吳長鋒

量子計算雖然能指數(shù)級地加快大數(shù)分解等問題的求解速度，但是現(xiàn)在還沒有證據(jù)表明量子計算能破解所有的數(shù)學困難問題。研究者們基于這些問題設計密碼算法，并認為這些密碼算法是具備抗量子攻擊能力的，于是就形成了后量子密碼。

近日，在第三屆雁棲湖國際后量子密碼標準化與應用研討會暨后量子技術成果發(fā)布會上，清華大學丘成桐數(shù)學中心、北京雁棲湖應用數(shù)學研究院教授丁津泰指出，隨著量子計算的發(fā)展，作為當今網絡形態(tài)安全信任根基的現(xiàn)代公鑰密碼學未來可能會被徹底顛覆。為此，與會專家呼吁，加強對能夠抵御量子密碼算法的“后量子密碼”的研究部署，建立后量子密碼標準，以保證未來網絡空間安全。

量子計算的發(fā)展為什么可能會徹底顛覆現(xiàn)代公鑰密碼學？后量子密碼與現(xiàn)代公鑰密碼有何不同？中國又為什么要建立自己的后量子密碼標準？帶著這些問題記者采訪了相關專家。

量子計算超強算力威脅現(xiàn)代公鑰密碼安全

“現(xiàn)代公鑰密碼學的安全性取決于公鑰算法所依賴的數(shù)學困難問題的計算復雜性?！笨拼髧芰孔蛹夹g股份有限公司（以下簡稱國盾量子）產品研發(fā)中心資深技術專家趙于康博士告訴科技日報記者，現(xiàn)代公鑰密碼學誕生于20世紀70年代，其基本思想是：基于數(shù)學上難解的計算問題生成一對密鑰，一個為加密密鑰，一個為解密密鑰。由于在有限計算資源和計算時間內，由加密密鑰推算出解密密鑰的計算量很大，在實踐上十分困難，因此保證了密碼的安全性。

趙于康表示，通常來說，最具代表性的應用于公鑰密碼設計的數(shù)學困難問題，包括質因數(shù)分解、離散對數(shù)、橢圓曲線等。最具代表性的公鑰密碼包括RSA、ElGamal、ECC等。

公鑰密碼主要用于加解密、密鑰分發(fā)、數(shù)字簽名和認證等，它們對于保障數(shù)字安全十分重要?！袄鐢?shù)字簽名和認證可為辦公終端、物聯(lián)網終端等建立身份、行為的信任保證；加解密可為數(shù)據(jù)傳輸提供有限的加密或對稱密鑰分發(fā)保障?！壁w于康說。

量子計算機的快速發(fā)展有可能對現(xiàn)代公鑰密碼學形成挑戰(zhàn)?！坝捎诹孔佑嬎銠C能指數(shù)或多項式量級地加快某些復雜計算問題的求解速度，因此現(xiàn)代公鑰密碼學很有可能被量子計算技術徹底顛覆。”趙于康告訴記者，以Shor量子算法為例，其可以在多項式時間內解決大整數(shù)分解和離散對數(shù)求解等復雜數(shù)學問題，因此可以快速破解廣泛使用的RSA、ECC、ElGamal等公鑰密碼。

“例如，分解一個400位的大整數(shù)，經典計算機需要約5×10^22次操作，而量子計算機僅需要約6×10^7次操作，后者所需操作數(shù)僅為前者的八十萬億分之一。”趙于康說。

趙于康表示，近年來量子計算機硬件快速發(fā)展，各式量子計算機相繼實現(xiàn)了“量子計算優(yōu)越性”。若再結合特定的量子算法，它們就可能對現(xiàn)代公鑰密碼構成更直接、更緊迫的威脅。

基于新的復雜問題構建量子計算機無法破解的密碼

“量子計算雖然能指數(shù)級地加快大數(shù)分解等問題的求解速度，但是現(xiàn)在還沒有證據(jù)表明量子計算能破解所有的問題，比如格問題、非線性方程組求解問題、糾錯碼的一般譯碼問題等?！壁w于康說，研究者們基于這些困難問題設計密碼算法，并認為這些密碼算法是具備抗量子攻擊能力的，于是就形成了后量子密碼（PQC）。

