发布日期:2026-04-07 浏览次数:
量子计算与密码学之间的关系代表了未来十年最具影响力的技术竞赛之一。一方面,量子计算机有望拥有足以破解保护全球商业、政府机密和个人隐私的加密技术的强大能力;另一方面,人们正努力开发和部署能够抵御量子攻击的新型密码系统。
情报机构已开始收集加密通信,意图在量子计算机普及后对其进行解密。各国政府已将后量子密码学列为国家安全优先事项。科技公司正在重写其产品的加密基础架构。金融机构正计划分多年逐步迁移到抗量子系统。
事关重大。现代数字基础设施依赖加密技术来保障交易安全、验证身份并保护敏感信息。如果量子计算机在替代方案部署之前就能破解这些系统,其后果可能包括金融系统遭到破坏、国家机密泄露以及数字通信信任度下降等。
然而,威胁出现的时间仍然难以确定。关于量子计算机何时能够达到足以破解广泛使用的加密技术所需的规模和可靠性,各方估计的时间从十年到几十年不等,具体取决于预测者及其所采用的假设。这种不确定性带来了一个棘手的规划难题:各组织必须在无法准确了解量子计算机何时到来或哪些系统最易受威胁的情况下,投资开发抗量子加密技术。
显而易见,密码学转型需要数年甚至数十年才能完成。这需要制定标准、重写软件、升级硬件,用户也必须采用新的系统。向抗量子密码学的迁移已经开始,其动力源于人们认识到,一旦量子计算机问世,一切准备都将为时已晚。
量子密码学面临的威胁源于量子计算机在处理特定数学问题时,其算法的执行速度比经典计算机快得多。这些算法使得足够强大的量子计算机能够破解目前保护政府、企业和个人敏感数据的加密方案。
威胁并非在于量子计算机在所有计算领域都更胜一筹。真正的危险在于量子计算机能够解决一类特定的问题——具体来说,就是分解大数和计算离散对数——而这些问题正是广泛使用的加密系统的基础。
1994年,数学家彼得·肖尔(Peter Shor)开发了一种量子算法,其分解大数的速度比目前已知的最佳经典算法快指数级。这一突破表明,如果量子计算机的规模足够大,就能破解RSA加密——世界上应用最广泛的加密系统之一。
RSA 加密依赖于分解两个大素数乘积的难度。一台传统计算机尝试分解一个 2048 位 RSA 密钥所需的计算资源和时间尺度使得攻击几乎不可能——使用现有技术估计需要数千年到数百万年,但 Shor 算法改变了这一现状。
最新估算表明,破解广泛使用的加密系统所需的资源可能低于之前的预期。早前的预测认为,在容错量子计算机上破解 RSA-2048 大约需要 2000 万个物理量子比特。
近期的研究已对此进行了大幅修正。克雷格·吉德尼 (Craig Gidney) 在 2025 年发表的一项研究成果,在类似的假设下,将物理量子比特的估计数量降低到不足一百万个。包括 QLDPC 码在内的其他研究表明,在特定架构下,进一步的优化可以将这个数字降低到更低。
另外,谷歌在 2026 年的一份白皮书中指出,椭圆曲线密码学(例如 secp256k1)在大约1,200 个逻辑量子比特的情况下可能存在漏洞,这相当于在足够先进的容错系统上 少于 500,000 个物理量子比特。
洛夫·格罗弗 (Lov Grover) 于 1996 年开发的另一种量子算法,能够将搜索无序数据库的速度提升至二次方级。从密码学角度来看,格罗弗的算法可以加速对对称加密方案(例如 AES(高级加密标准))的暴力破解攻击。
与 Shor 算法相比,Grover 算法的影响较小。Shor 算法能够提供指数级加速(将原本无法解决的问题转化为可解决的问题),而 Grover 算法只能提供二次方加速。这意味着密钥长度加倍可以恢复抵御量子攻击的安全性。
例如,AES-128(128 位密钥)在面对运行 Grover 算法的量子计算机时,其安全性大致相当于 64 位密钥——虽然较弱,但并非完全无法破解。相比之下,AES-256 能够保持大约 128 位的安全性,抵御量子攻击,这在目前的标准下仍然相当强大。
