自從量子計算成為各大科研機(jī)構(gòu)、大型企業(yè)、創(chuàng)業(yè)公司競相追逐，且逐漸升溫的前沿領(lǐng)域以來，量子計算與網(wǎng)絡(luò)安全之間的“矛”與“盾”之爭便不斷被關(guān)注和研究。一方面，我們關(guān)心量子計算機(jī)到底何時能夠到來，并成為我們解決若干關(guān)鍵問題的“殺手锏”；另一方面，我們又不得不關(guān)注：量子計算帶來的全新的網(wǎng)絡(luò)安全風(fēng)險到底有多大，應(yīng)該如何做好應(yīng)對準(zhǔn)備？

　　2020年4月9日，美國智庫蘭德公司發(fā)布了一份報告：《在量子計算時代確保通信安全：管理加密風(fēng)險》。該報告提醒，未來的量子計算機(jī)可能對當(dāng)今最安全的通信構(gòu)成威脅。這項研究是蘭德公司“Security 2040”計劃的一部分，該計劃通過跨領(lǐng)域方式對未來威脅進(jìn)行分析和評估。本文以該報告為基礎(chǔ)，介紹量子計算的最新發(fā)展，分析其安全風(fēng)險，了解美國應(yīng)對量子計算機(jī)攻擊的政策建議及風(fēng)險緩解措施，以期對我國提前應(yīng)對量子計算引發(fā)的網(wǎng)絡(luò)安全風(fēng)險提供參考。

　　一、量子計算發(fā)展迅猛

　　進(jìn)入2020年，關(guān)于量子計算機(jī)研發(fā)的最新進(jìn)展就有以下重磅消息令業(yè)界高度關(guān)注：

　　2020年5月初，IBM有關(guān)負(fù)責(zé)人透露，IBM目前已擁有18臺量子計算機(jī)，其中本季度就增加了3臺，這是一個相當(dāng)大的機(jī)群，這表明公司正努力從一種革命性的計算中獲益；目前，IBM公司性能最佳的量子計算機(jī)是“Paris”，其量子比特數(shù)為53，能夠在200秒內(nèi)完成目前最先進(jìn)的傳統(tǒng)超級計算機(jī)需要1萬年完成的特定計算任務(wù)。IBM同時宣布，將在2020年晚些時候推出一個更大的系統(tǒng)，運行超100萬個量子比特。IBM正朝著每年至少將其量子計算機(jī)的性能提高一倍的目標(biāo)邁進(jìn)，到目前為止，該公司已連續(xù)四年實現(xiàn)這一目標(biāo)。

　　同樣引人注目的是，IBM的競爭對手美國霍尼韋爾公司在2020年3月宣布，他們正在建造一種不同類型的量子計算機(jī)——離子阱量子計算機(jī)，預(yù)計將于2020年年中推出，其量子體積數(shù)高達(dá)64，它的運行溫度比IBM的超導(dǎo)設(shè)計要低一些。目前，霍尼韋爾公司的量子計算機(jī)僅有6個量子比特，但其稱每年將量子體積數(shù)提高10倍，5年后預(yù)計達(dá)到640000，比IBM的速度快得多。目前，霍尼韋爾有6臺量子計算機(jī)。

　　2020年4月，美國英特爾公司在《自然》雜志上發(fā)表了一項最新的科研技術(shù)，即“熱”量子計算機(jī)技術(shù)，該技術(shù)是將需要在約0.1開爾文（零下273.05攝氏度）下運轉(zhuǎn)的量子計算機(jī)，溫度提升至1.1左右開爾文溫度。該技術(shù)能將硅中的電子自旋作為量子比特，并且可以和周圍在1.1開爾文左右溫度的材料有效的隔離開，從而引入定域電子來操控量子比特，科研人員聲稱這將是此類量子處理器擴(kuò)展至百萬量子比特所不可或缺的先決條件。雖然溫度的提升不是很大，但是卻極大的降低了量子計算機(jī)在溫度控制上的成本，在量子計算機(jī)技術(shù)中是非常重要的里程碑，對量子計算機(jī)的技術(shù)進(jìn)步和發(fā)展起到非常大的作用。

