量子计算机一直是个让人又爱又怕的存在。爱它是因为它代表计算的下一个纪元,怕它是因为一旦它成熟,我们今天习以为常的网络安全可能会轰然倒塌。这不是危言耸听——量子算法已经存在,只是运行它的硬件还不够强大。
量子计算凭什么威胁现有加密
传统计算机用比特(bit)存储信息,每个比特只能是0或1。量子计算机用量子比特(qubit),它可以同时处于0和1的叠加态。更神奇的是量子纠缠——两个量子比特可以处于关联状态,测量一个会瞬间影响另一个。
这些特性让量子计算机在某些特定问题上具有指数级加速能力。1994年,Peter Shor提出了Shor算法——它能在多项式时间内分解大整数和求解离散对数。这意味着RSA、椭圆曲线加密(ECC)等所有基于这两个数学难题的加密算法,在量子计算机面前都不再安全。
时间线:量子威胁有多近
2019年Google宣称实现了"量子霸权"——量子计算机在特定任务上超越了经典计算机。但那只是一个非常特殊的任务,离破解加密还差得远。
专家估计,真正能破解RSA-2048的量子计算机可能需要几十年才能出现。2020年有研究认为需要约4000个逻辑量子比特,而当时最先进的系统只有65个。2023年中国团队的"九章三号"在特定问题上有突破,但仍然远未达到密码破解的级别。
尽管如此,安全社区的建议是"现在开始准备"——因为数据和通信的保密期可能长达数十年,今天加密的绝密数据,攻击者可能已经存储下来,等量子计算机成熟后再解密。
后量子密码学:未雨绸缪
好消息是,密码学家已经在开发能够抵抗量子攻击的算法——后量子密码学(Post-Quantum Cryptography,PQC)。
NIST从2016年开始标准化进程,经过多轮评估,2024年正式发布了首批标准:ML-KEM(原CRYSTALS-Kyber,用于密钥封装)和ML-DSA(原CRYSTALS-Dilithium,用于数字签名)。这两个算法的安全性基于格(lattice)问题,被认为对量子和经典计算机都是困难的。
其他后量子算法还包括基于哈希的签名(SPHINCS+)、基于码的加密(McEliece)等。
量子密钥分发:物理层面的安全
还有一种思路叫量子密钥分发(QKD)。它的原理是:利用量子力学的测不准原理,任何试图窃听量子通信的行为都会改变量子态,从而被发现。
中国在QKD领域走在前列,"墨子号"量子卫星已经实现了洲际量子密钥分发。但QKD需要专用硬件,成本高昂,目前主要应用于金融和政务领域。
总结
量子计算对现有加密的威胁是真实的,但也是未来的。现在开始向NIST后量子标准迁移是个明智的选择。同时,对于需要长期保密的敏感数据,应该优先考虑使用后量子加密方案。