内容摘要：很多局外人会把密码学看得过于神秘。当我们一谈论密码学时，他们就会错误地将其与秘密组织、或深层次布局相关联。其实，从本质上讲，密码学只是一种保护和加密信息的手段。例如，如果您仔细观察浏览器中某网站URL

很多局外人会把密码学看得过于神秘。详解学及性当我们一谈论密码学时，后量他们就会错误地将其与秘密组织、密码或深层次布局相关联。其重其实，详解学及性从本质上讲 ，后量密码学只是密码一种保护和加密信息的手段。例如 ，其重如果您仔细观察浏览器中某网站URL的详解学及性左侧（在地址栏中居左的位置），就会看到一个带有挂锁符号的后量图标。这个图标表示该站点正在使用HTTPS协议，密码对出入该网站的建站模板其重信息进行加密操作 
，以保护用户的详解学及性个人详细信息、以及信用卡信息等敏感数据 。后量

下面，密码我将和您讨论一种全新的量子密码学，它比当前的普通密码学要更加先进，也势必会对在线安全领域带来永久性的改变。

什么是后量子密码学（Post-Quantum Cryptography）？

为了更好地理解后量子密码学，让我们首先来了解什么是量子计算机（Quantum Computer） 。量子计算机使用量子物理学来存储信息，免费模板并能够以惊人的速度，去执行各种复杂的计算 。

目前，传统计算机都是以二进制形式（即一堆0和1）来存储信息的 。而在量子计算中 
，信息被存储在“量子比特（qubits）”中 。它们使用到了诸如
：电子（electron）运动或照片定向方式等量子物理学的特性。通过不同的安排方式，量子计算机能够快速地存储和访问各类信息。

从理论上说，源码库由量子比特排列所实现的存储数字
 ，要远多于我们所处的宇宙中的原子 。因此 ，如果您使用量子计算机针对二进制计算机进行密码的破解
，那么它将不费吹灰之力，就能够在短时间内完成破解 。目前 ，量子机器主要依赖Shor算法（用于整数分解的量子算法）  ，已经破解了许多非对称加密技术。可以说，这是香港云服务器量子计算机对比二进制计算机的强大优势所在。

当然 ，热或电磁场都会影响计算机的量子特性。因此，它们的使用通常受到一定的限制。我们必须对其予以非常谨慎地管理
。您可以通过​​《量子计算正在改变世界》​​一文 ，了解更多相关知识
。

总地说来
，量子计算机确实对传统的加密已经构成了巨大的威胁 。服务器租用那么我们是否就任由它持续进行降维打击了呢 ？常言道：“道高一尺，魔高一丈” 。其实 ，我们可以采用后量子密码学（Post-Quantum Cryptography）来采取适当的防御措施 。这是一种新近开发的密码与加密技术 ，可以防止来自量子计算机的密码分析攻击。

而且 ，由于它允许二进制计算机保护其数据，使其免受量子计算机的攻击 ，因此随着我们朝着更安全 、模板下载更强大的数字未来迈进，后量子密码学会变得越来越重要。

后量子密码学的背景

早在2016年 ，Innsbruck大学和麻省理工学院（MIT）的研究人员就已经认定，量子计算机比​​超级计算机​​更加强大，它们可以轻松地破解由传统计算机开发的任何密码。

同年，美国国家标准与技术研究院（National Institute of Standards and Technology，NIST）开始接受其作为取代公共加密算法的新型加密方式的提交。据此，各种新的防御措施被相继研发了出来。其中，一种简单的方法是将数字密钥的大小加倍，以便所需的排列数量也会显著增加，以应对暴力攻击（brute force attack）的情况
。

与此相比，我们只需将密钥大小从128位增加到256位，便可以让采用Grover算法的量子计算机在排列数量上实现平方。这是另一种用于搜索非结构化数据库的最常用算法。

为了选择一种技术进行推广和标准化，NIST目前正在测试和分析各种技术。他们已将范围从最初收到的69份提案 ，缩小到了15份。

基于AES-256加密方式的后量子算法安全吗 ？

下面 ，让我们来重点关注“抗量子（quantum-resistant）”算法的开发。例如，如今被广泛使用的AES-256加密方式 ，通常被认为属于抗量子类型 ，毕竟其对称加密方式仍然被公认为是非常安全的。然而，量子计算机使用Grover算法去破解一个AES-128密码，能够将攻击时间缩短至2^64 。而这对于当前的算力而言，已经足以认为不够安全了。

而在AES-256加密的情况下 ，其攻击时间将变为2^128 ，这相对来说还算是足够安全的 。对此，NIST指出 ，后量子算法通常可以属于如下三类中的一种：

基于格的密码（Lattice-based ciphers）——例如Kyber或Dilithium 。基于代码的密码（Code-based ciphers）——例如使用Goppa代码的McEliece公钥密码系统 。基于散列的函数（Hash-based functions）——例如Lamport Diffie一次性签名系统。

此外，许多区块链开发人员目前正在创建，能够抵抗各种量子密码分析攻击的加密货币。

RSA类型的后量子安全吗？

作为一种非对称算法，RSA也曾被认为是非常安全的 。例如，《科学美国人》在1977年发表的一篇研究论文中 ，曾号称破解RSA-129加密需要40万亿年
。不过 ，1994年 ，贝尔实验室的数学家--Peter Shor创建了一种旨在破解RSA加密的算法。几年后，一组密码学家在此基础上，在六个月时间内破解了RSA 。

虽然RSA-2048目前尚未被破解，但是大家都知道 ，这只是一个时间的问题  。因此，业界广泛推荐的RSA的加密强度为RSA-3072。它提供了112位的安全性。可以说
，当前互联网上有超过90%的加密连接（包括SSL握手），都依赖于RSA-2048 。同时，RSA也被用于验证数字签名，推送固件更新 、以及验证电子邮件等日常工作与任务中。

可见，问题在于 
：密钥长度大小的增加，并没有成比例地提高其自身的安全性
。虽然RSA-2048比其前身增强了40亿倍，但是RSA-3072仅增强了65k倍左右。实际上 ，对我们而言，RSA-4096已经达到加密的极限了。而且 ，一些密码分析师甚至发布了一系列被证明有效的攻击RSA的方法。具体请参考​​这里​​。当然
 ，他们尚未实现量子霸权（Quantum Supremacy），即 ：量子计算机将能够执行那些普通计算机无法执行的功能。对此 ， Google和IBM等大厂已经在为此布局谋篇了。

为什么我们需要后量子密码学？

有时候 ，创新的最佳方式便是提出一个更强大的问题。而后量子密码学背后的概念就是，改变现有计算机解决数学问题的方式
。我们有必要开发更加安全的通信协议和系统，来充分利用量子计算的算力 ，并做好相应的防御工作 。值得一提的是 ，许多VPN提供商目前已开始致力于开发具有量子安全特性的VPN
。 

译者介绍

陈峻 （Julian Chen），51CTO社区编辑，具有十多年的IT项目实施经验，善于对内外部资源与风险实施管控
，专注传播网络与信息安全知识与经验；持续以博文、专题和译文等形式，分享前沿技术与新知；经常以线上、线下等方式，开展信息安全类培训与授课
。

原文标题：​​What Is Post-Quantum Cryptography & Why Is It Important? ​​，作者：KARIM AHMAD