因此,通过增加密钥长度并继续使用现有算法,可以相对容易地防御量子计算机对对称加密的攻击。真正的威胁集中在非对称加密——即支撑数字签名、密钥交换和身份验证的公钥密码系统。
| 密码系统 | 古典安全基础 | 量子算法 | 量子攻击的影响 |
| RSA加密 | 分解大数 | Shor算法 | 指数级加速,安全性彻底崩溃 |
| 椭圆曲线密码学(ECC) | 离散对数问题 | Shor算法 | 指数级加速,安全性彻底崩溃 |
| Diffie-Hellman密钥交换 | 离散对数问题 | Shor算法 | 指数级加速,安全性彻底崩溃 |
| AES对称加密 | 穷举搜索 | Grover算法 | 二次加速,但密钥长度加倍会缓解这一影响。 |
| SHA-256/SHA-3 哈希 | 碰撞阻力 | Grover算法 | 二次方加速,但通过使用更长的哈希值可以缓解这一问题。 |
该表表明,量子威胁具有高度不对称性。公钥密码学面临着生存危机,而对称加密和哈希函数只需进行适度调整即可保持安全。
并非所有加密技术都同样容易受到量子计算机的威胁。这种威胁主要集中在那些依赖于量子计算机能够高效解决的数学问题的特定算法和协议上。
RSA 加密技术广泛应用于安全电子邮件(PGP/GPG)、VPN、安全网络连接(HTTPS)和软件签名等领域,但它完全容易受到 Shor 算法的攻击。任何实际长度的 RSA 密钥——无论是 1024 位、2048 位还是 4096 位——都可以被足够强大的量子计算机破解。
椭圆曲线密码学(ECC),包括椭圆曲线数字签名算法(ECDSA)和椭圆曲线迪菲-赫尔曼加密算法(ECDH)等,同样存在安全漏洞。ECC广泛应用于移动应用、比特币和以太坊等区块链系统以及现代TLS实现中。Shor算法破解ECC的效率比RSA更高,在密钥长度相同的情况下所需的量子比特更少。
Diffie-Hellman 加密及其椭圆曲线变体(ECDH)利用共享密钥对通信进行加密,但它们容易受到量子攻击。拥有量子计算机的攻击者可以通过破解密钥交换过程,追溯解密已记录的通信内容。
这种追溯解密威胁对于 TLS 1.2 及更早版本等完全依赖 Diffie-Hellman 或 RSA 进行密钥交换的协议来说尤其严重。即使会话加密使用 AES(AES 具有抗量子攻击能力,密钥更长),密钥交换环节一旦被攻破,会话密钥也会泄露,从而导致整个通信过程被解密。
AES-128对量子计算机的安全性较低(相当于约 64 位安全性),按照现代标准来看,安全性较弱。组织应迁移到 AES-256,后者可保持约 128 位的安全性,抵御量子攻击,安全性仍然很高。
SHA-256和其他哈希函数在碰撞攻击中速度会呈二次方级提升,但安全性仍然相当高。使用更长的哈希函数,例如 SHA-384 或 SHA-512,可以提供更大的安全保障。
公钥密码学中漏洞的集中存在具有广泛的影响:
网上银行和电子商务依赖于采用RSA或ECC加密的HTTPS连接。量子计算机可以冒充银行、拦截交易或窃取凭证。
如果敌方今天记录了加密流量,那么受 RSA 或 ECC 加密保护的政府通信可能会被追溯解密。
比特币等区块链系统使用ECDSA进行数字签名。量子计算机可以伪造签名,从而导致泄露的公钥被用于窃取加密货币。
软件分发依赖于数字签名来验证其真实性。量子计算机可以伪造签名,从而导致恶意软件的传播。
使用 RSA 或 ECC 进行密钥建立的VPN 和安全消息传递可能会受到攻击,从而暴露企业网络和私人通信。
颁发数字证书的公钥基础设施 (PKI)系统依赖于 RSA 或 ECC 算法。量子计算机可能会破坏整个证书生态系统的信任度。
