量子计算无关紧要？后量子密码学的真正价值

你可能最近经常听到后量子（PQ）密码学的讨论，在尚未见到实用量子计算机的今天，人们很容易质疑其必要性。但即使量子计算机永不问世，新的后量子标准也比传统算法更安全、更具弹性且更灵活。

孤注一掷的现状

当前广泛使用的公钥密码体系几乎都基于三类数学问题：大数分解（RSA）、有限域离散对数（Diffie-Hellman）和椭圆曲线离散对数（ECDH/ECDSA）。这些问题都属于隐藏子群问题的特例——而量子计算机恰好擅长解决这类问题。如果建成中等规模的量子计算机，攻击者就能解密通信、伪造数字身份，甚至开发破解传统加密的工具。

更关键的是，即便量子计算机未能突破，互联网将所有密码学"鸡蛋"放在隐藏子群问题这一个"篮子"里的现状本身就充满风险。过去 40 年历史证明，这个"篮子"的安全性始终低于预期：

• 1987 年认为 664 位 RSA 密钥 100 年内无法破解，如今 NIST 评估其仅提供 65 位安全性

• PGP 1.0 的"军用级"992 位 RSA 现仅 78 位安全性，推测已被情报机构破解

• 现代计算机 10 分钟即可破解早期 288 位"商业级"密钥

现有算法的实现风险

除了数学基础的单一性，当前算法还存在精细的实现陷阱：

• RSA 充满"地雷"，需要严格防范时序侧信道攻击

• 有限域 Diffie-Hellman 存在参数选择和弱子群攻击风险

• 椭圆曲线系统面临离曲线攻击、弱子群攻击等威胁

虽然 Curve25519 等优秀标准部分缓解了这些问题，Trail of Bits 在代码审计中仍频繁发现危险实现。

后量子密码的革新优势

观察 NIST 后量子密码标准化进程，可见三大核心优势：

1. 数学问题多元化

新标准基于至少 3-4 类不同数学难题：

• 晶格问题（CRYSTALS 系列、Falcon）

• 哈希函数抗第二原像攻击（SPHINCS+）

• 可能新增的椭圆曲线同源、纠错码等方案

2. 现代化设计理念

吸取 40 年密码学教训的新特性：

• 易于实现恒定时间操作

• 减少对随机数生成器的依赖

• 完全确定的输入输出

• 预定义安全参数集

• 支持快速密钥生成实现前向安全

3. 应用场景灵活性

不同算法提供差异化优势：

• McEliece：小密文、快解密（但公钥达数百 KB）

• SPHINCS+：提供"快速"和"小巧"两种参数集

• 哈希签名：50KB 签名但公钥极小

不确定性的真相

虽然 RAINBOW 和 SIKE 在标准化过程中被破解引发担忧，但需注意：传统算法同样面临未被证明的安全性。GNFS 算法的发展已持续推高 RSA 密钥长度要求，1994 年的"安全密钥"在 2024 年已成笑谈。后量子算法虽年轻，但通过混合加密方案可平衡风险。

结论

后量子密码学的真正价值不在于应对量子威胁，而是一次密码学体系的现代化革新：通过问题多元化降低系统性风险，用现代设计消除传统"陷阱"，为开发者提供更安全、更灵活的选择。这不仅是防量子攻击的护盾，更是密码学演进的必然方向。更多精彩内容 请关注我的个人公众号 公众号（办公 AI 智能小助手）公众号二维码

办公AI智能小助手