全地,自由地开始部署使用合适的抗量子计算机破解算法了。
信息和数据,从此不用再担心“先收集存储,日后再破解”那种“先吸后破”的方式了,信息数据从此安全了!
是这样吗?不!不!你想得美!
这种好事!并不是之后发生的事情!
接下来发生的事是这样:
的确,CECPQ1实验是成功的,它表明HTTPS可以轻松地部署抗量子计算机破解算法。但之后发生的事情,并不是像以上设想的,滚雪球一样发生。之后发生什么事了呢?
之后,谷歌在几个月内,就关闭了这项CECPQ1实验!
2016年7月,谷歌公司里那些有能力,有实力,有想法去测试,去部署抗量子计算机破解算法的科学家们,似乎突然地,非常担心把这个实验,继续进行下去。
后来发生了啥事呢?后来,谷歌公司开始了另外一项ntruhrss701实验(链接:https://www.imperialviolet.org/2018/12/12/cecpq2.html) 而OpenSSH则整合了sntrup761(链接:https://www.openssh.com/releasenotes.html)。 但这些实验的步骤和进展,都是缓慢的,都是试探性质的。
这后续事情,带来的结果就是:抗量子计算机破解算法PQC的部署,在全球被延迟了这么多年。这些年来,有更多的互联网数据和信息,被公开或者秘密地,大规模地被无论是敌方,还是友方的大型潜在的攻击破解者所劫持,收集,存储,留待日后开发出大型攻击型量子计算机再破解。更多地“先吸后破”的事情发生了。
谷歌公司在这实验中间,难道发生了什么事吗?
让我们再凑近点,仔细看看谷歌的这一桩流了产的实验,究竟发生了什么?!大爷的!
-----------------
第二章
第一节
谷歌是在等待美国国家技术标准局NIST的算法标准吗?
即使是在代码,软件工程方面,实际上就算的确非常擅长,专精软件代码服务的全球绝大多数科技公司,都很不愿意,甚至害怕去接触到密码学算法。就算是给他们一个宣称功能完善即插即用的软件库,这些公司要怎样才能评估这个库,究竟是安全的,还是不安全的?他们具有这种能力吗?
这些年来,不断地有新闻报道,报道了一些牛叉轰轰的科技公司,购买或部署了一些什么乱七八糟的密码学算法,新闻报道中说这些算法,是如何如何的差劲操蛋,(链接:https://www.zdnet.com/article/zerologon-attack-lets-hackers-take-over-enterprise-networks/
)。如何如何的糟糕傻叉,报道这些详细的新闻,都得对密码学算法细节至少稍微有一点比较深的理解才成。(链接:https://www.secura.com/uploads/whitepapers/Zerologon.pdf ) 但是,这些软件工程非常专业的绝大多数科技公司,从来没想过要检查,也没能力去检查这些密码学算法。毕竟他们不是搞密码学的,而是搞软件,搞代码,搞编程,搞工程的。
因此这些公司的高管们,都有非常强烈的动机,去等待算法标准的发布。一个标准算法的发布,就会立即改变这些公司高管的思维决策过程,
他们会说:人家美国国家技术标准局NIST,不是发布了一个标准算法嘛!咱们直接拿来用就好,出了问题,就TMD国家技术标准局NIST的标准算法,是它有问题!关咱甚事?!
但是这种绝大多数科技公司的借口和理由,对于那些偶尔有一些真切需求,需要大规模部署特定算法的超级科技公司来说,要选择算法去部署,情况就截然不同了。
这些超级科技公司雇佣了好多密码学家,这些密码学家常常参加各种密码学会议,一直在不断地深入了解各种前沿密码学算法,这些超级科技公司的密码学家才不在乎什么算法标准不标准,才不在乎NIST标准什么时候公布呢!NIST,哼!你算老几?!
举个栗子:2012年苹果公司就为了最新的iOS安全功能,宣布采用了X25519算法,压根人家就没空空等美国国家技术标准局NIST发布什么鸟标准。
Signal公司也独立宣布,发布他们自己的算法协议,在Signal公司的这种算法协议的第一,第二,第三,甚至发布到第四个版本时,Signal公司都没有等着美国国家技术标准局NIST去发布什么标准。
2016年,谷歌公司开始部署测试上文中,上述的那个抗量子计算机破解算法实验时,也没有去等美国国家技术标准局NIST发布什么第二轮第三轮算法标准。
就是说,一般的软件工程科技公司,可能有点害怕碰密码学算法。但是对苹果公司,Signal公司,谷歌公司这类庞然大鳄,这类超级科技公司而言,人家压根就不在意你什么玩意,什么美国国家技术标准局NIST的标准。
显然,谷歌并不是在等待NIST的标准,既然不在意NIST的算法标准,为什么谷歌公司,却突然关闭,忽然停止,终止了这个实验呢?
---------------------------
第二章
第二节
谷歌是在避免出现新发现的算法分析技术
而有被破解的风险所以终止实验吗?
即使具有非常专业的密码学算法知识,也不可能完全避免,有些算法在部署和实施的过程中,有可能会出现错误,错漏,崩溃,或者崩塌的风险。
即使是一个非常专业专精的全球顶尖的算法数学家和软件工程师的实施团队,在从正在使用过程中的RSA2048算法,去测试,切换,升级,更新,部署,和实施一种新的抗量子计算机破解算法时,也非常有可能,出现很大的纰漏。
专业知识非常有用,但并不是任何时候都管用,都够用的;
也许这些极其扛揍的抗量子计算机破解算法,很可能受到这些顶级密码学家,数学家并不熟悉的,其他一些密码学家的从开始第一步的数学算法,到最后一步的工程实例,全部整个过程中的任何一点的攻击破解。
也非常有可能,有些攻击破解这些抗量子计算机破解算法的一些数学算法,在当时当地,甚至根本还没有被发现,被发明,被发掘出来。
你不信,是吧?!
来看看全球最著名的2017年由美国国家技术标准局在全球发起征集的抗量子计算机破解算法即NISTPQC项目吧。(链接:https://csrc.nist.gov/Projects/post-quantum-cryptography/Round-1-Submissions )
NISTPQC项目在第一轮截止时,最后收到了69份算法。
但是!在4年后的今天来看,所有这69个算法的安全性,都低于这些算法之前声称的,已考虑到了所有攻击可能,所具有的安全性。
其中大约有一半的算法,都被证明根本不可能达到其所声称的安全性(链接:https://cr.yp.to/talks/2020.09.12/slides-dan+tanja-20200912-pqcrypto-16x9.pdf)。
其中甚至有一个算法,后来被证明安全性太低了,以至于在一部普通的笔记本电脑上,运行一个Python脚本,就会迅速破解这个算法。
不幸的是:这种密码学算法的评估非常有难度!
即使是美国国家技术标准局NIST的这个NISTPQC项目,它是有史以来最大的算法评估项目,它集中了全球几乎所有的抗量子计算机破解算法方面的密码学家和数学家,它集中了有史以来最大规模的同行评审Peer review。
但是在NISTPQC的第一轮,也同样有这样那样的,乱七八糟的,不堪一击的算法。如果不是如此大规模的同行评审的话,一个宣称抗量子计算机破解的算法,如果不是如此大规模地同行评审的话,很可能也是一个乱七八糟的算法。
就是因为密码学算法的评估,非常有难度。
其实这也就意味着,密码学算法这个领域,很容易吸引到一些似是而非的密码学算法的大忽悠,这些大忽悠有非常大的可能,去愚弄大众,即使是像前面文中那样的一些有一堆软件工程师的大公司,都可能被这些算法大忽悠捣糨糊,更何况其他一般公司和普罗大众呢?!这个链接,读者可以看看:https://blog.cr.yp.to/20160516-quantum.html
要让普罗大众买家,相信这些大忽悠的算法是安全可靠的,对这些大忽悠来说,其实不难,蛮容易的。
有时候普罗大众买家,听到大忽悠搞的算法,受到了新出现的一种算法分析的攻击,可能有安全风险,这些大忽悠就会随口编造一些借口,向普罗大众解释为什么每一次这种新的算法分析攻击手段,其实都没什么威胁,都没得撒子,都应该被直接忽略。
这是普罗大众的买家,水平和认知有限!但是,人家谷歌是普罗大众买家吗?谷歌啊?!谷歌公司才不可能生活在,这些大忽悠所编造的神奇世界里呢!
这就是为什么谷歌公司在2016年的CECPQ1实验里,它采用了双重加密的原因。
更准确地说,谷歌公司当时忽然中止了的那个CECPQ1实验,采用了双重密钥交换算法KEM:就是用New Hope这种抗量子计算机破解算法,和X25519这种不抗量子计算机破解,但是抗经典电子计算机破解的椭圆曲线算法,齐头并进!双重加密!这是谷歌公司当时的说明:
谷歌公司通过在现有x25519椭圆曲线算法的基础上,增加了一个叫New Hope的抗量子计算机破解算法,我们能够在不影响用户安全的情况下进行实验。
有一些抗量子计算机破解算法,甚至有可能被今天的经典电子计算机所破解,在这种预设的糟糕情况下,椭圆曲线算法x25519仍将提供今天的技术所能提供的最佳安全性。
如果这种叫“New Hope”的抗量子计算机破解算法被证明是安全的,那么即使是面对未来的量子计算机破解威胁时,这种双重加密的方法,仍然会保护实验过程中的互联网连接不会被破解。
也许有一天,我们会看到X25519椭圆曲线算法会被量子计算机破解,但到那时,我们会用足够成熟的,足够安全的抗量子计算机破解算法,来保护数据和信息,所以继续用X25519椭圆曲线算法,显然是胜券在握。
(哦!不好意思,差点忘记了,x25519算法,还真是我Daniel J. Bernstein发明的。)
谷歌公司采用的这种对抗量子计算机破解算法的测试和部署方法,在可预见的未来,都是与主流的算法的测试部署意见建议和观点是互相一致的,是完全没有问题的,完全是主流的!
