什么是量子安全加密技术？

人们在计算机上所做的几乎所有事情都使用加密技术。正因如此，大多数时候，入侵者无法阅读您的电子邮件，访问您的医疗记录，从您的社交媒体帐户中发帖，远程关闭您的汽车，或者扰乱城市电网。

现代加密技术非常完善，当受保护的数据或系统遭到破坏时，很少是因为有人攻破了加密本身。大多数泄露事件都是由于人为错误造成的 - 有人不小心泄露了密码，或者在安全系统中留下了后门。 您可以将现代加密方法（例如 2048 位公钥）视为最坚固的保险库：几乎不可能被攻破，除非有人将钥匙遗落在外面。

然而，随着量子计算时代的到来，这一切都会发生改变。未来，如果坏人拥有足够强大的量子计算机，则可以解锁任何 2048 位保险库并访问保护的数据。

我们并不确切知道量子系统何时可能强大到足以破解 2048 位加密，但一些专家已根据现有认知勾勒出了时间线。

美国国家标准与技术研究院 (NIST) 的后量子密码学报告指出，首次（加密被）攻破可能最早发生在 2030 年。¹

滑铁卢大学的专家 Michele Mosca 博士写道：“我估计，到 2026 年，我们今天依赖的一些基本公钥加密工具有七分之一的可能性被攻破；到 2031 年，这种可能性为 50%。”²

量子安全加密技术重建了加密“保险库”，使其能够抵御量子攻击和传统攻击。

值得注意的是，也有人将量子安全密码学称为后量子计算 (PQC) 或抗量子计算。根据 NIST 的定义， 这类 IT 安全“旨在开发能同时抵御量子计算机和经典计算机攻击，并可与现有通信协议及网络互操作的密码系统。”³

不要与量子加密相混淆，量子加密依赖自然物理定律来生成安全的加密系统，量子安全加密算法使用不同类型的加密来实现量子安全。

请观看我们的视频《计算领域密码学有两大主要应用场景：加密与身份验证》，并 了解一个简单的三步框架，帮助您的组织在构建密码敏捷性的同时过渡到量子安全密码学。

在计算领域，密码学有两大主要应用场景：加密与身份验证。加密防止数据被窥探，身份验证防止坏人冒充其他人。

当今计算机使用的大多数加密体系是非对称 或公钥体系。这些系统使用公钥进行加密，使用私钥进行解密。

公钥仅适用于加密数据或验证身份。您不能使用公钥解码消息或冒充其他人。仅第二个密钥（即私钥）可以做到这一点。

当您在大多数网站上输入密码时，您就是使用私钥验证自己的身份。在允许您进入之前，网站进行一些数学计算以检查私钥和公钥是否匹配，但不会实际复制私钥本身。当您在手机上输入密码时，您执行的是类似操作：输入私钥以解锁手机数据，这些数据已使用公钥进行加密。

这些代码、密钥、加密方案和身份验证方案都不过是数学问题，即经过专门设计以使经典计算机难以解决的问题。公钥算法之所以效果良好，是因为所有这些数学问题很难使用经典计算机求解，但很容易核实问题的解是否正确。

以广泛使用的 RSA 加密为例：公钥是一个 2048 位整数，这是一个巨大的数字。私钥是该数字的质因子。检查私钥与公钥是否匹配非常简单，甚至使用袖珍计算器就能完成：将因数相乘。但是，要将 2048 位整数破解为质因数并读取编码消息，即使是最强大的经典超级计算机也要耗费极其漫长的时间，甚至超过宇宙中的恒星燃烧并消亡的时间。

安全密钥交换中使用的标准方法——包括 RSA 和 Diffie-Hellman (DH)———数十年来一直运行良好，因为人类始终未掌握破解这些加密形式的工具。基于椭圆曲线理论的公钥加密技术——椭圆曲线密码学 (ECC) 同样如此，它能实现比 RSA 和 DH 更快、更小且更高效的密钥。

但经典计算机有其局限性。只有我们已知的特定算法能在其二进制处理器上高效运行。久而久之，我们构建社会（数字）体系所基于的假设是：如果一个问题是无法用 1 和 0 解决的，那么它根本就无法解决。

量子计算机利用的是量子力学（研究亚原子粒子的学科）原理。这些下一代计算机代表了一种全新的计算范式，抛弃了传统的二进制比特，转而利用量子比特创造的复杂计算空间，并解决了曾经看似无法解决的问题。

在大多数情况下，这是一件好事。 IBM 正在构建量子计算机以解决世界上最重要的问题。（更多工作原理请参阅我们的主题页面 “什么是量子计算？”）

然而，其中一个曾经无法解决的问题就是质因数分解。数学家 Peter Shor 在 1994 年证明，足够强大的未来量子计算机能够比经典计算机更轻松地分解整数的质因数。肖尔算法是首个为量子计算机开发的算法，它有朝一日将意味着所有现行主要公钥加密系统的终结。

对称加密也会受到威胁，这种加密在抵御传统攻击方面的安全性较差，但仍用于某些用途（例如信用卡交易）。高级加密标准 (AES) 是使用最广泛的对称加密算法和分组密码，适用于固定大小的数据块，使用对称密钥进行加密和解密。

与 Shor 算法对非对称加密的颠覆性影响相比，Grover 搜索算法（也称为量子搜索算法）并非对称加密的终极破解方法。然而，这种算法可能会为暴力攻击提供便利，使对称加密技术的安全性大大降低。

关于量子安全加密技术标准，最重要的一点是，它们将量子计算机容易求解的数学问题替换成经典计算机和量子计算机都难以求解的数学问题。

2016 年，NIST 作为标准化进程的一部分发出了提案征集。他们的目标专注于寻找最佳的量子安全算法和方案以成为新的密码标准。全球各组织创建并提交了方案——共计 69 个。⁴

六年后，NIST 正式发布了全球首批三项后量子加密标准。IBM 研究人员与多个行业和学术合作伙伴合作开发了其中两种后量子加密算法：ML-KEM（最初名为 CRYSTALS-Kyber）和 ML-DSA（最初名为 CRYSTALS-Dilithium）。第三个已发布的数字签名方案 SLH-DSA（最初提交的名称为 SPHINCS+）是与一名后来加入 IBM 的研究人员共同开发的。此外，NIST 还选择了 IBM 开发的第四种数字签名算法 FN-DSA（最初名为 FALCON）用于未来的标准化工作。

早期加密技术依赖于大数分解，而这些新标准依赖于格问题。要理解格问题，想象有位数学家向您展示一个包含 1000 个大数的列表。现在，假设那位数学家向您展示一个甚至更大的数字，并告诉您这是将列表中的 500 个数字相加得出的。要找出使用的是哪 500 个数字，经典计算机和量子计算机都会力不从心。但如果数学家告诉您他使用了哪 500 个数字，就很容易核实他是否说的是实话。因此，基于格的问题可以很好地取代加密技术中的质数分解问题。

好消息是，量子安全加密技术已经存在。我们对这些新标准非常有信心，已将其构建到我们的 IBM z16 云系统中，并正在与客户合作以将其集成到客户的安全基础设施中。

历史上，网络安全基础设施的升级需要很长时间，而现在没有时间可以浪费。

量子计算机发展迅速。我们有望在未来五年内看到量子优越性显现出来。在一项调查中，大多数专家一致认为，到 21 世纪 30 年代末，量子计算机能够破解 2048 位加密。

10 到 15 年的时间并不长。政府和工业界的许多关键网络安全基础设施几十年来都未曾发生变化。许多已经或即将投入使用的计算机需要在未来几十年内保持运行，不会进行重大改动。例如，汽车中的微芯片或保护护照的加密方案。已经有大批加密数据被未知恶意分子窃取的例子，这些数据可能会被囤积起来，并在以后使用未来技术进行解密。

数据泄露可能不会被发现。今天，任何未使用量子安全标准加密的数据都应被视为已经丢失。

几十年来，IBM 在加密技术领域一直处于领先地位，并且现在是量子安全加密技术和负责任量子计算的全球领军企业。我们依托深厚的加密技术和量子技术专长，助力客户在量子时代抓住机遇，安全前行。

定制化的  IBM Quantum Safe™ 计划支持客户评估现有的网络安全状况，并开始针对量子计算时代进行升级。单单这种评估就是一项重要工作。大多数组织对其拥有哪些数据、哪里的数据最容易受到攻击以及如何保护数据缺乏全面了解。通过执行该过程，组织可以更好地掌控自身的网络安全系统，并使网络安全系统变得更加敏捷。这样，组织就能更快地适应未来的发展变化。