量子计算是一种新（xīn）的计算方式，可以让人类使（shǐ）用当今（jīn）的计算（suàn）技术执（zhí）行根本不可（kě）能的技（jì）术。它允（yǔn）许非常快（kuài）速的（de）搜索，这会破环我们今天（tiān）使（shǐ）用的（de）一些加（jiā）密算法。

本文（wén）由格密（mì）链社区（qū）的刘天成翻（fān）译。

量子（zǐ）计算可以很容易地计算大数，这会（huì）破（pò）坏任（rèn）何密钥长度的（de）RSA密码（mǎ）系（xì）统。这就（jiù）是密码学（xué）家努（nǔ）力设计和分析（xī）“量子抗性”公钥算法的原因。目前，量（liàng）子（zǐ）计（jì）算还（hái）处于起步（bù）阶段，密码学家无法（fǎ）确定哪些（xiē）是安（ān）全的，哪些不是安全（quán）的（de）。但即（jí）使假设外星人已经充分发挥了这项技术的作用，量子计（jì）算也并不意味着（zhe）密码学的世界末日。对称加密很（hěn）容易（yì）产生量子抗性，我们正（zhèng）致力（lì）于量子（zǐ）抗性公钥算（suàn）法。如果根据我们的数（shù）学知识和计算能力，公（gōng）钥加密（mì）最终只是一个暂时的异常，我们仍（réng）然可以（yǐ）生存。如（rú）果（guǒ）一些不（bú）可思议的外星技术可以打破（pò）所有的密码学，我们仍然可以基于信息理论（lùn）保密 - 尽管能力有（yǒu）很大（dà）的损失。

 

密码学的核心依赖于数学上的技巧，即有些事（shì）情比撤（chè）消更容（róng）易做。就像（xiàng）粉碎一（yī）块钢板比将所（suǒ）有碎片粘合在（zài）一起更容易（yì）一样，将两个素（sù）数相乘以获得一个大的（de）数字比把这个大数字再分解成两个素数（shù）要（yào）容易（yì）得多。这种（zhǒng）不（bú）对称 - 单向函数和陷阱门单向函数 - 是所有密码学的基础（chǔ）。

 

为了加密消息（xī），我们将它与密钥组合以形成密文。没有密钥（yào），逆转过程就更加困难了（le）。不仅有点困难，而且是非常（cháng）的难。现代加密算法如此之快（kuài），以至于它们可以保护（hù）您（nín）的整（zhěng）个硬盘（pán）驱动（dòng）而不会（huì）出现任何明显的减速，但（dàn）是在宇（yǔ）宙爆炸之前，加密（mì）是无法打破的。

 

使用对称加密，来用于加密（mì）消息，文（wén）件（jiàn）和驱动（dòng）器，这种不平衡性（xìng）是（shì）指数（shù）级的，并且随（suí）着密钥（yào）的增大而被放大。添加一（yī）位密钥（yào）会使加密的复（fù）杂程度增加（jiā）不到百分之一（略（luè）过不证明（míng）），但打（dǎ）破成（chéng）本却增加了一倍。因此，256位密钥看起来只有128位（wèi）密钥的两倍，但（dàn）是（根据我们目前的数学（xué）知识），破（pò）解256位的（de）秘钥比破解128位的秘（mì）钥要困难（nán）340, 282, 366, 920, 938, 463, 463, 374, 607, 431, 768, 211, 456倍。

 

公钥加密（主要用于密钥交换）和数字签名更加复杂。因（yīn）为（wéi）它们依（yī）赖于（yú）诸如因子分解之（zhī）类的困难的数学问题，所以（yǐ）有更多潜在的技（jì）巧来反（fǎn）推它们。因此，您将看到RSA的（de）密钥长度为2,048位，基（jī）于椭圆曲（qǔ）线的算（suàn）法的密钥（yào）长度为384位。但是，在这（zhè）里，用这些密钥长度反转算法的成本（běn）超出了人类目前的承受能力（lì）。

 

这种单向性基（jī）于我（wǒ）们（men）的数学知识。当你听说密码（mǎ）学家“打破”一（yī）个算法时，发生（shēng）的事情就（jiù）是（shì）他（tā）们找到（dào）了一个新的技巧，使反推（tuī）变（biàn）得更容易。密码学家一直在发现新的技巧，这就是为什么我们倾向（xiàng）于使用长度超过严格要求的密钥长度。这（zhè）对于对称（chēng）和（hé）公钥算法都是（shì）如此; 我们正在（zài）努力证明它们的（de）未来（lái）。

 

