【導讀】后量子密碼,簡稱PQC,如今已是眾多科技公司公開討論的熱門話題。但是,在半導體行業,仍有很多人難以弄懂后量子密碼的復雜原理,而真正明白為何如今亟需轉向后量子密碼的人更是寥寥無幾。不妨在這里探討一下,我們應該如何思考這個問題,探討其當下對決策者來說究竟意味著什么。想要理性探討后量子密碼,就必須先儲備些許有關量子計算的基礎原理的知識,了解量子力學知識,哪怕只是淺顯了解,也是必不可少的。后量子密碼學內容龐雜,涉及面非常廣泛,一篇博文根本無法深入探討這個專題。故此,本文僅梳理幾項最核心的基礎原理,力求揭開后量子密碼的神秘面紗。
基礎原理
什么是量子計算?
傳統計算機依靠電信號存儲和處理信息,電信號僅有高低電壓兩種基礎狀態,因此,我們用由 0 和 1 組成的二進制語言來表示這兩種狀態。無論是運行程序,還是顯示圖片和視頻,傳統計算機所做的事情,歸根結底都是一長串 0 和 1 的組成的數據。量子計算機的運算基礎同樣是物理系統,但它并不用傳統的電信號,而是采用電子、光子等量子,量子的運動遵循量子力學定律。
19 世紀初托馬斯?楊完成的雙縫干涉實驗是一個著名的解釋量子運動規律的例子。光線穿過兩條狹縫時,會形成干涉條紋,仿佛是光波同時穿過了兩道縫隙。可一旦借助測量設備觀測光線具體穿過哪條狹縫,干涉條紋便會立刻消失,此時,光線又呈現出粒子形態,這便是量子力學中的波粒二象性。多年來,科研人員利用各類光子或物質多次再現這一特性,它也是量子計算學的核心理論依據之一。
什么是量子比特?
一臺量子計算機的近距離特寫照片
雙縫干涉實驗與量子計算機有何關聯?簡單來說,量子計算機用量子態表示量子計算機的核心基礎信息。傳統計算機用比特,而量子計算機則用量子比特,又稱Qubit。比特代表電壓范圍,量子比特則可表示光子偏振態或電子自旋狀態。無論是傳統計算機還是量子計算機,都需要通過測量來確定比特或量子比特的數值,而雙縫干涉實驗證實,量子在測量前后的表現截然不同,這與傳統力學規律完全相悖。
傳統計算機的比特采用二進制計數,只用0和1兩個數字,0或1 代表一個比特;量子計算機同樣設定量子比特有兩種基礎狀態,例如,兩種能級、兩種角動量等。量子比特與傳統比特不同之處是,傳統比特的兩種狀態是互斥的,也就是說,比特不是 0,就是1,而量子比特可以處于兩種狀態的疊加態,如同光波能同時穿過兩條狹縫一般,兼具比特的 0 和1 兩種狀態。因此,量子比特里的 0 態和 1 態以概率幅形式存在,概率幅決定了測量結果是 0 還是 1 的概率。
系統一旦執行測量操作,量子比特的疊加態就會坍縮為 0 或 1,量子計算就此結束,這和前文雙縫干涉實驗中觀測光線通過哪條狹縫的原理一致。為此,量子算法利用精心設計的運算來調整量子比特的概率幅。簡單來說,量子算法就是調控概率幅,以提高正確結果概率,抑制錯誤結果的概率,確保測量一次,結果正確一次。量子計算背后掩藏著繁雜深奧的數學理論,一篇博文難以詳盡講解。不過,上面簡要的介紹有助于我們明白為何量子計算是一個難題。
相較于傳統計算機,量子計算機潛在的核心優勢是,能夠利用疊加態并行推演大量可能情況,而傳統計算機只能逐步依次演算。對于特定問題,量子計算機可借助量子特性減少運算次數,實現算力大幅提升,不過,這并非適用于所有情況。過去,量子計算機僅在執行特定類型任務時遠超傳統計算機,例如,優化運算、量子系統仿真,以及部分密碼和搜索類應用場景。
量子威脅
邁向后量子密碼時代:量子比特電路特寫實拍
什么是密碼相關量子計算機(CRQC)?
