很多局外人會把密碼學看得過于神秘。當我們一談論密碼學時，他們就會錯誤地將其與秘密組織、或深層次布局相關聯。其實，從本質上講，密碼學只是一種保護和加密信息的手段。例如，如果您仔細觀察瀏覽器中某網站URL的左側（在地址欄中居左的位置），就會看到一個帶有掛鎖符號的圖標。這個圖標表示該站點正在使用HTTPS協議，對出入該網站的信息進行加密操作，以保護用戶的個人詳細信息、以及信用卡信息等敏感數據。

下面，我將和您討論一種全新的量子密碼學，它比當前的普通密碼學要更加先進，也勢必會對在線安全領域帶來永久性的改變。

什么是后量子密碼學（Post-Quantum Cryptography）？

為了更好地理解后量子密碼學，讓我們首先來了解什么是量子計算機（Quantum Computer）。量子計算機使用量子物理學來存儲信息，并能夠以驚人的速度，去執行各種復雜的計算。

目前，傳統計算機都是以二進制形式（即一堆0和1）來存儲信息的。而在量子計算中，信息被存儲在“量子比特（qubits）”中。它們使用到了諸如：電子（electron）運動或照片定向方式等量子物理學的特性。通過不同的安排方式，量子計算機能夠快速地存儲和訪問各類信息。

從理論上說，由量子比特排列所實現的存儲數字，要遠多于我們所處的宇宙中的原子。因此，如果您使用量子計算機針對二進制計算機進行密碼的破解，那么它將不費吹灰之力，就能夠在短時間內完成破解。目前，量子機器主要依賴Shor算法（用于整數分解的量子算法），已經破解了許多非對稱加密技術?？梢哉f，這是量子計算機對比二進制計算機的強大優勢所在。

當然，熱或電磁場都會影響計算機的量子特性。因此，它們的使用通常受到一定的限制。我們必須對其予以非常謹慎地管理。您可以通過??《量子計算正在改變世界》??一文，了解更多相關知識。

總地說來，量子計算機確實對傳統的加密已經構成了巨大的威脅。那么我們是否就任由它持續進行降維打擊了呢？常言道：“道高一尺，魔高一丈”。其實，我們可以采用后量子密碼學（Post-Quantum Cryptography）來采取適當的防御措施。這是一種新近開發的密碼與加密技術，可以防止來自量子計算機的密碼分析攻擊。

而且，由于它允許二進制計算機保護其數據，使其免受量子計算機的攻擊，因此隨著我們朝著更安全、更強大的數字未來邁進，后量子密碼學會變得越來越重要。

后量子密碼學的背景

早在2016年，Innsbruck大學和麻省理工學院（MIT）的研究人員就已經認定，量子計算機比??超級計算機??更加強大，它們可以輕松地破解由傳統計算機開發的任何密碼。

同年，美國國家標準與技術研究院（National Institute of Standards and Technology，NIST）開始接受其作為取代公共加密算法的新型加密方式的提交。據此，各種新的防御措施被相繼研發了出來。其中，一種簡單的方法是將數字密鑰的大小加倍，以便所需的排列數量也會顯著增加，以應對暴力攻擊（brute force attack）的情況。

與此相比，我們只需將密鑰大小從128位增加到256位，便可以讓采用Grover算法的量子計算機在排列數量上實現平方。這是另一種用于搜索非結構化數據庫的最常用算法。

為了選擇一種技術進行推廣和標準化，NIST目前正在測試和分析各種技術。他們已將范圍從最初收到的69份提案，縮小到了15份。

基于AES-256加密方式的后量子算法安全嗎？

下面，讓我們來重點關注“抗量子（quantum-resistant）”算法的開發。例如，如今被廣泛使用的AES-256加密方式，通常被認為屬于抗量子類型，畢竟其對稱加密方式仍然被公認為是非常安全的。然而，量子計算機使用Grover算法去破解一個AES-128密碼，能夠將攻擊時間縮短至2^64。而這對于當前的算力而言，已經足以認為不夠安全了。

而在AES-256加密的情況下，其攻擊時間將變為2^128，這相對來說還算是足夠安全的。對此，NIST指出，后量子算法通?？梢詫儆谌缦氯愔械囊环N：

• 基于格的密碼（Lattice-based ciphers）——例如Kyber或Dilithium。
• 基于代碼的密碼（Code-based ciphers）——例如使用Goppa代碼的McEliece公鑰密碼系統。
• 基于散列的函數（Hash-based functions）——例如Lamport Diffie一次性簽名系統。

此外，許多區塊鏈開發人員目前正在創建，能夠抵抗各種量子密碼分析攻擊的加密貨幣。

RSA類型的后量子安全嗎？

作為一種非對稱算法，RSA也曾被認為是非常安全的。例如，《科學美國人》在1977年發表的一篇研究論文中，曾號稱破解RSA-129加密需要40萬億年。不過，1994年，貝爾實驗室的數學家--Peter Shor創建了一種旨在破解RSA加密的算法。幾年后，一組密碼學家在此基礎上，在六個月時間內破解了RSA。

雖然RSA-2048目前尚未被破解，但是大家都知道，這只是一個時間的問題。因此，業界廣泛推薦的RSA的加密強度為RSA-3072。它提供了112位的安全性?？梢哉f，當前互聯網上有超過90%的加密連接（包括SSL握手），都依賴于RSA-2048。同時，RSA也被用于驗證數字簽名，推送固件更新、以及驗證電子郵件等日常工作與任務中。

可見，問題在于：密鑰長度大小的增加，并沒有成比例地提高其自身的安全性。雖然RSA-2048比其前身增強了40億倍，但是RSA-3072僅增強了65k倍左右。實際上，對我們而言，RSA-4096已經達到加密的極限了。而且，一些密碼分析師甚至發布了一系列被證明有效的攻擊RSA的方法。具體請參考??這里??。當然，他們尚未實現量子霸權（Quantum Supremacy），即：量子計算機將能夠執行那些普通計算機無法執行的功能。對此， Google和IBM等大廠已經在為此布局謀篇了。

為什么我們需要后量子密碼學？

有時候，創新的最佳方式便是提出一個更強大的問題。而后量子密碼學背后的概念就是，改變現有計算機解決數學問題的方式。我們有必要開發更加安全的通信協議和系統，來充分利用量子計算的算力，并做好相應的防御工作。值得一提的是，許多VPN提供商目前已開始致力于開發具有量子安全特性的VPN。 

譯者介紹

陳峻 （Julian Chen），51CTO社區編輯，具有十多年的IT項目實施經驗，善于對內外部資源與風險實施管控，專注傳播網絡與信息安全知識與經驗；持續以博文、專題和譯文等形式，分享前沿技術與新知；經常以線上、線下等方式，開展信息安全類培訓與授課。

原文標題：??What Is Post-Quantum Cryptography & Why Is It Important? ??，作者：KARIM AHMAD