哦!不好意思!
当我说“主流”这个词时,我没有任何要包涵那个美国国家安全局NSA的任何意思。
NSA?
谁是NSA呀!这么牛叉?
解释一下吧:NSA啊!那一特牛叉的主!它会私底下悄悄地问,甚至就是直接下命令,命令那么一些其他第三方,我也不晓得这第三方到底是NIST呢?还是NIST?
它是这么命令的,我给您学学啊:
嘿!哥们!你丫的,能不能搞一些算法,把这些算法,搞成全球的标准!但是啊,我得先告你丫的!这算法啊!安全性得低!得低到咱能攻击,能破解,给它们装个后门啥的!但你丫整的算法后门,别整的太简单,攻击时得稍微复杂点,不能总被发现,总被整穿梆!总被整露馅了!破解后门得花钱,得有点贵,管他呢!有纳税人嘛!
简单说吧,NSA呢,那是一个拥有大量预算,擅长破坏算法标准设立的组织;(链接:https://www.propublica.org/article/the-nsas-secret-campaign-to-crack-undermine-internet-encryption )
NSA呢,也是一个今天正在特别卖力地满世界游说,满世界公告,满世界昭示,或者命令全世界所有人,都必须立即马上现在就只用格算法Lattice-based,全世界全部只用格算法Lattice-based,立即停止使用任何椭圆曲线签名算法ECC的那么一个组织。
总结一下:假设要攻击,甚至破解一些新出现的,刚发明的,刚发布的抗量子计算机破解算法,这种破解所需要的成本,可能要比破解椭圆曲线算法ECC,还要低得多得多。
那么,谷歌公司之所以停止CECPQ1的实验,是要研究如何处理一些新发现的新出现的算法分析破解的安全风险吗?
都不是!
因为谷歌公司是在椭圆曲线算法x25519的基础上,又增加了抗量子计算机破解算法New Hope,所以,显然New Hope算法是安全的,也不是为了处理新发现新出现的任何算法安全,都不是!
那么究竟为什么谷歌公司的CECPQ1实验,最终会终止了,最终导致了全球的抗量子计算机破解算法,被推迟部署实施了呢?
究竟咋回事呢?!
---------------
第二章
第三节
终止实验,谷歌咋说?
在2016年7月,谷歌公司在对New Hope这个抗量子计算机破解算法的CECPQ1的实验公告中说,它并不想因为CECPQ1的这个实验特别成功,从而就给全球业界设定了一个固定的就用New Hope的算法的标准。
所以谷歌希望在随后两年内,2年内!就升级到比New Hope算法也许是更好的算法。
但是,不是过了2年,而是过了2年的仅五分之一!就是仅仅过了4个月后,在2016年11月,谷歌公司就立即终止了测试部署New Hope这个抗量子计算机破解算法的CECPQ1实验。
谷歌发生了什么事?
来看看谷歌2016年7月实验刚开始时,谷歌是怎么说的:(链接:https://security.googleblog.com/2016/07/experimenting-with-post-quantum.html )
谷歌公司非常明确地并不希望,使谷歌这次选定的叫New Hope的抗量子计算机破解算法,成为业界日后全球业界事实上的标准。
所以,我们计划在接下来的两年内持续测试,两年后再停止实验。我们也希望日后,能采用其他更好的抗量子计算机破解算法,来取代今日的New Hope算法。
然后,在2016年12月谷歌公司又是怎样说的呢?:(链接:https://web.archive.org/web/20211101204106/https://www.imperialviolet.org/2016/11/28/cecpq1.html )
谷歌公司并不希望将这种被称之为CECPQ1的抗量子计算机破解算法的实验结果,得到推而广之,使之成为事实上的标准。
因此,谷歌公司未来的Chrome浏览器更新,将禁止采用CECPQ1的实验结果来支持。
而TLS协议,也很可能会在未来需要采用抗量子计算机破解算法,但最好是采用更符合多种不同的标准制定方,它们所选择的算法标准为妥。
在2016年7月,谷歌公司的立场完全合理。它显然在说,谷歌公司并不想把CECPQ1的实验结果,作为事实上的标准来推而广之,而是计划从CECPQ1采用的算法,升级到其他可能更好的算法。
谷歌公司显然对该实验非常重视,显然希望继续进一步实验,可是它怎么就会,在短短四个月后,就演变成了11月份的新立场:关闭!停止!不玩了!
如果谷歌公司从一开始就说:咱们就是在做一个短期实验,主要是收集数据,三个月后就关闭实验,就停止不玩了,那倒还好!
如果是那样,我们只能说:好吧!这完全合理!毕竟量子计算机就像气候变化一样,超出了绝大多数公司的规划范围。
毕竟那时候,只要有那么一家公司,对抗量子计算机破解算法,有足够兴趣,进行了一个这样三个月就结束的简短实验,在当时就已经很成功了。
但是,在2016年7月的谷歌公司,刚开始实验的时候,它可不是这样的。
它是咋样呢?谷歌公司首先是不厌其烦地写了篇宏篇巨著,解释了量子计算机会带来的巨大威胁;说抗量子计算机破解算法,就是我们今天就应该马上立即思考的问题;说谷歌公司已经开始准备部署,实施,测试,谷歌公司是多么地兴奋不已;不厌其烦地解释了CECPQ1的实验步骤;说希望日后继续进一步改进,准备测试,部署其他更多,也许更好的算法。
但讲了这么多,非常漂亮的场面话,却在短短四个月后就突然宣布:停止,不玩了!
这种不玩了,是什么都不干了,就那么看着!能想象吗?就这么看着!完全取代了之前,准备大举进军抗量子计算机破解算法,进一步继续实验的说法。
这究竟咋回事?!
-------------------------------------------
第二章
第四节
终止实验,谷歌没说的是哪些?
据坊间后来传说,在谷歌公司宣布开始这项实验后,一位辛辛那提大学的教授,即该校数学系终身教授,丁津泰丁教授(链接:https://researchdirectory.uc.edu/p/dingji )联系了谷歌,并告知谷歌:
谷歌公司,你们正在进行的CECPQ1实验,和我的一项专利有关,我的专利已覆盖了你们实验中所采用的名字是New Hope的抗量子计算机破解算法。
同时丁教授向谷歌公司要求赔偿和补偿等等。
如果这确实是发生过,那么突然间谷歌公司对部署,测试,实施这项New Hope抗量子计算机破解算法实验的热情,就会迅速消失!
这就说得通了!
试着想象一下:如果谷歌公司内部的一位经验丰富的专利律师,收到丁教授的警告后,给谷歌公司内部负责Chrome浏览器或TLS的项目经理,发一份质询邮件说:
有一位专利持有人,因为你们这群王八蛋搞的那个CECPQ1实验,没有经过专利持有人的书面许可,以及授权,你们这帮鸟人,就擅自测试,部署,还使用了他的专利,
谁给你们的勇气?!梁静茹吗?
而且,该专利持有人正在准备,向得克萨斯州东区的专利法院,向我们提起专利诉讼,向我们谷歌公司要求巨额赔偿和补偿!
你说说看,这会有什么后果?
根据美国的专利法:只要是有实际上的证据显示,专利侵权方确实是有意的,故意的,明知故犯地,对任何第三人的专利,未经其任何形式的书面授权许可,造成了侵权事实,则只要专利持有人主动发起专利侵权起诉,则专利侵权方要受到至少三倍的专利侵权赔偿作为惩罚。
所以谷歌这类超级科技公司的经验丰富的知识产权专利律师,都会尽量避免在电子邮件中发送上面那种“可能最终会导致任何谷歌公司可能的专利侵权行为,听起来就是故意的”的任何内容。
合理设想一下:谷歌公司内部负责Chrome浏览器,或者TLS的项目经理或者副总裁们,在收到谷歌高层,或者谷歌那些经验丰富的知识产权专利律师的质询邮件,他们会是如何痛苦不堪地填写回答上峰委座的这类邮件文件或表格的:
请解释:你丫的为嘛?要进行这项CECPQ1实验?
请解释:你丫的是不是?必须得做这项实验?做多久?
请评估:你丫的?做这些实验给咱谷歌,带来嘛经济效益?
这些电子邮件一定会小心翼翼地,尽量避免说到相关专利,但无论咋整,结果都一样!
