量子計算加速發展，PQC如何抵禦「量子威脅」｜未來產業調研筆記

量子技術被認為是科技領域的下一個里程碑。量子計算帶來計算能力的飛躍，使得處理複雜問題如同小兒科，無論是藥物設計、氣候模擬，還是優化大型系統，量子計算都有望大顯身手。但這把雙刃劍也將帶來巨大威脅——它能在瞬息之間破解現今大多數加密技術。

傳統密碼學，就像是保護我們數字世界的城牆，但在量子計算面前，這些城牆就好比是紙糊的。比如，現在廣泛使用的rsa密碼機制，量子計算機使用著名的shor演算法就能輕鬆破解。一旦量子計算機普及，我們的銀行賬戶、電子郵件甚至國家機密都將裸露在風險之下。

為了應對量子計算帶來的巨大威脅，pqc（post-quantum cryptography，抗量子密碼，又稱後量子密碼）技術就顯得尤為重要。作為一種針對量子威脅設計的加密演算法，pqc能夠抵抗量子計算機的攻擊，保護我們的信息安全。

格爾軟體(603232.sh)副總經理、上海泓格後量子科技有限公司總經理董明富在接受第一財經採訪時表示，隨著量子計算技術的加速發展，抗量子密碼的遷移工作十分緊迫，密碼的升級替換是一項非常複雜且龐大的工程，並且需要非常大的資金支持，不是一夜之間可以完成的，只有早做布局，在量子時代真正到來時才不會措手不及。

本文將聚焦以下話題，對pqc技術及其應用展開討論：

1、什麼是pqc技術，pqc是絕對安全的嗎？

2、傳統密碼學向pqc過渡有哪些難點？

3、pqc技術目前的應用情況及投資機會。

用於抵抗「量子威脅」，pqc也並非絕對安全

pqc技術是指研發設計能夠抵抗量子計算機攻擊的加密演算法。

傳統的公鑰密碼體系，如rsa、ecc（橢圓曲線密碼學）等，依賴於整數因式分解和離散對數問題的計算難度，破解所需的時間極其漫長，在現有技術條件下十分安全。

然而，隨著量子計算機的發展，shor演算法等量子演算法被發現能夠快速破解這些問題。以目前最流行和廣泛使用的加密演算法——rsa演算法為例，現在最常見的是2048位加密（密鑰長度越長破解時間越久），而shor演算法理論上能夠在短短8小時內破解長達2048位的rsa加密，從而威脅傳統公鑰密碼體系的安全性。

關於量子計算機對傳統密碼學的威脅和擔憂已經存在一段時間，但目前尚未變為現實。量子計算機的算力取決於能夠處理的量子比特數，目前的量子計算機只有數百到一千個雜訊量子比特，用於創建少量穩定和糾錯的量子比特。而要威脅到傳統加密技術，需要數千個穩定的量子比特，這可能需要數百萬個雜訊量子比特。因此，雖然量子計算機的能力正在迅速發展，但還沒有達到威脅經典加密的水平，但有業內專家表示，可能在未來5-10年內或更短的時間內達到這一水平。

目前，pqc以及量子密碼學領域已經開發出多種密碼學技術和演算法用於對抗量子計算的威脅，其重點就是避免使用整數因式分解和離散對數問題來加密數據。具體方法包括基於格的密碼學、基於哈希的密碼學、基於代碼的密碼學和基於多變數的密碼學。其中，基於格的加密技術被認為是目前最為突出和可靠的。

在由美國國家標準與技術研究所（nist）主導的全球影響力最大的pqc標準化工作中，其2023年選定的四種標準化演算法，有三種都是基於格的加密技術。

那麼pqc是否就是絕對安全的？

董明富表示，任何一個密碼演算法，只要給到足夠的時間，理論上都是可以被破解的。判斷一個演算法是否安全，主要是在現有技術條件下，可接受的時間範圍內不能被破解，就可以認為是安全的。

所以pqc也並非萬無一失。一方面，儘管這些密碼學問題目前看來難以攻破，但未來可能發現新的解決這些問題的方法；另一方面，密碼演算法的實際實現也可能存在缺陷，或者在參數選擇上出現失誤，這些都可能成為潛在的安全漏洞。

據悉，目前對pqc演算法的安全性已經從理論層面的數學漏洞拓展到實際應用層面，被nist提名的標準化演算法之一的kyber密鑰封裝機制（kem），在2023年接連爆出在應對側信道攻擊上的安全漏洞。

