可能大部分朋友在使用電子商務(wù)網(wǎng)站、發(fā)送及接收電子郵件或者查看自己的網(wǎng)上銀行或信用卡賬戶時，都沒有注意到網(wǎng)絡(luò)瀏覽器當中顯示出的小小掛鎖符號。但這個符號其實非同小可，它代表著我們所面對的在線服務(wù)正在使用HTTPS——這是一種網(wǎng)絡(luò)協(xié)議，能夠?qū)ξ覀兺ㄟ^互聯(lián)網(wǎng)發(fā)送的數(shù)據(jù)以及收到的響應(yīng)結(jié)果進行加密。目前，整個互聯(lián)網(wǎng)行業(yè)都在使用HTTPS以及其它一些形式的加密機制保護各類電子通信、密碼、數(shù)字簽名以及健康記錄等信息。

量子計算機則可能很快摧毀這些加密防御體系。雖然目前的量子計算機還遠稱不上強大，但其正在快速發(fā)展當中。有可能在未來十多年——甚至更短時間——之內(nèi)，量子計算機就會給目前廣泛使用的加密方法構(gòu)成巨大威脅。正因為如此，研究人員與安全企業(yè)才競相開發(fā)新的加密方法，用以抵御未來由黑客發(fā)動的量子攻勢。

數(shù)字加密的工作原理

目前存在兩種主要的加密類型。其中對稱加密要求發(fā)送方與接收方擁有相同的數(shù)字密鑰，用以實現(xiàn)數(shù)據(jù)的加密與解密;而非對稱或者說公鑰加密機制，則利用公鑰對所發(fā)送內(nèi)容進行加密，并由接收者作為唯一持有私鑰的一方解密消息并讀取其中的內(nèi)容。

有時候，這兩種方法也會結(jié)合二用。例如，在HTTPS協(xié)議場景當中，網(wǎng)絡(luò)瀏覽器會利用公鑰加密檢查網(wǎng)站的磁性，而后利用對稱密鑰進行加密通信。

其目標在于阻止黑客投入大規(guī)模算力以暴力破解網(wǎng)站所使用的密鑰。在這方面，目前流行的加密方法主要有RSA加密以及橢圓曲線加密兩種——后者通常使用所謂陷門函數(shù)。這是一種數(shù)學結(jié)構(gòu)，其從一側(cè)能夠以相對輕松的方式創(chuàng)建密鑰，但敵對方卻很難從另一側(cè)逆推密鑰內(nèi)容。

黑客們當然可以通過嘗試所有可能的密鑰變體進行密碼內(nèi)容破解，但防御一方則通過使用長度極為夸張的密鑰使得黑客幾乎無法試盡其中的全部可能性——以RSA 2048為例，其密鑰長度為617個二進制數(shù)字。在傳統(tǒng)計算機上，嘗試其中所有可能的排列并找出正確私鑰的過程可能需要數(shù)幾十萬甚至上百萬年。

為什么量子計算機會成為加密技術(shù)的巨大威脅?

簡單來說，這是因為量子計算機能夠幫助黑客更快闖過算法陷門這道難關(guān)。與各個比特只能處于1或0狀態(tài)的經(jīng)典計算機不同，量子計算機可以使用能夠同時代表1與0的多種可能狀態(tài)的量子比特——這就是所謂疊加現(xiàn)象。另外，通過所謂糾纏現(xiàn)象，各個量子比特之間也能夠在遠距離條件下相互影響。

在這些現(xiàn)象的作用之下，只需要添加少數(shù)額外的量子比特，我們就能夠讓計算機的處理能力呈指數(shù)級上升。擁有300個量子比特的量子計算機就可以表達比可觀察宇宙中全部原子總數(shù)更多的值。假設(shè)量子計算機能夠克服其自身特性帶來的某些固有限制，那么其最終完全有可能在相對較短的時間之內(nèi)測試加密密鑰的所有潛在排列。

黑客也可能采用某些針對特定任務(wù)進行優(yōu)化的量子算法。其中一種算法由AT&T公司貝爾實驗室的Lov Grover于1996年提出，其能夠幫助量子計算機更快地搜索可能的排列。另一種由Peter Shor于1994年提出，當時身在貝爾實驗室的他如今已經(jīng)成為麻省理工學院教授。這種算法能夠幫助量子計算機以極快的速度找到任意整數(shù)的質(zhì)因數(shù)。