　　4月6日，《美國國家科學(xué)院院刊》（PNAS）發(fā)表了麻省理工、印度理工、加州大學(xué)、香港科技大學(xué)等研究人員的一項發(fā)現(xiàn)論文：在金屬“金”中觀察到了馬約拉納費米子，這種粒子具有其反粒子就是自己本身的獨特屬性，是制造量子計算機(jī)的完美選擇之一。因此，這一發(fā)現(xiàn)無疑推動了容錯量子計算機(jī)的研發(fā)，向人類量子計算之夢的實現(xiàn)又邁進(jìn)了一步。

　　綜上，可以看到：量子計算機(jī)研發(fā)進(jìn)展迅猛，雖然量子計算技術(shù)仍處于初期發(fā)展階段，關(guān)于實現(xiàn)量子計算機(jī)基本架構(gòu)的最佳方法，即量子比特尚未達(dá)成共識（目前正在探索可能實現(xiàn)的量子比特架構(gòu)，包括超導(dǎo)量子比特、捕獲離子量子比特、自旋量子比特、光子量子比特和拓?fù)淞孔颖忍兀?，但是，?jīng)過多年的研究和大量的投資，像IBM、谷歌、微軟、英特爾和霍尼韋爾等大型科技公司，以及IonQ、Rigetti、本源量子等初創(chuàng)公司，都在競相將量子計算推向成熟。

　　二、現(xiàn)代公鑰加密面臨嚴(yán)重威脅

　　2.1公鑰加密（PKC）是現(xiàn)代數(shù)字通信的骨干

　　自互聯(lián)網(wǎng)誕生以來，公鑰加密（Public Key Cryptography，PKC）已成為所有可信數(shù)字通信的骨干，它為人們以多種數(shù)字交互方式進(jìn)行重要和敏感信息共享提供足夠的隱私和安全性，確保了開放式網(wǎng)絡(luò)通信的基本信任。

　　在PKC中，每個用戶都有兩個密鑰（公鑰和私鑰），用公鑰加密的任何消息只能用私鑰解密，因此可以在可觀察的通道上安全地傳輸。盡管公鑰和私鑰在數(shù)學(xué)上是相關(guān)的，而且當(dāng)密鑰足夠小時，從公鑰確定私鑰在技術(shù)上是可能的，但是由于導(dǎo)出私鑰所需的操作（作為數(shù)字分解和解決離散對數(shù)問題的工具）在計算上一直具有相當(dāng)大的挑戰(zhàn)性，因而PKC在實踐中可以始終實現(xiàn)安全性。

　　2.2量子計算可能徹底顛覆和完全破解數(shù)字加密系統(tǒng)

　　量子計算的快速發(fā)展使得PKC未來面臨巨大的安全漏洞。從理論上講，量子計算機(jī)可以通過計算能力繞過現(xiàn)行的防御，直接暴力破解用于保護(hù)現(xiàn)有幾乎所有網(wǎng)絡(luò)通信的PKC，可能徹底顛覆和完全破解現(xiàn)代信息和通信基礎(chǔ)設(shè)施所依賴的數(shù)字加密系統(tǒng)。通過這種對密碼的破壞性，將使得身份驗證的安全與通信隱私難以保證，軍事情報系統(tǒng)、金融交易系統(tǒng)乃至全球經(jīng)濟(jì)的支持系統(tǒng)都將面臨潛在的巨大風(fēng)險。

　　量子計算在數(shù)字分解和數(shù)據(jù)庫算法檢索中能極大提高算力，減少計算時間和資源，使得量子計算機(jī)能夠暴力破解這兩個領(lǐng)域的PKC的公共密鑰，使通信的身份驗證和訪問控制失去安全性。

　　另外，PKC通常使用更長的密鑰長度來提高安全性，但更長的密鑰需要更多的計算資源才能進(jìn)行常規(guī)的加密或解密操作。量子計算從根本上改變了破解密鑰的資源規(guī)模，如果試圖通過加長密鑰長度來確保在量子計算中的等效安全，則對這些密鑰進(jìn)行常規(guī)加密或解密操作所需要的計算資源將是完全不切實際的大體量。

　　最后，所有在當(dāng)下被認(rèn)為是安全的數(shù)據(jù)傳輸有可能被保存到未來量子計算成熟的時間點，從而被量子計算攻破。

　　2.3量子計算未來威脅風(fēng)險的決定因素

　　量子計算未來的威脅風(fēng)險將取決于三條時間線：

　?。?）量子計算機(jī)的開發(fā)和應(yīng)用速度。

　　（2）能夠抵御量子計算攻擊或破密的PQC（postquantum cryptography，后量子密碼學(xué)）及其標(biāo)準(zhǔn)協(xié)議的開發(fā)和應(yīng)用速度。

