很多局外人會(huì)把密碼學(xué)看得過于神秘。當(dāng)我們一談?wù)撁艽a學(xué)時(shí)，他們就會(huì)錯(cuò)誤地將其與秘密組織、或深層次布局相關(guān)聯(lián)。其實(shí)，從本質(zhì)上講，密碼學(xué)只是一種保護(hù)和加密信息的手段。例如，如果您仔細(xì)觀察瀏覽器中某網(wǎng)站URL的左側(cè)（在地址欄中居左的位置），就會(huì)看到一個(gè)帶有掛鎖符號(hào)的圖標(biāo)。這個(gè)圖標(biāo)表示該站點(diǎn)正在使用HTTPS協(xié)議，對(duì)出入該網(wǎng)站的信息進(jìn)行加密操作，以保護(hù)用戶的個(gè)人詳細(xì)信息、以及信用卡信息等敏感數(shù)據(jù)。

下面，我將和您討論一種全新的量子密碼學(xué)，它比當(dāng)前的普通密碼學(xué)要更加先進(jìn)，也勢(shì)必會(huì)對(duì)在線安全領(lǐng)域帶來永久性的改變。

什么是后量子密碼學(xué)（Post-Quantum Cryptography）？

為了更好地理解后量子密碼學(xué)，讓我們首先來了解什么是量子計(jì)算機(jī)（Quantum Computer）。量子計(jì)算機(jī)使用量子物理學(xué)來存儲(chǔ)信息，并能夠以驚人的速度，去執(zhí)行各種復(fù)雜的計(jì)算。

目前，傳統(tǒng)計(jì)算機(jī)都是以二進(jìn)制形式（即一堆0和1）來存儲(chǔ)信息的。而在量子計(jì)算中，信息被存儲(chǔ)在“量子比特（qubits）”中。它們使用到了諸如：電子（electron）運(yùn)動(dòng)或照片定向方式等量子物理學(xué)的特性。通過不同的安排方式，量子計(jì)算機(jī)能夠快速地存儲(chǔ)和訪問各類信息。

從理論上說，由量子比特排列所實(shí)現(xiàn)的存儲(chǔ)數(shù)字，要遠(yuǎn)多于我們所處的宇宙中的原子。因此，如果您使用量子計(jì)算機(jī)針對(duì)二進(jìn)制計(jì)算機(jī)進(jìn)行密碼的破解，那么它將不費(fèi)吹灰之力，就能夠在短時(shí)間內(nèi)完成破解。目前，量子機(jī)器主要依賴Shor算法（用于整數(shù)分解的量子算法），已經(jīng)破解了許多非對(duì)稱加密技術(shù)。可以說，這是量子計(jì)算機(jī)對(duì)比二進(jìn)制計(jì)算機(jī)的強(qiáng)大優(yōu)勢(shì)所在。

當(dāng)然，熱或電磁場(chǎng)都會(huì)影響計(jì)算機(jī)的量子特性。因此，它們的使用通常受到一定的限制。我們必須對(duì)其予以非常謹(jǐn)慎地管理。您可以通過??《量子計(jì)算正在改變世界》??一文，了解更多相關(guān)知識(shí)。

總地說來，量子計(jì)算機(jī)確實(shí)對(duì)傳統(tǒng)的加密已經(jīng)構(gòu)成了巨大的威脅。那么我們是否就任由它持續(xù)進(jìn)行降維打擊了呢？常言道：“道高一尺，魔高一丈”。其實(shí)，我們可以采用后量子密碼學(xué)（Post-Quantum Cryptography）來采取適當(dāng)?shù)姆烙胧?。這是一種新近開發(fā)的密碼與加密技術(shù)，可以防止來自量子計(jì)算機(jī)的密碼分析攻擊。

而且，由于它允許二進(jìn)制計(jì)算機(jī)保護(hù)其數(shù)據(jù)，使其免受量子計(jì)算機(jī)的攻擊，因此隨著我們朝著更安全、更強(qiáng)大的數(shù)字未來邁進(jìn)，后量子密碼學(xué)會(huì)變得越來越重要。

后量子密碼學(xué)的背景

早在2016年，Innsbruck大學(xué)和麻省理工學(xué)院（MIT）的研究人員就已經(jīng)認(rèn)定，量子計(jì)算機(jī)比??超級(jí)計(jì)算機(jī)??更加強(qiáng)大，它們可以輕松地破解由傳統(tǒng)計(jì)算機(jī)開發(fā)的任何密碼。

同年，美國國家標(biāo)準(zhǔn)與技術(shù)研究院（National Institute of Standards and Technology，NIST）開始接受其作為取代公共加密算法的新型加密方式的提交。據(jù)此，各種新的防御措施被相繼研發(fā)了出來。其中，一種簡單的方法是將數(shù)字密鑰的大小加倍，以便所需的排列數(shù)量也會(huì)顯著增加，以應(yīng)對(duì)暴力攻擊（brute force attack）的情況。