目前全球各大實驗室雖已研制出量子計算機,但無一能夠對傳統密碼算法構成實際威脅。業內將這類設備定義為“非密碼相關”量子計算機,意思是這類計算機不具備密碼攻擊能力。不過,我們顯然正在邁向密碼相關量子計算機CRQC時代,這類未來量子計算機利用容錯量子算法和海量的量子比特,能夠破解公鑰密碼加密體系。有業內預估,此類設備還需 10 至 15 年才能問世,但目前很難做出精準可靠的預判。究其原因,一臺量子計算機要想具備密碼攻擊能力,必須能夠處理海量的量子比特,還必須滿足多項額外硬性技術條件。
今天的量子計算機難以識別并修正運算錯誤與損壞的數據,而密碼相關量子計算機CRQC必須能夠實時檢錯和糾錯。今天的量子計算機生成的邏輯量子比特極易出錯,而想要具備破解密碼的能力,量子計算機必須支持處理數百個邏輯量子比特。邏輯量子比特是大量的物理量子比特通過編碼組合而成,以防止量子比特出錯,類似于 ECC 內存中的糾錯碼。2024 年,谷歌已研發出由 105 個物理量子比特組成的邏輯量子比特。最后,密碼相關量子計算機還需完成數百萬次量子門運算,并穩定運行至少數小時。不滿足以上全部條件,一臺量子計算機算不上真正具備密碼攻擊能力。
量子威脅是什么?
傳統算法
量子計算機將如何破解傳統密碼算法?最常被提及的破解方法便是肖爾算法,該算法以數學家彼得?肖爾命名。想要弄清它的原理,首先要明白:當下眾多主流密碼算法都依靠一個事實:在傳統計算機上進行大整數因數分解難度高,耗時長。我們都知道,兩個數字相乘既簡單又快捷,可要反向找出這個大數是哪幾個質數相乘的結果則需要很長時間,使得這種運算幾乎沒有可行性。
這本質上就是RSA這類加密算法的核心原理。這個大數就是加密后的數據,兩個質數分別對應公鑰與私鑰。如果同時持有兩組質數密鑰,解密過程就會十分簡便迅速;若僅有公鑰,靠暴力枚舉破解私鑰幾乎無從實現。舉例來說,用傳統計算機破解采用2048 位整數的 RSA 加密,大約需要300 萬億年。據一篇2021 年發表的熱門論文,如果同一破解運算在量子計算機上執行,只需8 個小時和2000 萬個有噪量子比特就能破解密碼。
肖爾算法與格羅弗算法
量子計算背后隱藏的無數個復雜深奧的數學原理可以解釋,密碼相關量子計算機如何快速破解 RSA 加密算法。本文不深入探討數論與模運算相關知識,但可以介紹兩個關注度較高的連主流刊物都引用的熱門算法:肖爾算法與格羅弗算法。本質而言,這兩種均為量子算法,能讓量子計算機在某些情況下運算速度遠超傳統計算機。因此,當各行各業談及量子計算機對現行密碼標準構成威脅時,部分原因正是這些算法已從數學層面證實了這種破解的可行性。
簡單來說,彼得?肖爾于 1994 年提出了肖爾算法,證實了量子計算機能夠以驚人速度完成階數求解及其他復雜運算。深究其原理,我們不難發現,量子計算機可操控多個量子比特執行模運算和其他運算,運算速度遠超傳統計算機。因此,肖爾算法能用很少的運算步驟完成大整數因式分解運算,以更快的速度破解 RSA 加密,極大動搖了這類加密算法的安全根基。
1996 年,洛夫?格羅弗同樣提出了一種量子算法,這個量子搜索算法可用于暴力破解對稱密鑰,適用于 AES 這類分組密碼,以及 HMAC-SHA-256 等帶密鑰的哈希結構算法。傳統暴力破解幾乎需要演算所有可能密鑰。以常用的 128 位密鑰為例,演算全部密鑰需要底層密碼算法執行2128 次運算,說白了,理論上,我們必須試遍所有的密鑰值。相反,格羅弗算法利用量子計算機的特性,每一次運算都會提升正確密鑰的概率幅,經過約264 次運算后,就能以極高概率測出正確密鑰。
AES-192和AES-256
