什么是后量子密码学？

世界各地的研究人员正在竞相开发称为量子计算机的新设备，它可以完成许多传统计算机无法做到的事情——包括打破保护机密电子信息的防御。NIST 正在通过其后量子密码学 （PQC） 项目领导全球努力，创建针对此类攻击的电子防御措施，该项目于 2024 年发布了前三个最终确定的 PQC 标准。请继续阅读，了解有关这项开发技术和 NIST 努力的一些常见问题的解答。

什么是后量子加密算法？

加密算法可保护机密电子信息（从电子邮件到医疗记录和财务报表）免受未经授权的查看者的侵害。几十年来，这些算法已被证明足够强大，可以防御使用试图破坏加密的传统计算机的攻击。然而，一种正在开发的称为量子计算机的新型设备可能会破坏这些算法，使我们的电子秘密容易被发现。

为了应对这种迫在眉睫的威胁，我们需要能够避免我们今天所知道的传统计算机和未来量子计算机的网络攻击的加密方法。这些新方法被称为后量子加密算法。

什么是量子计算？

量子计算机借鉴了与传统计算机不同的科学概念。它利用量子世界的反直觉特性——使一些数据能够同时充当 0 和 1——来进行在传统计算机上难以或不可能的计算。

如果它们能够被构建出来，足够强大的量子处理器将能够同时筛选问题的许多潜在解决方案，从而非常快速地将正确答案归零。这种筛选是传统计算机无法快速或高效地完成的任务。

如果量子计算机可能会造成如此大的伤害，为什么还要开发它们？

量子计算机可能能够做许多有用的事情。量子计算机有潜力完成涉及复杂变量相互作用的任务。这些任务包括药物设计、复杂分子的模拟以及经典“旅行推销员”问题的解决方案——找到穿越多个目的地的最有效路线。

量子计算领域仍处于起步阶段。研究人员必须先克服重大技术障碍，然后才能构建强大的量子计算机，而量子计算机能变得多么强大是一个悬而未决的问题。然而，先进的量子计算机仍然是一个很大的可能性，它们将对当今的加密产生如此重大的影响，以至于世界必须为它们做好准备。

当前的密码学是如何工作的，量子计算机将如何破解它？

目前，许多加密算法依赖于传统计算机在分解大数时遇到的困难。足够强大的量子计算机不会有这种困难。

传统的密码算法选择两个非常大的素数——它们只能被 1 和它们本身整除——并将它们相乘以获得更大的数字。虽然将素数相乘既简单又快速，但要逆转这个过程并找出哪两个素数相乘在一起要困难得多，也更耗时，而这正是传统计算机破解这种加密所必须做的事情。这两个数字被称为“质因数”。对于足够大的数字，传统计算机估计需要数十亿年才能计算出这些质因数。

然而，一台足够强大的量子计算机将能够同时筛选所有潜在的质因数，而不是一个接一个地筛选，从而以指数级的速度得出答案。专家们已经开始将这种成熟的设备称为“与密码学相关”的量子计算机。量子计算机有可能在几天甚至几小时内解决这个难题，而不是数十亿年，从而使从国家机密到银行账户信息的所有内容都处于危险之中。

为什么我们需要后量子加密，PQC 算法如何工作？

为了避免量子计算机的攻击——如果构建了与密码学相关的计算机——全球社区必须淘汰当前的加密算法。后量子加密算法必须基于传统计算机和量子计算机都难以解决的数学问题。

这些算法专为通常使用加密的两个主要任务而设计：常规加密（用于保护通过公共网络交换的密码等信息）和数字签名（用于身份验证）。

在 NIST 选择的四种算法中，三种算法基于称为结构化晶格的一系列数学问题，而第四种使用称为哈希函数的数学关系。阁楼和哈希问题不需要计算机对大数进行分解，而是使用其他类型的数学，专家认为这些数学对于量子计算机和传统计算机来说都很难解决。