易受攻击系统的广泛性凸显了后量子密码学迁移为何是一项全球基础设施挑战,而不仅仅是技术升级。
后量子密码学(PQC)指的是设计用于在经典计算机上运行,但能够抵御来自经典计算机和量子计算机攻击的密码算法。与利用量子力学实现安全性的量子密码学不同,后量子密码学依赖于研究人员认为量子计算机难以解决的数学难题。
目标是用提供同等功能(加密、数字签名、密钥交换)的新算法来取代易受攻击的公钥算法(如 RSA 和 ECC),同时保持对量子攻击的安全性。
2016年,美国国家标准与技术研究院(NIST)启动了一项为期多年的后量子密码算法评估和标准化进程。经过多轮评估、测试和密码分析,对最初的82个候选算法进行筛选后,NIST于2024年公布了首批标准化的后量子算法:
CRYSTALS-Kyber(现已标准化为 ML-KEM,即基于模块格的密钥封装机制)用于密钥建立。Kyber 允许双方安全地建立共享密钥,取代了 Diffie-Hellman 和 RSA 密钥交换等协议。
CRYSTALS-Dilithium(现已标准化为 ML-DSA,即基于模块晶格的数字签名算法)用于数字签名。Dilithium 提供身份验证和完整性验证,可替代 RSA 和 ECDSA 签名。
SPHINCS+(现已标准化为 SLH-DSA,即无状态哈希数字签名算法)是一种基于哈希函数而不是格的替代签名方案,在基于格的密码学被证明易受攻击的情况下提供多样性。
FALCON(基于 NTRU 的快速傅里叶格的紧凑签名)是另一种针对大小和带宽受限的应用而优化的基于格的签名方案。
这些算法代表了标准化后量子密码学的第一批成果。美国国家标准与技术研究院(NIST)将继续评估其他候选算法,特别是针对特定应用场景和替代数学基础的算法。
后量子密码算法依赖于一些似乎无法用量子算法解决的数学问题:
基于格的密码学(Kyber、Dilithium 和 FALCON 等密码学均采用此技术)依赖于在高维格中寻找短向量的难度——目前尚无高效的量子算法能够解决这个问题。格问题已被广泛研究,研究人员认为即使对于量子计算机而言,解决这些问题仍然十分困难。
基于哈希的密码学(SPHINCS+ 中使用的)的安全性源于加密哈希函数的抗碰撞性。虽然 Grover 算法在查找碰撞方面提供了二次加速,但使用足够长的哈希值也能保证安全性。
基于编码的密码学依赖于解码随机线性码的难度,而这个问题几十年来一直抵御着经典攻击和量子攻击。
多元多项式密码学利用了求解有限域上多元多项式方程组的难度。
基于同源的密码学利用椭圆曲线同源的结构,但最近的密码分析进展已经破解了一些基于同源的方案,引发了人们对这种方法长期安全性的担忧。
数学基础的多样性是有意为之。如果出现能够破解基于格的密码学的突破性算法,系统可以退而求其次,采用基于哈希或基于代码的替代方案。
与现有密码系统相比,后量子算法存在一些权衡取舍。密钥长度通常更大——虽然目前 256 位 ECC 密钥已能提供强大的安全性,但 Kyber-768 公钥大约需要 1184 字节。计算性能因算法而异,Kyber 和 Dilithium 的效率相当高,而基于哈希的签名算法(例如 SPHINCS+)速度较慢,且生成的签名更大。签名大小往往大于当前的 ECDSA 签名,这会影响带宽受限的应用。
尽管存在这些权衡取舍,后量子算法在部署方面仍然具有实用性。软件实现已经过优化,硬件加速器正在开发中,与现有协议(TLS、SSH、VPN)的集成也在进行中。
| 算法 | 类型 | 安全基础 | 公钥大小 | 签名/密文大小 | 表现 |
| ML-KEM(Kyber) | 密钥封装 | 格子问题 | 约 1,184 字节 | 约 1,088 字节 | 快速地 |