话说回来,可以确认的是:丁教授的确有一项会严重威胁到New Hope这种抗量子计算机破解算法的专利,是美国专利9246675,该专利于2033年才到期。(链接:https://patents.google.com/patent/US9246675B2 )
早在New Hope算法出现前,丁教授就有一个和New Hope算法前身有关的论文,在丁教授这篇有关抗量子计算机破解的密钥交换算法的论文,其第一个版本的论文中,就在显目位置上写了“已提交临时的专利申请”的明显声明。(链接:https://eprint.iacr.org/eprint-bin/getfile.pl?entry=2012/688&version=20121210:115748&file=688.pdf )
这第一个版本的论文发表一年后,丁教授在其论文的第四个版本中,标明了这篇第四个版本的论文,是为了某次密码学会议所提交的论文。后来,丁教授在其第四个版本的论文中,删除了这一明显声明,但丁教授在他的出版物清单里,第一页就特别强调了:注意!这是有专利的!(链接:https://web.archive.org/web/20211228170026/https://webcentral.uc.edu/eprof/media/attachment/eprofmediafile_4378.pdf )
2016年年底,在密码学界,就有这么一个消息,迅速在全球密码学家,和数学家中传播:
辛辛那提大学数学系终身教授丁教授,拥有一项专利,而谷歌公司正在测试,部署,实施的New Hope抗量子计算机破解算法,极可能是未经授权,就牵涉并严重侵犯了丁教授的专利。
这就是主要原因!
这就是使得谷歌公司在紧锣密鼓地宣传,细致周到地准备,开场就获得满堂喝彩,然后,仅仅4个月之后的2016年11月,它就彻底终止了为Chrome浏览器,测试New Hope这种抗量子计算机破解的公钥加密算法实验的最主要原因!
这事之后,突然之间,不仅仅是谷歌公司,所有人都对去部署,测试,实施抗量子计算机破解算法,持有非常谨慎的态度,这是完全有道理的!
就是因为有专利!
-------------------------------------
第三章
怎样阻止人们知道某个专利,即使真有专利?或者误导?
这事要仔细掰扯一下,挺怪的!密码学家们如果要去干一些研究发明新算法的工作,难道不是一直都是优先考虑那些不会牵涉到专利的算法吗?为什么除了丁教授可以外,还有人一直在投入时间,精力,资金去开发一个受丁教授的专利所牵涉,所覆盖的密码学算法呢?
怪事!为什么发明了New Hope算法的这些密码学家们,从一开始,他们就从可能牵涉,可能侵犯到丁教授专利的New Hope算法出发?
怪事!如果这些密码学家有充分的理由或者原因,就要这样干!那么,为什么在这些密码学家们的论文中,他们没有在显著位置警告:New Hope算法可能会牵涉,可能会侵犯到丁教授专利!为什么没有这种警告呢?
究竟是怎么回事?
倒个带!咱捋捋:
这个名字是New Hope的抗量子计算机破解的公钥加密算法论文,第一次出现在2015年,是由四位密码学家Alkim-Ducas-Pöppelmann-Schwabe联合发表的(链接:https://eprint.iacr.org/eprint-bin/getfile.pl?entry=2015/1092&version=20151110:173312&file=1092.pdf )
这四位密码学家依次是:第一作者,土耳其的爱琴海大学的教授Erdem Alkim;其他作者包括:荷兰国家数学与计算机科学研究中心的Leo Ducas教授,德国英飞凌公司的Thomas Pöppelmann博士;荷兰奈梅亨大学的Peter Schwabe教授。
这四位密码学家们说:New Hope这种抗量子计算机破解算法,是在对 "Chris Peiker教授之前的基于RingLWE的密钥交换算法"基础上的,进行改良升级的一种算法版本。
这四位密码学家们,在他们的这篇论文开头中就这样写(链接:https://eprint.iacr.org/eprint-bin/getfile.pl?entry=2015/1092&version=20151110:173312&file=1092.pdf ):
2015年5月,在硅谷San Jose的IEEE Security & Privacy 2015会议上, 有这四位博士或教授,他们是比利时鲁汶的恩智浦半导体公司Joppe W. Bos博士,西雅图雷德蒙德的微软公司研究员Craig Costello博士,和该公司研究员Michael Naehrig博士,以及滑铁卢大学的Douglas Stebila教授,这四位博士和教授指出:佐治亚理工学院教授Chris Peikert在PQCrypto2014会议上提出的”基于RingLWE的密钥交换算法“的实例,以及如何集成到OpenSSL的实现,其目的是为TLS提供抗量子计算机破解算法的安全性。
在我们的论文中,我们重新审视了他们的实例和如何独立地实现。
而当时正任教于佐治亚理工学院的Chris Peikert教授,则在其2014年2月发表的论文中说:我的论文是对Lyubashevsky-Peikert-Regev即LPR这三位教授联合的算法工作即LPR算法进行了改进改良的算法。Chris Peikert在他的论文中这样说:(链接:https://eprint.iacr.org/eprint-bin/getfile.pl?entry=2014/070&version=20140204:155644&file=070.pdf ),
(这可能是我们自己的,独立的,不受他人影响的一种激情兴趣所在!)
我们的主要技术创新之一:是一个很简单的、低带宽要求的调谐技术,这种技术允许在秘密设定值上基础上, "近似同意 "的双方可以达成确切协议,这基本上是所有基于格Lattice的加密算法一种共同的设置。我们的技术将先前本来就已经很紧凑的加密算法的密码文本长度,又缩短减少了大约两倍,而且这种缩短减少,还基本上没有成本...
我们的第一个技术贡献,是一个新的基于RingLWE的公钥加密算法KEM,它的带宽即密文长度,比之前本就已很紧凑的加密算法KEM方案(比如LPR10, LPR13)要改良了将近1倍,在安全性,或其他更高效的措施实施方面,基本上没有成本的更多要求。
这种改进来自于我们新发明的、简单的调谐技术,该技术允许非交互式的发送方和接收方,从他们对一个环形元素的近似或 "噪声 "协议中达成精确协议。(详见第3节。)
与LPR10和LPR13的加密算法相比,该技术允许我们用相同维度n的二进制字符串替换密文中两个环形元素modulo q = poly(n)中的一个,从而使密文长度几乎减半。(详见第4节。)
这种调谐技术绝对足够普遍,可以普遍适用于所有的基于格Lattice的加密算法。
与之前那些最有效的RingLWE密码算法,和公钥加密算法KEM相比,这种新的调谐技术机制,将会把密码文本长度减少缩短了大约将近2倍。
Chris Peikert教授在他的论文中,有两个不同的LPR引文即LPR10和LPR13,其原因是:LPR10使用了power-of-2 cyclotomics(这也是New Hope算法的做法),而LPR13则考虑了更普遍的cyclotomics。
无论是哪种方式,2014年的Chris Peikert教授都声称他有如下的功劳:
n 在密码文本长度大小方面,比之前的一种更紧凑的公钥加密算法,和一种密钥交换算法即LPR10和LPR13,都要高出大约2倍(不错啊!兄dei!显然人们应该使用您这个算法!)
n 具体而言,用相同维度n的二进制字符串取代 "密码文本中两个环形元素的模数q=poly(n)之一,从而使密码文本长度几乎减半"。
n 再具体来说,就是通过2014年Chris Peikert的论文中的 "技术创新",即 "简单、低带宽的调谐技术"才能做到这一点的。
但是,在2014年Chris Peikert教授的论文中,他有意或无意地没有说明的是:同样的缩减密文空间这种算法技术,早就已经出现在2012年12月丁教授的这篇论文中。(链接:https://eprint.iacr.org/eprint-bin/getfile.pl?entry=2012/688&version=20121210:115748&file=688.pdf )
-----------------------
第四章
密码学算法是怎么工作的?
第一部分:LPR是什么?
(略)
--------------------------
第四章
密码学算法是怎么工作的?
第二部分:压缩LPR是什么?
(略)
......
但是,无论如何,在2012年丁教授的论文中,丁教授就将LPR密码文本长度减少了 "近两倍"。具体来说,用2014年的Chris Peikert的论文中的话来说,就是将 "两个环形元素中的一个 "替换为 "相同维度n的二进制字符串"。
但我们长篇累牍地,要说明的问题是:这并不是2014年的Chris Peikert教授,在他的论文中,在认真地描述2012年,人家丁教授就已经解决发明的东西。
而是在2014年,Chris Peikert教授在胡说八道,声称这种空间减少的算法技术,是他老人家新发明的东西,是2014年的Chris Peikert教授的 "创新技术 "的结果成果。
这!这难道不是睁着眼睛说瞎话?胡扯淡吗?!
----------------------------
第五章
什么是抄袭剽窃?
读小学时,敬爱的老师们就教育过我们:如果要复制文本,在文本前后之间,必须使用引号,复制文本的时候,如果没有引号,那就是抄袭剽窃。
当然,这只是抄袭剽窃的其中一种形式。
那么,我们用美国卫生与公众服务部诚信研究办公室对“抄袭剽窃”的宣传语定义来说:
"无论是解释,理论,结论,假设,隐喻,只要是全部地,或部分地,挪用了或者采用了其他第三人的想法,思想,或者进行了表面上的修改,而不将之归功于原创者,”
按照美国数学学会的道德准则来说:那就是 "思想的剽窃",他们这样表述:
明知故犯地,有意地,故意地将其他第三人的数学发现,作为自己的发现,就是抄袭剽窃,这是严重违反数学家职业道德的行为。
在任何类型的数学工作中,无论是书面的,还是口头的,也无论是已经发表了的,还是没有发表的。抄袭剽窃都有可能在任何环节,任何情况下发生。
把数学发现的荣誉和成果,正确归属于对应的数学发现人,对数学研究是至关重要的!