雖然量子計算機可一次性處理海量信息,運算能力遠超傳統計算機,對部分加密算法構成安全隱患,但美國商務部國家標準與技術研究院公開表示,并非現行所有加密算法都會失效。例如,該機構明確指出:192 位和 256 位高級加密標準(AES)在未來很長一段時間內依舊安全無虞。原因在于格羅弗算法在實現上受到限制,嚴重限制了其對此類加密方式的暴力破解能力。除了需要大量的量子計算外,它難以實現高效并行運算,進一步制約了其實用優勢。
前瞻布局,應對未來
我們既不能夸大當前密碼相關量子計算機帶來的風險,也絕不能低估其潛在威脅。隨著量子計算機技術越來越成熟,現在尚好的加密體系,未來將不堪一擊。這對于許多需要長期穩定運行數十年甚至更久的數字簽名與認證技術而言,無疑是一大隱患。同理,即便當前基于傳統公鑰密碼體系的區塊鏈能滿足所有安全標準,若無法抵御二十年后的量子計算機攻擊,最終也將徹底失去使用價值。如今,攻擊者還普遍采用先盜后破的策略:提前囤積大量的涉密數據,待量子算力足以破解密鑰后,再行破解之事。
因此,不難理解,即便密碼相關量子計算機尚未問世,部分現有加密算法在量子計算機問世之前還有很長的生命力,眾多企業已然在做后量子密碼技術升級,以抵御破解能力很強的量子計算機的攻擊。知名內容分發網絡服務商云帆去年就推出了后量子密碼相關計劃,谷歌也剛剛宣布更新了Chrome 瀏覽器和云服務,新增一個量子安全加密工具。無獨有偶,蘋果也表示已在 iMessage 應用中采用了后量子密碼算法,以此防范未來來自量子計算機的安全威脅。
CRQC 何時能夠問世?
各國監管機構相繼出臺了后量子密碼部署路線圖。像美國國家安全局(NSA)一樣,很多機構坦言,目前無法確定密碼相關量子計算機(CRQC)具體問世時間。但各方早已啟動相關規劃,因為從正式標準化到全系統集成,整個遷移過程往往需要十年甚至更久。簡言之,抗量子破解算法技術遷移已然啟動,行業正全面向后量子密碼轉型。各國政府機構也已公布后量子密碼遷移建議時間表,提前布局應對量子危機日(Q-day),迎接密碼相關量子計算機正式問世。
歐盟
2024 年 6 月,歐盟委員會要求各成員國在歐盟后量子密碼建議發布起兩年后制定出后量子密碼實施路線圖,截止時間定為2026 年底。歐盟在官方路線圖中明確:高風險應用場景需盡快完成后量子密碼遷移,最晚不遲于 2030 年底;到2035 年,盡可能完成絕大多數系統的遷移改造。歐盟網絡安全局(簡稱 ENISA)已發布遷移白皮書與集成研究報告,幫助各國達成上述目標。
美國國家標準與技術研究院
同樣,美國國家標準與技術研究院(NIST)在 2025 年的一份研究報告中提出,計劃在2030 年前逐步淘汰易受量子攻擊的加密算法,并于2035 年全面禁用此類算法。美國商務部表示,在后量子密碼遷移過渡期內,經由 NIST 認證的128 位安全強度的傳統對稱密碼基礎算法依舊可以正常使用,各機構也可繼續使用 112 位安全等級的公鑰算法。不過,NIST 清楚,全面切換至抗量子攻擊算法是一項龐大的工程,需要升級基礎設施,開發新的軟硬件、密碼庫等多項工作。因此,該機構早在數年前就啟動了相關標準化工作,全力推動行業盡早完成向后量子密碼體系的轉型。
NSA美國國家安全局
與此同時,美國國家安全局(NSA)表示,力爭所有國家安全系統(NSS)在 2035 年前全部完成抗抗量子攻擊升級改造。為達成該目標,該局已制定商用國家安全算法套件 2.0 版(CNSA 2.0),明確列出可應用于國家安全系統的各類抗量子攻擊算法。美國國家安全局指出:所有在國家安全系統中采用通用標準算法的產品,都必須使用 CNSA 2.0 規定的算法。自2027 年 1 月 1 日起,國家安全系統所有新采購設備均需符合 CNSA 2.0 標準;到2030 年 12 月 31 日,除特殊說明外,所有無法兼容 CNSA 2.0 的軟硬件設備與服務必須逐步淘汰;至2031 年 12 月 31 日,相關系統將強制統一啟用 CNSA 2.0 系列算法。
PQC時代的到來
哪里需要部署PQC?