仍在考虑的其他算法是为一般加密而设计的，并且在其方法中不使用结构化晶格或哈希函数。

为了将这些算法付诸实践，NIST 牵头努力制定后量子加密的技术标准。这些标准旨在为不同情况提供解决方案，采用不同的加密方法，并在每种应用程序被证明容易受到攻击时为每种应用程序提供多种算法。

什么时候会出现强大到足以威胁当前加密方法的量子计算机？

没有人知道。研究人员需要克服许多技术挑战才能实现这一目标。专家的估计从几年到几十年不等。

量子计算机中的基本信息单位称为量子比特或“量子比特”。量子比特相当于传统计算机中的量子计算。需要使用数千个量子比特的量子计算机来破解当今的加密。

有一个根本问题：量子比特很脆弱。最轻微的干扰可能会在量子计算机成功完成作（例如破解加密代码）之前损坏它们并产生错误。

研究人员正在试验不同的技术来制造量子比特。每种类型都有优点和缺点，没有人确定哪种方法最终效果最好——或者是否有其他尚未发现的方法会超越它们。

尽管如此，尽管无法准确预测量子计算机何时（甚至是否会）破解当今的加密，但潜在威胁足够大，研究人员现在正在为此做准备。

如果还不存在与密码学相关的量子计算机，为什么现在开发后量子加密算法很重要？

世界必须提前规划。从历史上看，从新算法标准化到完全集成到信息系统中需要很长时间。这个过程可能需要 10 到 20 年的时间，部分原因是公司必须通过将算法构建到我们每天使用的产品和服务中来应对变化。

没有人知道构建一台与密码学相关的量子计算机需要多长时间。预测差异很大，但有些人认为这可能在不到 10 年的时间内实现。

即使计算机安全专家在构建足够强大的量子计算机之前实施了后量子加密算法，由于一种称为“先收获，后解密”的攻击，大量加密数据仍然受到威胁。

什么是“现在收获，后解密”？

有些秘密多年来仍然很有价值。即使对手目前无法破解保护我们机密的加密，捕获加密数据并保留它仍然是有益的，希望量子计算机能够破解加密。这个想法有时被表达为“现在收获，以后解密”——这也是计算机需要尽快开始使用后量子技术加密数据的原因之一。

NIST 于 2016 年启动了后量子密码学项目 ，并于当年年底正式要求世界密码学专家提交对经典计算机和量子计算机都难以处理的算法。到大约一年后的截止日期，来自数十个国家的专家已经提交了 69 种候选算法，这些算法清除了 NIST 设定的标准。

NIST 随后发布了 69 种候选算法，供专家们分析并破解（如果可以的话）。这个过程是公开和透明的。在接下来的几年里，许多世界上最优秀的密码学家参与了多轮评估，这减少了候选人的数量。

NIST 鼓励世界各地的密码学家研究候选算法不仅在大型计算机和智能手机中的工作原理，而且在处理器能力有限的设备中的工作原理。智能卡、用于物联网的智能厨房电器等微型设备以及单个微芯片也都需要抗量子算法。

为什么 NIST 在制定 PQC 标准方面处于领先地位？

NIST 在开发加密算法方面拥有丰富的经验。50 年来，NIST 通过一个开放的过程促进了加密技术和技术的发展，该过程将工业界、政府和学术界聚集在一起，开发可行的加密保护方法，以实现实际安全。

NIST 通过让公众参与与 NIST 自己的成就专家合作来制定指导。所有开发步骤都发生在公众视野中，通常有许多相关方有机会对程序发表评论。

该机构的部分使命是制定对每个人都有广泛用处的标准，而不仅仅是特定的公司或团体。当后量子加密标准完成后，它们将被联邦机构采用并免费发布给公众使用。

我们现在可以做些什么来为与密码学相关的量子计算机做好准备？

技术经理可以盘点他们的系统以查找使用加密的应用程序，在与加密相关的量子计算机出现之前需要更换这些应用程序。他们还可以提醒他们的技术部门和供应商即将发生的变化。