量子无关紧要的后量子时代
最近你可能经常听到后量子(PQ)密码学的讨论。尽管没人真正见过量子计算机,但新的PQ标准比传统算法更安全、更具弹性且更灵活——即使量子计算机永远无法建成。
量子计算的争议漩涡
关于量子计算机的预测众说纷纭:有人认为它将摧毁现有公钥密码体系,也有人认为具有密码破解能力的量子计算机只是幻想。真相是:在真正见到之前,我们无法确定。
但关键在于:抗量子特性并非后量子密码的主要优势。
单点故障危机
当前绝大多数公钥密码都基于隐藏子群问题的三个特例:RSA(因数分解)、有限域离散对数(Diffie-Hellman)和椭圆曲线离散对数(ECDH/ECDSA)。量子计算机恰好擅长解决这类问题。更严峻的是——即便没有量子计算机,如果隐藏子群问题被经典算法攻破,互联网密码体系将全面崩塌。
四十年安全退化史
- 密钥长度膨胀:1987年"军事级"的664位RSA密钥,如今仅需65位安全性。现代2048-4096位RSA密钥已是当年的3-6倍
- 算法进步威胁:通用数域筛法(GNFS)持续推动密钥长度增长,3072位才符合NSA机密数据要求
- 实现陷阱密布:从时序旁路攻击到参数选择错误,现有算法如同开发者的雷区
后量子密码的三大革新
-
问题多样性:
- 基于格问题的CRYSTALS系列(SIS/LWE)
- 基于哈希的SPHINCS+
- 正在标准化的椭圆曲线同源、纠错码等多类算法
-
现代设计哲学:
- 内建时序攻击防护
- 减少随机数生成器依赖
- 完全确定性的输入输出
- 预定义安全参数集
-
应用场景灵活性:
- McEliece适合存储充裕的嵌入式设备
- NTRUSign适合服务器签名场景
- SPHINCS+提供"快速"与"精简"双模式
新算法的风险辩证
虽然RAINBOW和SIKE在标准化过程中被攻破,但传统算法同样面临未证伪风险。GNFS的持续进化已使1990年代的"安全"密钥如今不堪一击。后量子密码的真正价值在于:将密码学从单一问题依赖中解放,构建面向未来的多样化防御体系。