量子計算機來了，信息安全的出路在哪裡？

科技 08-15

量子計算機來了，信息安全的出路在哪裡？

來源國民技術

責編許小編

導讀

量子計算機技術最近取得了一些重要的突破。由於它對現行密碼體制的影響以及其在圖像識別和搜索等領域的巨大潛力，量子計算機引起了越來越廣泛的重視。儘管實用的量子計算機還沒有被製造出來，但是它離我們越來越近了。量子計算機也不是萬能的，它對於一些問題也沒有有效的演算法（也許是還未被發現），基於這些困難問題，密碼學家已經準備好了可以同時抵抗傳統計算機和量子計算機攻擊的密碼學方案，未來幾年之內就會推出相關標準。信息安全可以說已經走在了量子計算機時代的前面。

量子計算機真的要到來了？

近一年以來，關於量子計算機有一些重大新聞足夠吸引眼球，從Google宣布他們利用D-Wave的量子計算機在解決某些問題的速度上比傳統計算機快了1億倍，再到《科學》雜誌刊登的論文報道來自奧地利因斯布魯克大學和MIT的科研人員第一次以可擴展的方式實現了量子計算機，儘管這台量子計算機只有5個量子比特，也僅僅將15分解成了3和5，但是這意味著人類向實用的量子計算機又邁出了重要的一步。最近IBM首次將他們位於紐約實驗室的量子計算機向大眾公開，成為了一個基於量子計算機的雲計算平台，這是一台具有5個量子比特的通用型量子計算機。量子計算機也許真的離我們很近了！

量子計算機來了，信息安全的出路在哪裡？

圖1：二進位比特和量子比特

眾所周知，經典計算機是利用許多二進位比特位來完成計算，每個比特（bit）能表示「0」或者「1」；而量子計算機操作的是量子比特（qubit），量子比特的特別之處在於它不但能表示「0」或者「1」，而且能處於「0」和「1」的成分都存在的量子疊加狀態。另外，對一個量子比特進行操作，則可以相當於對「0」和「1」同時進行了操作，所以量子比特和經典比特相比，可以存儲更多的信息，操作具有天然的並行特性，而且存儲和運算能力可以隨著量子比特的數目增加而得到指數增長。舉例來說，1個量子比特的狀態可以由「0」和「1」疊加而成，2個量子比特的狀態可以由「00」、「01」、「10」和「11」這四個狀態疊加。以此類推，若量子比特的個數為N，則這些量子比特可以同時存儲的狀態數目為2^N。對這N個量子比特的操作可以相當於對2^N個狀態同時進行操作。據稱，量子計算機只需要50個量子比特就可以迎來真正的量子計算機時代，運算能力可以遠遠超過傳統計算機。

當信息安全遇到量子計算機

現代的互聯網賴以存在和發展的一個基礎就是公鑰密碼體制，它可以在雙方不共享秘密的情況下，保證信息的安全傳送，保護網上交易安全。現在流行的公鑰密碼體系中使用的RSA密碼，DSA（數字簽名演算法）和ECDSA（橢圓曲線數字簽名演算法）是基於數論中的一些「困難」問題。RSA密碼基於大因數分解問題，DSA和ECDSA是基於離散對數問題。這些問題在使用經典計算機的演算法情況下，的確是十分困難的，在數據足夠長的時候，用傳統計算機來破譯這些密碼演算法，需要的時間長到無法想像，這保證了公鑰密碼體制的安全性。但是當這些問題遇到量子計算，情況卻不一樣了。

量子計算機來了，信息安全的出路在哪裡？

圖2：量子計算機能輕易破解現有的公鑰密碼體制

1994年，Bell實驗室的Peter Shor提出了針對整數分解和離散對數的有效量子演算法。跟傳統演算法相比，Shor演算法具有指數加速的效果。如果有一台可以執行Shor演算法的量子計算機，則現有的公鑰密碼體制就不再是安全的。這使得對量子演算法和量子計算機的研究開始蓬勃發展起來，一旦實際可用的通用量子計算機被製造出來，則量子計算機就可以輕易攻破現有的公鑰密碼體制，這對整個互聯網社會的影響是巨大的。另外，還有一個重要的量子演算法——Grover搜索演算法，它可以將傳統的搜索演算法進行平方加速，這對現有的對稱演算法，比如AES演算法，也是有影響的，不過可以通過增加對稱演算法的密鑰長度，來增加搜索的難度，這些演算法的安全性可以繼續得到保證。同時，密碼學Hash函數需要輸出更長的消息摘要來提高抗碰撞的能力。