它可以极大地鼓励发现,和发明创造。这些数学家,数学开拓者的职业生涯,完全就取决于整个社会和其他人,对其发现和创造发明的数学成果的一种认可。
也因为这种数学发现的正确归属,可以让全社会,全人类更多地了解,理解原创思想是多么地重要,是什么时间,什么地点,什么原因,又是怎样进入到这种数学思想,和数学想法深远影响的整个人类社会文明的整个链条的。
为此,所有的数学家们,对任何数学成果的正确归属,都负有一定的道义和责任,这些道义和责任,至少包括以下几点:
1, 尽全力地努力,做到在数学研究领域内,知识丰富而渊博,尤其是与自己研究领域有关的。
2, 对任何人的数学发现,都应该给予发现者适当的荣誉,即使是未发表的材料,或者是已宣布的结果(因为对某一事物的无论是正确的,还是错误的认识,都是有价值的)
3, 作为发现者个人,应该及时地公布自己已经宣称取得的数学发现的全部细节,绝对不应该有任何不合理的,似是而非的拖延。因为在合理的已经确定的情况下,提前宣称已经取得了某些数学发现的结果,会限制其他的一些,也是为了同样或类似方向的数学发现而正在努力研究的人们。
4, 绝不使用不尊重,甚至压制的行为,绝不使用诋毁其他人任何工作的任何语言。
5 作为数学家,应及时纠正,或撤销自己有错误的任何工作。
就是说:绝对不能对那样一种,已经经过了长时间的,广泛传播的一种数学发现,或一种数学成果,或一种结果,假装故意地,有意无意地没看见!
然后还特别恶心地,装模作样地宣称:我真的不知道耶!这是我独立研究的成果啊!
的确,偶尔是有这样一种情况:两位数学家,凑巧都真的独立地提出了同样的一种数学想法。
这种偶发状况,恰好就为那些,实际上就是抄袭剽窃者的大忽悠们,提供了一种掩护!
这些大忽悠,就敢借着这种偶发状况,偶然地可能性,而大声地宣称,这就是人家!独立构思!独立提出的!一种独特的数学思想和想法嘛!你瞅啥?
但科学规则的铁律是:荣誉成果!必须要归功于,这个想法的首次发表!
当然这铁律偶尔也有例外,就是当第一篇,和第二篇论文或者出版物,在发表时间上,非常接近,而且第二篇出版物也声称,在第一篇之前就已经发现了这个想法,在这种情况下,还是会把成果和荣誉,归功于第一篇和第二篇论文的。
那么是这种情况吗?2014年的Chris Peikert教授,并没有声称在2012年丁教授的论文发表之前,他就提出了这个想法。
再说:即使他Chris Peikert教授宣称并提了这种说法,有人信吗?
而且:2014年Chris Peikert教授的论文,在时间上,也不是接近2012年丁教授的论文的发表时间。这都两年过去了!
让我们进一步地推测,善意地再假设一下:当时,从丁教授本人,以及从任何其他了解讨论过丁教授这篇论文内容的人那里,都没有任何信息和消息,流向Chris Peikert教授那里。
我们甚至还可以更进一步地善意假设:Chris Peikert教授,的确是在丁教授所研究的抗量子计算机破解算法的数学和密码学领域,有极其丰富渊博的学识和知识。
但是,这有可能吗?Peikert教授是和丁教授一样吗?这不可能呀!
Chris Peikert教授完全搞砸了!!
Chris Peikert教授在2014年写的一篇关于RingLWE的抗量子计算机破解的密钥交换算法论文,却有意无意地,也许是想方设法地,总之从论文上来看,他是完全地忽略了一篇丁教授在2012年就发表的绝对有关系的论文!
丁教授的这篇2012年的论文题目是:A Simple Provably Secure Key Exchange Scheme Based on the Learning with Errors Problem,然后在论文最前面的摘要最后一段,还特别指出了RingLWE。Chris Peikert教授没有看见这篇论文吗?这篇2012年丁教授的论文,就出现在Chris Peikert教授自己发布了五篇论文的同一个密码学预印本的服务器上(链接:https://eprint.iacr.org/2012/688 )。
同样都是在eprint.iacr.org的服务器上。这是Chris Peikert在2010年,11年,12年,13年,14年,总共五年,发表在预印本上的五篇论文,Chris Peikert教授对预印本上的论文,应该很熟悉,熟门熟路才对呀:
这里是Chris Peikert教授连续五年在预印本服务器上的论文链接:https://eprint.iacr.org/2010/088;https://eprint.iacr.org/2011/401;https://eprint.iacr.org/2012/230;https://eprint.iacr.org/2013/293
;https://eprint.iacr.org/2014/070
在2012年,该预印本服务器上只有700多篇论文。就算是每天读两篇论文摘要都可以读完这700篇论文,难道这是特别浪费Chris Peikert教授的时间吗?所以Chris Peikert教授在2014年写他自己的论文时,完全没有发现丁教授2012年的论文,其最前面的论文摘要的最显眼显然部分,就是切身相关RingLWE他老人家自己论文的内容吗?
假如只是到这里,到这时为止,这还只是一个特别低劣,特别恶劣的学术研究小事故!
它后来呢,演变成一个非常明显的抄袭剽窃的原因是:在非常明显地,显然地,完全地,可能充分地了解了丁教授的论文后,Chris Peikert教授并没有对丁教授的那篇论文,给予正当合适恰当的引用声明,没有给丁教授带来其论文被引用之后,他应得的成果和荣誉。
Chris Peikert教授有没有可能不知道,不了解丁教授2012年的那篇论文呢?
不可能!
2014年7月,Chris Peikert重新改定的论文版本的参考书目中,就包括了(链接:https://eprint.iacr.org/eprint-bin/getfile.pl?entry=2014/070&version=20140717:020257&file=070.pdf ),丁教授论文2014年的修订版本,在Chris Peikert论文的引用参考中就可以看到[DXL14] J. Ding, X. Xie, and X. Lin。基于错误学习问题的,简单的可证明安全的密钥交换算法。Cryptology ePrint Archive, Report 2012/688, 2014
Chris Peikert教授有没有可能,只是出于其他原因引用了DXL14这篇丁教授的论文,而并没有意识到,丁教授的这篇论文,就是在讲怎样在一种抗量子计算机破解算法中,如何节省密文空间呢?
不可能!
Chris Peikert教授自己在其修订本第9页中,就承认DXL14丁教授的论文,就是为了节省密文空间,Chris Peikert教授在论文中这样写道:
我们注意到,在我们引用的参考论文DXL14中,Ding等人在他们的一项研究工作中,提出了一种不同的调谐技术方法,用于较低带宽的 "近似协议",其背景是针对敌手的密钥交换。
从这些分析来看,Chris Peikert是不是应该?发表了一个适当公开的声明,或者更正什么的,在显著位置上,是不是应该这样来说明或者指出:
本论文的前一个版本,声称在低带宽调谐技术下,已经缩短和减少了LPR密码文本长度的近两倍。但是Ding等人在他们2012年的论文中,就已经实现了这一点,是对本论文中提及的方法,有显著贡献的!
这不过分吧?!
恰恰相反!Chris Peikert教授在其论文修订版的摘要里,继续宣称他“技术创新”的成果和功劳:“将之前本就已经很紧凑的,某种加密算法的密码文本长度,减少了近两倍”。别嫌我啰嗦,如同本文前面表述的,Chris Peikert教授一如既往地,继续地,在他的论文修订版中这样表述:
(这可能是我们自己的,独立的,不受他人影响的一种兴趣!)
我们的主要技术创新之一,是一个很简单的、低带宽要求的调谐技术,这种技术允许在秘密的设定值上, "近似同意 "的双方完全可以达成确切协议,
这基本上是所有基于格Lattice的加密算法的一种共同设置。
我们的技术将先前本就已经很紧凑的加密算法的密码文本长度,又减少了大约两倍,而且!基本上还没有增加成本…...
2014年Chris Peikert教授所说的,他在论文里,取得的所有成果,所有结果,或者说是所有成就,都是人家丁教授早就在2012年的论文中,早就搞定了的事情!
人家都事了拂衣去,深藏功与名了!
您老人家,还在那嘚吧嘚吧!
带劲啊?!
------------
第六章
抄袭剽窃的后果呢?
专利制度都是图样图森破,特别naive的!专利制度都是这样说的:普罗大众都应该知道有些什么相关的专利!使用了什么相关的专利!如果普罗大众们不愿付钱用别人的专利发明和知识产权,这是不行的!
解决方案很简单!别用专利就好!
当那些做出决定,未经允许就使用他人专利发明,和知识产权的人,即使并不知道这是专利,专利法也会绳之以法。触犯专利是非常危险的。
想想看,当大家看到一家公司,在知识产权和专利发明上踩雷时,会是什么感觉?
"如果发明New Hope算法的密码学家们,准备优化New Hope,结果发现New Hope侵犯了其他专利权益人的专利,这将会是一个多么大的大陷阱啊!
而谷歌公司一旦不慎掉进这样一个侵犯其他专利的大陷阱中,后果会怎样呢?
呵呵!
那么要怎样做,才能避免掉入这样的陷阱呢?