實際攻擊的出現強調了在部署pqc演算法時，及時檢查並修復潛在漏洞的重要性，促使pqc演算法的不斷改進和演進，以提高真實應用場景中的安全性。

董明富表示，密碼技術對於國家安全而言，處於一個非常重要的地位。為了保持數字世界的安全，pqc技術需要不斷發展和更新，以隨時適應新的威脅。

傳統密碼體系向pqc過渡仍面臨很多挑戰

儘管量子計算對傳統密碼學的威脅目前仍停留在理論階段，但全球各國都在呼籲加速進行pcq技術的遷移。

2023年12月，中國抗量子密碼戰略與政策法律工作組成立與專家聘任儀式在第十三屆中國信息安全法律大會主論壇上舉行。工作組將對抗量子密碼技術、產業、業務的現狀和相關國內外政策、法律法規進行研究，以公開或定向方式發表抗量子密碼相關藍皮書、專題研究報告等成果，推動形成中國抗量子密碼共識和行動方案。

此前在2022年，美國國家安全局（nsa）發出呼籲，要求各種規模的組織在2035年之前進行量子安全加密的遷移。2023年，美國國內安全局（cisa）、nsa和nist再次發布了一份新的資源，其中包含了抗量子加密技術遷移的指導原則。

英國國家網路安全中心（ncsc）也於2023年發布白皮書，幫助商業企業、公共部門組織和關鍵國家基礎設施提供商的系統和風險所有者思考如何為向pqc遷移做好準備。

對於抗量子加密技術部署的緊迫性，董明富表示，目前一個最大的問題在於敏感信息的前向安全問題，雖然現在量子計算技術還未實現真正突破，但很多加密敏感信息在網上流轉，這意味著不法分子可以現在竊取加密數據並將其存儲起來，等量子計算技術成熟後再來解密。

應對這個問題，目前主要採取量子密鑰分發（qkd）和pqc技術，其中qkd被認為是理論上唯一無條件安全的通信方式，因為qkd密鑰安全性是基於量子物理定律，而不是基於數學問題的計算複雜性。我國在基於qkd技術的量子保密通信組網建設上已初具規模，商業化應用正在持續推進，而pqc演算法目前正在進行標準化論證。

推動pqc技術大規模商業化應用，完成傳統密碼體系向pqc過渡仍然面臨很多挑戰。董明富表示，首先就是標準化工作，目前美國nist正在推進相關演算法標準草案的評估，預計2024年正式批准；我國也從去年開始推進相關標準設立，但目前還沒有完全標準化，標準化工作是pqc演算法推廣的關鍵環節。

其次，因為密碼體系是一項基礎性的技術，在整個網路安全生態當中滲透非常廣，完全向pqc過渡是一項長期且複雜的工程，從晶元到操作系統需要建立起完整的量子安全生態。與此同時，在資源和資金上的投入也非常大，大規模推廣仍需要國家政策的支持。

pqc技術離大規模商業化還有一段距離

各國目前都很重視pqc技術的發展。全球pqc科研機構以高校為主。中國參與pqc領域的科研機構較多，但實現商業化轉型的機構仍然有限。美國已有多家科研機構孵化出pqc初創公司，轉型商業化。根據專註於前沿科技領域的知名諮詢機構icv的研究報告，從pqc公司總部地理分布來看，美國、歐盟、中國的公司分布較為密集。

從pqc應用方面看，美國ibm、microsoft、google等科技巨頭已將公司業務拓展至pqc領域，其中google 已應用pqc演算法保護其旗下chrome瀏覽器網路安全。

4月10日，我國第三代自主超導量子計算機「本源悟空」成功裝備國內首個pqc「抗量子攻擊護盾」混合加密方法，能夠更好抵禦其他量子計算機的攻擊，確保運行數據安全。

總體來看，目前pqc技術仍處於研發和標準化階段，離大規模商業化還有一段距離，但密碼技術作為網路安全技術的基石，承擔抵禦量子時代信息安全的重任，有望在國家政策的大力扶持下快速發展。

對於各大網路安全廠商而言，布局抗量子密碼技術已成為重中之重，畢竟一旦量子計算機在算力上實現重大突破，現有密碼體系將完全失效。據董明富介紹，格爾軟體作為核心的密碼安全企業，已經將pqc技術作為戰略性技術來對待，在研發、市場等各方面資源都將向抗量子密碼技術傾斜。

(本文來自第一財經)