量子安全代码审计:面向后量子密码迁移的大语言模型辅助静态分析与量子风险评分
密码学相关量子计算机(CRQCs)的即将问世,正威胁着现代软件的安全根基——肖尔算法能破解RSA、ECDSA、ECDH和迪菲-赫尔曼加密,而格罗弗算法则会削弱对称加密与哈希方案的实际安全性。尽管美国国家标准与技术研究院(NIST)已于2024年标准化了后量子密码学(PQC)方案(包括FIPS 203 ML-KEM、FIPS 204 ML-DSA和FIPS 205 SLH-DSA),但大多数代码库仍缺乏自动化工具来盘点经典密码学使用情况,并根据量子威胁优先级实施迁移。 该研究团队推出“量子安全代码审计器”,这是一种具备量子风险感知能力的静态分析框架,其创新性体现在: 1. 基于正则表达式检测15类量子脆弱加密原语 2. 采用LLM辅助的上下文增强技术来评估使用场景与漏洞严重性 3. 通过Qiskit 2.x实现的变分量子本征求解器(VQE)模型进行风险评分,结合量子比特成本估算来优先处理关键发现 该系统在五个开源库(python-rsa、python-ecdsa、python-jose、node-jsonwebtoken和Bouncy Castle Java)中完成评估,共检测5,775个风险点。在602个分层标注样本上,实现71.98%精确率、100%召回率和83.71%的F1分数。所有代码、数据与复现脚本均已开源发布。