这种害怕踩雷的恐惧,恐怕已经超出了密码学家的认知,超出了他们已知问题的范围。假如人们在使用一些NIST的算法时,有这样的对话:
“NTRU算法,是一种完全不同的抗量子计算机破解的算法!”
“好啊!但我们怎么知道NTRU算法,有没有牵涉到其他人专利?”
“好问题!NTRU算法的确也有专利,它是1996年发现的,专利在2017年到期”
“嗯!那么这正是你游说我们来部署NTRU算法的原因吗?”
“不是,但的确,我们并不确认,是不是还有其他专利,会牵涉威胁到NTRU算法。”
“就像谷歌当年做CECPQ1实验时,并不知道有任何专利会牵涉威胁到那个实验!”
因此,谷歌这件忽然终止实验的后续影响,也许是要需要好多年时间,才能慢慢说服业界,也许可以试探性地做一些这种密码学算法实验,当然,这类实验,必须要在完全排除了“牵涉到侵犯他人专利发明,或者知识产权的可能性”的前提条件下,才能进行。
原则上,专利发明都是公开的,专利发明在申请后的18个月内公布(我们假设这种公布,并没有被美国国家安全局NSA的保密令所拖累。是的,美国的专利法是允许美国国家安全局NSA发布其专利发明的保密令的!)(链接:https://sgp.fas.org/othergov/invention/ )
实际上美国的第1000万项专利,是在2018年发布的。理解如此多的,每一项相关的发明专利,和知识产权的范围,都会存在严重的复杂性和不确定性,
(链接:https://faculty.haas.berkeley.edu/shapiro/patents.pdf ),而美国,只是众多国家中的一个。想去追踪和自己有关的一些专利,的确是一个巨大的信息管理问题。
当然,谷歌专利网址patents.google.com上,允许用户进行专利的全文搜索,但是,要搜索哪些词呢?
搜索“Cryptography”,谷歌给出了106778个结果,这显然还是遗漏了很多;搜索
“Cryptosystem”,谷歌给出了135304个结果;如果一个专利“encryption system”或 “communicating secretly”或“protecting data”呢?另外,搜索相关的法语单词比如 “cryptographique”,谷歌给出了14172个结果,这些法语搜索结果里,几乎没有说英语中最常见的“cryptography”或 “cryptosystem”这两个单词的。
所以,的确搜索起来,难免有遗漏。
进一步地假设,你想方设法地找出了所有相关的密码学算法专利。在这些专利中,你进一步地想尝试找到专门有关使用多项式算法的专利。如果搜索多项式算法专利,没有用 “polynomial”或者“multiplication”,那么搜索结果会怎样?有一些搜索不到的论文,也许它所说的关于多项式算法专利,用的单词是“信号signals”的“卷积convolution”。
也许在k[t]/(tn+1)中,有两个随机命名的变量R,S的数学描述,而乘法是由变量名称的连接来表达。也许有结构化的矩阵,而不是多项式。
当然,你也有可能,在任何特定的搜索引擎中,有较大的运气和可能找到相关的专利文章。
我经常尝试专利的全文搜索,但我并不指望这些搜索会特别全面。
相关法律要求,专利发明必须要列出其发明人,谷歌专利patents.google.com就特别好,它允许用户按发明人的姓名来搜索。这样一来,原来的一千多万项专利,就缩小到了一个很小的,特定来源的,发明人姓名的专利列表。
这个程序本身也许并不完全可靠,因为它可能漏掉了,某些专利发明人,放弃了科学信用,试图隐藏某些发明专利的一些“海底”案例,即使这样,这种按照发明人姓名来搜索的方式,还是非常有价值。
为什么说这非常有价值呢?因为从根本上说,作为科学家,谁首先发现了X,和谁首先发表了X,在道义上,后者是绝对有道德义务,去向前者报告的!
但现如今,出现一些烂人烂事的概率,的确很高。
那些发明专利的涉及范围,和专利持有人在学术上有权获得对应的成果和荣誉之间,并不是完全划等号的;但是,在如何才能科学合理地分配学术发现上的成果和荣誉,和去找到这些学术发现上相关专利的过程,还是存在着很大关联重叠的部分的。
抄袭剽窃的行为,就是一种严重损害了发明专利管理风险过程中的,这种最重要的专利搜索方式的行为。
-------------------------------
第七章
如何防止被抄袭剽窃?
设想一下:假如你在这个故事里,就是那位抄袭剽窃者。
你特别想获得学术上的荣誉和成就,然后你故意地,有意地抄袭剽窃了他人成果。很显然,你会想方设法地,让越少人意识到“你是个抄袭剽窃者”就越好。因为这些意识到“你是个抄袭剽窃者”的人,不会给你增加任何荣誉和成就。他们甚至有可能让你惹上大麻烦,他们有可能会大声说:你丫的!根本上就是一个抄袭者,一个剽窃者,你违背了做人做事的基本道德原则!
而您老人家,又不能振振有词地反驳,只能一本正经地宣称:我真的不知道椰!
那好!这样吧!我帮您出出主意!您老人家要怎样做,才能尽一切可能地,无缝对接地阻止人们,看到您正在抄袭剽窃论文的模样呢?
这样说吧,如果您一个字一个字地抄袭,那么任何有心人,只要把原文,和你的对比一下,就会立即看出:哎呀!这可不就是抄袭剽窃嘛!所以您要认识到的第一点是:别抄文本,要抄想法,想法的借鉴,可没那么容易被看出来。
当然,您自己的心里,一定得透亮,要明镜似的,就是说,您自己心里得特别清楚:您所说的,是自个独立思考取得的学术成果,或者论文啥的,就是抄袭剽窃,其他人,在比您老人家更早的原始来源的论文里,嘿!人早就搞定一遍了!
当然啦!咱仔细想想,人心比人心,将心比心,科学的高峰,那是您老人家,读了多少年书,看了多少年的字句,费心费力理解了多少字句,才能看明白,整明白,琢磨明白这一点点科学的高峰上的道理,绝对也是下过苦功夫的!
这世界上,又有多少人,是懂一点点这些最前沿,最深奥的数学和学识?是肚子里的确有点货的?那都是人中龙凤了, 这些肚子里的确有点货的人之中,又有多少人会愿意花时间,枯灯独坐,凿壁偷光,刻苦努力地去学习,去理解,去阅读,去领会,去消化,然后又认认真真抄袭,踏踏实实剽窃的呢?
没几个啊!
那为什么又偏偏有那么一两个人,会愿意第一个首先去花这个时间抄袭剽窃呢?
这显然是一旦抄袭搞定,剽窃成功,就很有可能,有巨大的学术荣誉和成果!
既要,又要,还要!既要抄袭剽窃,又要不被发现,还要成果和荣誉!
这必须得用三十六计里的障眼法!比如明修栈道,暗度陈仓,声东击西,虚张声势,金蝉脱壳,这些障眼法,都是以一种假象,或者伪装,来掩盖真实意图或目的的障眼大法。
要仔细地分析和实施三十六计障眼法的详细策略,可能就有点篇幅太长了。这样,咱首先简明扼要地解释一下,几种三十六计障眼法的策略实施要点,然后逐一做些说明解释,或者举个栗子。
据我所知,这些三十六计障眼法策略,还真的在过去近十年,一直是在实施过程中!
服!大写的牛逼!
-------------------
第七章
第一节
障眼法策略一:变形计!
变形计呢,就是要抢先,首先,作为第一人,先发制人,抢其他人前面来引用原始论文里面的材料资料。但是呢!在引用时,得说一些其他什么杂七杂八的事情,使得即便是内行人士,看到原始论文里面的材料,资料,结论,结果,判断等等,也会有一些理解方面的差异变化。
在这种情况下,不要说咱是抄袭剽窃者,那话有点难听,得说咱是借鉴者,咱得表达一个态度,这个态度就是:
我是一位非常严谨认真的科学家,作为第一位引用了那篇论文的科学家,那篇论文真的是,唉!咋说呢!相隔千山万水,隔山隔水,山远水远,几乎不会有人看到的那篇论文,就是我首先引用的呀!
我来解释一下:之前的论文,和我的论文之间,的确是有那么一点点的,细微的,微小的,微不足道的,甚至不值一提的联系的。做人!要诚实!
记住!千万不要用强,不要不顾一切地彻底否认,不要宣称原始论文里的材料,资料,结论,判断,或者结果,并不是一点都没有做出您老人家自己论文中所吹嘘的那种结果,千万别这么干!而是换一种策略,一定要把那些潜在的科学家读者的注意力,集中聚焦到原始论文的其他方面,总之,最好是让原始论文呢,尽可能地让人看起来有些方面不是那么耐琢磨,尽可能地让人听起来貌似没什么大不了,没什么用处。
-------------------------
第七章
第二节
障眼法策略一:变形计举个栗子!
本文的前述部分中,引用了2014年7月份Chris Peikert教授的论文版本,他声称其“技术创新”的成果,就是“将先前本就已经很紧凑的加密算法的密码文本长度减少了大约两倍”,然后,他终于开始引用丁教授论文:
We remark that a work of Ding et al. [DXL14] proposes a different reconciliation method for lower-bandwidth "approximate agreement," in the context of a key exchange against a passive adversary.