與此相比，我們只需將密鑰大小從128位增加到256位，便可以讓采用Grover算法的量子計(jì)算機(jī)在排列數(shù)量上實(shí)現(xiàn)平方。這是另一種用于搜索非結(jié)構(gòu)化數(shù)據(jù)庫的最常用算法。

為了選擇一種技術(shù)進(jìn)行推廣和標(biāo)準(zhǔn)化，NIST目前正在測(cè)試和分析各種技術(shù)。他們已將范圍從最初收到的69份提案，縮小到了15份。

基于AES-256加密方式的后量子算法安全嗎？

下面，讓我們來重點(diǎn)關(guān)注“抗量子（quantum-resistant）”算法的開發(fā)。例如，如今被廣泛使用的AES-256加密方式，通常被認(rèn)為屬于抗量子類型，畢竟其對(duì)稱加密方式仍然被公認(rèn)為是非常安全的。然而，量子計(jì)算機(jī)使用Grover算法去破解一個(gè)AES-128密碼，能夠?qū)⒐魰r(shí)間縮短至2^64。而這對(duì)于當(dāng)前的算力而言，已經(jīng)足以認(rèn)為不夠安全了。

而在AES-256加密的情況下，其攻擊時(shí)間將變?yōu)?^128，這相對(duì)來說還算是足夠安全的。對(duì)此，NIST指出，后量子算法通?？梢詫儆谌缦氯愔械囊环N：

• 基于格的密碼（Lattice-based ciphers）——例如Kyber或Dilithium。
• 基于代碼的密碼（Code-based ciphers）——例如使用Goppa代碼的McEliece公鑰密碼系統(tǒng)。
• 基于散列的函數(shù)（Hash-based functions）——例如Lamport Diffie一次性簽名系統(tǒng)。

此外，許多區(qū)塊鏈開發(fā)人員目前正在創(chuàng)建，能夠抵抗各種量子密碼分析攻擊的加密貨幣。

RSA類型的后量子安全嗎？

作為一種非對(duì)稱算法，RSA也曾被認(rèn)為是非常安全的。例如，《科學(xué)美國人》在1977年發(fā)表的一篇研究論文中，曾號(hào)稱破解RSA-129加密需要40萬億年。不過，1994年，貝爾實(shí)驗(yàn)室的數(shù)學(xué)家--Peter Shor創(chuàng)建了一種旨在破解RSA加密的算法。幾年后，一組密碼學(xué)家在此基礎(chǔ)上，在六個(gè)月時(shí)間內(nèi)破解了RSA。

雖然RSA-2048目前尚未被破解，但是大家都知道，這只是一個(gè)時(shí)間的問題。因此，業(yè)界廣泛推薦的RSA的加密強(qiáng)度為RSA-3072。它提供了112位的安全性?？梢哉f，當(dāng)前互聯(lián)網(wǎng)上有超過90%的加密連接（包括SSL握手），都依賴于RSA-2048。同時(shí)，RSA也被用于驗(yàn)證數(shù)字簽名，推送固件更新、以及驗(yàn)證電子郵件等日常工作與任務(wù)中。

可見，問題在于：密鑰長度大小的增加，并沒有成比例地提高其自身的安全性。雖然RSA-2048比其前身增強(qiáng)了40億倍，但是RSA-3072僅增強(qiáng)了65k倍左右。實(shí)際上，對(duì)我們而言，RSA-4096已經(jīng)達(dá)到加密的極限了。而且，一些密碼分析師甚至發(fā)布了一系列被證明有效的攻擊RSA的方法。具體請(qǐng)參考??這里??。當(dāng)然，他們尚未實(shí)現(xiàn)量子霸權(quán)（Quantum Supremacy），即：量子計(jì)算機(jī)將能夠執(zhí)行那些普通計(jì)算機(jī)無法執(zhí)行的功能。對(duì)此， Google和IBM等大廠已經(jīng)在為此布局謀篇了。

為什么我們需要后量子密碼學(xué)？

有時(shí)候，創(chuàng)新的最佳方式便是提出一個(gè)更強(qiáng)大的問題。而后量子密碼學(xué)背后的概念就是，改變現(xiàn)有計(jì)算機(jī)解決數(shù)學(xué)問題的方式。我們有必要開發(fā)更加安全的通信協(xié)議和系統(tǒng)，來充分利用量子計(jì)算的算力，并做好相應(yīng)的防御工作。值得一提的是，許多VPN提供商目前已開始致力于開發(fā)具有量子安全特性的VPN。 

譯者介紹

陳峻 （Julian Chen），51CTO社區(qū)編輯，具有十多年的IT項(xiàng)目實(shí)施經(jīng)驗(yàn)，善于對(duì)內(nèi)外部資源與風(fēng)險(xiǎn)實(shí)施管控，專注傳播網(wǎng)絡(luò)與信息安全知識(shí)與經(jīng)驗(yàn)；持續(xù)以博文、專題和譯文等形式，分享前沿技術(shù)與新知；經(jīng)常以線上、線下等方式，開展信息安全類培訓(xùn)與授課。

原文標(biāo)題：??What Is Post-Quantum Cryptography & Why Is It Important? ??，作者：KARIM AHMAD