“后量子密碼指的是可以抵御已知量子計算攻擊的現(xiàn)代公鑰密碼，這類密碼算法的安全性同樣依賴于計算復雜度，不同的是它基于的是新的復雜問題。”趙于康表示，這些問題的破解目前對于量子計算來說比較困難，且科學家們認為在很長一段時間內量子計算破解這些問題都會比較困難。中國科學院量子信息重點實驗室郭國平教授則認為，雖然現(xiàn)在量子計算破解一些后量子密碼比較困難，但隨著量子計算機的快速發(fā)展，兩者之間將會形成“道高一尺魔高一丈”的局面。

后量子密碼的應用范圍與現(xiàn)代公鑰密碼類似，可用于政務、金融、通信、數(shù)據(jù)、能源等領域。“但需要注意的是，后量子密碼的安全性分析仍然是個復雜問題?！壁w于康解釋說，一方面，后量子密碼算法設計往往需要對它依據(jù)的原始計算困難問題進行改動。而這種改動，可能會使得算法的安全性并不等價于數(shù)學上的困難問題，其安全性分析也會隨之變得更加復雜。另一方面，現(xiàn)有的后量子密碼是針對已知的一部分類型的量子攻擊而設計的，對于新的量子攻擊，或者經典攻擊可能并不免疫。例如，2022年7月，美國國家標準和技術研究所（NIST）宣布了首批四種后量子加密算法，包括CRYSTALS-Kyber、CRYSTALS-Dilithium、FALCON和SPHINCS+。同年12月，瑞典皇家理工學院研究人員發(fā)文稱，在CRYSTALS-Kyber特定實現(xiàn)中發(fā)現(xiàn)一個安全漏洞，攻擊者利用該漏洞可以發(fā)起側信道攻擊。

“其實，中國在另一實現(xiàn)‘量子安全的重要技術路徑——量子密碼方面更具優(yōu)勢。在最有可能實現(xiàn)量子密碼實用化的量子密鑰分發(fā)（QKD）領域，我國不論是技術還是應用都在領跑，并取得了一系列世界矚目的成果。”趙于康表示。

建立標準是后量子密碼落地應用的前提

趙于康認為，任何一個密碼算法的設計都是為了最終落地應用，而標準是一項技術走向產業(yè)化、規(guī)?；?，并實現(xiàn)商業(yè)落地的重要前提。

在趙于康看來，目前美國、日本、韓國、歐洲等國家和地區(qū)均在進行后量子密碼的標準化工作，中國在這方面則起步較晚。標準的形成本身也是一種技術創(chuàng)新的過程，完善的標準可以加快科技創(chuàng)新成果產業(yè)化推廣應用，加速科技成果向現(xiàn)實生產力的轉化。

趙于康告訴記者，由于后量子密碼在密鑰長度、算法構造等方面與現(xiàn)有密碼存在的差異較多，與應用系統(tǒng)的接口相較于量子密鑰分發(fā)也更多，因此從現(xiàn)有公鑰密碼算法遷移到后量子密碼算法的過程是一項巨大的工作。“據(jù)專家估計，這個遷移過程大概需要10～15年。只有后量子密碼算法早日實現(xiàn)標準化，才能為盡早落地應用、對抗量子計算攻擊做好準備?！壁w于康說。

我國在以量子密鑰分發(fā)為代表的量子密碼領域已實現(xiàn)“換道超車”，而后量子密碼與量子密鑰分發(fā)的融合應用方案也是國際研究的方向之一?！袄纾罅孔用艽a可用于初始身份認證，這種認證只需要很短的時間，一旦完成，后續(xù)生成的量子密鑰就是長期安全的?！壁w于康補充道，此前，中國科學技術大學、云南大學、上海交通大學與國盾量子等單位聯(lián)合，在國際上率先探索了在量子密鑰分發(fā)網絡中使用后量子密碼進行認證的方案，該方案提供了一種高效解決預置密鑰關鍵問題的有效途徑。

“我國的后量子密碼標準化推進工作雖起步較晚，但可以參考歐美等國已有的成熟經驗。與此同時，應該加強產學研用協(xié)同，在相關部門牽頭和指導下，融合學術界、產業(yè)界等多方力量，盡早布局中國自己的后量子密碼標準?！壁w于康表示。