我们注意到,Ding等人在论文DXL14里提出了一种不同的调谐算法技术,用于低带宽情况下的“近似协议”,可以防止在公钥交换过程中的敌手破解。
然后,Chris Peikert教授在他的论文中,开始嘀咕,嘟哝,和抱怨在他引用的丁教授DXL14论文中,得出的结果是“非均匀性的”。
从结构上来看,Chris Peikert教授的这种嘀咕,嘟哝,和抱怨,让作为一般科学家的读者看起来,听起来,就像人们对一个遥远偏僻的学术角落里,有那么一篇参考论文的评价:
有那么一篇DXL14论文,在不同情况下,提出了一个不同的节省空间的想法,这篇论文的第9页之前的部分,都是一些不值一提的结果和想法。这些结果和想法,都需要我做出各种改变,各种提高,各种改进,最后才变成我的这篇新论文中的一些崭新的,全面的创新成果。
Chris Peikert教授这么一说,这不就是三十六计里的变形计吗?
这么一搞,通常一些不那么具备深厚密码学功底的,绝大多数的软件工程师,或者的确是资深的高级程序员,或者才刚开始密码学博士学位学习的读者,就会被Chris Peikert教授的变形计带偏了节奏,盖歪了大楼,就会被Chris Peikert教授的这篇论文搞得迷了路,搞得晕头转向,搞得特迷惑,就会在读完Chris Peikert教授的“借鉴”的论文后不由自主地感慨:
哦!那篇丁教授的论文,看来啊!没得啥子!
啊!Chris Peikert教授的论文!有货!有水平!有板眼!就是好!
V587!Chris Peikert教授的论文!都减少了LPR密码文本长度接近两倍嘢!
实在是太创新!太伟大!太美味啦!
唰!唰!唰!yammy!yammy!
------------------------------
第七章
第三节
障眼法策略二:人身攻击
有另外一种特例:如果有那么一些不知趣,死脑筋,一根筋的棒槌,恰好是密码学算法水平相当霸道,相当不错,而且还有正义感的科学家读者,对丁教授论文中的结果,判断,和成果,感到特别好奇,要去仔细查看研究丁教授的原始论文,那怎样?那咋办?咋整?
也有一些顶尖水平的算法科学家,密码学家,和数学家读者,可能会看到并且发现:人家丁教授那篇比Chris Peikert教授更早的论文里面,早就已经将LPR密码文本的长度,缩短减少了将近两倍!
至于您呢?您还在特卖力地,特努力地玩您老人家的变形计,人家水平高的顶尖数学家读者,可能早就悄悄注意到您的说法了:那是哈希函数的会话密钥,是密码学算法在实践中的标准做法。而且,人家丁教授的原始论文中,采用了通用转换的一种方法,已经将被动安全,升级到主动安全了,因此“非均匀性”真没您老人家说的那么重要!Peikert教授,您糊弄谁呢?
最根本的是,顶尖水平的密码学家,或者数学家读者,可能早就会注意到:无论前后两篇论文中,谈到的算法技术,有什么任何差异,或者任何不同,都不能证明作为后来的抄袭者也好,剽窃者也罢,借鉴者的您老人家,根本就没有把两篇论文中可重复,结果相同有叠加的部分,按照科学道义,和基本的做人做事的准侧,完全归功于人家丁教授,完全归功于更早的那篇论文的贡献!难道不应该嘛?Peikert教授!
这咋整呢?
得啦!得想方设法,黑的白的,有的没的,让水平低的,高的,各种各样的读者,尽量不愿意去读丁教授的最早那篇论文!这是目的!
从技术算法角度上搞呢,就是让丁教授那篇更早的论文,听起来,看起来,尽可能的,是没什么用的,是不值一提的,这种从技术算法角度上抹黑的手法,前述部分讲了,这里就不再重复赘述了。
但作为抄袭剽窃者的Peikert教授,您老人家还应该在读者的感情,情感,和感性的影响方面,多下点功夫,多做点工作!您说是不是呢?!
只有让各种各样,水平高低各有不同的论文读者,把丁教授看成是敌人,把丁教授看成是一个另一个Party操纵的,类似于脱口秀主持人的科普人物,一个智商余额不足的傻瓜蠢货才会去当听众,去听他脱口秀的邪恶的煽动者。
(读者朋友,知道我说的是哪个Party,对吗?)
--------------------------
第七章
第四节
障眼法策略二:人身攻击举个栗子!
在业界坊间,耳闻过一些传闻:
我听说Ding,他采用别人的想法来申请了专利,他应该得到这样那样的惩罚。
我听说Ding,他在蓄意歪曲学术历史,比如他拒绝承认Lyubashevsky-Peikert-Regev即LPR方法。
(注:LPR即Vadim Lyubashevsky, Chris Peikert,和Oded Regev三人名字)
我听说Ding:他在2017年,在向美国国家技术标准局NIST,提交NISTPQC项目的抗量子计算机破解算法时,对其中一个算法,他居然命名为"丁氏密钥交换算法",这违反了科学命名惯例。
我听说Ding,他将自己描述成全球基于格Lattice的密码学算法领军人物,即使真的是这样,但Ding在格Lattice算法方面,他的论文被引用次数,显然赶不上Chris Peikert教授论文的被引用次数,显然在全球不如Peikert教授在格Lattice算法里那么重要。
诸如此类!不一而足!这样一位搞人身攻击的抄袭剽窃者,我会看他写的论文吗?我呸!呸!呸!您大爷的!
正如您大爷所期望看到的那样:在那种最小众的,最糟糕的,最差劲的,只有极少一些人,可以参与的,但绝对是一种政治的,这种学界丑恶生态中,这种人身攻击的事,大部分都是在台底下,在幕后里,悄悄地进行,丁教授既看不到,也没法为自己辩护。
造谣一张嘴,辟谣跑断腿!
学界的这种事,绝对有很大很深远的影响。
我绝对相信,Chris Peikert教授对丁教授的这种显然就是造谣的人身攻击,绝对增加了2014年Chris Peikert教授的论文在全球的被引用次数。绝对减少了2012年丁教授原始论文的被引用次数。
这种两篇论文在被引用次数上的差异,更有助于支持2014年Chris Peikert教授的论文,比2012年丁教授的原始论文,显得更加重要,更加有分量的观点。
而这种错误观点,又会反过来,鼓励那些没经过调查,没多少头脑,没啥水平的密码学论文作者,去继续反复地引用2014年Chris Peikert教授的论文。哦!抱歉!坦率说,大多数论文作者,还恰好都是上面那一类。
这些没调查,没头脑,没水平的论文作者呢,他们大概下意识地,想当然地,都是这样想的:这么多科学家,密码学家,数学家,都在引用2014年Chris Peikert教授的论文,那么2014年Chris Peikert教授强调过的技术创新,怎么可能是抄袭剽窃呢?怎么可能是对2012年丁教授的原版论文的借鉴呢?
-----------------------------
第七章
第五节
障眼法策略三:模棱两可狡辩
当然,也许上面的两种策略,就是三十六计里面的变形计,和一些捕风捉影,有的没的,一些诋毁性人身攻击,都不能够阻止一些极高水平的密码学家,数学家,和科学家读者,去读去研究丁教授更早发表的原始论文。
咋整?
那么还有第三种策略,您老人家可以而且应该遵循的手法是:声称丁教授原始论文中所说的算法技术,早就过时了,因为更早的时候,就有其他的算法技术,而且更早的那种算法技术,早就已经非常明显了。
会不会觉得有点自相矛盾?因为假设丁教授原始论文不那么新颖,那么作为抄袭剽窃者的您老人家的创新,岂不是更不新颖,更不创新,更加落后了?
这又咋整?
别担心! 摸棱两可狡辩,把水搅浑!是这种策略的运作方式。
咱举例说明一下,咋把水搅浑!
作为抄袭剽窃者的你,在谈论你自己的论文时(你其实说的结果结论是X),你就说:丁教授原始算法技术的成果,要有多微不足道,它就有多微不足道。
作为抄袭剽窃者的你,在谈论丁教授原始论文时(其实说的结果结论还是X),你就问:丁教授原始算法技术,究竟完成了多少呢?
当然,一个仔细阅读研究了所有内容的高水平的密码学家,数学家,或科学家读者,还是会看穿您老人家正在玩的把戏。
但这样把水搅浑的全部意义,就在于给那些低水平的,才刚读博士的读者,或者论文作者,一个不太仔细阅读,认真研究,深入理解所有算法内容的理由,一个很简单的借口。
这是当然的啦!当丁教授原始论文中的成果,与Chris Peikert教授论文取得的成果相比,丁教授原始论文的成果既然太少,咱们刚入门的博士读者或者论文作者,为什么要费心去读丁教授的原始论文呢?
--------------------------------
第七章
第六节
障眼法策略三:模棱两可狡辩举个栗子!
让咱们来看看,一篇论文的两个描述之间,有些什么差异!
这篇论文是2009年Chris Peikert的论文《Public-Key Cryptosystems from the
Worst-Case Shortest Vector Problem从最坏情况下的最短矢量问题看公钥密码算法》,是2009年9月的版本。(链接:https://eprint.iacr.org/2008/481.pdf )
有一个参照物来对照,这篇2009年Chris Peikert博士的论文,和2014年Chris Peikert教授的论文,很明显!2009年的那个Chris Peikert博士,水平是多么地有限,当然也侧面突出了2014年的那个Chris Peikert教授,他的水平怎么就短短五年,就如此突飞猛进,武功精进!无意中也吃了癞蛤蟆,也吃了蛊王毒蛇,也打通任督二脉了吗?
