【导读】后量子密码,简称PQC,如今已是众多科技公司公开讨论的热门话题。但是,在半导体行业,仍有很多人难以弄懂后量子密码的复杂原理,而真正明白为何如今亟需转向后量子密码的人更是寥寥无几。不妨在这里探讨一下,我们应该如何思考这个问题,探讨其当下对决策者来说究竟意味着什么。想要理性探讨后量子密码,就必须先储备些许有关量子计算的基础原理的知识,了解量子力学知识,哪怕只是浅显了解,也是必不可少的。后量子密码学内容庞杂,涉及面非常广泛,一篇博文根本无法深入探讨这个专题。故此,本文仅梳理几项最核心的基础原理,力求揭开后量子密码的神秘面纱。
基础原理
什么是量子计算?
传统计算机依靠电信号存储和处理信息,电信号仅有高低电压两种基础状态,因此,我们用由 0 和 1 组成的二进制语言来表示这两种状态。无论是运行程序,还是显示图片和视频,传统计算机所做的事情,归根结底都是一长串 0 和 1 的组成的数据。量子计算机的运算基础同样是物理系统,但它并不用传统的电信号,而是采用电子、光子等量子,量子的运动遵循量子力学定律。
19 世纪初托马斯・杨完成的双缝干涉实验是一个著名的解释量子运动规律的例子。光线穿过两条狭缝时,会形成干涉条纹,仿佛是光波同时穿过了两道缝隙。可一旦借助测量设备观测光线具体穿过哪条狭缝,干涉条纹便会立刻消失,此时,光线又呈现出粒子形态,这便是量子力学中的波粒二象性。多年来,科研人员利用各类光子或物质多次再现这一特性,它也是量子计算学的核心理论依据之一。
什么是量子比特?
一台量子计算机的近距离特写照片
双缝干涉实验与量子计算机有何关联?简单来说,量子计算机用量子态表示量子计算机的核心基础信息。传统计算机用比特,而量子计算机则用量子比特,又称Qubit。比特代表电压范围,量子比特则可表示光子偏振态或电子自旋状态。无论是传统计算机还是量子计算机,都需要通过测量来确定比特或量子比特的数值,而双缝干涉实验证实,量子在测量前后的表现截然不同,这与传统力学规律完全相悖。
传统计算机的比特采用二进制计数,只用0和1两个数字,0或1 代表一个比特;量子计算机同样设定量子比特有两种基础状态,例如,两种能级、两种角动量等。量子比特与传统比特不同之处是,传统比特的两种状态是互斥的,也就是说,比特不是 0,就是1,而量子比特可以处于两种状态的叠加态,如同光波能同时穿过两条狭缝一般,兼具比特的 0 和1 两种状态。因此,量子比特里的 0 态和 1 态以概率幅形式存在,概率幅决定了测量结果是 0 还是 1 的概率。
系统一旦执行测量操作,量子比特的叠加态就会坍缩为 0 或 1,量子计算就此结束,这和前文双缝干涉实验中观测光线通过哪条狭缝的原理一致。为此,量子算法利用精心设计的运算来调整量子比特的概率幅。简单来说,量子算法就是调控概率幅,以提高正确结果概率,抑制错误结果的概率,确保测量一次,结果正确一次。量子计算背后掩藏着繁杂深奥的数学理论,一篇博文难以详尽讲解。不过,上面简要的介绍有助于我们明白为何量子计算是一个难题。
相较于传统计算机,量子计算机潜在的核心优势是,能够利用叠加态并行推演大量可能情况,而传统计算机只能逐步依次演算。对于特定问题,量子计算机可借助量子特性减少运算次数,实现算力大幅提升,不过,这并非适用于所有情况。过去,量子计算机仅在执行特定类型任务时远超传统计算机,例如,优化运算、量子系统仿真,以及部分密码和搜索类应用场景。
量子威胁
迈向后量子密码时代:量子比特电路特写实拍
什么是密码相关量子计算机(CRQC)?
