摘要：如今，几乎所有的互联网数据，包括银行交易、病历和安全聊天在内，都受到了非对称加密（RSA）算法的保护，这种加密方案以其创建者李维斯特（Rivest）、萨莫尔（Shamir）和阿德尔曼（Adleman）名字的首字母命名。这种方案基于一简单的事实：即便使用世界上最

如今，几乎所有的互联网数据，包括银行交易、病历和安全聊天在内，都受到了非对称加密（RSA）算法的保护，这种加密方案以其创建者李维斯特（Rivest）、萨莫尔（Shamir）和阿德尔曼（Adleman）名字的首字母命名。这种方案基于一简单的事实：即便使用世界上最强大的超级计算机，也几乎不可能在合理的时间内计算出一个大数字的质因数。然而，如果大型量子计算机建成，完成这项任务就变得轻而易举了，而这也会动摇整个互联网的安全性。另一种常见的加密方案则是椭圆曲线加密（ECC），它同样容易受到量子计算机的影响。

但是，量子计算机只在解决特定问题上优于经典计算机，对于许多加密方案，量子计算机没有任何优势。2024年8月中旬，美国国家标准与技术研究院（NIST）宣布了3种后量子密码（PQC）方案的标准。有了这些标准后，美国国家标准与技术研究院鼓励计算机系统管理员尽快开始过渡到抗量子计算机的安全措施。

这些标准很可能是未来互联网的重要组成部分。美国国家标准与技术研究院负责加密小组并领导标准化进程的陈丽丽（Lily Chen，音）说，美国国家标准与技术研究院之前的加密标准是在20世纪70年代制定的，几乎用于所有设备，包括互联网路由器、电话和笔记本电脑。采用新方案不可能一蹴而就。

“如今，公钥加密在所有设备中可谓无处不在。”陈丽丽说，“现在，我们的任务是替换所有设备上的协议，这并非易事。”

大多数专家认为，至少未来十年内不会建成大规模的量子计算机。那么为什么美国国家标准与技术研究院现在就担忧？主要有两个原因。

首先，许多使用非对称加密或椭圆曲线加密安全方案的设备（如汽车和某些物联网设备）预计将继续使用至少十年。因此，在投入实际应用之前，需要为其配备量子安全加密技术。

其次，恶意个人可能会下载并存储加密数据，并在足够大的量子计算机上线后破解这些数据。这个概念被称为“先获取，后解密”，实质上，它对现有的敏感数据构成了威胁，哪怕未来才能破解这些数据。

恩智浦半导体公司的首席安全架构师、密码学家约斯特•雷内斯（Joost Renes）说，多个行业的安全专家已经开始认真对待量子计算机的威胁了。“2017和2018年时，人们会问：‘什么是量子计算机？’”雷内斯说，“而现在，人们问的是：‘后量子密码标准什么时候出台，应该实施哪一种？’”

LGT金融服务公司的首席技术官理查德•马蒂（Richard Marty）对此表示赞同：“我们不能静坐旁观。我们希望尽快作好准备，并实施解决方案，避免‘先获取，后解密’。”

早在2016年，美国国家标准与技术研究院就宣布了一项最佳后量子密码算法的公开竞赛。该竞赛收到了来自25个不同国家和地区的82份参赛作品。之后，美国国家标准与技术研究院通过4轮淘汰赛，最终在2022年将候选池中的算法缩减到4个。

这个漫长的过程是一次群体性的努力，美国国家标准与技术研究院获得了来自密码学研究、业界和政府利益相关者的支持。“业界提供了非常有价值的反馈。”美国国家标准与技术研究院的陈丽丽说。

4种获胜算法最初的名字都各有特色：CRYSTALS-Kyber、CRYSTALS-Dilithium、Sphincs+和Falcon。现在，这些算法被称为联邦信息处理标准（FIPS）203到206。根据美国国家标准技术研究所在2024年8月份发布的公告，FIPS 203、204和205标准已经可以实施；FIPS 206，即之前被称为Falcon的算法，预计将在今年年底前实现标准化。

这些算法分为两类：FIPS 203的用途是一般加密，用于保护通过公共网络传输的信息；FIPS 204、205和206的用途是数字签名，用于验证个人身份。陈丽丽说，数字签名在防止恶意软件攻击中至关重要。

虽然每个加密协议基础都是一个很难解决的数学问题，但一旦有了正确答案，就很容易进行核对。在非对称加密中，这个数学问题是将大数字分解成两个质数，经典计算机很难计算出这两个质数是什么，但一旦有了一个质数，就很容易用除法运算并得到另一个质数。

FIPS 203和204（以及即将实施的FIPS 206）则基于不同的难题，即格密码学。格密码学依赖于一个棘手的问题：在一组数字中找到最小公倍数。通常这是在多维度上实现的，即在格中，最小公倍数是一个向量。

第三种标准化方案FIPS 205则是基于哈希函数，即将消息转换为难以逆转的加密字符串。

这些标准包括加密算法的计算机代码、实现方法的说明，以及其预期用途。每个协议都有3个级别的安全措施，目的是在发现算法中的一些弱点或漏洞时，确保标准不会过时。

在2024年早些时候，一篇发表在arXiv上的预印本论文引起了后量子密码界人士的警觉。这篇论文的作者是北京清华大学的陈一镭，这篇论文指出，基于格密码学的密码技术（FIPS 203、204和206的基础）也不能免受量子攻击的影响。但进一步的审核发现，陈一镭的论点存在漏洞。

“那篇论文的结论是无效的。这意味着基于格密码学的密码学谱系仍然是安全的。”国国家标准与技术研究院的陈丽丽说。

另一方面，这一事件凸显了所有加密方案的核心问题，即没有证据证明这些方案所基于的数学问题确实是“难解的”。即使是对标准非对称加密算法，唯一的证据也只是人们长期以来一直试图破解密码，但总是失败。由于包括格密码学在内的后量子密码学标准较新，因此并不确定有人会找到破解它们的方法。

也就是说，这次最新尝试的失败只建立在算法的可信度之上。论文的漏洞在一周之内就被发现了，这表明有一个活跃的专家群体在研究这个问题。“人们在努力打破这个算法。许多人都在尝试，他们非常努力，实际上这给了我们信心。”国国家标准与技术研究院的陈丽丽说。

国国家标准与技术研究院的标准只是未来将所有设备过渡到安全后量子密码任务的开始。要完全保护世界免受量子计算机带来的威胁，还需要投入时间和金钱。

在LGT金融服务公司，“我们花了18个月的时间进行过渡，投入了大约50万美元。”马蒂说，“虽然我们有一些（后量子密码的）实例，但要实现全面过渡，我无法给出具体数字，我们要做的还有很多。”

文章来源于悦智网，作者Dina Genkina

全球领先系统 IP 提供商SoC设计资料包

来源：科学新鲜事