还有一个参照物来对照,是2021年那个Chris Peikert教授的一篇帖子,那篇帖子批评了2009年的那个Chris Peikert博士,说那时候的Chris Peikert博士,水平特别有限,拿这来同样抹黑2012年丁教授的水平,过去都年轻嘛!都一样的水平有限嘛!是这意思嘛?
当然,三角架子呀,它得有第三条架子才稳当,才稳妥!
这第三条架子,就是得把2014年Chris Peikert教授的论文,拿来和2012年丁教授的原始论文进行深入比较。
这能比吗?这一比,不就穿梆了,露馅了吗?
这事不能干!绝对不能干!
这里的内容,就是2014年的那个Chris Peikert教授写的,很明显地突出了2009年的那个Chris Peikert博士的水平,是多么地有限,在他的论文中,他这样写道:
我们提到,至少可以追溯到引用中的[Pei09]的论文里,提到的公钥密码算法,人们知道,可以通过简单的"四舍五入",即删除那些比较不那么重要的比特,来提高密码文本的长度。
然而,所产生的模数,必须仍然大于密匙规范,特别是n的多项式,而我们独特的算法技术,能够以某种方式,来"四舍五入"一直到2的模数。
事实上,2009年Chris Peikert博士的论文,在第4.2节中,使用了一个后循环模数,选择至少 "4(m+1)",m高于n log2 q。
(例如,如果n是1024,q是12289,那么m高于13-1024,所以后循环模数将高于13-4-1024,因此甚至大于q,走错方向)。
这个模数的下限,直接用于分析该密码算法,是不是能解密。
2009年的Chris Peikert在这一点上的,他广而告知地说,基本上某些密码算法,有一个超多项式的LWE模数,2009年Chris Peikert的论文中,采用”四舍五入“,切换到多项式LWE模数,节省了密码文本的大小。他在论文中这样描述:
然而,当使用一个大的q值(例如,q = 2O(n))时,先前算法的效率,并不是最优的,而是次优的,因为明文到密文的扩展系数(即使在摊销方案中)至少是lg q。
先看到2009年Chris Peikert博士的论文,然后看到LPR论文的那些读者,没有理由认为:在2009年Chris Peikert的四舍五入中,用RingLWE取代LWE,会给LPR密码算法带来改进:LPR密码算法本来就是首先以多项式RingLWE模数为起点的!
有鉴于2009年Chris Peikert博士的论文的这一局限性,2012年4月的LPR论文的完整版,那是一篇尤其强调高效率算法的论文,并没有说使用四舍五入的方法,来压缩LPR密码文本,这是有原因有道理的。
2014年的Chris Peikert教授,否定了2009年的Chris Peikert博士,前者认为后者需要一个大的后舍入模数,这也是有原因有道理的。
这里的一切,都与2014年的Chris Peikert教授所说的与"以前最有效的RingLWE密码算法,和公钥交换算法KEM"相比,它提高了"密码文本长度近2倍"是一致的:具体地说"密码文本长度从2n log q比特减少到n(1+log q)比特"(这里的log显然是log2)
哎呀!糟糕!
2012年的Ding!就是丁教授!早就已经把LPR密码文本,从2n log q位,压缩到n(1+log q)位!
怎样才能阻止即使水平很低的刚读博士的读者,或者论文作者,看到2012年丁教授的原始论文呢?
这里的策略,是让那些低水平的博士读者相信,除了2009年的Chris Peikert博士之外,2012年丁教授的论文,并没有增加任何有意义的东西!
以下是2021年Chris Peikert教授的帖子中(链接:https://groups.google.com/a/list.nist.gov/g/pqc-forum/c/nbIZhtICKWU/m/SqvzrtVOBQAJ?pli=1 ),对2009年Chris Peikert博士的处理,这篇帖子试图淡化丁教授的贡献,并试图不对2014年Chris Peikert教授的论文做任何讨论。
2021年Chris Peikert教授提到了Kyber等当代LPR类型的算法,并声称:
包括NISTPQC的Kyber,Saber的这些LPR算法,其四舍五入的低比特压缩技术,绝对不可能被任何其他专利所关联牵涉。
因为:
该算法技术已经被2012年专利申请的大量现有技术所证实,该专利没有要求,甚至没有描述该方法,可能是因为它需要避免这些现有技术。
Peikert教授,能不能仔细确切地掰扯下:究竟是哪些现有技术?
在这篇帖子里,2021年Chris Peikert教授,引用了2009年Chris Peikert博士,将2009年的Chris Peikert博士描述为使用"四舍五入来压缩密码文本",然后跳到LPR等"四舍五入同样有效"的说法上。
嗯!就像使用至少4(m+1)的模数一样?
2009年Chris Peikert博士的大模数技术,在2014年的Chris Peikert教授的论文中被特别强调了,当它的目标变成是需要说2014年Chris Peikert教授有特别大的创新,但还要说2012年Ding丁教授的贡献有多么小的时候,2021年Chris Peikert教授,就又贬低了2009年Chris Peikert博士的所谓大模数技术。
说人话的是你,说鬼话的还是你!
很少有高水平的数学家,密码学家,或者科学家读者,会仔细去阅读,观察,区别,和注意到Chris Peikert教授这种两面三刀的,人话鬼话都说的欺骗行为。
2021年的Chris Peikert教授,继续用进一步的参考资料,来轰炸那些水平低的读者或者论文作者,一个是在LWR中使用四舍五入,另一个是在全同态加密FHE中使用四舍五入。
当然,2021年的Chris Peikert教授,仍然不承认,即使是这些参考资料,也没能实现丁教授对LPR密码算法中,接近两倍的压缩来节省空间的算法技术。
在原理原则上,要看请2014年的Chris Peikert教授,是剽窃了2012年的丁教授,读者其实并不需要阅读任何旧作。
读者只需要(1)阅读2014年的Peikert教授,看看2014年Peikert教授声称的新内容;(2)阅读2012年的丁教授论文,看看2012年的丁教授,早就已经取得了这个成果。
但是,2021年Chris Peikert教授的狂轰乱炸的重点,是给低水平读者们有一个印象,就是无论丁教授做了什么,从现有技术来看,都是显而易见很容易的。
这种既成印象,反过来又给了读者一个借口,让他们一开始就不去读丁教授的原始论文。
------------------
第八章
另一条做法的假设!
假设一下,假如早在2014年,Chris Peikert教授就把这些成果荣誉,都归功于丁教授,那么又会有一些什么不同的事情走向发生呢?
很明显,如果Chris Peikert 教授将这些发现,正确地归功于丁教授,那么随之而来的New Hope算法的发明者们,就不会从“Chris Peikert教授的基于RingLWE的密钥交换算法”出发寻找新的抗量子计算机破解算法,而是很有可能会从丁教授的发现开始出发,开始寻找发现其他的一些新的抗量子计算机破解的密钥交换算法。
这并不能保证New Hope算法的发明者们,会注意到丁教授的专利(BCNS的论文引用了丁教授的专利,但没有提到专利),但这也会使New Hope算法的发明者们,有更大的机会注意到丁教授的专利。
让我们具体分析一下New Hope算法的发明者们,如果意识到这个专利问题,他们会怎样思考处理?很可能,New Hope算法的发明者们会试图找到一种可以绕过丁教授专利的方法。
要想绕过丁教授专利,非常明显的方式方法,和前进的道路,就是要选择NTRU算法,不选择LPR算法,而选择NTRU算法,这是绕过丁教授专利的唯一方法。
简单说:选择NTRU算法,才可以绕过丁教授的专利;而选择LPR算法继续往前走,包括LPR算法在内,之后的所有算法,都无法绕过丁教授的专利。
那么,有谁选择了NTRU算法,来绕过丁教授的专利呢?它基本上就是Hülsing,Rijneveld,Schanck,Schwabe这四位博士,他们在2017年7月采取的方法。(链接:https://eprint.iacr.org/2017/667.pdf )
在2015年11月,New Hope算法刚出现时,NTRU算法仍然有专利,但NTRU的专利到期是2017年8月,并不遥远。所以选择NTRU才是明智的选择。
早在那时候,我就开始投入研究NTRU算法,来绕开丁教授的专利,和Peikert教授的这个大坑。那时,我预计这项研究工作的成果,从2017年开始就可以使用了;所以早在2014年2月,一个基于NTRU算法的最初版本叫做“NTRU Prime”的算法就已经由我们设计发明了(链接:https://blog.cr.yp.to/20140213-ideal.html ),同时在2016年5月,我们就发布了NTRUPrime的论文。(链接:https://eprint.iacr.org/2016/461.pdf )。
是要选择去优化NTRU算法,还是选择去优化LPR算法,这两条算法优化路径之间,其实有很大的研究工作,是重叠的。(链接:https://ntruprime.cr.yp.to/speed.html )。既然很多研究工作是重叠的,可以更加充分地说明:如果不是Chris Peikert教授当年的抄袭剽窃,应该有很多数学家,密码学家都会选择从优化NTRU算法开始出发。
鉴于NTRU算法和LPR算法,这两种重叠内容部分较多,关联度很大,我们建议将NTRU算法,和LPR算法,分别重新命名为“商除NTRU算法”和“乘积NTRU算法”, 这种命名方法可以更好地认识到这两种算法之间的相似性。
关于未知敌手进行攻击破解的风险,LPR算法的市场宣传,故意夸大了一个存在于NTRU算法,而不存在于LPR算法的攻击途径。但是LPR算法的市场宣传中,并没有承认有其他三个存在于LPR算法,而不存在于NTRU算法的攻击途径。这样的市场宣传是诚实合适的吗?(链接:https://ntruprime.cr.yp.to/warnings.html )
总结而言,如果继续采用LPR算法,是一种试图绕过丁教授专利的方法,这是一种以身犯险,绝不足取的方式。这也基本上是Alkim-Ducas-Pöppelmann-Schwabe这四位博士在2016年12月采取的方法(链接:https://eprint.iacr.org/2016/1157.pdf ),这四位博士在这篇论文中,推出了 “无调谐技术的New Hope算法”,并声称这种方法“是一种避免了Ding最早论文和专利中提出的,一种错误的调谐技术的算法"。很显然这四位博士的声称是错误的。
为什么对密码学家来说,查看了专利,但想办法去绕过专利,这是一种以身犯险,绝不可取的方式呢?