目前全球各大实验室虽已研制出量子计算机,但无一能够对传统密码算法构成实际威胁。业内将这类设备定义为“非密码相关”量子计算机,意思是这类计算机不具备密码攻击能力。不过,我们显然正在迈向密码相关量子计算机CRQC时代,这类未来量子计算机利用容错量子算法和海量的量子比特,能够破解公钥密码加密体系。有业内预估,此类设备还需 10 至 15 年才能问世,但目前很难做出精准可靠的预判。究其原因,一台量子计算机要想具备密码攻击能力,必须能够处理海量的量子比特,还必须满足多项额外硬性技术条件。
今天的量子计算机难以识别并修正运算错误与损坏的数据,而密码相关量子计算机CRQC必须能够实时检错和纠错。今天的量子计算机生成的逻辑量子比特极易出错,而想要具备破解密码的能力,量子计算机必须支持处理数百个逻辑量子比特。逻辑量子比特是大量的物理量子比特通过编码组合而成,以防止量子比特出错,类似于 ECC 内存中的纠错码。2024 年,谷歌已研发出由 105 个物理量子比特组成的逻辑量子比特。最后,密码相关量子计算机还需完成数百万次量子门运算,并稳定运行至少数小时。不满足以上全部条件,一台量子计算机算不上真正具备密码攻击能力。
量子威胁是什么?
传统算法
量子计算机将如何破解传统密码算法?最常被提及的破解方法便是肖尔算法,该算法以数学家彼得・肖尔命名。想要弄清它的原理,首先要明白:当下众多主流密码算法都依靠一个事实:在传统计算机上进行大整数因数分解难度高,耗时长。我们都知道,两个数字相乘既简单又快捷,可要反向找出这个大数是哪几个质数相乘的结果则需要很长时间,使得这种运算几乎没有可行性。
这本质上就是RSA这类加密算法的核心原理。这个大数就是加密后的数据,两个质数分别对应公钥与私钥。如果同时持有两组质数密钥,解密过程就会十分简便迅速;若仅有公钥,靠暴力枚举破解私钥几乎无从实现。举例来说,用传统计算机破解采用2048 位整数的 RSA 加密,大约需要300 万亿年。据一篇2021 年发表的热门论文,如果同一破解运算在量子计算机上执行,只需8 个小时和2000 万个有噪量子比特就能破解密码。
肖尔算法与格罗弗算法
量子计算背后隐藏的无数个复杂深奥的数学原理可以解释,密码相关量子计算机如何快速破解 RSA 加密算法。本文不深入探讨数论与模运算相关知识,但可以介绍两个关注度较高的连主流刊物都引用的热门算法:肖尔算法与格罗弗算法。本质而言,这两种均为量子算法,能让量子计算机在某些情况下运算速度远超传统计算机。因此,当各行各业谈及量子计算机对现行密码标准构成威胁时,部分原因正是这些算法已从数学层面证实了这种破解的可行性。
简单来说,彼得・肖尔于 1994 年提出了肖尔算法,证实了量子计算机能够以惊人速度完成阶数求解及其他复杂运算。深究其原理,我们不难发现,量子计算机可操控多个量子比特执行模运算和其他运算,运算速度远超传统计算机。因此,肖尔算法能用很少的运算步骤完成大整数因式分解运算,以更快的速度破解 RSA 加密,极大动摇了这类加密算法的安全根基。
1996 年,洛夫・格罗弗同样提出了一种量子算法,这个量子搜索算法可用于暴力破解对称密钥,适用于 AES 这类分组密码,以及 HMAC-SHA-256 等带密钥的哈希结构算法。传统暴力破解几乎需要演算所有可能密钥。以常用的 128 位密钥为例,演算全部密钥需要底层密码算法执行2128 次运算,说白了,理论上,我们必须试遍所有的密钥值。相反,格罗弗算法利用量子计算机的特性,每一次运算都会提升正确密钥的概率幅,经过约264 次运算后,就能以极高概率测出正确密钥。
AES-192和AES-256
