后量子加密究竟是什么？

可能大部分朋友在使用电子商务网站、发送及接收电子邮件或者查看自己的网上银行或信用卡账户时，都没有注意到网络浏览器当中显示出的小小挂锁符号。但这个符号其实非同小可，它代表着我们所面对的在线服务正在使用HTTPS——这是一种网络协议，能够对我们通过互联网发送的数据以及收到的响应结果进行加密。目前，整个互联网行业都在使用HTTPS以及其它一些形式的加密机制保护各类电子通信、密码、数字签名以及健康记录等信息。

量子计算机则可能很快摧毁这些加密防御体系。虽然目前的量子计算机还远称不上强大，但其正在快速发展当中。有可能在未来十多年——甚至更短时间——之内，量子计算机就会给目前广泛使用的加密方法构成巨大威胁。正因为如此，研究人员与安全企业才竞相开发新的加密方法，用以抵御未来由黑客发动的量子攻势。

数字加密的工作原理

目前存在两种主要的加密类型。其中对称加密要求发送方与接收方拥有相同的数字密钥，用以实现数据的加密与解密;而非对称或者说公钥加密机制，则利用公钥对所发送内容进行加密，并由接收者作为唯一持有私钥的一方解密消息并读取其中的内容。

有时候，这两种方法也会结合二用。例如，在HTTPS协议场景当中，网络浏览器会利用公钥加密检查网站的磁性，而后利用对称密钥进行加密通信。

其目标在于阻止黑客投入大规模算力以暴力破解网站所使用的密钥。在这方面，目前流行的加密方法主要有RSA加密以及椭圆曲线加密两种——后者通常使用所谓陷门函数。这是一种数学结构，其从一侧能够以相对轻松的方式创建密钥，但敌对方却很难从另一侧逆推密钥内容。

黑客们当然可以通过尝试所有可能的密钥变体进行密码内容破解，但防御一方则通过使用长度极为夸张的密钥使得黑客几乎无法试尽其中的全部可能性——以RSA 2048为例，其密钥长度为617个二进制数字。在传统计算机上，尝试其中所有可能的排列并找出正确私钥的过程可能需要数几十万甚至上百万年。

为什么量子计算机会成为加密技术的巨大威胁?

简单来说，这是因为量子计算机能够帮助黑客更快闯过算法陷门这道难关。与各个比特只能处于1或0状态的经典计算机不同，量子计算机可以使用能够同时代表1与0的多种可能状态的量子比特——这就是所谓叠加现象。另外，通过所谓纠缠现象，各个量子比特之间也能够在远距离条件下相互影响。

在这些现象的作用之下，只需要添加少数额外的量子比特，我们就能够让计算机的处理能力呈指数级上升。拥有300个量子比特的量子计算机就可以表达比可观察宇宙中全部原子总数更多的值。假设量子计算机能够克服其自身特性带来的某些固有限制，那么其最终完全有可能在相对较短的时间之内测试加密密钥的所有潜在排列。

黑客也可能采用某些针对特定任务进行优化的量子算法。其中一种算法由AT&T公司贝尔实验室的Lov Grover于1996年提出，其能够帮助量子计算机更快地搜索可能的排列。另一种由Peter Shor于1994年提出，当时身在贝尔实验室的他如今已经成为麻省理工学院教授。这种算法能够帮助量子计算机以极快的速度找到任意整数的质因数。

Shor的算法给公触目加密系统带来了巨大的风险——特别是RSA，因为其防御能力高度依赖于对两个大质数相乘的结果进行逆推所带来的天然难度。去年由美国国家科学院、工程与医学院发布的量子计算报告预测称，运行Shor算法的强大量子计算机将能够在不到一天的时间内破解1024位RSA加密密钥。

那么，量子计算机会很快摧毁整个加密防御体系吗?

这种可能性并不太大。美国国家科学院的研究结果表明，要构成真正的威胁，未来的量子计算机必须带来远超目前的更强处理能力。

尽管如此，也有一些安全研究人员倾向于认为“Y2Q”——也就是量子加密破解成为现实挑战的年份——没准很快就会到来。2015年，研究人员曾得出结论，认为量子计算机需要10亿个量子比特才能够非常高效地破解2048位RSA加密系统;但最近的工作表明，一台拥有2000万量子比特的计算机已经足以在短短8个小时之内完成这项任务。

好在这仍然远远超出了现有最强大量子计算机的能力上限;目前最先进的量子计算机仅有128个量子比特。然而，量子计算技术的进步难以预测;如果没有“量子安全”型加密防御措施，从无人驾驶汽车到军事硬件、乃至在线金融交易与通信等等，都有可能成为未来掌握量子计算机的黑客们的攻击目标。

任何希望将业务数据保存数十年的企业或者政府机构，现在都有必要考虑量子计算技术带来的实际风险，因为他们用于保护这些数据的加密手段很可能会在未来受到破坏。另外，我们可能需要投入很多年才能真正利用更强大的防御机制对大量历史数据进行重新编码。因此，现在就开始思考可能会更好。以此为基础，也就引出了我们的新议题——大力推动后量子加密技术的发展。

后量子加密是什么?

这是一种新的加密方法探索方向，其能够利用现有经典计算机实现，但却具有足以抵御未来量子攻击的能力。

其中一种防御方式在于进一步增加数字密钥的大小，以便持续提升黑客利用算力进行暴力破解时所需要搜索的总体排列数量。举例来说，如果将密钥的大小从128位加倍至256位，将能够快速增加使用Grover算法时量子计算机所需要搜索的全部可能排列数量。

另一种方法则涉及更为复杂的陷门函数，这意味着即使是像Shor这样的算法也很难帮助量子计算机成功破解密钥内容。研究人员正在探索各种各样的方法，包括基于格子的密码学以及超奇异同构密钥交换等相当新奇的实现途径。

无论具体方法如何，新方法的目标都在尝试将一种或者几种能够广泛采用的方法归为一类。美国国家标准与技术研究院于2016年启动了一项流程，旨在制定政府使用的后量子加密标准。其目前已经将最初的69个提案缩小至26个，并表示初步标准草案可能会在2022年前后正式公布。

由于加密技术需要被深深嵌入众多不同的系统当中，所以标准制定面临着巨大的压力，找到可行途径并实现新的技术也可能需要投入大量时间。去年，美国国家科学院研究报告指出，以往业界花了十多年时间才全面推出一种能够广泛部署的加密方法——但其中仍然存在缺陷。考虑到量子计算的发展速度，我们的世界也许已经没那么多时间用来应对这一波新的安全威胁。