今天应用最为广泛的加密技术，未来将无力抵抗量子计算机的攻击

最近，密码学家们头疼不已，因为能够突破互联网安全屏障的量子计算机正在迅猛发展。尽管预计实用的量子计算机至少在十年后才会出现，但密码学研究人员坚信，我们必须从现在开始处理它们。

9月初，计算机安全专家在德国召开了一次会议，讨论用哪种加密系统取代广泛使用的系统来抵御量子计算机的攻击。他们需要使用新的协议来保护在互联网和其他数字网络上传输的私人信息不被窃取。尽管黑客经常可以通过猜测密码、伪装成合法用户以及在网络上安装恶意软件来窃取他人的隐私，但现有的计算机仍然无法破解用标准形式的密码加密的敏感信息。

然而，当第一台大型量子计算机问世时，核心加密方法已经过时。量子计算机利用亚原子粒子级的物理定律，因此很容易突破现有的密码系统。米歇尔·莫斯卡说:“我真的很担心我们可能根本没有准备好。”他是加拿大滑铁卢大学量子计算研究所(IQC)的联合创始人之一，也是网络安全咨询公司evolutionQ的首席执行官。

*和工业界需要几年时间来最终决定用哪种加密系统来取代现有系统来对抗量子计算机。任何可能的替代方案，即使乍一看似乎无懈可击，都需要大量的理论和实践测试。只有经受住大量的测试，新的密码系统才能足以为高级信息传输提供保护，包括知识产权信息、金融数据、国家机密等。

“要判断一个密码系统是否可靠，需要大量的人力来检查和设计各种可能的攻击方法来测试它是否有漏洞。这项工作非常耗时。”斯蒂芬·乔丹说。他是位于马里兰州盖瑟斯堡的美国国家标准和技术研究所(NIST)的物理学家。

今年，密码学、物理学和数学方面的专家已经多次会面，讨论、评估和改进一些相对更能抵御量子计算机攻击的密码工具。本周在德国瓦尔登的达斯堡-莱布尼茨信息中心举办的研讨会就是其中之一。此外，NIST已经在4月举行了自己的会议，而IQC将于10月初在首尔与欧洲电信标准协会举行另一次会议。

情报机构也开始关注量子计算。8月11日，美国国家安全局(NSA)在向技术供应商和客户发布安全建议时表示，他们正在考虑改用一种能够抵御量子攻击的新安全协议。今年早些时候，荷兰情报和安全局在其网站上发布了一份备忘录，明确列出了一种潜在的威胁，称为“先拦截，然后解码”从现在起，恶意攻击者可以拦截并存储金融交易、个人邮件和其他加密的敏感信息，并在量子计算机制造出来后，一举对其进行解码。乔丹说:“我相信现在真的有人在这么做。”因此，对能够抵抗量子攻击的加密技术的需求将更加迫切。

早在1994年，数学家彼得·肖尔就从理论上提出量子计算机可以快速突破当前主流的RSA密码*(肖尔在1995年预印网站上的文章的地址http://arxiv.org/abs/quant-ph/9508027v2;)。Mosca说，当时人们对制造一台实用的量子计算机并不乐观，因为研究人员认为这种机器必须没有任何错误地工作。然而，1996年的另一项理论研究表明，只要量子计算机的错误率能被控制在一定限度内，它也能有效地运行。

Mosca指出，根据公布的实验结果，小量子器件已经开始接近这个错误率阈值。此外，由于国家安全局和其他情报组织对这项技术非常感兴趣，大多数人认为公布的结果并不代表这一领域最先进的结果。“我们必须假设量子计算已经进步了几年，达到了公共文献的水平，我们不能等到像《纽约时报》这样的媒体成为头条新闻之后才开始准备。”

目前，互联网通信安全部分依赖于公钥加密技术，RSA是加密方法之一。发送者用任何人都能获得的公钥加密信息，而密文只能由拥有私钥的接收者读取。RSA密码是安全的，因为很难将一个大的复数分解成质数的乘积，质数是解释密文所需的密钥。一般来说，要分解的数量越大，分解就越困难。现有的计算机需要很长时间来分解大量的数据。原因之一是我们根本没有快速算法。然而，量子计算机分解大量数据的速度将会比传统计算机的速度快很多倍。如果分解大量数据变得很容易，那么RSA的安全性是不可能的。

目前，有几种新的公钥密码*可供选择，它们用量子计算机无法解决的复杂数学问题取代了RSA对大数的分解。尽管这些密码系统并不是绝对安全的，但是研究人员认为它们在对抗量子计算机时非常实用。

基于网格的加密技术是一种可能的选择。它的公钥是高维数学空间中的一个格。一种加密方法是将信息隐藏在离某个格子一定距离的格子中。无论是使用传统计算机还是量子计算机，都很难解决信息与网格点之间的距离，但只要有一把钥匙，接收器就可以很容易地计算出信息与网格点之间的距离。

麦克埃利斯加密是另一种选择。它首先将信息转换成简单线性代数问题的解，然后使用公钥将简单问题转换成更复杂的问题。然后，只有那些掌握了关键的人才能把复杂的问题退回去，并解释信息。

这些替代方案有一个共同的缺点:它们需要比现有加密系统多1000倍的空间来存储公钥。然而，一些网格加密方法的公钥并不比RSA的长多少。此外，上述两种方法的加密和解密速度都比RSA快，因为它们只涉及简单的乘法和加法，而RSA需要更复杂的运算。

PQCRYPTO是一群来自欧洲学术界和工业界的量子密码研究人员。它在9月7日发布了一份初步报告，推荐了一些可以用来抵抗量子计算机的加密方法。该报告推荐自1978年以来一直使用的麦克埃利斯加密作为公钥加密方法。390万欧元研究项目的负责人Tanja Lange建议人们现在就选择最安全的加密系统:“在项目进行过程中，McEliece加密方法的空间消耗和计算速度将会得到提高，更重要的是，现在选择这个加密系统意味着你可以获得最大程度的安全性。”