虽然量子计算机可一次性处理海量信息,运算能力远超传统计算机,对部分加密算法构成安全隐患,但美国商务部国家标准与技术研究院公开表示,并非现行所有加密算法都会失效。例如,该机构明确指出:192 位和 256 位高级加密标准(AES)在未来很长一段时间内依旧安全无虞。原因在于格罗弗算法在实现上受到限制,严重限制了其对此类加密方式的暴力破解能力。除了需要大量的量子计算外,它难以实现高效并行运算,进一步制约了其实用优势。
前瞻布局,应对未来
我们既不能夸大当前密码相关量子计算机带来的风险,也绝不能低估其潜在威胁。随着量子计算机技术越来越成熟,现在尚好的加密体系,未来将不堪一击。这对于许多需要长期稳定运行数十年甚至更久的数字签名与认证技术而言,无疑是一大隐患。同理,即便当前基于传统公钥密码体系的区块链能满足所有安全标准,若无法抵御二十年后的量子计算机攻击,最终也将彻底失去使用价值。如今,攻击者还普遍采用先盗后破的策略:提前囤积大量的涉密数据,待量子算力足以破解密钥后,再行破解之事。
因此,不难理解,即便密码相关量子计算机尚未问世,部分现有加密算法在量子计算机问世之前还有很长的生命力,众多企业已然在做后量子密码技术升级,以抵御破解能力很强的量子计算机的攻击。知名内容分发网络服务商云帆去年就推出了后量子密码相关计划,谷歌也刚刚宣布更新了Chrome 浏览器和云服务,新增一个量子安全加密工具。无独有偶,苹果也表示已在 iMessage 应用中采用了后量子密码算法,以此防范未来来自量子计算机的安全威胁。
CRQC 何时能够问世?
各国监管机构相继出台了后量子密码部署路线图。像美国国家安全局(NSA)一样,很多机构坦言,目前无法确定密码相关量子计算机(CRQC)具体问世时间。但各方早已启动相关规划,因为从正式标准化到全系统集成,整个迁移过程往往需要十年甚至更久。简言之,抗量子破解算法技术迁移已然启动,行业正全面向后量子密码转型。各国政府机构也已公布后量子密码迁移建议时间表,提前布局应对量子危机日(Q-day),迎接密码相关量子计算机正式问世。
欧盟
2024 年 6 月,欧盟委员会要求各成员国在欧盟后量子密码建议发布起两年后制定出后量子密码实施路线图,截止时间定为2026 年底。欧盟在官方路线图中明确:高风险应用场景需尽快完成后量子密码迁移,最晚不迟于 2030 年底;到2035 年,尽可能完成绝大多数系统的迁移改造。欧盟网络安全局(简称 ENISA)已发布迁移白皮书与集成研究报告,帮助各国达成上述目标。
美国国家标准与技术研究院
同样,美国国家标准与技术研究院(NIST)在 2025 年的一份研究报告中提出,计划在2030 年前逐步淘汰易受量子攻击的加密算法,并于2035 年全面禁用此类算法。美国商务部表示,在后量子密码迁移过渡期内,经由 NIST 认证的128 位安全强度的传统对称密码基础算法依旧可以正常使用,各机构也可继续使用 112 位安全等级的公钥算法。不过,NIST 清楚,全面切换至抗量子攻击算法是一项庞大的工程,需要升级基础设施,开发新的软硬件、密码库等多项工作。因此,该机构早在数年前就启动了相关标准化工作,全力推动行业尽早完成向后量子密码体系的转型。
NSA美国国家安全局
与此同时,美国国家安全局(NSA)表示,力争所有国家安全系统(NSS)在 2035 年前全部完成抗抗量子攻击升级改造。为达成该目标,该局已制定商用国家安全算法套件 2.0 版(CNSA 2.0),明确列出可应用于国家安全系统的各类抗量子攻击算法。美国国家安全局指出:所有在国家安全系统中采用通用标准算法的产品,都必须使用 CNSA 2.0 规定的算法。自2027 年 1 月 1 日起,国家安全系统所有新采购设备均需符合 CNSA 2.0 标准;到2030 年 12 月 31 日,除特殊说明外,所有无法兼容 CNSA 2.0 的软硬件设备与服务必须逐步淘汰;至2031 年 12 月 31 日,相关系统将强制统一启用 CNSA 2.0 系列算法。
PQC时代的到来
哪里需要部署PQC?