量子計算機儘管有無比強大的計算能力，但是它並不是對所有的問題都能有效求解（至少對於某些問題，還未發現有效的量子演算法）。為了應對未來的量子計算機帶來的威脅，學術界一直在對可以抵抗量子計算攻擊的密碼演算法和密碼體系進行研究，得出了許多重要的成果，這些抗量子計算密碼，也稱後量子密碼（注1），將成為未來互聯網的決定性關鍵技術，它們被設計為能同時抵抗傳統計算機和量子計算機的攻擊，並能和現在已經存在的通信協議及網路兼容。其中基於格理論的公鑰密碼體系是最有前途的抗量子計算密碼，它可以兼具安全性和效率。NIST（美國國家標準與技術研究院）已經計劃推出抗量子計算密碼的標準，並且強調新的抵抗量子攻擊的密碼演算法應該靈活，盡量和現有的公鑰體制可以進行交互和兼容，減少向新的密碼基礎設施遷移的難度。NIST預計在4-6年之後推出抗量子計算密碼的推薦標準，並建議提高現有演算法的安全等級（提供更長的密鑰），來面對可能存在的安全威脅。

量子計算機來了，信息安全的出路在哪裡？

圖3：抗量子計算密碼演算法可以同時抵禦數字計算機和量子計算機的攻擊

跨越量子森林

為了在量子計算機中維持和操縱微觀量子態，這需要十分苛刻的環境條件。特製的裝置所處環境的溫度會達到-273℃以下，甚至只比絕對零度（-273.15℃）高不到0.1℃。另外量子疊加狀態會很脆弱，持續時間很短，任何光或者熱量進入到系統內都會使得量子疊加狀態消失，成為普通的類似二進位比特的狀態。因此還需要將量子比特晶元放置到十分接近真空和極弱磁場的環境中。即便達到了如此苛刻的環境條件，研製量子計算機的另一個重要技術難題就是如何儘可能長的保持量子疊加狀態，並在量子狀態消失之前完成計算。因為量子狀態的不穩定，還需要使用複雜的量子糾錯技術來防止量子比特出錯。典型量子疊加態的持續時間為50微秒，需要在如此短時間內完成糾錯和運算。現有的量子比特操控使用了複雜的激光、微波等調製技術。另外，當量子比特位數增加的時候，控制這些量子比特進行工作就變得十分困難，就彷彿迷失在了一片廣袤的森林之中。所以現在的量子計算機中包含的量子比特數目還特別的少，但是這不妨礙量子計算成為最有發展潛力的一個科技領域。另外值得強調的一點是，通用量子計算機的實現難度很大，但是它具有各種量子邏輯門，可以像經典數字計算機一樣進行編程，實現各種演算法，IBM公開的量子計算機就屬於此類。

另外，還有一類用於特殊目的的量子計算機（稱為量子模擬器更合適），它針對某一類問題會特別高效，而且這一類量子計算機現在已經可以做到了上千量子比特，D-wave公司的產品就是屬於此類。這並不意味著這些特殊的量子計算機就沒有用武之地，由於這類量子計算機在機器學習和人工智慧等領域表現出了十分大的潛力，已經引起了Google和美國宇航局（NASA）等機構的注意，D-wave的量子計算機已經實現了商用。

經過近二十年的發展，越來越多的量子計算領域的科學家意識到，實用的量子計算機不再僅僅存在於理論之中，儘管可能造價不菲，技術難度很高，但是製造一台實用的量子計算機現在更多地成為了一個工程問題，而不是一個基礎物理學問題。有人預計再過20年之後，實用的量子計算機將會出現。在這之前，信息安全專家和工作者們應該已經準備好了新的更安全的抗量子計算密碼演算法，人們在互聯網上的各種活動的安全仍然能得到保障，並且得益於量子計算機帶來的無比強大的計算能力，到那個時候，人類社會以及互聯網的面貌可能會是另外一番無法想像的景象。科技改變人類生活的腳步從未停止！

（注1：量子密碼已經用於特指量子通信中的量子密鑰分發。）

參考資料

1.量子計算機，到底有多神奇. 科技日報, 2015-12-24

3.Has the age of quantum computing arrived? https://www.theguardian.com/technology/2016/may/22/age-of-quantum-computing-d-wave

5.5個原子構成的量子計算機，或顛覆整個互聯網加密系統. 《科學美國人》中文版：環球科學，2016-03-30

6.The IBM Quantum Experience. http://www.research.ibm.com/quantum/

張煥國，王后珍，楊昌等譯. Post Quantum Cryptography（抗量子計算密碼）. 清華大學出版社，2015.

7.中國密碼學會編著. 2014-2015密碼學發展報告. 中國科學技術出版社，2016.

NISTIR 8105: Report on Post-Quantum Cryptography. April 2016.

請您繼續閱讀更多來自 科學的歷程 的精彩文章: