今天应用最为广泛的加密技术未来将无力抵抗量子计算机的攻击

最近，密码学家十分头疼，因为可以攻破互联网安全屏障的量子计算机正在势不可挡地迅速发展。尽管人们预计实用量子计算机至少在十年以后才会出现，但是密码学研究者坚信，我们必须从现在开始着手应对。

9月初，计算机安全专家在德国召开会议，商讨用何种密码系统取代现在广泛应用的系统来抵御量子计算机的攻击。他们需要用新的协议保护互联网和其他数字网络中传输的私人信息，以防他人窃取。虽然黑客往往能够通过猜密码、伪装成合法用户、在网络上安插恶意软件等方式窃得他人隐私，但是现有的计算机仍然无法破解经过标准形式密码加密的敏感信息。

然而，第一台大型量子计算机问世之日，便是如今的核心加密方法过时之时。量子计算机利用了亚原子粒子层面的物理规律，因此很容易攻破现有的密码系统。Michele Mosca说：“我确实非常担心，我们可能根本来不及做好准备。”他是加拿大滑铁卢大学（University of Waterloo）量子计算研究院（Institute for Quantum Computing, IQC）的合作创建人之一，同时也是网络安全咨询公司evolutionQ的首席执行官。

政府和工业界还需要花几年的时间才能最终决定使用哪种密码系统替代现有系统，以对抗量子计算机。任何可能的替代方案即使初看上去无懈可击，也需要理论与实践的大量检验；只有经受住大量的检验，新的密码系统才足以为高安全级别的信息传输提供保护，包括受知识产权信息、财务数据、国家机密等。

“要判断一个密码系统是否可靠，需要耗费大量人力审查，并且设计各种可能的攻击方法进行试验，检测它是否有漏洞。这项工作非常耗时。”Stephen Jordan说。他是马里兰州盖瑟斯堡（Gaithersburg, Maryland）的美国国家标准与技术研究所（US National Institute of Standards and Technology, NIST）的一位物理学家。

今年，密码学、物理学和数学方面的专家已经多次集会讨论，评估并改进了一些相对更能够经受量子计算机攻击的密码工具。本周在德国瓦登的达克斯图堡-莱布尼茨信息中心（Schloss Dagstuhl-Leibniz Center for Informatics）召开的讨论会就是其中之一。此外，NIST已经在四月召开了自己的会议，而IQC将与欧洲电信标准研究所（European Telecommunications Standards Institute）一道于十月初在首尔举行另一场会议。

情报机构也开始关注量子计算。8月11日，美国国家安全局（US National Security Agency, NSA）在向技术供应商和客户发布安全建议时表示，他们正在考虑换用可以抵御量子攻击的新安全协议。今年早些时候，荷兰综合情报与安全局（Dutch General Intelligence and Security Service）在其网站上发布了一份备忘录，其中专门列出了一项被称为“先拦截，后破译”的潜在威胁。恶意攻击者可以从现在就开始拦截并存储金融交易、个人邮件以及其他已加密的敏感信息，等到制造出量子计算机以后再一举破译。Jordan说：“我相信现在真的有人在做这种事。”出于这种考虑，人们对可抵御量子攻击的加密技术的需求将更加迫切。

早在1994年，数学家Peter Shor就从理论上提出，量子计算机可以快速攻破当今主流的RSA密码系统（P. W. Shor文章在预印本网站上的地址http://arxiv.org/abs/quant-ph/9508027v2; 1995）。Mosca说，当时人们对于制造出实际可用的量子计算机的预期并不乐观，因为研究者认为这种机器必须丝毫不出差错才能工作。但是，1996年的又一项理论研究结果表明，只要能够将量子计算机的差错率控制在一定限度内，它便同样可以有效运行。

Mosca指出，根据已经公布的实验结果，小型量子装置已经开始接近这个差错率阈值了。并且，由于NSA等情报组织十分热衷于这项技术，人们大都认为已经公布的结果并不代表这一领域的最前沿成果。“我们必须假定现在已经有人把量子计算做到领先公开文献水平数年的程度，而不能等到《纽约时报》这样的媒体都把它搬上头条了才开始准备应对。”

如今，互联网通信安全部分依赖于公钥加密技术，RSA就是其中一种加密方法。发信者用任何人都可以获得的公钥为信息加密，而密文只有掌握有私钥的收信者可以解读。RSA密码之所以安全，是因为我们很难将一个很大的合数分解成质数的乘积，而这些质数正是解读密文所需要的密钥。一般情况下，待分解的数越大，分解工作就越困难。现有的计算机要耗费很长时间才能分解一个大数，其中一个原因是我们根本没有快速算法。但是，量子计算机分解大数的速度相对传统计算机而言将有指数级别的提高。如果分解大数变得容易，那么RSA的安全性也就无从谈起了。

目前，已经有几种新的公钥密码系统可供选择，它们用量子计算机无能为力的复杂数学问题替代了RSA的大数分解问题。尽管这些密码系统并非绝对安全，但是研究者认为它们在对抗量子计算机方面还是颇为实用的。

格点加密法（lattice-based cryptography）是一种可能的替代方案。其公钥是高维数学空间中的点阵，一种加密方式是把信息隐藏在格子中距离某个格点一定距离的地方。欲求解信息到格点的距离，不论是用传统计算机还是量子计算机都十分困难，但是只要有了密钥，收信者就可以便捷地计算出信息与格点之间的距离。

McEliece加密法是另一种备选方案。它首先把信息转化成一个简单的线性代数问题的解，再用公钥把简单问题转化成一个看起来复杂得多的问题。然后，只有掌握密钥的人才能够把复杂问题转化回去，从而解读信息。

这些替代方案有一个共同的缺点：它们存储公钥所需要的空间是已有的密码系统的1000倍。不过，有些格点加密法的公钥并不比RSA的公钥长很多。并且，上面提到的两种方法的加密和解密速度都比RSA快，因为它们所涉及的只是简单的乘法和加法，而RSA则要用到更复杂的运算。

PQCRYPTO是欧洲学术界与产业界的量子密码研究者组成的团体，它在9月7日发布了一个初步报告，其中推荐了一些可以用来抵御量子计算机的加密方法（参看go.nature.com/5kellc）。报告推荐了自1978年起使用至今的McEliece加密法作为公钥加密法。这个研究经费高达390万欧元（约合2800万人民币）的合作项目的领导人Tanja Lange建议人们现在选择这种最安全的密码系统：“在项目进展期间，McEliece加密法的空间消耗以及计算速度都会有所改善，而且更重要的是，现在选择这种密码系统，就意味着你可以获得最大程度的安全保障。”（撰文 Chris Cesare 翻译：赵昌昊 校审：檀泽浩）