量子計算雖然能指數(shù)級地加快大數(shù)分解等問題的求解速度,，但是現(xiàn)在還沒有證據(jù)表明量子計算能破解所有的數(shù)學(xué)困難問題,。研究者們基于這些問題設(shè)計密碼算法,，并認(rèn)為這些密碼算法是具備抗量子攻擊能力的,，于是就形成了后量子密碼,。

■ 視覺中國供圖

近日,，在第三屆雁棲湖國際后量子密碼標(biāo)準(zhǔn)化與應(yīng)用研討會暨后量子技術(shù)成果發(fā)布會上,，清華大學(xué)丘成桐數(shù)學(xué)中心,、北京雁棲湖應(yīng)用數(shù)學(xué)研究院教授丁津泰指出，隨著量子計算的發(fā)展,，作為當(dāng)今網(wǎng)絡(luò)形態(tài)安全信任根基的現(xiàn)代公鑰密碼學(xué)未來可能會被徹底顛覆,。為此，與會專家呼吁,，加強(qiáng)對能夠抵御量子密碼算法的“后量子密碼”的研究部署,，建立后量子密碼標(biāo)準(zhǔn)，以保證未來網(wǎng)絡(luò)空間安全,。

量子計算的發(fā)展為什么可能會徹底顛覆現(xiàn)代公鑰密碼學(xué),？后量子密碼與現(xiàn)代公鑰密碼有何不同？中國又為什么要建立自己的后量子密碼標(biāo)準(zhǔn),？帶著這些問題記者采訪了相關(guān)專家,。

量子計算超強(qiáng)算力威脅現(xiàn)代公鑰密碼安全

“現(xiàn)代公鑰密碼學(xué)的安全性取決于公鑰算法所依賴的數(shù)學(xué)困難問題的計算復(fù)雜性?！笨拼髧芰孔蛹夹g(shù)股份有限公司（以下簡稱國盾量子）產(chǎn)品研發(fā)中心資深技術(shù)專家趙于康博士告訴科技日報記者,，現(xiàn)代公鑰密碼學(xué)誕生于20世紀(jì)70年代，其基本思想是：基于數(shù)學(xué)上難解的計算問題生成一對密鑰,，一個為加密密鑰,，一個為解密密鑰。由于在有限計算資源和計算時間內(nèi),，由加密密鑰推算出解密密鑰的計算量很大,，在實踐上十分困難，因此保證了密碼的安全性,。

趙于康表示,，通常來說，最具代表性的應(yīng)用于公鑰密碼設(shè)計的數(shù)學(xué)困難問題,，包括質(zhì)因數(shù)分解,、離散對數(shù),、橢圓曲線等。最具代表性的公鑰密碼包括RSA,、ElGamal,、ECC等。

公鑰密碼主要用于加解密,、密鑰分發(fā),、數(shù)字簽名和認(rèn)證等，它們對于保障數(shù)字安全十分重要,?！袄鐢?shù)字簽名和認(rèn)證可為辦公終端、物聯(lián)網(wǎng)終端等建立身份,、行為的信任保證,；加解密可為數(shù)據(jù)傳輸提供有限的加密或?qū)ΨQ密鑰分發(fā)保障?！壁w于康說,。

量子計算機(jī)的快速發(fā)展有可能對現(xiàn)代公鑰密碼學(xué)形成挑戰(zhàn)?！坝捎诹孔佑嬎銠C(jī)能指數(shù)或多項式量級地加快某些復(fù)雜計算問題的求解速度,，因此現(xiàn)代公鑰密碼學(xué)很有可能被量子計算技術(shù)徹底顛覆?！壁w于康告訴記者,，以Shor量子算法為例，其可以在多項式時間內(nèi)解決大整數(shù)分解和離散對數(shù)求解等復(fù)雜數(shù)學(xué)問題,，因此可以快速破解廣泛使用的RSA,、ECC、ElGamal等公鑰密碼,。

“例如,，分解一個400位的大整數(shù)，經(jīng)典計算機(jī)需要約5×10^22次操作,，而量子計算機(jī)僅需要約6×10^7次操作,，后者所需操作數(shù)僅為前者的八十萬億分之一?！壁w于康說,。

趙于康表示，近年來量子計算機(jī)硬件快速發(fā)展,，各式量子計算機(jī)相繼實現(xiàn)了“量子計算優(yōu)越性”。若再結(jié)合特定的量子算法,，它們就可能對現(xiàn)代公鑰密碼構(gòu)成更直接,、更緊迫的威脅,。

基于新的復(fù)雜問題構(gòu)建量子計算機(jī)無法破解的密碼

“量子計算雖然能指數(shù)級地加快大數(shù)分解等問題的求解速度，但是現(xiàn)在還沒有證據(jù)表明量子計算能破解所有的問題,，比如格問題,、非線性方程組求解問題、糾錯碼的一般譯碼問題等,?！壁w于康說，研究者們基于這些困難問題設(shè)計密碼算法,，并認(rèn)為這些密碼算法是具備抗量子攻擊能力的,，于是就形成了后量子密碼（PQC）。