　?。?）如何快速地、廣泛地、平滑地向PQC過渡。

　　對此，美國智庫通過調(diào)研和評估，得出以下結(jié)論：

　?。?）對能夠?qū)崿F(xiàn)破密的量子計算機(jī)問世時間的預(yù)計平均在15年后，即大約在2033年。但更早和更晚的開發(fā)都是可能的。

　?。?）PQC的標(biāo)準(zhǔn)協(xié)議預(yù)計將在未來5年內(nèi)起草并發(fā)布，而PQC的完全采用將可能在2030年代中期或更晚，因為執(zhí)行標(biāo)準(zhǔn)協(xié)議和減輕量子計算的脆弱性所必需的全國性或全球性過渡時間可能達(dá)到數(shù)十年之久。

　?。?）如果在有能力（破密）的量子計算機(jī)開發(fā)后尚未充分實施PQC，則在不對現(xiàn)有基礎(chǔ)設(shè)施進(jìn)行重大顛覆性更改的情況下，無法確保身份驗證的安全和通信的隱私，系統(tǒng)漏洞不僅比當(dāng)前網(wǎng)絡(luò)安全漏洞更加嚴(yán)重，種類和路徑也會相對不同。

　　三、美國智庫建議的應(yīng)對措施

　　量子計算的風(fēng)險威脅將影響每個政府機(jī)構(gòu)、關(guān)鍵基礎(chǔ)設(shè)施和行業(yè)，這將構(gòu)成全面的國家安全威脅。因此需要整個國家采取集中協(xié)調(diào)的方法來應(yīng)對風(fēng)險。對此，美國智庫蘭德公司在相關(guān)報告中，提出了以下應(yīng)對建議：

　　3.1總體策略

　　蘭德建議，美國應(yīng)當(dāng)在以下三個策略方向上，開展量子計算準(zhǔn)備和安全應(yīng)對工作：

　?。?）采取各種措施推動PQC的開發(fā)和普及

　　廣泛、適當(dāng)?shù)剡^渡到PQC將是減輕量子計算安全風(fēng)險的最有效手段，PQC的研制速度、普及規(guī)模和標(biāo)準(zhǔn)協(xié)議將是決定潛在風(fēng)險大小的關(guān)鍵性因。PQC的可互操性標(biāo)準(zhǔn)實施和普及的越早，最終風(fēng)險就會越小。

　?。?）在數(shù)字基礎(chǔ)架構(gòu)中構(gòu)建網(wǎng)絡(luò)彈性和加密敏捷性

　　通過對數(shù)字基礎(chǔ)架構(gòu)進(jìn)行調(diào)整以應(yīng)對不斷發(fā)展的當(dāng)前威脅和未來威脅（例如量子計算），新系統(tǒng)的目標(biāo)應(yīng)當(dāng)是：①保持足夠的與量子計算及其標(biāo)準(zhǔn)的預(yù)期演進(jìn)和PQC未來更高要求的兼容性；②通過模塊化實現(xiàn)對新威脅或漏洞的快速響應(yīng)和低成本的密碼適應(yīng)?？傊?，過渡到PQC所需的系統(tǒng)性更新提供了在原有通信和信息系統(tǒng)中使用新密碼和安全結(jié)構(gòu)的契機(jī)，這將有利于提高我們對當(dāng)前和未來網(wǎng)絡(luò)威脅的響應(yīng)能力。推動PQC應(yīng)用和進(jìn)行量子計算準(zhǔn)備的工作應(yīng)當(dāng)具有使用新系統(tǒng)的連續(xù)性階段目標(biāo)，以實現(xiàn)更大的網(wǎng)絡(luò)彈性和加密敏捷性。

　?。?）為不確定的未來做好準(zhǔn)備

　　量子計算的發(fā)展時間節(jié)點帶有較大的不確定性，這將會產(chǎn)生一個難以預(yù)測和不太安全的未來。因此在對公眾進(jìn)行量子計算風(fēng)險的普及時，應(yīng)當(dāng)在夸大威脅和忽視真實風(fēng)險之間尋求平衡。美國的風(fēng)險預(yù)案和控制能力可以確保在最壞的情況也不會導(dǎo)致數(shù)字信息安全的終結(jié)，而在最佳情況下，全球網(wǎng)絡(luò)安全性可能會提高。