| ML-DSA(Dilithium) | 数字签名 | 格子问题 | 约 1,952 字节 | 约 3,293 字节 | 快速地 |
| SLH-DSA(SPHINCS+) | 数字签名 | 哈希函数 | 约 64 字节 | 约 29,792 字节 | 缓慢,大 |
| FALCON | 数字签名 | 晶格(NTRU) | 约 1,793 字节 | 约 1,261 字节 | 缓和 |
| RSA-3072(当前) | 加密/签名 | 因式分解 | 约384字节 | 约384字节 | 缓和 |
| ECDSA P-256(当前) | 数字签名 | 离散对数 | 约 64 字节 | 约 64 字节 | 快速、小巧 |
虽然后量子密码学利用数学来抵抗量子攻击,但量子密钥分发(QKD)采取了一种截然不同的方法——利用量子力学的定律来检测窃听并以信息论安全的方式分发加密密钥。
量子密钥分发(QKD)并不直接加密数据。相反,它会在通信双方之间建立一个共享密钥,任何窃听者试图拦截该密钥的行为都会留下可检测的痕迹。一旦密钥建立并验证其安全性,通信双方就可以使用该密钥和诸如AES之类的传统加密算法来加密通信。
最广泛使用的量子密钥分发协议BB84(于1984年提出)的工作原理是:Alice向Bob发送单个光子,并将每个光子编码为四种可能的量子态之一。Bob为每个接收到的光子随机选择测量基。传输完成后,Alice和Bob通过经典信道通信,比较各自的基选择,只保留基匹配的测量结果。然后,他们比较剩余比特的子集来估计误码率——如果误码率过高,则假定存在窃听者而中止传输。如果误码率可以接受,则使用隐私放大技术提炼出一个完全安全的共享密钥。
量子密钥分发(QKD)的安全性源于量子力学中的不可克隆定理和观察者效应。如果窃听者试图拦截并测量光子,她必然会干扰光子,引入误差,而这些误差会被Alice和Bob检测到。即使是拥有量子计算机的窃听者也无法破解QKD的安全性,因为它依赖于物理定律而非计算复杂度。
尽管量子密钥分发在理论上具有安全性,但在实际应用中仍面临局限性:
距离限制:光子在光纤中传输时会被吸收或散射,因此在没有可信中继节点的情况下,量子密钥分发(QKD)的传输距离大约只有100公里。量子中继器可以扩展传输距离,但目前仍处于早期研发阶段。
基础设施要求:量子密钥分发需要专用的量子通道、单光子源和探测器。这种基础设施成本高昂,且与现有的经典网络不兼容。
仅密钥分发: QKD 仅生成密钥,不加密数据、不验证参与方身份、也不提供数字签名。
可信节点:长距离 QKD 网络目前依赖于可信节点,这些节点将量子链路分成若干段,从而重新引入了一些漏洞。
仅限点对点: QKD 链路本质上是点对点的,限制了多方通信的可扩展性。
尽管存在局限性,量子密钥分发(QKD)网络已在多个地区投入运行。中国已部署了全球规模最大的QKD基础设施,包括连接北京和上海的2000公里地面网络,以及演示洲际QKD的墨子号卫星。欧洲正在建设欧洲量子通信基础设施(EuroQCI),将成员国与QKD网络连接起来。韩国、日本和新加坡运营着面向政府和金融行业的城域级QKD网络。
| 方法 | 安全基础 | 量子阻力 | 部署状态 | 关键限制 |
| 后量子密码学 | 数学难度 | 据信安全(未经证实) | 标准化、早期部署 | 依赖于未经证实的假设 |
| 量子密钥分发 | 量子力学 | 可证明安全的(基于物理学的) | 有限的运营网络 | 距离、成本、基础设施 |
两种方法各有优势。后量子密码技术由于其与现有系统的兼容性和全球可扩展性,将保护大多数数字基础设施。而量子密钥分发(QKD)则适用于那些量子基础设施成本和复杂性可以承受的高价值通信。
量子计算对密码学最直接、最令人担忧的影响之一是“先收集后解密”的威胁。那些有远见且拥有相应资源的对手正在收集加密通信,意图将其存储起来,直到量子计算机拥有足够的能力进行解密。
尽管大规模量子计算机尚未问世,但这种威胁依然迫在眉睫。如今使用RSA或ECC加密的数据可能在未来数年甚至数十年内都保持敏感状态。医疗记录、政府机密、企业知识产权和个人通信都可能面临被解密的风险。
现代数字通信会留下大量痕迹。互联网流量会经过路由器、海底电缆和数据中心,这些都可能被拦截和存储。能够访问网络基础设施的国家级行为体可以以相对较低的成本收集海量的加密数据。
过去几十年,存储成本呈指数级下降。对于资源雄厚的对手,特别是情报机构和国家而言,存储PB级甚至EB级的加密流量在经济上是可行的。加密数据的保存期很长——与会迅速贬值的易腐情报不同,只要底层信息保持敏感,加密通信就能一直保持其价值。
“先收获后解密”的威胁对处理具有长期敏感性信息的组织和个人造成了不成比例的影响:
政府机构传递机密信息时面临风险,即被截获的通信可能在多年后被解密,从而泄露国家机密、外交谈判或情报来源。
医疗机构使用当前算法加密存储患者记录,未来这些记录可能会被解密,从而侵犯患者隐私。
负责长期投资策略、并购或专有交易算法的金融机构可能会发现其竞争优势被削弱。
如果加密电子邮件被追溯解密,律师事务所在传递律师-客户特权信息时可能会面临泄密风险。
在研发周期较长的领域中开发知识产权的研究机构,如果对手解密泄露商业秘密的通信,可能会失去竞争优势。
能够接触到敏感信息的个人——政府官员、企业高管、记者、活动人士——如果私人通信被泄露,可能会面临人身风险。
担心“先收割后解密”攻击的组织有以下几种缓解措施:
对于包含必须保密十年以上的信息的通信,应立即迁移到后量子密码技术。尽管标准化算法要到2024年才正式推出,但早期采用者可以开始将其部署到高价值数据中。
采用混合密码技术,将现有算法(RSA、ECC)与后量子算法相结合。即使其中一种方法被破解,也能确保安全性,从而在过渡时期提供纵深防御。
删除不再需要的敏感通信记录,最大限度地减少数据保留。无论未来量子计算技术如何进步,不存在的数据都无法解密。
在成本和复杂性可以接受的情况下,将量子密钥分发应用于最敏感的通信。
在通信协议中实现完美前向保密,确保即使长期密钥泄露,过去的通信仍然安全。
量子计算机何时才能强大到足以破解RSA-2048密码,目前估计需要10到30年以上。然而,正是这种不确定性促使人们采取行动。一个需要保护30年机密信息的组织不能等到量子计算机即将问世才开始迁移——到那时,对手可能已经掌握了数年甚至数十年的可供利用的数据。
这就带来了一个决策难题——要么现在投入巨资和复杂技术进行后量子迁移,要么冒着敏感数据未来被解密的风险。对于许多组织,特别是那些处理机密信息或长期商业秘密的组织而言,解决方案在于尽早迁移。
后量子密码技术的开发和部署涉及政府机构、标准组织、科技公司和专业创业公司。
美国国家标准与技术研究院 (NIST)领导了全球标准化工作,评估了国际密码学家提交的方案,并于 2024 年发布了首批标准化的后量子算法。
美国国家安全局 (NSA)将后量子密码学列为优先事项,并要求美国国家安全系统开始过渡到抗量子算法。
CISA(网络安全和基础设施安全局)协调关键基础设施领域的量子密码迁移,为组织评估和升级系统提供资源和时间表。
欧盟网络安全局 (ENISA)负责协调欧盟成员国的后量子密码学工作,发布指导方针并支持研究计划。
中国国家密码局正在制定国家后量子密码标准,中国研究人员为国际标准化工作做出了重大贡献。
IBM一直是后量子密码学研究领域的领导者,其研究人员为Dilithium和FALCON等算法做出了贡献。该公司已将后量子算法集成到其产品和云服务中。
