量子网络安全如何改变数据保护方式

量子计算正逐渐成为现实，很快将能解决当今最快超级计算机无法处理的问题。然而，若落入恶意分子手中，量子计算机也将为网络安全专业人士带来前所未有的挑战。

近期进展表明，密码学相关量子计算机（CRQC）——能够破解常用加密算法的设备——正接近现实。例如，2025年2月，微软发布了Majorana 1，声称这是首款使用更稳定的拓扑量子比特（qubit）的量子处理器。微软认为其量子处理器最终可在单芯片上扩展至100万个量子比特。尽管Majorana 1距离发挥其潜力还有很长的路要走，但它的发布应成为尚未认真对待后量子密码学（PQC）的组织的警示。量子计算机将使当前加密算法过时，并帮助复杂对手找到危害关键系统的新方法。为这一必然性做准备，始于采用PQC算法。

为什么量子网络安全重要

量子计算网络安全的最大风险是能够快速破解流行的公钥密码学和加密算法，如Rivest-Shamir-Adleman（RSA）、Diffie-Hellman和高级加密标准（AES）。只有国家行为体才有资源创建用于此目的的量子系统，据信他们正在收集敏感加密数据以备将来使用。这被称为“现在收集，以后解密”。

咨询公司Safe Quantum的CEO John Prisco表示：“我们的对手正在消耗加密网络上的一切可能内容。我们知道，一旦出现CRQC，所有使用RSA-2048或RSA-4096的秘密消息都将被解密。在不久的将来，以这种方式加密的内容将不再保密。”

解密先前被盗数据并非CRQC带来的唯一威胁。IBM院士兼IBM Quantum Safe负责人Ray Harishankar指出：“使用CRQC，我们今天依赖非对称密码学的所有数字通信也将被破解。恶意行为者可以进行欺诈性身份验证并冒充任何人，从而导致一系列不良事件发生。这不像Y2K问题那样在特定时间点发生，而是随着强大量子计算机的逐渐可用和国家行为体的访问而逐步发生。”

最应关注的组织包括金融服务、政府机构、拥有敏感知识产权的学术和研究机构，以及医疗服务和研究。Prisco补充道：“我们不应让中国更容易窃取我们的知识产权。医疗科学也面临风险。患者数据在人的一生中始终相关。我们需要终身安全计划来保护个人医疗信息。”

后量子网络安全应引起所有高管层的关注，而不仅仅是CISO。Harishankar强调：“任何拥有价值超过五、七、十年的数据——专利信息、药物发现信息、配方信息——这些都有可能被外泄并造成损害。管理这些数据的人员，如首席数据官，将会关注。这比CISO的问题更广泛，因为它是CIO的问题、首席风险官的问题、CEO的问题，甚至是董事会的问题，因为只需一次事件造成的损害，你的品牌声誉就会面临风险。”

量子计算如何改变加密

今天的加密方案（如RSA）“安全”并非因为它们无法被破解，而是因为破解所需的时间和计算能力。Prisco解释说：“公钥密码学结合RSA加密可以被今天的计算机（包括超级计算机）在大约1000年内破解。而CRQC可以在一个小时或更短时间内完成。”

为应对这一威胁，研究人员开发了多种PQC算法。例如Rainbow和超奇异同源密钥封装（SIKE），两者均曾获NIST批准，但后来被破解。Prisco警告：“这应让采取‘把所有鸡蛋放在一个篮子里’方法的美国量子战略家感到担忧。要与当今的安全保护方案竞争，深度防御是必要的。”

为什么组织现在应准备应对量子计算威胁

自1994年Peter Shor开发Shor算法（用于质因数分解，被认为与CRQC结合能够破解当今加密）以来，量子计算机的潜在威胁已为人所知。量子计算机正在激增，即使目前还没有足够强大的设备来破解标准加密算法。据Harishankar介绍，IBM已部署75多台量子计算机，其中超过12个实用级系统目前在线，用户可以通过云进行实验。

关键问题是：密码学相关量子计算机何时会出现？这很难回答，因为许多研究是秘密进行的。据估计，执行Shor算法需要从几千到数千万不等的量子比特。

Harishankar表示：“我们从2016年的5个量子比特开始，现在已达到156多个量子比特。我们也能获得越来越可靠的量子比特。我们已声明，到2029年或2030年，我们将拥有具有200个逻辑量子比特的容错量子计算机。”IBM已公开其到2033年的量子发展路线图。

但这可能不足以拥有CRQC。Harishankar的最佳估计是，这将在2030年代中期某个时间发生。如果你认为这给了你充足的准备时间，请再想一想。“历史告诉我们，大规模更改密码学不会在七到十年内发生。这需要更多时间，”他说。“除非人们今天开始思考和规划，否则他们无法在七到十年内完成工作。”

组织如何为量子网络安全做准备

组织为PQC做准备的最重要方式是开始向量子安全算法和密钥过渡。这是一个漫长的过程，包括以下步骤：

• 选择PQC算法：NIST已有三种PQC算法可供使用，并正在最终化另外两种的草案标准。组织应选择一种用于通用加密的主要算法（如联邦信息处理标准（FIPS）203）和一种用于数字签名的算法。NIST已指定一些算法作为备份，以防主要算法变得脆弱。
• 评估PQC算法对IT基础设施的影响：PQC算法将具有更大的密钥大小，并产生日益碎片化的网络流量，这会增加性能开销和实施复杂性。
• 调整网络安全设备：额外的复杂性和性能要求将对防火墙和网络入侵检测系统提出更高要求，这些系统需要处理由于更大加密密钥和密文而产生的更高体积的碎片化流量。
• 审查托管和其他云基服务及软件，确保它们具备量子准备就绪性：即使你尽一切可能使自己的网络量子安全，你的流程和数据可能仍在云中运行。如果它们不量子安全，你仍然容易受到PQC攻击。Zoom、Apple和Microsoft等提供商表示其云产品是“量子安全”的。
• 采取加密敏捷方法：加密敏捷性使你能在后量子加密算法受损时切换到另一种算法，而不会造成太多业务中断。Harishankar说：“在我们改造和修复当前软件以支持后量子密码学时，我们必须以加密敏捷性为念，这样你就不会陷入不得不反复进行重大更换工作的陷阱。我知道现在需要额外做一些工作，但这将在下游为你节省巨大成本。”

量子网络安全的未来是什么？

后量子网络安全世界无疑将更加复杂，但一个不变的因素将保留：网络对手和防御者之间持续的猫鼠游戏。

Prisco认为：“我认为抗量子算法会随着时间的推移而失效。没有人知道中国是否已经破解了NIST的CRYSTALS晶格算法。让我们采取深度防御方法，除了数学算法外，还使用量子科学。如果NIST项目能像图灵奖得主Whitfield Diffie和Martin Hellman那样提供50年的安全性，那将是惊人的。我认为这不是一个好的赌注。”

Michael Nadeau是一位获奖记者和编辑，覆盖IT和能源技术领域。他还在Substack上为本地可再生能源倡议的利益相关者撰写PowerTown博客。在Bluesky上关注他：@mnadeau.bsky.social。