　　3.2白宮和行政部門應(yīng)對措施

　?。?）確保聯(lián)邦協(xié)調(diào)機(jī)構(gòu)充分地優(yōu)先考慮威脅

　　美國政府的應(yīng)對措施需要一個專門應(yīng)對量子計算威脅的聯(lián)邦機(jī)構(gòu)，負(fù)責(zé)協(xié)調(diào)政府各部門和整個行業(yè)的行動。鑒于美國國家量子協(xié)調(diào)辦公室（NQCO）的其他優(yōu)先事項，目前無法確定NQCO是否能夠重視和應(yīng)對量子計算威脅，政府應(yīng)當(dāng)在其（無法重視）情況下考慮設(shè)立其他機(jī)構(gòu)或者路徑。

　?。?）制定促進(jìn)量子計算和PQC采用的標(biāo)準(zhǔn)

　　美國國家標(biāo)準(zhǔn)技術(shù)研究院（NIST）應(yīng)對相關(guān)算法標(biāo)準(zhǔn)進(jìn)行梳理和精煉，并基于此逐步創(chuàng)建國際標(biāo)準(zhǔn)。同時要確保創(chuàng)建的國際標(biāo)準(zhǔn)與當(dāng)前NIST評估標(biāo)準(zhǔn)一致，盡量避免市場的分散化，確保互操作性的最大化和廣泛普及。

　　（3）制定強(qiáng)制性向PQC過渡的政策

　　美國國家安全局網(wǎng)絡(luò)安全理事會（NSA Cybersecurity Directorate）應(yīng)當(dāng)考慮制定一個政府各個部門、關(guān)鍵基礎(chǔ)設(shè)施和其他組織向PQC過渡的政策方案，并確保足夠的執(zhí)法權(quán)限和極少的豁免例外。

　?。?）聯(lián)邦協(xié)調(diào)機(jī)構(gòu)應(yīng)當(dāng)推動改革并提高意識

　　擴(kuò)大聯(lián)邦協(xié)調(diào)機(jī)構(gòu)的代表范圍，使聯(lián)邦政府中更多部門和機(jī)構(gòu)的人員參與進(jìn)來。機(jī)構(gòu)應(yīng)當(dāng)：①召集政府和私營部門的利益相關(guān)者，提高意識并共同解決量子計算帶來的風(fēng)險；②發(fā)布有關(guān)PQC過渡和加密敏捷性的最新指南；③推動廣泛的信息技術(shù)變革。

　　3.3國會應(yīng)對措施

　?。?）通過聽證會提高人們的認(rèn)識并保持監(jiān)督

　　國會聽證會能夠提高各方對量子計算風(fēng)險的認(rèn)識，建立相應(yīng)監(jiān)督機(jī)制，并審查量子計算準(zhǔn)備工作的進(jìn)度。國會應(yīng)特別注意國家安全組織與非國家安全組織之間的模糊界限。

　?。?）通過立法激勵公共和私營部門向PQC過度

　　國會的立法選擇包括：①對政府各部門和關(guān)鍵基礎(chǔ)設(shè)施的PQC過渡和加密敏捷性進(jìn)行進(jìn)一步的立法和授權(quán)；②增加或集中相關(guān)的人力和資金，確保政府的PQC過渡和量子準(zhǔn)備工作；③制定一系列PQC過渡的商業(yè)激勵措施；④適當(dāng)實施PQC的認(rèn)證計劃。

　　3.4相關(guān)組織應(yīng)對措施

　　（1）評估并跟蹤量子計算的未來風(fēng)險

　　將量子計算的潛在風(fēng)險整合到組織的風(fēng)險評估和管理體系中。整合并儲備目前已有的相關(guān)信息以備未來開發(fā)時使用，評估當(dāng)下和未來可能的漏洞。

　　（2）制定密碼公鑰的使用清單

　　梳理組織、合作伙伴和第三方供應(yīng)商在組織內(nèi)使用公鑰加密的每個環(huán)節(jié)，在未來具備可行性技術(shù)和標(biāo)準(zhǔn)時全部過渡到PQC。

　?。?）建立網(wǎng)絡(luò)彈性和加密敏捷性

　　組織應(yīng)當(dāng)計劃建立更大的網(wǎng)絡(luò)彈性和加密敏捷性，以改善整體網(wǎng)絡(luò)安全性，確保向未來PQC的平滑過渡。