微软提供后量子密码库,并已开始将抗量子算法集成到 Azure 服务中。
谷歌已在 Chrome 和 HTTPS 连接中进行了后量子密钥交换实验,测试了结合经典算法和后量子算法的混合方法。
亚马逊网络服务 (AWS)在某些服务中提供后量子 TLS 选项,并提供实现 NIST 标准化算法的加密库。
苹果公司已开始将后量子加密技术集成到 iMessage 中,这代表着该技术在消费类应用中的首次大规模部署。
Cloudflare已在其边缘网络上试验了后量子 TLS,测量了性能并确定了部署挑战。
SEALSQ是一家瑞士半导体公司,致力于开发用于物联网设备、汽车系统和安全硬件信任根的后量子加密芯片。
BTQ Technologies专注于区块链和分布式账本系统的后量子安全,提供抗量子数字签名。
01 Communique (IronCAP) 为企业应用提供后量子加密软件许可。
PQShield是一家总部位于英国的初创公司,致力于开发针对嵌入式系统、物联网设备和汽车应用优化的后量子加密实现方案。
QuSecure提供了一个后量子网络安全平台,该平台集成了抗量子加密、量子密钥分发和量子随机数生成。
摩根大通、美国银行和其他主要银行都已建立了量子密码学研究项目,评估支付系统和安全通信中的漏洞。
全球金融信息网络SWIFT正在评估后量子密码技术,以保障银行间通信和交易认证的安全。
包括AT&T、Verizon和BT 集团在内的电信运营商正在研究 5G 网络和光纤基础设施的后量子安全技术。
量子计算机何时才能达到破解广泛使用的加密技术所需的规模和可靠性,仍然是该领域最具争议的问题之一。
一些研究人员和量子计算公司预测,能够运行 Shor 算法破解 RSA-2048 密码的容错量子计算机有望在 10 到 15 年内问世。这一时间表基于以下假设:物理量子比特数量持续呈指数级增长;量子纠错技术成功实现大规模应用;算法优化以降低对量子比特的需求;以及拥有充足的经典计算资源用于实时错误解码。
IBM 和谷歌等公司都制定了在此时间范围内实现容错系统的路线图,尽管加密攻击的商业可行性仍不确定。
更广泛的研究界倾向于更为保守的估计,认为破解RSA-2048或等效的椭圆曲线系统需要持续15到25年的发展。这种观点承认,将如今数百个量子比特扩展到所需的数百万个量子比特面临着巨大的工程挑战,也考虑到了可能出现的不可预见的技术障碍、维护百万量子比特量子计算机所需的资源密集度,以及经典密码分析技术的进步可能会延长现有系统的使用寿命。
这一时间表与专家调查和政府规划文件相符,这些文件通常将 2040 年代中期视为与密码学相关的量子计算机的可能出现时间。
一些怀疑论者认为,能够破解加密的实用量子计算机可能需要远超25年的时间,甚至可能永远无法达到所需的规模。这种观点强调了当前物理错误率与高效纠错所需错误率之间的差距、纠错码的开销(每个逻辑量子比特可能需要超过1万个物理量子比特)、基本物理限制可能阻碍量子计算规模突破某些阈值,以及经典计算技术的进步有可能与量子计算保持同步。
尽管时间表尚不确定,但有几点事实是明确的:
威胁真实存在:数学证明,如果将 Shor 算法部署在足够大的量子计算机上,它就能破解 RSA、ECC 和 Diffie-Hellman 加密。问题在于“何时”,而不是“是否”。
密码学转型需要数十年:即使如今已有标准化的算法,将全球基础设施迁移到后量子密码学也需要 10-20 年的协调努力。
“先收集后解密”的策略如今已然出现:攻击者无需等待量子计算机开始收集加密数据。对于任何在量子计算机普及后仍需保持敏感状态的数据而言,这种漏洞如今已然存在。
任何组织都等不起:等到足以破解加密的量子计算机公之于众时,组织要保护已经收集的数据就为时已晚了。
| 估算来源 | 大体时间 | 关键假设 |