各类基础设施受量子计算机的影响程度不尽相同,各类算力设备也无需以统一节奏向后量子密码迁移。但不能片面认为,只有存储国家机密的超级计算机才需要优先完成PQC迁移。实际上,决定设备是否优先PQC迁移的核心因素,往往不在于设备用途,而是实际使用年限。即便是普通工业设备,一旦设计周期长达数十年,也会成为高敏感设备。倘若其安全启动、远程空中升级机制不具备抗量子攻击能力,整套系统就会沦为企业整体网络的安全漏洞。
正因如此,全球移动通信系统协会(GSMA)在 2024 年发布指引,明确电信运营商向后量子密码体系过渡的实施办法。美国网络安全和基础设施安全局也向全部运营技术(OT)类业主和企业发布了相似指引,提醒相关主体绝不能等到密码实用型量子计算机问世后,才着手制定和落地应对方案。该局指出,认为仅有信息技术(IT)体系会遭受量子威胁的想法实属误区。文件中说明,一旦密码相关量子计算机成型,攻击者可在所有运营技术系统中伪装成可信主体,悄无声息篡改数据,或是破解保护通信链路的加密信息。
因此,一些看似毫不起眼、用途普通的小型设备反而面临最大安全风险,可信平台模块(TPM) 便是典型代表。
这类微型安全芯片是信任根的核心载体,负责固件签名和密钥生成管理,以及设备启动流程的安全防护。倘若设备的信任根遭到攻破,全世界保护网络安全的抗量子攻击TLS证书将毫无意义,形同虚设。同理,各国政府、企业及机构普遍采用安全身份凭证与各类安全组件存储个人信息。这类身份凭证使用周期极长,常被用于文件签署与身份核验。一旦这类凭证存在量子安全漏洞,将会引发灾难性后果。
全新的后量子密码标准有哪些?它们与传统加密算法存在哪些差异?
更难解的数学题
在准备向后量子密码迁移的过程中,很多人想知道怎样才能具备抗量子攻击能力。虽然底层数学原理十分复杂,但是,核心思路是采用比大数分解运算量更大的加密算法,格基密码便是典型代表。简单来说,格基密码使用一组坐标,可以粗略理解为二维平面上的点,求解高维结构化代数等数学难题。这类算法还会运用数论变换等复杂数学手段进一步提升运算量,以此强化自身的抗量子破解能力。
资源消耗更高
此外,后量子密码还采用一些直观却十分有效的方式提升安全强度,增大密钥长度便是其中之一。正如高级加密标准(AES)所体现的,即便其底层加密原理在理论上可被量子计算机破解,只要密钥长度足够大,攻击者破解所需耗费的时间与资源就会达到难以实现的程度。除此之外,部分抗量子算法将会启用状态值,原理类似随机数值,每次生成签名时,计数器都会生成对应的状态值,系统通过核验该值来确认消息来源是否可靠、数据是否遭到劫持篡改。RSA、椭圆曲线数字签名算法(ECDSA)等传统传统算法均为无状态值设计,而部分后量子密码机制采用有状态值设计,以此增添一重安全防护,有效杜绝签名被冒用的风险。
PQC算法清单
2024 年,美国国家标准与技术研究院(NIST)正式发布三个后量子密码标准:ML-KEM(FIPS 203)、ML-DSA(FIPS 204)、SLH-DSA(FIPS 205)。ML 代表模格密码;KEM 即密钥封装机制,用于在不安全通信信道中安全传递会话密钥。后两个标准属于数字签名算法,用于核验数据真实性与合法性。SLH 指代无状态哈希基密码,依靠哈希运算实现加密,而非格结构数学难题。这三个标准算法为抗量子攻击安全奠定了坚实的基础。例如,苹果已启用 ML-KEM;谷歌选用了 ML-DSA 与 SLH-DSA,但是,谷歌云密钥管理系统是三个标准全都支持。
