1.什么是后量子密码（PQC）？

后量子密码学 (PQC) 是指一组新的密码算法，旨在保护数据和系统免受能够运行 Shor 算法的量子计算机的威胁，而 Shor 算法可能会破坏经典的公钥密码算法。虽然传统计算机使用比特作为信息的基本单位，但量子计算机使用量子比特 (qubit)。这使得量子计算机能够执行复杂的数学计算，解决问题的速度比传统计算机快得多。另一方面，无与伦比的处理能力也使它们有可能破坏当今广泛使用的密码算法，例如 RSA 和 ECDH 以及 RSA、ECDSA 和 EdDSA 等数字签名算法。后量子密码学旨在开发能够抵御量子计算攻击并确保数字通信的真实性、机密性和完整性的新型密码算法。

2. 后量子密码为何重要？

量子计算是一把双刃剑。量子计算机的强大计算能力有望为科学、金融、制药、能源等各个领域带来突破性进展，但同时也对现有的公钥加密技术构成了严重威胁。

量子计算机基于量子力学原理（例如叠加和纠缠）运行，这些原理可帮助它们以当今传统计算机无法想象的速度执行复杂的数学计算。这虽然很棒，但也意味着量子计算机有能力破解当今许多数字安全基础设施所依赖的加密算法。

如今，所有数字交易和通信都通过 RSA 和 ECDH 等公钥加密算法以及 RSA、ECDSA 和 EdDSA 等数字签名算法进行保护。这些加密算法有助于保护静态和传输中的数据（无论位于何处），并为互联网通信创建安全的环境。要破解这些算法并解决其背后的复杂数学问题，需要当今传统计算机所不具备的强大计算能力。

然而，大型量子计算机（如 CRQC（密码相关量子计算机））的出现可能会带来可怕的后果。凭借其巨大的处理能力，这些机器可能会轻而易举地破解当今的加密算法，尤其是 RSA。这种情况可能会使当今许多敏感的加密数据变得脆弱，并面临泄露的风险。

1994 年，彼得·肖尔 (Peter Shor) 开发了一种算法（现称为肖尔算法），该算法分解大整数的速度比经典算法快得多。这证明了量子计算在现实生活中破解 RSA 算法的可能性。

随着量子计算的前景越来越好，威胁者们已经迫不及待了。他们已经开始拦截和存储加密数据，尽管他们缺乏用现有技术解密数据的方法。这种被称为数据收集的策略就是等待有一天强大的量子计算机能够随时解密这些数据。

量子计算的影响还不仅限于加密。另一种量子算法 Grover 算法可以显著加快暴力搜索过程，有效地将 AES 等对称密钥算法的安全强度减半。这意味着，之前被认为安全的密钥需要加倍大小才能保持相同的安全级别，抵御量子攻击。

鉴于现实中的量子威胁，采用后量子密码学 (PQC) 不仅仅是一个建议，而是一种必需。PQC 是构建量子弹性和保护我们的数字基础设施的关键，同时还能利用量子计算的力量。

3. 谁在开发后量子密码？

后量子密码算法的开发是全球努力的一部分，涉及众多利益相关者，包括科学家、学术研究人员、密码专家、政府机构和私营部门。

为了充分利用这项变革性技术，白宫于 2022 年发布了两项总统指令，第一项指令定义了对核心 QIS 研究项目的投资政策和举措，第二项指令列出了有效应对量子计算机潜在安全风险的具体目标。

引领 PQC 发展的是美国国家标准与技术研究院 (NIST)，该机构组织了一场旨在标准化后量子密码算法的国际竞赛。该竞赛吸引了来自世界各地的密码研究人员和机构的参赛作品，其中包括知名大学、研究实验室和科技公司。

谷歌、IBM 和英特尔等大型科技公司也在积极研究和开发后量子加密解决方案，将这些进步融入到他们的产品和服务中，以确保他们的安全基础设施面向未来。这些部门之间的合作正在推动强大的后量子加密标准的开发、分析和实施，确保它们满足后量子世界的安全性、性能和互操作性需求。

标准化工作

NIST 正在致力于标准化后量子密码算法。该过程包括多轮评估，考虑安全性、性能和实施方面。目的是提供一套密码算法，以在量子计算带来的威胁面前取代或增强现有标准。

2022 年 7 月，NIST 公布了首批四种 PQC 算法，这些算法足够强大，能够抵御量子攻击。这四种推荐算法预计将于 2024 年 7 月完成。

这四种算法是针对通常使用加密的两种主要用例而设计的：通用加密和数字签名。

对于用于保护网站安全的通用加密，NIST 选择了CRYSTALS-Kyber算法，因为它的运行速度快且加密密钥相对较小。

对于用于验证身份的数字签名，NIST 选择了三种算法——CRYSTALS-Dilithium、FALCON 和 SPHINCS+。

NIST 建议将 CRYSTALS-Dilithium 作为主要算法。FALCON 算法将用于需要比 Dilithium 提供的更小签名的应用程序。据说第三种算法 SPHINCS+ 比其他两种算法相对较大且速度较慢，但由于它基于与其他三种算法不同的数学方法，因此已被选为备用算法。

4. 使用PQC需要做好准备？

一旦 NIST 宣布标准 PQC 算法，当今的加密标准最终将被弃用并被新的量子安全标准取代。保护数字资产和防止网络攻击将取决于组织将其加密系统迁移到量子安全标准的速度。过渡时间越长，暴露风险就越大。考虑到升级加密系统所涉及的复杂性、成本和时间，组织需要主动规划和准备其 PKI 以实施 PQC。

