何为后量子密码学？

1. 引言

后量子密码学（Post-Quantum Cryptography），也称为量子加密或 PQC，是指为经典计算机开发的一类密码系统，旨在防御来自量子计算机的攻击。

在 20 世纪 80 年代，科学家们提出，如果计算机能够利用量子力学的独特性质，它们就可以比传统的二进制计算机更快地执行复杂计算。人们很快意识到，借助诸如叠加态和量子纠缠等特性，量子计算机可以在数小时内完成某些复杂计算------而这些计算对于经典计算机来说可能需要数年时间。

到了 20 世纪 90 年代，在数学家 Peter Shor 成功证明理论上的量子计算机可以轻松破解公钥加密算法之后，全球密码学家开始探索后量子密码系统的形态。截至目前，后量子加密标准仍在逐步发展中。

2. 前量子、量子与后量子密码学的区别

量子计算机利用量子力学定律，通过量子比特（即qubits）来处理信息。由于每个量子比特可以同时表示 0 和 1 的组合，量子计算机在处理变量时可以实现指数级的提升，速度远超经典计算机。

前量子密码学通过一种称为算法的密码体制，将人类可读的数据转换为密文。其核心挑战在于：既要让加密过程易于实现，又要让解密（逆向）过程极其困难。

量子密码学则依赖于原子层面的物理特性，使用几何或物理机制将明文转换为几乎无法破解的密文。

而后量子密码学面临的一个重要挑战在于：量子物理仍然是一个新兴研究领域，量子计算机的原型设备构建和运行成本都非常高。

3. 抗量子算法的探索之路

2016 年，来自 MIT 和 University of Innsbruck 的研究人员构建了一台小型量子计算机，并成功实现了 Shor 算法，对数字 15 进行了因数分解。当研究人员证明该量子算法能够以超过 99% 的置信度得到正确结果时，人们清楚地认识到：量子计算机有能力破解当前广泛使用的加密方法。

同年，NIST（美国国家标准与技术研究院）开始征集可替代公钥加密、密钥封装机制以及数字签名的算法方案。数学家和程序员开始尝试多种策略，以取代 RSA algorithm（RSA）、椭圆曲线数字签名算法（ECDSA）、椭圆曲线 Diffie-Hellman 密钥交换（ECDH）以及数字签名算法（DSA）等密码体系中所依赖的整数分解和离散对数问题。

如，Google 在后量子密码学方面的实验，是将经典的椭圆曲线算法与后量子算法结合使用。其思路是：即使后量子算法未来被攻破，叠加的椭圆曲线算法仍然可以提供一定程度的安全保障。

其他常见的抗量子策略包括基于格、基于编码以及多变量方程的方法。截至目前，基于格的方案被认为是最有前景的，因为在高维空间中计算最短向量极其困难，尤其是在量子环境下该向量可能存在于多个维度。

目前用于加密的算法（包括公钥密码体系）仍被认为足以支撑电子商务安全。尽管量子计算已经成为现实，但其成本仍然很高，主要应用场景集中在科研和政府领域。然而，一场竞赛已经展开：一方致力于构建可行的后量子加密方案，另一方则试图利用量子算法破解 RSA 等现有密码体系。

许多专家认为，量子霸权将在未来 9 到 10 年内实现，届时 RSA 及类似的非对称加密算法将不再能够保护敏感数据。因此，NIST 正在加速推动后量子加密标准的制定。

专家建议，在 NIST 评估各类后量子密码标准期间，组织应利用接下来几年的时间：

• 建立使用加密技术的应用清单
• 跟踪所使用的公有和第三方加密库

一旦 PQC 实施策略成熟并形成标准，组织便可以基于该清单制定计划，对相关应用进行替换或升级。

4. 后量子密码学 vs. 量子密钥分发

后量子密码学不应与量子密钥分发（QKD）混淆。QKD 能够让两个远程通信方共享一个秘密加密密钥，并且一旦密钥在传输过程中被截获，就可以被轻易检测出来。

5. 后量子密码学的未来

后量子密码学的未来，将由"用抗量子算法替代传统加密算法"的需求所主导，这些新算法需要能够抵御量子计算带来的威胁。随着量子算法的发展，像传输层安全协议（TLS，Transport Layer Security）和 RSA 这样的广泛使用协议将变得易受攻击，因此必须过渡到能够保护"传输中"和"静态存储中"数据的 PQC 算法。

关键研究方向包括：

• 新型数字签名方案
• 新的密钥加密方法
• 基于当前被认为对量子攻击具有抗性的数学问题的密码体系

像 NIST 和 ISO 等标准组织，正在评估这些候选密码系统，以确保其能够有效落地并实现全球推广。

与此同时，尽管量子密码学的实际部署仍然有限，但该领域预计将获得更多投资。

未来几年，各国政府和技术厂商预计将：

• 推出经过认证的后量子密码应用
• 更新现有主流安全协议，以适应这一技术转型

随着量子计算逐步走向实用化，防范未来被解密的风险，将成为保障长期信任和系统韧性的关键。

6. 组织如何为后量子密码学做好准备

组织应从现在开始为后量子密码学做准备，包括：

1. 评估现有系统中公钥密码的使用情况
   • 识别需要迁移的依赖项
2. 制定全面的迁移计划，包括：
   • 加密资产清单
   • 替换高风险证书、签名算法和加密算法的路线图
3. 为降低风险，企业应：
   • 投入资源研究新兴的 PQC 标准
   • 在 IT 项目中引入量子安全设计原则
4. 建立内部规范，为未来实施做好准备
   • 在后量子迁移需求变得紧迫时，能够快速响应
5. 与供应商和合作伙伴保持沟通
   • 评估其服务是否符合不断演进的后量子密码建议

此外，由于当前加密的数据可能被收集并在未来解密（"先收集，后解密"攻击），组织必须在量子攻击真正到来之前采取行动，确保其基础设施具备前瞻性，能够在量子时代继续提供安全通信。

总之，后量子密码学是量子计算时代网络安全的未来。

参考资料

1\] Nick Barney等人 2025年7月2日博客 [What is post-quantum cryptography? Comprehensive guide](https://www.techtarget.com/searchsecurity/definition/post-quantum-cryptography)