​什么是后量子密码术？

量子计算可以极大地提高安全性的门槛，尤其是在破解密码时。量子计算一词沿星际迷航带来了未来超级计算机的图像。量子计算仍处于起步阶段，但发展迅速，其功能的意义尤其重大，特别是在安全领域。

 什么是量子计算？

当今的计算机以数据位（1或0）运行。量子计算机使用量子位，量子位可以是两个状态的量子叠加，这意味着它们可以同时是1和0。量子计算机具有许多纠缠的量子位，并根据计算机中有多少个量子位，导致处理能力发生巨大的，指数级的飞跃。归结为，由于处理速度的飞速提高，曾经使计算机瘫痪的加密技术将在短短几天内被量子计算机破坏。

 那么，量子计算会否击败目前所有的密码学？

不完全是。加密有两种主要类型。对称密钥加密，例如AES（高级加密标准），将能够抵抗量子攻击，但是这种类型的加密具有局限性。它要求两个端点提前共享密钥。例如，当用户需要从其浏览器到电子商务站点的安全连接时，情况并非如此。

诸如RSA（Rivest-Shamir-Adleman）和ECC（椭圆曲线密码学）之类的公钥密码学是建立在“难以解决”的数学问题上的。就上下文而言，常规计算需要数百或数千年的时间才能解决这些问题，从而使它们有效地“牢不可破”。但是这些不足以保护量子时代的数据和设备。量子计算机全面发展后，使用Shor算法（一种用于整数分解的多项式时间量子计算机算法）的计算机将能够在短短几天内破解2048位RSA实现。

我们预计量子计算将在未来十年（即2030年）之前达到其全面发展的状态。由于目前尚无量子计算领域，因此很难预测量子计算机的功能，因此开发各种后量子至关重要密码术标准，以便如果一个失败了，那么业界就有其他标准可以使用。

 什么是后量子密码学（PQC），为什么它很重要？

后量子密码学的重点是旨在保护量子计算时代及以后的数据的算法。开发这些密码算法和专用硬件密码引擎是关键，因为对于某些高通量网络设备而言，在软件中处理这些算法可能太慢。新算法可能比我们现有的标准（包括RSA和ECC）要占用更多的计算资源，尤其是在需要保护其实现不受边信道攻击的情况下。

 开发后量子安全算法面临哪些挑战？

这些后量子密码算法比我们当前的算法更复杂，并且我们在Rambus认为需要对这些现有算法进行革命而不是演进。

主要挑战之一是按键本身的大小。当前的加密和签名算法具有几百或几千位长的密钥。一些提议的后量子算法的密钥大小有时为几十千字节，有时甚至高达一兆字节。这意味着我们需要能够有效地存储这些密钥。

当将公钥用于公钥基础结构证书（PKI）中并且需要在终端设备上进行本地通信或存储时，这也将花费更多的带宽和内存。当使用那些密文大小较大的方案时，带宽需求可能会增加。

物联网将面临另一个重大挑战，因为终端设备已经具有有限的计算和处理能力。随着边缘计算和物联网的日益普及，保护这些设备免受量子攻击非常重要。Rambus认为，处理加密算法的责任将落在硬件上，因为软件可能没有能力这样做，并且天生就不太安全。

另一个主要挑战是如何评估这些新算法针对经典和量子攻击的安全性。尚未深入研究潜在的新数学基元，确切地了解这些拟议算法在目前的安全性是一个悬而未决的问题。

 做什么工作来确保我们的设备和数据受到保护？

美国国家标准技术研究院（NIST）正在赞助一项竞赛，以寻找，评估和标准化一种或多种公钥密码算法，以应对量子计算机带来的挑战。在最近宣布的第三轮决赛入围者和候补者中，第二轮比赛的26名参赛者有所减少，最终作品集预计将在2022年的某个时候公布。

我们为Rambus在第二轮中由我们的顶级安全工程师之一Mike Hamburg开发的条目“三只熊”感到非常自豪。可悲的是，“三只熊”并没有进入第三轮比赛，但是我们很高兴成为这个技术创新财团的一员。

 如果我们离实现量子计算机还差得很远，为什么现在就迫切需要进行这种处理呢？

测试和确定算法是否能够承受量子计算机攻击的力量需要花费时间。此外，设计人员需要时间将所选算法标准实施到他们的产品中，新产品的交货时间可能长达两年，而网络基础设施和网络协议的交货时间则可能长达10年。

大规模升级和部署现有的计算和网络硬件也将花费很多年。安全的端点（所有具有网络连接的端点）将需要升级，这在某些情况下可能意味着新的硬件，因为软件的速度或安全性不足以处理这些新算法。

由于较大的密钥和密文，因此对网络体系结构和基础结构的影响将是巨大的，因此，它们可能也需要升级或替换。

 随着量子计算的发展，我们如何才能预测应该采用哪种安全算法来防止量子计算机的攻击？

NIST竞赛包括严格的测试过程，以淘汰那些无法承受量子计算机攻击的算法。这就是比赛历时如此长的原因，因为每一轮比赛都包括一个评估期，供密码学界分析每个候选人的表现。这使委员会可以收集有关每种算法在现实世界中的性能的数据。

NIST指出，由于量子计算机的设计所依赖的科学概念不同于我们当前的常规计算机，因此后量子算法还必须基于不同的数学工具来抵抗常规和量子攻击。这对所有人，设计师和分析人员都是一个绿色领域。

 这些算法什么时候可以部署？

我们预计，到2022年将确定获奖者并对其进行标准化，然后设计师可以开始将选定的获奖算法应用于他们的设备。这些算法是公开算法，几乎对任何人都可用，但是一些国家可能选择在其上创建变体以保持其算法唯一。