1. 引言
当量子计算机更加普及时,大量加密方式将变得脆弱。了解原因,以及应对方案,以及如何在后量子密码学时代中应对。
量子计算不仅会挑战现代密码学------它甚至可能彻底改变组织处理数据加密的方式。
围绕 量子计算 的讨论,大多集中在其在药物发现、供应链优化和化学研究等领域带来的机遇。但人们同样担心量子计算对密码学的影响,以及现有加密方法是否仍然足以保护数据。虽然这种威胁可能还需要数年时间才会真正到来,但数据中心管理者和安全团队应当提前了解,并协同做好准备。
从理论上讲,量子计算机可能破解当今使用的许多加密方法。随着量子计算研究与开发的不断推进,这一问题正日益受到关注。量子攻击可能对 非对称和对称加密算法 构成风险,因为量子计算机具备执行相关解密计算的能力。研究人员正在探索新的加密方法,以保护数据中心基础设施免受量子攻击。
2. 量子计算可能削弱加密的有效性
当今大多数密码学系统建立在用于加密数据的数学算法之上。借助量子计算机,那些原本需要数年才能完成的破解攻击,在理论上可能只需几天时间。无论是对称加密还是非对称加密,都面临潜在风险。许多组织在各种数据中心资产中广泛使用这些加密方式,包括存储设备、网络设备,以及安全邮件和网页浏览等场景。
2.1 Shor 算法对非对称密码学构成威胁
Rivest-Shamir-Adleman(RSA)加密以及大多数公钥密码体系(也称为 非对称密码学 )都依赖数学算法来实现数据加密。RSA 使用两个大质数进行整数分解,从而生成公钥和私钥。即使采用 brute-force attack(暴力破解),传统计算机通常也需要数年时间才能攻破像 RSA 这样的加密方法。
RSA 以及其他非对称算法的安全性,依赖于对大整数进行因式分解的困难性。许多公钥密码体系使用质因数分解来生成密钥,但 Shor 算法 从理论上可以借助量子计算机破解非对称密码学,因为它正是为高效分解大整数而设计的。根据欧洲数据保护监督员技术与隐私部门的说法,量子计算机甚至 可以在不知道私钥的情况下完成解密。
Shor 算法还可能威胁其他加密方案,包括 Diffie-Hellman 和椭圆曲线密码学(ECC),在量子计算机的加持下同样存在被破解的风险。
2.2 Grover 算法瞄准对称密码学
一些组织 也使用对称密码学,或称为"私钥加密",来加密存储数据。对称加密算法的例子包括:
- 高级加密标准(AES,Advanced Encryption Standard)
- RC4(Rivest Cipher 4)
- 以及三重数据加密算法(Triple DES)
对称加密会将明文转换为密文,并使用同一个密钥进行加密和解密。如,AES-256 需要一个 256 位的密钥来完成数据的加解密。根据 IT 管理软件与服务提供商 N-Able 的说法,暴力破解攻击者需要从大约 1.1579209 × 10 77 1.1579209 × 10^{77} 1.1579209×1077(即 2 256 2^{256} 2256)种可能的密钥中 猜测该密钥。这使得 AES-256 及类似的对称加密算法在经典计算环境下非常安全。
然而,如果攻击者具备运行 Grover 算法的量子计算能力,就可以用它来更快地找到加密密钥。Grover 算法使得在量子计算机上搜索大型数据库的速度远快于传统计算机。根据 IBM 的说法,如果一个算法面对的是包含 N N N 个元素的数据集,Grover 算法可以在 N \sqrt{N} N 步内找到目标项,从而显著降低搜索时间。
此外,攻击者还可以利用 Grover 算法在量子计算机上破解哈希函数,如安全哈希算法 2(SHA-2)和安全哈希算法 3(SHA-3)。
3. 后量子密码学与抗量子加密的候选方案
为应对量子计算对数据中心基础设施和数据带来的潜在攻击风险,研究人员正在探索多种解决方案。其中许多方案基于一些被 部分研究人员和专家认为具备 quantum-resistant(抗量子能力)的密码学体系。
- 1)基于格的密码学(Lattice-based cryptography)
- 2)量子密钥分发(Quantum key distribution)
- 3)基于编码的密码学(Code-based cryptography)
- 4)基于多变量的密码学(Multivariate-based cryptography)
- 5)基于同源映射的密码学(Isogeny-based cryptography)