业界仍在持续推进新算法标准化工作,以适配各类特殊应用场景。例如,美国国家标准与技术研究院已批准另外两种有状态哈希签名算法:LMS(莱顿 - 米卡利签名算法)与XMSS(扩展默克尔签名方案);同时还在推进另一款格基签名算法 FN-DSA(FIPS 206)的标准化进程。该算法融合格密码与快速傅里叶变换技术,既能缩减密钥长度,又可保障抗量子攻击能力。但是,这个算法依赖浮点运算,实现难度较大,并不适用于主打抗侧信道攻击的产品场景。
向后量子密码迁移面临哪些挑战?
资产梳理
企业团队往往只聚焦将要采用的抗量子攻击算法,却忽视了迁移过程中的其他各类难题。事实上,美国网络安全和基础设施安全局发布量子安全就绪指南时,并未提及任何具体算法名称,而是重点列出多项要求,指导企业梳理加密资产清单,此举可帮助机构评估安全风险,甄别存在安全隐患的通信协议,明确认证限制要求,同时摸清向后量子加密算法迁移会波及的所有关联问题。举例来说,不少企业一心着手升级云端基础设施,却彻底忽略员工访问云端服务所用的智能卡、硬件安全模块以及虚拟专用网络等设备与工具。
密码敏捷性
因此,行业定义了密码敏捷性这一概念。美国国家标准与技术研究院(NIST)将其定义为:在保障安全与业务持续运行的前提下,替换和调整协议、应用程序、软硬件、固件及基础设施中的加密算法的能力。简单来讲,就是能够在尽可能不影响日常业务运转的前提下,完成向后量子密码的平稳迁移。具体包含这些举措:全面梳理有加密功能的产品目标;搭建可通过应用程序接口(API)对算法进行抽象封装的底层架构;确保所有软件均可便捷、安全地更新升级。同时,密码敏捷性还是指机构能否多算法并行使用,一旦发现现有算法存在安全漏洞,能否及时无缝切换至全新加密算法的能力。
密码敏捷性是所有后量子密码迁移工作的核心要求。它既能减少设备停机时长,降低业务损失,也能保障迁移过程安全可控。例如,若在迁移工作中舍弃密码敏捷性原则,对证书规范、通信协议、密钥容器等进行硬编码固定,企业不仅会因部署不当承受更高安全风险,后续安全方案的迭代更新也会变得极为困难,进而引发更长时间的停机时间与更大的业务损失。
量子攻击防护技术转型带给我们的启示是:网络信息安全技术始终在不断发展演进,搭建具备密码敏捷能力的企业架构,是顺应安全发展趋势的最佳途径。
互通性与混合部署
密码敏捷性的另一大核心原则是互通兼容性,即确保各系统无论处于何种迁移阶段,彼此之间都能正常通信。
倘若某套系统升级为抗量子攻击算法后,无法与其余基础设施正常通行,将会引发严重故障。正因如此,众多企业开始采用混合部署模式,在同一系统内,传统加密和后量子密码两种算法都用,两者之间实时动态切换,以此保障设备互联互通。混合部署虽会提升架构复杂度,增加运算资源开销,但对于大型机构而言,这往往是平稳完成后量子密码迁移的最优方案。
资源受限型系统
工程师们清楚,在部分资源受限型系统上推进后量子密码迁移同样困难重重。这类设备通常内存配额紧张、带宽偏小,搭载的微控制器算力也十分有限。即便部分设备自带加密功能,也往往缺少可高效运行抗量子攻击算法所需的驱动程序、中间件以及应用程序接口。因此,嵌入式系统研发人员必须提前做好后量子密码适配规划。部分已投入使用的产品尚可升级支持后量子密码算法,但还有不少产品很难甚至无法完成改造,除非设计阶段就提前预留了后量子密码适配方案。
PQC对计算机系统有哪些影响?