其中一个原因是,这些获得专利保护的法律边界,是由专利法院所遵循的规则来决定的,而对一般密码学家们而言,他们并不十分清楚地了解这些法律边界,并不十分知道这些规则。
有多少密码学家知道什么是马克曼Markman听证会?
有多少密码学家花了时间去研究过等价物理论?
更令人惊悚的是,一个看起来很科学、对专利地有效适用,提出了主张的文件(链接:https://eprint.iacr.org/2021/1364.pdf 论文作者:LPR中的L即Vadim Lyubashevsky),完全就是上面那些并不清楚法律边界,不了解专利法院规则的密码学家写的,比如这篇论文直接说:专利法院的审判程序,并不是我们写这份文件的重点,因为我们并不会去装作很了解这些专利法院的审判程序。这篇论文的作者就是LPR算法中的L即密码学家Vadim Lyubashevsky(链接:https://groups.google.com/a/list.nist.gov/g/pqc-forum/c/2Xv0mrF9lVo/m/vRkASR95AAAJ )
如果你看到一个对IND-CCA2的安全性,作出了一份声明的文件,难道你不希望作者完全了解,完全清楚IND-CCA2安全性的全部定义,是在讲什么吗?
你当然希望!但是抱歉,你的希望落空了!
写这份文件的人,显然完全不了解,并且直接声明了不了解专利法院的审判程序!
当然,我们仔细地研究了丁教授的原本论文,和其他的对丁教授论文进行狗尾续貂的论文之间,这两篇论文分别提到的两种算法技术路线间的界限,以及分界线(链接:https://groups.google.com/a/list.nist.gov/g/pqc-forum/c/NSe0wAzKJtA/m/4t9aHQWsBwAJ )
据我所知,这些分界线甚至完全不符合专利法院程序,这些专利法院程序,一定需要执行基本清晰的界限和分界线的标准;不用说这种分界线,是不是能逃出美国专利的等价交换原则的手掌心;更不用说密码学家们都希望一种密码学算法,能在全世界范围内被广泛使用,所以还需要调查一些地区,特别是在欧洲,丁教授的专利造成的巨大影响。
单单只从科学算法技术上讲:在知识产权上,New Hope算法绝对是欠了丁教授的债的!因为是丁教授,首先展示了怎样压缩LPR算法的密文。无论是谁,要把它换成“无调谐的New Hope算法”,都不能回避:这就是丁教授的想法,和丁教授的知识产权!
把它切换到模数就可以了吗?不是的!比如NISTPQC第三轮的Kyber算法就是这么搞的,即使这么搞,也不能回避丁教授的专利和知识产权。很明显!NISTPQC第三轮的Kyber算法,它并没有消除压缩!NISTPQC第三轮的正选算法Kyber,显然也是丁教授的专利所覆盖的内容。
这种算法细节上的差异,并不能消除在算法思想上,最核心想法上是重合的,正是这种重合,所以需要将成果荣誉,都完全归功于丁教授。
当然,有可能是一些糟糕的专利起草律师的工作,将丁教授按照专利法律的垄断范围,缩小到丁教授的科学贡献范围之下。
但是,专利法律的等价物理论,和其他法院程序,使全球的专利法律系统,一定会向专利持有人即丁教授来倾斜,而不熟悉这些程序的人,无论你是多么著名的密码学家,很可能,你根本没有能力,来评估这种专利法律的严重威胁。
想绕过专利,或者接近专利来申请专利,这都是很危险的。原因是,如果是在一个常常有新专利发布的科学研究新领域,那么你不应该对你已经撞上了其他人的专利,感到任何惊讶。
当然,任何地方都可能有地雷。
但现实情况是,一些科技领域,比其他领域更成熟,这些很成熟的科技领域,对寻找专利发现,和专利保护的科学家们,其吸引力一般就较小。专利很自然地倾向于聚集在科技技术还不太成熟,还比较新的科技领域。
今天,密码学家们对美国专利9094189,已经有了广泛的认识,这是一项关于LPR密码算法的专利,并且是在LPR这三位,在2014年公布其密码算法前,早就在2010年就已经提交了的法国专利。(链接:https://patents.google.com/patent/US9094189B2 )
这种广泛的认识,在2016年时并不存在,但有密码学家们看到了丁教授的专利,就不应该对看到这份关于LPR的美国专利感到惊讶;也不应该对看到有中国专利107566121感到惊讶,这份中国的专利,涵盖了看起来与“无调谐技术的New Hope算法”非常相似的算法技术,而且是在2016年11月提交(链接:https://patents.google.com/patent/CN107566121A/en 作者:复旦大学教授赵运磊);如果看到了丁教授的专利,也就不应该对看到有些国家或地区,早就在“抗量子计算机破解算法”的这片等待开发的富饶土地上开采矿产而感到任何惊讶了;(链接:https://www.isara.com/ )
至于LPR密码算法?它应该被称为LPR密码算法吗?
据我所知,他们的第一批出版物,是2010年4月,和5月的LPR讲座。但是法国的专利申请者,也在2010年5月,发表了关于这种密码算法的公开演讲,而且几天之后,这些演讲的幻灯片就上网公开了。(链接:https://web.archive.org/web/20150614110435/https://pqc2010.cased.de/rr/03.pdf )
因此,也许这的确可能是一个特殊案例,应该将功劳荣誉归功于两个来源。我将在以后的博文中,再次讨论一下这个问题。但是无论如何,根据专利法,重要的是专利申请的提交日期。
如果New Hope算法的那些密码学家发明者们,在对New Hope算法投入任何工作前,就知道了丁教授的专利,他们会不会走上这条危险的道路?
这很难猜测。
也许"无调谐技术的New Hope算法",会是第一个"New Hope算法"。或者"New Hope算法"的这个名字,会被用于优化NTRU算法,而不是优化LPR算法。
无论那种情况,谷歌公司和其他潜在用户,从一开始就可能意识到,必须把丁教授的专利,作为最重要的考虑因素,而不只是考虑2017年就要到期的NTRU算法的专利。
提前看到问题所在,有可能会犹豫不决。但总比没看到潜在风险而身受重伤,要好得多。
我猜测大家都心知肚明,只是都不说出来。所以最大的可能也许是,几年前早就开始了,密码学界早就已开始悄悄地测试,尝试广泛地测试,实施,和部署NTRU算法,这样可以绕开丁教授的专利,而不是测试部署LPR算法。
当然,即使是NTRU算法,也有可能有比LPR算法发生更大问题,这些对NTRU算法的潜在风险,就潜伏在暗处,在暗流涌动。
以前的NTRU算法,已没了专利保护,但现在的NTRU算法,与以前的NTRU算法,还是不同的,所以可能还是存在着,一些我们会忽略的专利威胁。
此外,所有基于球形的格Lattice算法,是不稳定的,对之进行攻击破解的技术水平,是忽隐忽现的,有许多还没有充分探索过的,对这种基于球形的格Lattice算法,比如NISTPQC第三轮最终正选的7个算法中的所有5个格算法,都是球形的格算法,都存在被严重攻击甚至破解的可能。这种s-unit attacks即对对于球型格lattice算法的攻击,就打破了一个又一个,原来声称的在数学理论上不可能发生的“攻击障碍”。
但无论如何,希望在2022年美国国家技术标准局NIST即将推出的NISTPQC项目中的抗量子计算机破解算法,既没有专利限制,也至少强大到足够安全,足够稳定。
NTRU算法也有可能出现一些被破解的风险,但这并不能证明,作为一个密码学家社区的我们,就为什么不能早在2017年,就开始用NTRU这种抗量子计算机破解算法,来尽可能多地加密数据,以避免无论是敌方,还是友方,总在不停地,对我们所使用的大多数数据和信息,“先手机存储,日后再破解”。
总结一下:NTRU这类算法的技术路线,是很不错的,和Chris Peikert教授当年抄袭剽窃选择的LPR算法路线相比,NTRU算法的技术路线相对而言更加好,更加强!