各類基礎設施受量子計算機的影響程度不盡相同,各類算力設備也無需以統一節奏向后量子密碼遷移。但不能片面認為,只有存儲國家機密的超級計算機才需要優先完成PQC遷移。實際上,決定設備是否優先PQC遷移的核心因素,往往不在于設備用途,而是實際使用年限。即便是普通工業設備,一旦設計周期長達數十年,也會成為高敏感設備。倘若其安全啟動、遠程空中升級機制不具備抗量子攻擊能力,整套系統就會淪為企業整體網絡的安全漏洞。
正因如此,全球移動通信系統協會(GSMA)在 2024 年發布指引,明確電信運營商向后量子密碼體系過渡的實施辦法。美國網絡安全和基礎設施安全局也向全部運營技術(OT)類業主和企業發布了相似指引,提醒相關主體絕不能等到密碼實用型量子計算機問世后,才著手制定和落地應對方案。該局指出,認為僅有信息技術(IT)體系會遭受量子威脅的想法實屬誤區。文件中說明,一旦密碼相關量子計算機成型,攻擊者可在所有運營技術系統中偽裝成可信主體,悄無聲息篡改數據,或是破解保護通信鏈路的加密信息。
因此,一些看似毫不起眼、用途普通的小型設備反而面臨最大安全風險,可信平臺模塊(TPM) 便是典型代表。
這類微型安全芯片是信任根的核心載體,負責固件簽名和密鑰生成管理,以及設備啟動流程的安全防護。倘若設備的信任根遭到攻破,全世界保護網絡安全的抗量子攻擊TLS證書將毫無意義,形同虛設。同理,各國政府、企業及機構普遍采用安全身份憑證與各類安全組件存儲個人信息。這類身份憑證使用周期極長,常被用于文件簽署與身份核驗。一旦這類憑證存在量子安全漏洞,將會引發災難性后果。
全新的后量子密碼標準有哪些?它們與傳統加密算法存在哪些差異?
更難解的數學題
在準備向后量子密碼遷移的過程中,很多人想知道怎樣才能具備抗量子攻擊能力。雖然底層數學原理十分復雜,但是,核心思路是采用比大數分解運算量更大的加密算法,格基密碼便是典型代表。簡單來說,格基密碼使用一組坐標,可以粗略理解為二維平面上的點,求解高維結構化代數等數學難題。這類算法還會運用數論變換等復雜數學手段進一步提升運算量,以此強化自身的抗量子破解能力。
資源消耗更高
此外,后量子密碼還采用一些直觀卻十分有效的方式提升安全強度,增大密鑰長度便是其中之一。正如高級加密標準(AES)所體現的,即便其底層加密原理在理論上可被量子計算機破解,只要密鑰長度足夠大,攻擊者破解所需耗費的時間與資源就會達到難以實現的程度。除此之外,部分抗量子算法將會啟用狀態值,原理類似隨機數值,每次生成簽名時,計數器都會生成對應的狀態值,系統通過核驗該值來確認消息來源是否可靠、數據是否遭到劫持篡改。RSA、橢圓曲線數字簽名算法(ECDSA)等傳統傳統算法均為無狀態值設計,而部分后量子密碼機制采用有狀態值設計,以此增添一重安全防護,有效杜絕簽名被冒用的風險。
PQC算法清單
2024 年,美國國家標準與技術研究院(NIST)正式發布三個后量子密碼標準:ML-KEM(FIPS 203)、ML-DSA(FIPS 204)、SLH-DSA(FIPS 205)。ML 代表模格密碼;KEM 即密鑰封裝機制,用于在不安全通信信道中安全傳遞會話密鑰。后兩個標準屬于數字簽名算法,用于核驗數據真實性與合法性。SLH 指代無狀態哈希基密碼,依靠哈希運算實現加密,而非格結構數學難題。這三個標準算法為抗量子攻擊安全奠定了堅實的基礎。例如,蘋果已啟用 ML-KEM;谷歌選用了 ML-DSA 與 SLH-DSA,但是,谷歌云密鑰管理系統是三個標準全都支持。
