什麼是後量子密碼學？

您可能熟悉經典密碼學的概念，這是我們每天使用的加密類型。您甚至可能聽說過利用量子計算機和量子力學效應的量子密碼學。雖然這兩項本身都是重要的技術，但經典密碼學幾乎支撐了整個現代通信技術，後量子密碼學是一個非常關鍵的步驟，但並不為人所知。後量子密碼學不應該是繼量子加密之後的下一個重要事物。相反，它是一類密碼學，在存在強大量子計算機的世界中仍然具有相關性。

量子加速

古典密碼學基本上都是基於少量不同的數學問題。這些問題經過精心選擇，因為除非您知道具體信息，否則它們非常困難。即使使用計算機，這些數學問題也被證明是困難的。2019 年的一項研究花費了 900 個 CPU 核心年來破解一個 795 位 RSA 密鑰。破解 1024 位 RSA 密鑰需要 500 多倍的處理能力。此外，1024 位 RSA 密鑰已被棄用，取而代之的是幾乎不可能破解的 2048 位 RSA。

問題在於，與普通計算機相比，量子計算機的工作方式完全不同。這意味著某些普通計算機難以完成的事情對於量子計算機來說要容易得多。不幸的是，密碼學中使用的許多數學問題都是這方面的完美例子。假設可以訪問足夠強大的量子計算機，現代使用的所有非對稱加密都容易受到這種量子加速的影響。

傳統上，如果你想增加加密的安全性，你只需要更長的密鑰。這確實假設算法沒有更多的基本問題，並且可以擴展它以使用更長的密鑰，但原則是成立的。每增加一位安全性，難度就會翻倍，這意味著從 1024 位加密到 2048 位加密是一個巨大的難度峰值。然而，當在難度以對數而非指數方式增加的量子計算機上運行時，這種指數難度增長不適用於這些問題。這意味著您不能簡單地將密鑰長度加倍，就可以適應未來十年計算能力的增長。整個遊戲都起來了，需要一個新的系統。

一線希望

有趣的是，所有現代對稱加密算法也受到影響，但程度要小得多。像 RSA 這樣的非對稱密碼的有效安全性會降低平方根。一個 2048 位的 RSA 密鑰提供相當於 45 位左右的安全性來對抗量子計算機。對於像 AES 這樣的對稱算法，有效安全性“僅”減半。128 位 AES 被認為對普通計算機是安全的，但對量子計算機的有效安全性僅為 64 位。這足夠弱，可以被認為是不安全的。然而，這個問題可以通過將密鑰大小加倍到 256 位來解決。256 位 AES 密鑰提供 128 位保護，即使是針對足夠強大的量子計算機也是如此。這足以被認為是安全的。更好的是，256 位 AES 已經公開可用並在使用中。

提示：對稱和非對稱加密算法提供的安全位不能直接比較。

整個“足夠強大的量子計算機”這個東西有點難以精確定義。這意味著量子計算機需要能夠存儲足夠的量子位，以便能夠跟踪破解加密密鑰所需的所有狀態。關鍵事實是，目前還沒有人擁有做到這一點的技術。問題是我們不知道什麼時候有人會開發這項技術。可能是五年、十年或更長時間。

鑑於至少有一種適用於密碼學的數學問題對量子計算機來說不是特別脆弱，因此可以安全地假設還有其他問題。實際上有許多提議的加密方案即使面對量子計算機也可以安全使用。挑戰在於標準化這些後量子加密方案並證明它們的安全性。

結論

後量子密碼學是指即使面對強大的量子計算機也能保持強大的密碼學。量子計算機能夠徹底破解某些類型的加密。由於 Shor 的算法，它們可以比普通計算機快得多。加速是如此之大，以至於幾乎沒有辦法抵消它。因此，正在努力確定不易受這種指數加速影響的潛在密碼方案，因此可以經得起量子計算機的考驗。

如果擁有未來量子計算機的人擁有大量可以輕鬆破解的舊曆史數據，他們仍然可以造成很大的破壞。由於構建、維護和使用量子計算機所需的高成本和技術技能，它們被犯罪分子利用的可能性很小。然而，政府和道德模棱兩可的大型企業擁有資源，可能不會為了更大的利益而使用它們。儘管這些功能強大的量子計算機可能還不存在，但重要的是一旦證明它是安全的就轉移到後量子密碼學，以防止廣泛的歷史解密。

許多後量子密碼學候選人基本上已經準備就緒。問題在於，當您不必考慮令人費解的複雜量子計算機時，證明它們是安全的已經非常困難。正在進行大量研究以確定廣泛使用的最佳選擇。需要理解的關鍵是後量子密碼學在普通計算機上運行。這將它與需要在量子計算機上運行的量子密碼學區分開來。