| 乐观的量子算法公司 | 10-15年 | 量子比特数量持续呈指数级增长,纠错能力取得突破 |
| 学术共识 | 15-25岁 | 稳步推进,但预计会面临意想不到的挑战。 |
| 政府规划 | 约2040-2045年 | 政策和基础设施规划的保守时间表 |
| 怀疑论者 | 25年以上或不确定 | 基本的物理限制可能会阻碍规模化。 |
出于规划目的,大多数组织采用 15-20 年的时间跨度作为合理的中间值,因为他们认识到,即使这一估计被证明是悲观的,但迁移所需的时间也足以证明立即开始迁移是合理的。
量子威胁指的是功能足够强大的量子计算机能够破解广泛使用的加密系统,包括RSA、椭圆曲线密码学(ECC)和Diffie-Hellman密钥交换。Shor算法在拥有数千个逻辑量子比特的容错量子计算机上运行,其分解大数和计算离散对数的速度比经典计算机快得多,从而破坏了保护这些加密系统的数学复杂性假设。
根据对量子硬件发展、纠错技术进步和算法优化等方面的假设,预计量子计算机问世所需时间从10年到30年以上不等。大多数专家和政府机构出于规划目的,通常采用15-25年的时间表。然而,“先收集后解密”的威胁意味着,敌对势力已经在收集加密数据,以便在量子计算机问世后进行解密,这使得即使时间表尚不确定,也存在紧迫性。
后量子密码学由一系列数学算法组成,这些算法旨在经典计算机上运行,同时能够抵御来自经典计算机和量子计算机的攻击。与利用量子力学实现安全性的量子密码学不同,后量子算法依赖于即使对量子计算机而言也难以解决的数学难题,例如格问题、哈希函数安全性和基于代码的密码学。美国国家标准与技术研究院 (NIST) 于 2024 年将首批后量子算法标准化,其中包括用于密钥交换的 ML-KEM(Kyber)和用于数字签名的 ML-DSA(Dilithium)。
每种方法都有其优势和局限性。量子密钥分发(QKD)基于物理定律提供安全性,并且已被证明能够抵御量子攻击,但需要昂贵的专用基础设施,且在没有可信节点的情况下,其应用仅限于距离约100公里以上的点对点连接。后量子密码学采用数学安全机制(虽然无法证明其绝对安全),但它可以利用现有的互联网基础设施,并实现全球扩展。大多数组织将主要依赖后量子密码学,而将QKD保留用于高价值通信,以便在需要专用基础设施的情况下使用。
包括RSA加密、椭圆曲线密码学(ECC/ECDSA)和Diffie-Hellman密钥交换在内的公钥密码系统极易受到Shor算法的攻击。基于这些系统的数字签名同样脆弱。对称加密(如AES)在密钥长度加倍的情况下(例如,使用AES-256代替AES-128)仍然具有相当高的安全性。哈希函数(如SHA-256)的量子优势有限,但只要输出长度足够,仍然安全。
“先收集后解密”描述了敌对势力目前收集加密通信数据,并计划在量子计算机强大到足以破解加密后再进行解密的做法。这给处理需要保存十年以上的敏感数据的机构带来了直接风险,这些数据包括政府机密、医疗记录、财务策略和知识产权。尽管量子计算机目前尚无法破解加密,但现在收集的数据未来可能存在安全漏洞,因此,对于需要长期保存的敏感信息而言,后量子时代的迁移迫在眉睫。
各组织应首先进行密码学清点,以确定 RSA、ECC 和其他易受攻击算法的使用情况。优先处理长期敏感数据的系统,并在可行的情况下开始迁移到符合 NIST 标准的后量子算法(ML-KEM、ML-DSA)。考虑在过渡期间采用结合现有算法和后量子算法的混合方法。更新采购要求,明确新系统必须采用抗量子密码技术。制定多年迁移路线图,并认识到大多数组织完成全面过渡需要 5-10 年时间。
揽阁信息 · 值得您信赖的信息安全顾问!
沪公网安备31011202021337号 网站地图
友情链接: Thales官网 芯片产品网站 服务热线