業界仍在持續推進新算法標準化工作,以適配各類特殊應用場景。例如,美國國家標準與技術研究院已批準另外兩種有狀態哈希簽名算法:LMS(萊頓 - 米卡利簽名算法)與XMSS(擴展默克爾簽名方案);同時還在推進另一款格基簽名算法 FN-DSA(FIPS 206)的標準化進程。該算法融合格密碼與快速傅里葉變換技術,既能縮減密鑰長度,又可保障抗量子攻擊能力。但是,這個算法依賴浮點運算,實現難度較大,并不適用于主打抗側信道攻擊的產品場景。
向后量子密碼遷移面臨哪些挑戰?
資產梳理
企業團隊往往只聚焦將要采用的抗量子攻擊算法,卻忽視了遷移過程中的其他各類難題。事實上,美國網絡安全和基礎設施安全局發布量子安全就緒指南時,并未提及任何具體算法名稱,而是重點列出多項要求,指導企業梳理加密資產清單,此舉可幫助機構評估安全風險,甄別存在安全隱患的通信協議,明確認證限制要求,同時摸清向后量子加密算法遷移會波及的所有關聯問題。舉例來說,不少企業一心著手升級云端基礎設施,卻徹底忽略員工訪問云端服務所用的智能卡、硬件安全模塊以及虛擬專用網絡等設備與工具。
密碼敏捷性
因此,行業定義了密碼敏捷性這一概念。美國國家標準與技術研究院(NIST)將其定義為:在保障安全與業務持續運行的前提下,替換和調整協議、應用程序、軟硬件、固件及基礎設施中的加密算法的能力。簡單來講,就是能夠在盡可能不影響日常業務運轉的前提下,完成向后量子密碼的平穩遷移。具體包含這些舉措:全面梳理有加密功能的產品目標;搭建可通過應用程序接口(API)對算法進行抽象封裝的底層架構;確保所有軟件均可便捷、安全地更新升級。同時,密碼敏捷性還是指機構能否多算法并行使用,一旦發現現有算法存在安全漏洞,能否及時無縫切換至全新加密算法的能力。
密碼敏捷性是所有后量子密碼遷移工作的核心要求。它既能減少設備停機時長,降低業務損失,也能保障遷移過程安全可控。例如,若在遷移工作中舍棄密碼敏捷性原則,對證書規范、通信協議、密鑰容器等進行硬編碼固定,企業不僅會因部署不當承受更高安全風險,后續安全方案的迭代更新也會變得極為困難,進而引發更長時間的停機時間與更大的業務損失。
量子攻擊防護技術轉型帶給我們的啟示是:網絡信息安全技術始終在不斷發展演進,搭建具備密碼敏捷能力的企業架構,是順應安全發展趨勢的最佳途徑。
互通性與混合部署
密碼敏捷性的另一大核心原則是互通兼容性,即確保各系統無論處于何種遷移階段,彼此之間都能正常通信。
倘若某套系統升級為抗量子攻擊算法后,無法與其余基礎設施正常通行,將會引發嚴重故障。正因如此,眾多企業開始采用混合部署模式,在同一系統內,傳統加密和后量子密碼兩種算法都用,兩者之間實時動態切換,以此保障設備互聯互通。混合部署雖會提升架構復雜度,增加運算資源開銷,但對于大型機構而言,這往往是平穩完成后量子密碼遷移的最優方案。
資源受限型系統
工程師們清楚,在部分資源受限型系統上推進后量子密碼遷移同樣困難重重。這類設備通常內存配額緊張、帶寬偏小,搭載的微控制器算力也十分有限。即便部分設備自帶加密功能,也往往缺少可高效運行抗量子攻擊算法所需的驅動程序、中間件以及應用程序接口。因此,嵌入式系統研發人員必須提前做好后量子密碼適配規劃。部分已投入使用的產品尚可升級支持后量子密碼算法,但還有不少產品很難甚至無法完成改造,除非設計階段就提前預留了后量子密碼適配方案。
PQC對計算機系統有哪些影響?