Shor的算法給公觸目加密系統(tǒng)帶來了巨大的風險——特別是RSA，因為其防御能力高度依賴于對兩個大質(zhì)數(shù)相乘的結(jié)果進行逆推所帶來的天然難度。去年由美國國家科學院、工程與醫(yī)學院發(fā)布的量子計算報告預(yù)測稱，運行Shor算法的強大量子計算機將能夠在不到一天的時間內(nèi)破解1024位RSA加密密鑰。

那么，量子計算機會很快摧毀整個加密防御體系嗎?

這種可能性并不太大。美國國家科學院的研究結(jié)果表明，要構(gòu)成真正的威脅，未來的量子計算機必須帶來遠超目前的更強處理能力。

盡管如此，也有一些安全研究人員傾向于認為“Y2Q”——也就是量子加密破解成為現(xiàn)實挑戰(zhàn)的年份——沒準很快就會到來。2015年，研究人員曾得出結(jié)論，認為量子計算機需要10億個量子比特才能夠非常高效地破解2048位RSA加密系統(tǒng);但最近的工作表明，一臺擁有2000萬量子比特的計算機已經(jīng)足以在短短8個小時之內(nèi)完成這項任務(wù)。

好在這仍然遠遠超出了現(xiàn)有最強大量子計算機的能力上限;目前最先進的量子計算機僅有128個量子比特。然而，量子計算技術(shù)的進步難以預(yù)測;如果沒有“量子安全”型加密防御措施，從無人駕駛汽車到軍事硬件、乃至在線金融交易與通信等等，都有可能成為未來掌握量子計算機的黑客們的攻擊目標。

任何希望將業(yè)務(wù)數(shù)據(jù)保存數(shù)十年的企業(yè)或者政府機構(gòu)，現(xiàn)在都有必要考慮量子計算技術(shù)帶來的實際風險，因為他們用于保護這些數(shù)據(jù)的加密手段很可能會在未來受到破壞。另外，我們可能需要投入很多年才能真正利用更強大的防御機制對大量歷史數(shù)據(jù)進行重新編碼。因此，現(xiàn)在就開始思考可能會更好。以此為基礎(chǔ)，也就引出了我們的新議題——大力推動后量子加密技術(shù)的發(fā)展。

后量子加密是什么?

這是一種新的加密方法探索方向，其能夠利用現(xiàn)有經(jīng)典計算機實現(xiàn)，但卻具有足以抵御未來量子攻擊的能力。

其中一種防御方式在于進一步增加數(shù)字密鑰的大小，以便持續(xù)提升黑客利用算力進行暴力破解時所需要搜索的總體排列數(shù)量。舉例來說，如果將密鑰的大小從128位加倍至256位，將能夠快速增加使用Grover算法時量子計算機所需要搜索的全部可能排列數(shù)量。

另一種方法則涉及更為復(fù)雜的陷門函數(shù)，這意味著即使是像Shor這樣的算法也很難幫助量子計算機成功破解密鑰內(nèi)容。研究人員正在探索各種各樣的方法，包括基于格子的密碼學以及超奇異同構(gòu)密鑰交換等相當新奇的實現(xiàn)途徑。

無論具體方法如何，新方法的目標都在嘗試將一種或者幾種能夠廣泛采用的方法歸為一類。美國國家標準與技術(shù)研究院于2016年啟動了一項流程，旨在制定政府使用的后量子加密標準。其目前已經(jīng)將最初的69個提案縮小至26個，并表示初步標準草案可能會在2022年前后正式公布。

由于加密技術(shù)需要被深深嵌入眾多不同的系統(tǒng)當中，所以標準制定面臨著巨大的壓力，找到可行途徑并實現(xiàn)新的技術(shù)也可能需要投入大量時間。去年，美國國家科學院研究報告指出，以往業(yè)界花了十多年時間才全面推出一種能夠廣泛部署的加密方法——但其中仍然存在缺陷?？紤]到量子計算的發(fā)展速度，我們的世界也許已經(jīng)沒那么多時間用來應(yīng)對這一波新的安全威脅。