实施后量子密码算法的注意事项

· 性能： PQC 算法通常比传统算法需要更多的计算能力。评估它们对处理速度、功耗和整体系统性能的影响至关重要，尤其是对于资源受限的设备。

· 密钥和密文大小：许多 PQC 算法使用比当前算法更大的密钥大小并生成更大的密文。这可能会影响存储要求和传输时间，因此需要仔细评估这些大小的增加如何影响系统资源和网络性能。

· 互操作性：将 PQC 算法与现有协议和系统集成需要确保兼容性和顺畅的交互。这包括更新标准和框架以支持新的加密方法，而不会中断当前的操作。

· 安全保障：确保新算法能够抵御量子和经典攻击至关重要。这涉及严格的分析、同行评审和测试，以识别和缓解潜在漏洞。

· 法规遵从性：遵守法规要求和行业标准至关重要。组织必须确保采用后量子加密算法符合与数据保护和安全相关的法律和监管义务。

后量子密码学实施行动计划

· 评估：评估量子计算对现有加密系统的潜在影响。

· 清单：建立所有加密资产的完整可见性——它们在哪里、有多少以及它们保护什么。确定依赖于潜在易受攻击的加密算法的关键系统，这些系统需要优先切换到后量子标准。

· 测试：在受控环境中实施和测试后量子加密算法，以识别潜在的系统问题并确保它们满足安全性和性能要求。

· 规划：制定向量子安全算法过渡的路线图，包括更新软件和硬件并制定明确的迁移政策和程序，以极大限度地减少运营中断。

· 供应商合作：评估供应商能力以确保他们为您的量子转型提供支持。

· 培训：向关键利益相关者和相关团队介绍量子计算的快速发展及其带来的安全风险。培训他们应对转型过程中涉及的具体挑战。

· 建立加密敏捷性：建立在加密算法之间快速切换的能力，以确保快速应对加密威胁。选择企业级证书生命周期管理解决方案来提供可实现加密敏捷性的可见性、自动化和控制。

5.量子计算机简史

虽然关于量子力学作为物理学分支的讨论可以追溯到 20 世纪初，但量子计算机的概念出现于 20 世纪 80 年代，这很大程度上要归功于物理学家理查德·费曼和戴维·德意志的开创性观察。费曼认为，由于量子现象的指数级复杂性，传统计算机很难准确地模拟量子现象，他建议使用量子力学原理构建计算机，这为量子算法和更广泛的量子信息科学领域奠定了基础。德意志后来提出了通用量子计算机的概念，这种计算机能够比传统计算机更有效地执行任何计算任务，以解决特定问题。这些开创性的贡献为量子计算的未来奠定了基础。

1994 年是量子计算的关键一年，数学家 Peter Shor 开发了一种改变游戏规则的算法。Shor 算法能够高效地分解大整数，这表明功能足够强大的量子计算机可以在几秒钟内解决复杂的数学问题，而这项任务对于经典算法来说需要几年的时间才能完成。这一发现不仅凸显了量子计算打破传统加密算法的潜力，还引发了对量子计算机和抗量子加密方法开发的研究和投资浪潮。

1996 年，计算机科学家 Lov Grover 提出了一种重要的量子算法，即 Grover 算法。与传统计算机相比，该算法允许量子计算机以前所未有的速度搜索未排序的数据库。这具有重大的实际意义。例如，量子计算机可以更快地执行强力搜索（例如尝试所有可能的密钥来破解加密）。如果传统计算机需要一百万次尝试才能找到正确的密钥，那么量子计算机可能只需要一千次。密码学的这一突破促进了对抗量子算法的进一步研究，凸显了量子计算对现实世界的影响。

在随后的几十年里，量子研究取得了重大进展，包括小规模量子处理器的实验演示、量子比特相干时间的增加以及纠错和量子算法的进步，使量子计算的理论前景更接近实际实现。

2019 年，谷歌发布了第一代 Sycamore 处理器，这是量子征程上的一个重要里程碑。谷歌声称，这台 53 量子比特的处理器可以在 200 秒内完成一次计算，而世界上最强大的超级计算机则需要 10,000 年才能完成。

2022 年 11 月，IBM 发布了其最强大的量子计算处理器，拥有 433 个量子比特。这款处理器被昵称为 Osprey，比该公司 2021 年发布的 127 量子比特 Eagle 处理器快近三倍，比谷歌的 Sycamore 处理器快八倍以上。

目前，量子计算领域正在飞速发展，研究人员和科技巨头们正在努力开发强大而稳定的量子处理器。此外，新的算法和纠错技术也在不断开发中，以提高量子计算机的实用性，并实现其在各个行业的变革潜力。

6.量子计算机如何工作？

量子计算机基于量子力学原理运行，利用量子比特而不是传统比特来表示和处理信息。虽然传统比特可以是 0 或 1，但量子比特可以同时为 0、1 或两者。此外，量子比特可以纠缠，这是一种现象，即一个量子比特的状态会影响另一个量子比特的状态，而不管它们之间的距离如何。叠加和纠缠这两个特性使量子计算机能够同时执行多个计算，并且比传统计算机处理复杂问题的速度快得多。

然而，量子计算也面临着重大挑战。保持量子比特的一致性一直是一个长期的挑战；量子态很脆弱，很容易受到外部噪声和环境因素的干扰，需要在极低温度下进行精确的控制和隔离技术。另一个挑战是将量子系统扩展到更多的量子比特，同时保持一致性并降低错误率，这目前限制了计算的复杂性和可靠性。此外，量子纠错对于减轻量子系统中不完善的操作和噪声引起的错误至关重要。

底线

后量子密码学是网络安全领域的一个重要研究和开发领域。随着量子计算的发展，当前的密码系统面临着严重的威胁。应对这些威胁需要开发和采用能够抵御量子攻击的新密码算法。通过标准化工作和精心规划，组织可以自信地迈向后量子时代，同时保持数字通信的安全性和完整性。