向后量子密碼(PQC)遷移將給計算機系統的設計、部署與運維方式帶來深遠影響。為應對遷移過程中固有的各類難題,工程師需從硬件、軟件兩大層面多維度著手推進。硬件層面,部分后量子加密方案需要更長的密鑰、簽名和密文,要求更高的運算量,這就要求系統配備更大內存和外存,以承載更長的密鑰和證書,以及更多的中間數據;同時還需提升處理器性能,或搭載專用加密加速器,將處理延遲與功耗控制在合理范圍。此外,部分設備平臺還需更新系統架構與安全模塊,適配全新的加密流程。
后量子密碼遷移絕非僅僅啟用新算法那么簡單,還需要強化針對物理攻擊與代碼實現層面攻擊的防護能力。即便選用安全性頂尖的抗量子攻擊算法,一旦攻擊者能夠利用其代碼實現中的漏洞發起攻擊,算法防護也會徹底失效。舉例來說,若缺乏完善防護手段,黑客可通過監測設備功耗、電磁輻射、運算時間差,或是向系統注入故障等方式,破解獲取私鑰與各類敏感數據。為抵御此類側信道攻擊,系統必須集成各類防護機制與硬件級防御手段,確保抗量子密碼算法不會因非量子類安全缺陷遭到攻破。換言之,如果一套高安全等級的后量子密碼算法代碼極易被普通設備攻破,那么它所帶來的安全防護也只是形同虛設。
ST如何應對PQC帶來的各項挑戰?
The ST33KTPM
ST33KTPM 可信平臺模塊
意法半導體積極應對后量子密碼時代帶來的各類挑戰,為通用及安全微控制器提供全套的軟件庫與硬件IP模塊,為行業后量子密碼遷移賦能。代表性解決方案包括適配 STM32 系列的X-CUBE-PQC后量子密碼軟件包,以及ST33KTPM可信平臺模塊,該產品支持主流后量子密碼算法的核心功能。例如,該模塊的有狀態哈希簽名方案采用LMS 萊頓 - 米卡利簽名算法,保障固件身份真實可信;同時支持后量子密鑰封裝機制ML-KEM與后量子數字簽名算法ML-DSA。這個模塊還是意法半導體首款具備抗量子攻擊能力的TPM。
ST33KTPM 已通過FIPS 140-3 安全認證,證明其滿足嚴苛的安全規范要求,也標志著該產品已全面做好迎接后量子時代的準備。作為一個TPM,ST33KTPM 可用作服務器、個人電腦、物聯網設備及各類嵌入式系統的硬件信任根。意法半導體將后量子密碼機制直接集成至這一核心安全基石中,確保各類系統核心的數據完整性、身份驗證和密鑰管理功能具備很強的防御韌性,甚至能夠抵御未來的量子計算機的攻擊。
實現密碼敏捷性與PQC就緒能力
除全新硬件產品外,意法半導體還持續投入研發各類軟件庫與開發工具,助力現有及新一代產品準備好迎接后量子密碼時代的到來,實現密碼敏捷性是其中一個重要目標,即在不重新設計整體系統的前提下,逐漸靈活部署、整合或替換各類加密算法的能力。借助這類軟件庫,開發人員可整合后量子密碼算法與傳統加密算法,搭建混合加密方案,讓遷移過程更平穩、更安全。隨著行業標準迭代,新型安全威脅出現,技術團隊還能通過系統更新靈活切換加密算法、調整密鑰長度。
即便在密碼相關量子計算機尚未大規模普及前,現有平臺提前做好準備是防御量子計算機攻擊的最高效的方式之一。