量子计（jì）算机有望颠覆这一切。由于它（tā）们的工作方式，它们（men）擅（shàn）长扭转这些（xiē）单向函数所需的各种计算。对于（yú）对称密码学，这（zhè）不是（shì）太糟（zāo）糕。Grover的算法表明量子计算机可以加速这些攻击，从而有效（xiào）地将密钥长度减半（bàn）。这意味（wèi）着256位密钥与量子计算（suàn）机一样强，就像128位密钥与传（chuán）统计算机相比; 两者在可预（yù）见的未来都是（shì）安（ān）全的。

 

对于公钥加（jiā）密而言（yán），结果更（gèng）加（jiā）可怕。Shor的算法可以很容易地破解所有常用的基于因式分解（jiě）和离散对数问题的公钥算法。密钥长度加（jiā）倍会增加（jiā）破解难度的难（nán）度。可（kě）这还（hái）不足够持久这样。

 

这（zhè）两个段落（luò）有很多值得注意的地方，其中最大（dà）的一点是能够做（zuò）这样的事情的量子计算机目（mù）前还不存在，没有人知道什么（me）时候（hòu）会出现（xiàn） - 或者即（jí）使 - 我（wǒ）们能（néng）够建（jiàn）立一个。当我们尝试实（shí）现Grover或Shor的（de）算法时，除了（le）密钥大小之（zhī）外，我们（men）也不知道会出（chū）现什么样的实际（jì）困（kùn）难。（量子计算机上（shàng）的纠错很（hěn）容（róng）易（yì）成（chéng）为一个不（bú）可逾越的问题。）另一（yī）方面，一旦人们开始使用实际的量子计算机，我们不知道会发现（xiàn）什么其他技术。我敢打（dǎ）赌，我们（men）将克服工程挑战，并将有许多进步和新技术，但（dàn）他们将（jiāng）花时间（jiān）去发（fā）现（xiàn）和发明。就像我们花了几十年的时间（jiān）才能把超级计算机装进口袋一（yī）样，要（yào）花上几十（shí）年的时间才（cái）能解（jiě）决建（jiàn）造大型量子计算（suàn）机所（suǒ）需的所有工程问题（tí）。

 

从短期（qī）来看，密（mì）码学家在设计（jì）和分析量子抗（kàng）性算法方面付出了相（xiàng）当大的精力（lì），而这些（xiē）算法可（kě）能在几（jǐ）十（shí）年来都保持安（ān）全。这是必然是一个缓慢（màn）的过程，因（yīn）为良好的密码分析转换标（biāo）准需要时间。幸运的是，我们还有时间。实用的量子计（jì）算似乎（hū）总是（shì）在“未来十年”中（zhōng），这（zhè）意（yì）味着（zhe）没有（yǒu）人可以知道。

 

然而，在那之（zhī）后，这些算法总（zǒng）是有（yǒu）可能（néng）落入具有更（gèng）好量子技术的外星（xīng）人。我不（bú）太（tài）担心（xīn）对称加（jiā）密，其中Grover的（de）算（suàn）法基本上是量子改进（jìn）的上限，而不是基于数论的公钥算法，这种算法感（gǎn）觉更脆弱（ruò）。量子计（jì）算机有（yǒu）可能在某一（yī）天摧（cuī）毁所（suǒ）有（yǒu）这些计算机，即使是（shì）那些今天就（jiù）具（jù）有量子抗（kàng）性的计算机。

 

如果（guǒ）发生这种情况，我（wǒ）们将面（miàn）临一个（gè）没有强大（dà）的公（gōng）钥密码学的世界。这将是对安全性的巨（jù）大打击，并且会（huì）打（dǎ）破（pò）我们目前所做（zuò）的很多事情，但（dàn）我们（men）可（kě）以适应（yīng）。在20世纪（jì）80年代，Kerberos是一个全对称的身（shēn）份（fèn）验证和加密（mì）系统。最近，GSM蜂窝标（biāo）准（zhǔn）只进行了对称加（jiā）密进行了大（dà）规模的身份认证和（hé）密钥分发。是的（de），这些系统具有集中的信任（rèn）和失败点，但是（shì）可（kě）以设计使用秘（mì）密拆分和秘密（mì）共享的其他系统来最（zuì）小化该（gāi）风（fēng）险。（想象一下，一对通（tōng）信者分别从五个（gè）不同的密钥服务器中获取一个会话密钥。）通信的普及也使（shǐ）今天（tiān）的（de）事情变得（dé）更容易。我们可以使用带外协议，例如，您的手机可以（yǐ）帮助您为计算机创建密钥。我们（men）可以使用面对（duì）面注（zhù）册来（lái）增加安全性，可（kě）能是（shì）在商店购买您的智能手机或（huò）初（chū）始化您的互联网服务。硬件的进（jìn）步也可能有助于在这（zhè）个世界中保护（hù）密钥。我不是想在这里设（shè）计任何东西，只是指出有很多设计可能（néng）性（xìng）。我们知道密码（mǎ）学是（shì）关于信任（rèn）的（de），而且我们有比早期（qī）的互（hù）联（lián）网更多（duō）的（de）技（jì）术（shù）来（lái）管理信（xìn）任。像前向（xiàng）保密这样的一些重要属性会（huì）变得迟钝（dùn）而且复杂得多（duō），但（dàn）只要对称加密（mì）仍然有效，我们仍然会有（yǒu）安全性。