此外,组织还在研究其他抗量子加密方向,包括零知识证明(zero-knowledge proofs)以及基于哈希的密码系统。
3.1 基于格的密码学(Lattice-based cryptography)
格密码学基于"格"和"向量"的数学概念。当前大多数密码体系依赖代数问题,而格密码学则建立在几何结构之上。
格密码学中的计算难题通常围绕"最短向量问题"(Shortest Vector Problem, SVP):攻击者需要在格中找到距离原点最近的点。然而,当问题扩展到高维空间(而非二维平面)时,这一问题会变得极其困难。
正因如此,一些研究人员认为,早期的量子计算机可能无法有效破解基于格的加密方案,使其成为目前最有前景的抗量子加密候选之一。
3.2 量子密钥分发(Quantum key distribution)
Quantum key distribution(量子密钥分发,QKD)利用量子力学来分发密钥。其核心原理是:对量子系统的测量会扰动该系统。因此,如果有恶意攻击者试图窃听密钥,通信双方就能够察觉到这种行为。
在该过程中,光子通过光纤在通信双方之间传输,每个光子都具有随机的量子态。当光子到达接收端后,会经过分束器(beam splitter),并随机进入不同路径中的一个,最终被光子探测器接收。由于接收方并不知道正确的偏振方向,因此需要对光子的偏振进行测量,并通过另一条信道将测量结果反馈给发送方。那些使用"错误分束路径"测得的光子会被丢弃,剩余的序列则用于生成该密钥。
3.3 基于编码的密码学(Code-based cryptography)
编码密码学基于纠错码(error-correcting codes)以及对含随机错误信息进行解码的困难性。在这种模型下,攻击者必须恢复编码结构才能解密数据。其中最著名的方案之一是经典的 McEliece 算法。
NIST 曾邀请密码学家研究和开发 抗量子加密 算法,并将 McEliece 纳入评估范围。然而,由于其公钥尺寸较大,NIST 尚未将其标准化,但仍在持续研究中。
3.4 基于多变量的密码学(Multivariate-based cryptography)
多变量密码学基于求解方程组的困难性。它使用一组随机生成的多项式方程,接收方需要使用私钥对密文进行逆运算才能解密。即使攻击者获得了密文数据,也必须解出对应的方程组才能读取内容,而这在计算上是一个非常困难的问题。
3.5 基于同源映射的密码学(Isogeny-based cryptography)
基于同源映射的密码学与椭圆曲线密码学(ECC)类似,同样使用椭圆曲线进行加密。但不同之处在于,它不依赖 ECC 中的离散对数难题,而是依赖"同源映射"(isogenies),即不同椭圆曲线之间的映射关系。
与基于格的密码学类似,这类计算问题同样被认为足够困难,从而具备潜在的抗量子能力。
4. 人们如何为后量子密码学做准备
2016 年,NIST 邀请密码学家开始研究和开发抗量子加密方法,并提交候选方案进行评审。到 2022 年,NIST 已经 选定了四种潜在的抗量子密码算法,准备纳入其后量子密码学标准,同时还有更多候选方案正在评估中。
其中三种算法基于结构化格(structured lattices),另一种基于哈希函数,根据 NIST 的说明。在下一轮评估中,NIST 还将审查另外四种算法,其中三种是基于编码的算法,剩下一种是基于同源映射的算法。这些算法中,有些将用于通用加密,有些则用于数字签名。
尽管普遍共识认为量子计算带来的严重安全威胁还需要数年时间才会到来,但数据中心管理员和安全团队 不应等待才开始准备。量子计算的安全威胁往往在爆发前毫无征兆------一旦出现就可能来得非常突然。许多首席信息安全官(CISO)担心的一个重要风险是:攻击者可能在受害者尚未察觉被入侵之前,就已经利用量子计算机窃取了数据。
专家建议,应尽早与安全团队和相关利益方协作,着手 为后量子时代做好系统准备,并在必要时规划硬件和软件升级。同时,应持续关注 NIST 对后量子算法的评估进展,并评估适合自身环境的抗量子加密方案。
参考资料
1\] Ryan Arel 2025年4月23日博客 [Explore the impact of quantum computing on cryptography](https://www.techtarget.com/searchdatacenter/feature/Explore-the-impact-of-quantum-computing-on-cryptography)