　　四、啟示與建議

　　量子計算機(jī)的發(fā)展對通信基礎(chǔ)設(shè)施的安全提出了一種新的威脅，網(wǎng)絡(luò)攻擊者找到了繞過旨在保護(hù)信息的加密系統(tǒng)的方法。采用量子技術(shù)實施的網(wǎng)絡(luò)攻擊將使用一種直接攻擊這些密碼系統(tǒng)的設(shè)備，從而破壞信息安全的基石。這是一個重大而緊迫的安全威脅，如果不能解決它，可能會對信息、軍事、政治和經(jīng)濟(jì)安全造成毀滅性的影響。對此，我們應(yīng)該高度警惕，及時采取行動，采取適當(dāng)?shù)恼?、減少風(fēng)險的措施，并提前做好各種應(yīng)對準(zhǔn)備：

　　首先，密切跟蹤并積極參與后量子密碼算法標(biāo)準(zhǔn)的推進(jìn)工作。當(dāng)前，許多國際標(biāo)準(zhǔn)開發(fā)組織正在測試和分析PQC算法，NIST正在起草PQC的標(biāo)準(zhǔn)協(xié)議4。NIST報告稱，PQC標(biāo)準(zhǔn)的目標(biāo)發(fā)布日期為2022年至2024年，之后將開始使用新協(xié)議向廣泛的安全性過渡。由于NIST的后量子密碼標(biāo)準(zhǔn)工作具有很大的影響力，因此，國內(nèi)密碼學(xué)界對此應(yīng)給予高度關(guān)注和密切跟蹤，并適時參與其中的相關(guān)工作。一旦新算法標(biāo)準(zhǔn)被創(chuàng)建和發(fā)布，則可以及時開始轉(zhuǎn)換并廣泛采用。

　　第二，在國家重大關(guān)鍵數(shù)字基礎(chǔ)設(shè)施中構(gòu)建加密敏捷性與網(wǎng)絡(luò)彈性，改善整體網(wǎng)絡(luò)安全。由于系統(tǒng)轉(zhuǎn)換到新標(biāo)準(zhǔn)的過程將是漫長的，從歷史上看，密碼轉(zhuǎn)換的時間表是以十年為單位來衡量的。尤其對于國家安全系統(tǒng)來說，因為新標(biāo)準(zhǔn)可能需要在整個協(xié)議棧的許多地方進(jìn)行重大更改，包括軟件、硬件或嵌入式數(shù)據(jù)結(jié)構(gòu)的更改，PKC和PKI（公鑰基礎(chǔ)設(shè)施）非常普遍，使用它們的每一個設(shè)備和網(wǎng)絡(luò)最終都需要使用新的標(biāo)準(zhǔn)來抵御量子計算機(jī)，其中涉及的軟件與硬件的替換都需要時間和成本，這可能會進(jìn)一步延遲過渡決策。這個過程伴隨著網(wǎng)絡(luò)攻擊脆弱性的代價，因此，在涉及國家重大利益的關(guān)鍵數(shù)字基礎(chǔ)設(shè)施中，當(dāng)前我們必須重視加密敏捷性和網(wǎng)絡(luò)彈性。網(wǎng)絡(luò)彈性是指網(wǎng)絡(luò)在遇到災(zāi)難事件時快速恢復(fù)和繼續(xù)運行的能力；加密敏捷性是指在計算能力提高導(dǎo)致密碼過時的情況下更換密碼系統(tǒng)的能力。加密敏捷性包括：算法的敏捷、協(xié)議敏捷和實現(xiàn)敏捷。正確實現(xiàn)更靈活的密碼系統(tǒng)是當(dāng)前提高網(wǎng)絡(luò)整體安全性的絕對必要的手段，特別是作為減輕量子計算威脅的手段。

　　第三，成立應(yīng)對量子計算威脅的國家專門管理與監(jiān)督機(jī)構(gòu)。鑒于量子計算可能對國家政治、經(jīng)濟(jì)和軍事等造成重大威脅與影響，我國應(yīng)該盡早成立專門的組織與管理機(jī)構(gòu)，定期評估威脅影響程度，協(xié)調(diào)各方的資源，并發(fā)布相關(guān)倡議計劃，推動PQC標(biāo)準(zhǔn)的平滑過渡和廣泛采用，監(jiān)督企業(yè)的采納情況。因為依靠市場力量來推動商業(yè)組織采納，往往會導(dǎo)致企業(yè)在被違反之前不采納，而政府主導(dǎo)的過渡可能會迫使企業(yè)采取更積極的措施。