 

这是一（yī）个（gè）奇怪（guài）的未来。也许基于数论加密的（de）整个概念，这是（shì）我们现代公钥系统的基础，是基于我们不完整的计算模型的暂（zàn）时（shí）的迂（yū）回。现在我（wǒ）们的模型已经扩（kuò）展（zhǎn）到包括量子计算，我们可（kě）能（néng）最终（zhōng）回到20世纪70年代末和80年代初的水平：对（duì）称加（jiā）密，基于密码的加密（mì），Merkle哈（hā）希签名。这既有趣又具有讽刺意味。

 

是（shì）的，我（wǒ）知道（dào）量子密（mì）钥（yào）分配是公钥加（jiā）密的潜在替代（dài）品。但是（shì），拜托 - 是否有人希望系统需要专门的通信硬件和电缆才（cái）能用于除小众应用之外的（de）任何（hé）其他应用？未（wèi）来是移动，永远是嵌入（rù）式计（jì）算设备。这些软（ruǎn）件的任（rèn）何安全性都必须（xū）仅限于软件。

 

还有一个未来的方案（àn）需要考虑，一（yī）个（gè）不需要量子计算机的方案。虽然（rán）有几种数学理论支持我们（men）在密（mì）码（mǎ）学中（zhōng）使用的单向（xiàng）性，但证明这些理论的有（yǒu）效性实际上是（shì）计算机科学中一个重（chóng）大的开放性问题。正如（rú）聪明的密码学家有可能（néng）找到一种新技巧，可以更容易地（dì）破（pò）解特定（dìng）算法，我们可（kě）以想象有足够数学理论（lùn）的（de）外星人可以打破所有加（jiā）密算（suàn）法。今天对我们（men）来说的话，这也（yě）太荒谬了。公钥密码学是所有数（shù）论，并且可能容易受到数学（xué）倾（qīng）向的外（wài）星（xīng）人的（de）影响。对（duì）称密（mì）码学是如此多的非（fēi）线性混（hún）乱（luàn），因此容（róng）易（yì）变得更加复（fù）杂，并且容易（yì）增加密钥长度，这种未来是不可想象（xiàng）的。考虑具有（yǒu）512位块（kuài）和（hé）密钥大小以及128循（xún）环的AES变（biàn）体。除非数学与我（wǒ）们目前的理解（jiě）有根本不同，否则在计算机由（yóu）物质以外的东西构成并占据除空（kōng）间之外的东西之前，这将是安全的。

 

但是，如果（guǒ）这种（zhǒng）难以（yǐ）想象的（de）事情发（fā）生了，那我们将只有（yǒu）完全基（jī）于信息理论的加密：一次性（xìng）密码（mǎ）本及其变体。这将是对安全的巨大打击（jī）。一次性密码本可能在理论上是安全的，但实际上它们不（bú）能用（yòng）于除专门的（de）小众应用之外的任何东西（xī）。今（jīn）天，只有破解者才会试图建立基于一（yī）次性密（mì）码本的（de）通用（yòng）系统 - 密码学家嘲笑他们，因为他们（men）用密钥（yào）管理和（hé）物理安全问（wèn）题（更加困难）取代了算（suàn）法设计问题（简单）。在我们陌生的（de）科幻未（wèi）来中（zhōng），我们可能一无所有。

 

对于这（zhè）些神一般的外星人，密码学将是（shì）我们唯一可以肯定的技术。我（wǒ）们的核（hé）武器可能会拒绝引爆，我们的战（zhàn）斗机可能会（huì）从空中（zhōng）坠（zhuì）落，但我们仍然能够（gòu）使用一次性密码本安全地进行通信。这里（lǐ）面有一种乐观（guān）主义。