向后量子密码(PQC)迁移将给计算机系统的设计、部署与运维方式带来深远影响。为应对迁移过程中固有的各类难题,工程师需从硬件、软件两大层面多维度着手推进。硬件层面,部分后量子加密方案需要更长的密钥、签名和密文,要求更高的运算量,这就要求系统配备更大内存和外存,以承载更长的密钥和证书,以及更多的中间数据;同时还需提升处理器性能,或搭载专用加密加速器,将处理延迟与功耗控制在合理范围。此外,部分设备平台还需更新系统架构与安全模块,适配全新的加密流程。
后量子密码迁移绝非仅仅启用新算法那么简单,还需要强化针对物理攻击与代码实现层面攻击的防护能力。即便选用安全性顶尖的抗量子攻击算法,一旦攻击者能够利用其代码实现中的漏洞发起攻击,算法防护也会彻底失效。举例来说,若缺乏完善防护手段,黑客可通过监测设备功耗、电磁辐射、运算时间差,或是向系统注入故障等方式,破解获取私钥与各类敏感数据。为抵御此类侧信道攻击,系统必须集成各类防护机制与硬件级防御手段,确保抗量子密码算法不会因非量子类安全缺陷遭到攻破。换言之,如果一套高安全等级的后量子密码算法代码极易被普通设备攻破,那么它所带来的安全防护也只是形同虚设。
ST如何应对PQC带来的各项挑战?
The ST33KTPM
ST33KTPM 可信平台模块
意法半导体积极应对后量子密码时代带来的各类挑战,为通用及安全微控制器提供全套的软件库与硬件IP模块,为行业后量子密码迁移赋能。代表性解决方案包括适配 STM32 系列的X-CUBE-PQC后量子密码软件包,以及ST33KTPM可信平台模块,该产品支持主流后量子密码算法的核心功能。例如,该模块的有状态哈希签名方案采用LMS 莱顿 - 米卡利签名算法,保障固件身份真实可信;同时支持后量子密钥封装机制ML-KEM与后量子数字签名算法ML-DSA。这个模块还是意法半导体首款具备抗量子攻击能力的TPM。
ST33KTPM 已通过FIPS 140-3 安全认证,证明其满足严苛的安全规范要求,也标志着该产品已全面做好迎接后量子时代的准备。作为一个TPM,ST33KTPM 可用作服务器、个人电脑、物联网设备及各类嵌入式系统的硬件信任根。意法半导体将后量子密码机制直接集成至这一核心安全基石中,确保各类系统核心的数据完整性、身份验证和密钥管理功能具备很强的防御韧性,甚至能够抵御未来的量子计算机的攻击。
实现密码敏捷性与PQC就绪能力
除全新硬件产品外,意法半导体还持续投入研发各类软件库与开发工具,助力现有及新一代产品准备好迎接后量子密码时代的到来,实现密码敏捷性是其中一个重要目标,即在不重新设计整体系统的前提下,逐渐灵活部署、整合或替换各类加密算法的能力。借助这类软件库,开发人员可整合后量子密码算法与传统加密算法,搭建混合加密方案,让迁移过程更平稳、更安全。随着行业标准迭代,新型安全威胁出现,技术团队还能通过系统更新灵活切换加密算法、调整密钥长度。
即便在密码相关量子计算机尚未大规模普及前,现有平台提前做好准备是防御量子计算机攻击的最高效的方式之一。