“后量子密碼指的是可以抵御已知量子計算攻擊的現(xiàn)代公鑰密碼,，這類密碼算法的安全性同樣依賴于計算復(fù)雜度,，不同的是它基于的是新的復(fù)雜問題?！壁w于康表示,，這些問題的破解目前對于量子計算來說比較困難，且科學(xué)家們認(rèn)為在很長一段時間內(nèi)量子計算破解這些問題都會比較困難,。中國科學(xué)院量子信息重點實驗室郭國平教授則認(rèn)為,，雖然現(xiàn)在量子計算破解一些后量子密碼比較困難，但隨著量子計算機(jī)的快速發(fā)展,，兩者之間將會形成“道高一尺魔高一丈”的局面,。

后量子密碼的應(yīng)用范圍與現(xiàn)代公鑰密碼類似，可用于政務(wù),、金融,、通信、數(shù)據(jù),、能源等領(lǐng)域,。“但需要注意的是,，后量子密碼的安全性分析仍然是個復(fù)雜問題,。”趙于康解釋說,，一方面,，后量子密碼算法設(shè)計往往需要對它依據(jù)的原始計算困難問題進(jìn)行改動。而這種改動,，可能會使得算法的安全性并不等價于數(shù)學(xué)上的困難問題,，其安全性分析也會隨之變得更加復(fù)雜。另一方面,，現(xiàn)有的后量子密碼是針對已知的一部分類型的量子攻擊而設(shè)計的,，對于新的量子攻擊,，或者經(jīng)典攻擊可能并不免疫。例如,，2022年7月,，美國國家標(biāo)準(zhǔn)和技術(shù)研究所（NIST）宣布了首批四種后量子加密算法，包括CRYSTALS-Kyber,、CRYSTALS-Dilithium,、FALCON和SPHINCS+。同年12月,，瑞典皇家理工學(xué)院研究人員發(fā)文稱,，在CRYSTALS-Kyber特定實現(xiàn)中發(fā)現(xiàn)一個安全漏洞，攻擊者利用該漏洞可以發(fā)起側(cè)信道攻擊,。

“其實,，中國在另一實現(xiàn)‘量子安全’的重要技術(shù)路徑——量子密碼方面更具優(yōu)勢。在最有可能實現(xiàn)量子密碼實用化的量子密鑰分發(fā)（QKD）領(lǐng)域,，我國不論是技術(shù)還是應(yīng)用都在領(lǐng)跑,，并取得了一系列世界矚目的成果?！壁w于康表示,。

建立標(biāo)準(zhǔn)是后量子密碼落地應(yīng)用的前提

趙于康認(rèn)為，任何一個密碼算法的設(shè)計都是為了最終落地應(yīng)用,，而標(biāo)準(zhǔn)是一項技術(shù)走向產(chǎn)業(yè)化,、規(guī)模化,，并實現(xiàn)商業(yè)落地的重要前提,。

在趙于康看來，目前美國,、日本,、韓國、歐洲等國家和地區(qū)均在進(jìn)行后量子密碼的標(biāo)準(zhǔn)化工作,，中國在這方面則起步較晚,。標(biāo)準(zhǔn)的形成本身也是一種技術(shù)創(chuàng)新的過程，完善的標(biāo)準(zhǔn)可以加快科技創(chuàng)新成果產(chǎn)業(yè)化推廣應(yīng)用,，加速科技成果向現(xiàn)實生產(chǎn)力的轉(zhuǎn)化,。

趙于康告訴記者，由于后量子密碼在密鑰長度,、算法構(gòu)造等方面與現(xiàn)有密碼存在的差異較多,，與應(yīng)用系統(tǒng)的接口相較于量子密鑰分發(fā)也更多，因此從現(xiàn)有公鑰密碼算法遷移到后量子密碼算法的過程是一項巨大的工作?！皳?jù)專家估計,，這個遷移過程大概需要10~15年。只有后量子密碼算法早日實現(xiàn)標(biāo)準(zhǔn)化,，才能為盡早落地應(yīng)用、對抗量子計算攻擊做好準(zhǔn)備,?！壁w于康說。

我國在以量子密鑰分發(fā)為代表的量子密碼領(lǐng)域已實現(xiàn)“換道超車”,，而后量子密碼與量子密鑰分發(fā)的融合應(yīng)用方案也是國際研究的方向之一,。“例如,，后量子密碼可用于初始身份認(rèn)證,，這種認(rèn)證只需要很短的時間，一旦完成,，后續(xù)生成的量子密鑰就是長期安全的,。”趙于康補(bǔ)充道,，此前,，中國科學(xué)技術(shù)大學(xué)、云南大學(xué),、上海交通大學(xué)與國盾量子等單位聯(lián)合,，在國際上率先探索了在量子密鑰分發(fā)網(wǎng)絡(luò)中使用后量子密碼進(jìn)行認(rèn)證的方案，該方案提供了一種高效解決預(yù)置密鑰關(guān)鍵問題的有效途徑,。

“我國的后量子密碼標(biāo)準(zhǔn)化推進(jìn)工作雖起步較晚,，但可以參考?xì)W美等國已有的成熟經(jīng)驗。與此同時,，應(yīng)該加強(qiáng)產(chǎn)學(xué)研用協(xié)同,，在相關(guān)部門牽頭和指導(dǎo)下，融合學(xué)術(shù)界,、產(chǎn)業(yè)界等多方力量,，盡早布局中國自己的后量子密碼標(biāo)準(zhǔn)?！壁w于康表示,。