后量子密码：能够抵御量子计算破译吗

本文转自：科技日报

未来量子计算或可快速破解现代公钥密码

后量子密码：能够抵御量子计算破译吗

视觉中国供图

量子计算虽然能指数级地加快大数分解等问题的求解速度，但是现在还没有证据表明量子计算能破解所有的数学困难问题。研究者们基于这些问题设计密码算法，并认为这些密码算法是具备抗量子攻击能力的，于是就形成了后量子密码。

◎本报记者 吴长锋

近日，在第三届雁栖湖国际后量子密码标准化与应用研讨会暨后量子技术成果发布会上，清华大学丘成桐数学中心、北京雁栖湖应用数学研究院教授丁津泰指出，随着量子计算的发展，作为当今网络形态安全信任根基的现代公钥密码学未来可能会被彻底颠覆。为此，与会专家呼吁，加强对能够抵御量子密码算法的“后量子密码”的研究部署，建立后量子密码标准，以保证未来网络空间安全。

量子计算的发展为什么可能会彻底颠覆现代公钥密码学？后量子密码与现代公钥密码有何不同？中国又为什么要建立自己的后量子密码标准？带着这些问题记者采访了相关专家。

量子计算超强算力威胁现代公钥密码安全

“现代公钥密码学的安全性取决于公钥算法所依赖的数学困难问题的计算复杂性。”科大国盾量子技术股份有限公司（以下简称国盾量子）产品研发中心资深技术专家赵于康博士告诉科技日报记者，现代公钥密码学诞生于20世纪70年代，其基本思想是：基于数学上难解的计算问题生成一对密钥，一个为加密密钥，一个为解密密钥。由于在有限计算资源和计算时间内，由加密密钥推算出解密密钥的计算量很大，在实践上十分困难，因此保证了密码的安全性。

赵于康表示，通常来说，最具代表性的应用于公钥密码设计的数学困难问题，包括质因数分解、离散对数、椭圆曲线等。最具代表性的公钥密码包括RSA、ElGamal、ECC等。

公钥密码主要用于加解密、密钥分发、数字签名和认证等，它们对于保障数字安全十分重要。“例如数字签名和认证可为办公终端、物联网终端等建立身份、行为的信任保证；加解密可为数据传输提供有限的加密或对称密钥分发保障。”赵于康说。

量子计算机的快速发展有可能对现代公钥密码学形成挑战。“由于量子计算机能指数或多项式量级地加快某些复杂计算问题的求解速度，因此现代公钥密码学很有可能被量子计算技术彻底颠覆。”赵于康告诉记者，以Shor量子算法为例，其可以在多项式时间内解决大整数分解和离散对数求解等复杂数学问题，因此可以快速破解广泛使用的RSA、ECC、ElGamal等公钥密码。

“例如，分解一个400位的大整数，经典计算机需要约5×10^22次操作，而量子计算机仅需要约6×10^7次操作，后者所需操作数仅为前者的八十万亿分之一。”赵于康说。

赵于康表示，近年来量子计算机硬件快速发展，各式量子计算机相继实现了“量子计算优越性”。若再结合特定的量子算法，它们就可能对现代公钥密码构成更直接、更紧迫的威胁。

基于新的复杂问题构建量子计算机无法破解的密码

“量子计算虽然能指数级地加快大数分解等问题的求解速度，但是现在还没有证据表明量子计算能破解所有的问题，比如格问题、非线性方程组求解问题、纠错码的一般译码问题等。”赵于康说，研究者们基于这些困难问题设计密码算法，并认为这些密码算法是具备抗量子攻击能力的，于是就形成了后量子密码（PQC）。

“后量子密码指的是可以抵御已知量子计算攻击的现代公钥密码，这类密码算法的安全性同样依赖于计算复杂度，不同的是它基于的是新的复杂问题。”赵于康表示，这些问题的破解目前对于量子计算来说比较困难，且科学家们认为在很长一段时间内量子计算破解这些问题都会比较困难。中国科学院量子信息重点实验室郭国平教授则认为，虽然现在量子计算破解一些后量子密码比较困难，但随着量子计算机的快速发展，两者之间将会形成“道高一尺魔高一丈”的局面。

后量子密码的应用范围与现代公钥密码类似，可用于政务、金融、通信、数据、能源等领域。“但需要注意的是，后量子密码的安全性分析仍然是个复杂问题。”赵于康解释说，一方面，后量子密码算法设计往往需要对它依据的原始计算困难问题进行改动。而这种改动，可能会使得算法的安全性并不等价于数学上的困难问题，其安全性分析也会随之变得更加复杂。另一方面，现有的后量子密码是针对已知的一部分类型的量子攻击而设计的，对于新的量子攻击，或者经典攻击可能并不免疫。例如，2022年7月，美国国家标准和技术研究所（NIST）宣布了首批四种后量子加密算法，包括CRYSTALS-Kyber、CRYSTALS-Dilithium、FALCON和SPHINCS+。同年12月，瑞典皇家理工学院研究人员发文称，在CRYSTALS-Kyber特定实现中发现一个安全漏洞，攻击者利用该漏洞可以发起侧信道攻击。

“其实，中国在另一实现‘量子安全’的重要技术路径——量子密码方面更具优势。在最有可能实现量子密码实用化的量子密钥分发（QKD）领域，我国不论是技术还是应用都在领跑，并取得了一系列世界瞩目的成果。”赵于康表示。

建立标准是后量子密码落地应用的前提

赵于康认为，任何一个密码算法的设计都是为了最终落地应用，而标准是一项技术走向产业化、规模化，并实现商业落地的重要前提。

在赵于康看来，目前美国、日本、韩国、欧洲等国家和地区均在进行后量子密码的标准化工作，中国在这方面则起步较晚。标准的形成本身也是一种技术创新的过程，完善的标准可以加快科技创新成果产业化推广应用，加速科技成果向现实生产力的转化。

赵于康告诉记者，由于后量子密码在密钥长度、算法构造等方面与现有密码存在的差异较多，与应用系统的接口相较于量子密钥分发也更多，因此从现有公钥密码算法迁移到后量子密码算法的过程是一项巨大的工作。“据专家估计，这个迁移过程大概需要10—15年。只有后量子密码算法早日实现标准化，才能为尽早落地应用、对抗量子计算攻击做好准备。”赵于康说。

我国在以量子密钥分发为代表的量子密码领域已实现“换道超车”，而后量子密码与量子密钥分发的融合应用方案也是国际研究的方向之一。“例如，后量子密码可用于初始身份认证，这种认证只需要很短的时间，一旦完成，后续生成的量子密钥就是长期安全的。”赵于康补充道，此前，中国科学技术大学、云南大学、上海交通大学与国盾量子等单位联合，在国际上率先探索了在量子密钥分发网络中使用后量子密码进行认证的方案，该方案提供了一种高效解决预置密钥关键问题的有效途径。

“我国的后量子密码标准化推进工作虽起步较晚，但可以参考欧美等国已有的成熟经验。与此同时，应该加强产学研用协同，在相关部门牵头和指导下，融合学术界、产业界等多方力量， 尽早布局中国自己的后量子密码标准。”赵于康表示。