今天應用最為廣泛的加密技術未來將無力抵抗量子計算機的攻擊

最近，密碼學家十分頭疼，因為可以攻破互聯網安全屏障的量子計算機正在勢不可擋地迅速發展。盡管人們預計實用量子計算機至少在十年以后才會出現，但是密碼學研究者堅信，我們必須從現在開始著手應對。

9月初，計算機安全專家在德國召開會議，商討用何種密碼系統取代現在廣泛應用的系統來抵御量子計算機的攻擊。他們需要用新的協議保護互聯網和其他數字網絡中傳輸的私人信息，以防他人竊取。雖然黑客往往能夠通過猜密碼、偽裝成合法用戶、在網絡上安插惡意軟件等方式竊得他人隱私，但是現有的計算機仍然無法破解經過標準形式密碼加密的敏感信息。

然而，第一臺大型量子計算機問世之日，便是如今的核心加密方法過時之時。量子計算機利用了亞原子粒子層面的物理規律，因此很容易攻破現有的密碼系統。Michele Mosca說：“我確實非常擔心，我們可能根本來不及做好準備。”他是加拿大滑鐵盧大學（University of Waterloo）量子計算研究院（Institute for Quantum Computing, IQC）的合作創建人之一，同時也是網絡安全咨詢公司evolutionQ的首席執行官。

政府和工業界還需要花幾年的時間才能最終決定使用哪種密碼系統替代現有系統，以對抗量子計算機。任何可能的替代方案即使初看上去無懈可擊，也需要理論與實踐的大量檢驗；只有經受住大量的檢驗，新的密碼系統才足以為高安全級別的信息傳輸提供保護，包括受知識產權信息、財務數據、國家機密等。

“要判斷一個密碼系統是否可靠，需要耗費大量人力審查，并且設計各種可能的攻擊方法進行試驗，檢測它是否有漏洞。這項工作非常耗時。”Stephen Jordan說。他是馬里蘭州蓋瑟斯堡（Gaithersburg, Maryland）的美國國家標準與技術研究所（US National Institute of Standards and Technology, NIST）的一位物理學家。

今年，密碼學、物理學和數學方面的專家已經多次集會討論，評估并改進了一些相對更能夠經受量子計算機攻擊的密碼工具。本周在德國瓦登的達克斯圖堡-萊布尼茨信息中心（Schloss Dagstuhl-Leibniz Center for Informatics）召開的討論會就是其中之一。此外，NIST已經在四月召開了自己的會議，而IQC將與歐洲電信標準研究所（European Telecommunications Standards Institute）一道于十月初在首爾舉行另一場會議。

情報機構也開始關注量子計算。8月11日，美國國家安全局（US National Security Agency, NSA）在向技術供應商和客戶發布安全建議時表示，他們正在考慮換用可以抵御量子攻擊的新安全協議。今年早些時候，荷蘭綜合情報與安全局（Dutch General Intelligence and Security Service）在其網站上發布了一份備忘錄，其中專門列出了一項被稱為“先攔截，后破譯”的潛在威脅。惡意攻擊者可以從現在就開始攔截并存儲金融交易、個人郵件以及其他已加密的敏感信息，等到制造出量子計算機以后再一舉破譯。Jordan說：“我相信現在真的有人在做這種事。”出于這種考慮，人們對可抵御量子攻擊的加密技術的需求將更加迫切。

早在1994年，數學家Peter Shor就從理論上提出，量子計算機可以快速攻破當今主流的RSA密碼系統（P. W. Shor文章在預印本網站上的地址http://arxiv.org/abs/quant-ph/9508027v2; 1995）。Mosca說，當時人們對于制造出實際可用的量子計算機的預期并不樂觀，因為研究者認為這種機器必須絲毫不出差錯才能工作。但是，1996年的又一項理論研究結果表明，只要能夠將量子計算機的差錯率控制在一定限度內，它便同樣可以有效運行。

Mosca指出，根據已經公布的實驗結果，小型量子裝置已經開始接近這個差錯率閾值了。并且，由于NSA等情報組織十分熱衷于這項技術，人們大都認為已經公布的結果并不代表這一領域的最前沿成果。“我們必須假定現在已經有人把量子計算做到領先公開文獻水平數年的程度，而不能等到《紐約時報》這樣的媒體都把它搬上頭條了才開始準備應對。”

如今，互聯網通信安全部分依賴于公鑰加密技術，RSA就是其中一種加密方法。發信者用任何人都可以獲得的公鑰為信息加密，而密文只有掌握有私鑰的收信者可以解讀。RSA密碼之所以安全，是因為我們很難將一個很大的合數分解成質數的乘積，而這些質數正是解讀密文所需要的密鑰。一般情況下，待分解的數越大，分解工作就越困難。現有的計算機要耗費很長時間才能分解一個大數，其中一個原因是我們根本沒有快速算法。但是，量子計算機分解大數的速度相對傳統計算機而言將有指數級別的提高。如果分解大數變得容易，那么RSA的安全性也就無從談起了。

目前，已經有幾種新的公鑰密碼系統可供選擇，它們用量子計算機無能為力的復雜數學問題替代了RSA的大數分解問題。盡管這些密碼系統并非絕對安全，但是研究者認為它們在對抗量子計算機方面還是頗為實用的。

格點加密法（lattice-based cryptography）是一種可能的替代方案。其公鑰是高維數學空間中的點陣，一種加密方式是把信息隱藏在格子中距離某個格點一定距離的地方。欲求解信息到格點的距離，不論是用傳統計算機還是量子計算機都十分困難，但是只要有了密鑰，收信者就可以便捷地計算出信息與格點之間的距離。

McEliece加密法是另一種備選方案。它首先把信息轉化成一個簡單的線性代數問題的解，再用公鑰把簡單問題轉化成一個看起來復雜得多的問題。然后，只有掌握密鑰的人才能夠把復雜問題轉化回去，從而解讀信息。

這些替代方案有一個共同的缺點：它們存儲公鑰所需要的空間是已有的密碼系統的1000倍。不過，有些格點加密法的公鑰并不比RSA的公鑰長很多。并且，上面提到的兩種方法的加密和解密速度都比RSA快，因為它們所涉及的只是簡單的乘法和加法，而RSA則要用到更復雜的運算。

PQCRYPTO是歐洲學術界與產業界的量子密碼研究者組成的團體，它在9月7日發布了一個初步報告，其中推薦了一些可以用來抵御量子計算機的加密方法（參看go.nature.com/5kellc）。報告推薦了自1978年起使用至今的McEliece加密法作為公鑰加密法。這個研究經費高達390萬歐元（約合2800萬人民幣）的合作項目的領導人Tanja Lange建議人們現在選擇這種最安全的密碼系統：“在項目進展期間，McEliece加密法的空間消耗以及計算速度都會有所改善，而且更重要的是，現在選擇這種密碼系統，就意味著你可以獲得最大程度的安全保障。”（撰文 Chris Cesare 翻譯：趙昌昊 校審：檀澤浩）