加密算法与量子计Pinnacle平博体育算的赛跑

　　Pinnacle平博体育(访问: hash.cyou 领取999USDT）全世界的数字安全专家都把目光投向了量子年时钟（Y2Q clock）。这台时钟不断计时着，终点是人们预测量子计算机能破解现代某种重要加密算法的时间点。这种加密算法非常精妙，它可以用公开的密钥为信息加密，因而被称为公钥加密算法。尽管信息加密算法听上去有些陌生，但对于时常用互联网传递信息的我们，它无处不在。在上网购物时，它能确保我们的信用卡号码安全；当我们更新手机软件的时候，它能确保更新来自手机公司而非黑客。举报人需要用信息加密的途径联系记者，企业也需要安全的途径发送。

　　赫特纳是量子年时钟的创建者之一。Y2Q这个名字模仿了20世纪90年代末的“千年虫”Y2K危机。20世纪很多软件使用两位数表示年份，这意味着2000年与1900年，在计算机中都表示为“00”。当时人们预计使用这种日期表示法的程序会在新千年到来之际出现故障，这可能会导致大量系统崩溃。但最终，没有哪家银行在跨年时崩溃，没有电网断电，也没有飞机从天上坠落。计算机程序的世纪交替，过渡得很平滑，主要是因为企业和政府都抓紧时间修复了Y2K问题。

　　美国国家标准与技术研究院的比赛进行了四轮。第一轮允许参赛者提交方案，每轮评审之后晋级的组可以调整方案并提交下一轮的版本，新一轮评审将更为严格。最终，研究院选择了一个叫CRYSTALS-Kyber的方案作为公钥加密组的优胜方案。数字签名组则选出了三个优胜方案，其中数字签名可用来安全地识别信息发送者。研究院正在和研究者合作，将获胜的算法写成标准，以便程序员开始将这些算法纳入当前的加密系统中，奠定后量子保密的基础。

　　很难想象有对称加密算法能摆脱这种限制。1974年，美国加利福尼亚大学伯克利分校的本科生拉尔夫·默克尔在课堂作业里提出了一个项目，探讨“两人无需提前约定便可安全通信”的方法。当时他预料到这个题目听起来有多离谱，还补充道：“不，我没在开玩笑。”默克尔想象了一个系统，其中两个人可以完全公开地交换信息，假设永远有人在偷听。通过公开交流，他们可以构建起一套编码和解码的方案，然后用来发送秘密信息。即使有其他人在偷听这些信息，也没办法猜到解码方案，并破解秘密信息。默克尔的提案被一名专家否决了，因为“工作假设不切实际”。

　　要想理解公钥加密算法的过程，我们可以想象有两位朋友，艾丽斯和鲍勃，他们共同开了一家面包店，有一个非常机密的布朗尼蛋糕食谱，机密到就连艾丽斯和鲍勃都不知道完整的食谱。他们会各自加一道只有自己知道的神秘配料。在制作布朗尼蛋糕时，艾丽斯和鲍勃会交替选择一个人开始。有时候艾丽斯会负责混合基础材料，并加入自己的机密配料，然后把混好的面糊交给鲍勃，由他加入自己的配料，最后烘焙。有时候鲍勃会负责混合基础材料并加入他的配料，然后交给艾丽斯，由她加入自己的秘密配料并烘焙。

　　例如，RSA加密算法是基于乘法函数和它的反函数（即因数分解）进行的。将数字乘起来作为混合手段对计算机来说很简单，就算数字很大也没问题。但是反过来，如果是一个大数，因数分解将变得很困难。因数分解问题问的是：哪些数字相乘能得到输入的数字。例如，对21做因数分解，会得到3和7。要解码RSA创建的密码，就要对大数做因数分解。其中最好的办法也需要筛选很多数字才能找到特定的组合——对计算机而言，这需要花很长时间。

　　1994年，当时还在美国贝尔实验室做研究员的应用数学家彼得·肖尔提出了一种方法，可以让量子计算机解开任何通过RSA或Diffie-Hellman算法加密的密文。肖尔告诉我，他当时参加了一个讲座，讲如何使用量子计算机求解具有周期性结构的数学问题。这让他想到了“离散对数”问题。对数函数是指数函数的反函数。求对数通常很简单，但离散对数是在同余意义下进行的“算术”运算中的“对数”变体，类似于在时钟上进行3+10=1的算术。比如，在模为21的空间下，求Ind5（16），这需要5x除以21余16，虽然最终可以求得x为4，但计算机求解这一问题的过程并不容易。就像RSA基于因数分解一样，Diffie-Hellman算法则基于离散对数问题。计算机科学家普遍认为，用传统计算机没办法快速算出离散对数，但是肖尔发现了一种算法，能在量子计算机上快速完成。接下来他用类似的逻辑说明如何用量子计算机快速找到大数的因数。这些解决方案被统称为肖尔算法。

　　经典计算机处理的数据是被称为比特（bit）的长串“0”和“1”，但量子计算机使用量子比特（qubit），其中“qu-”是“quantum”（意为量子）一词的前两个字母。量子比特可以处于叠加态——同时处于“0”态和“1”态的神奇组合。当量子比特处于叠加态时，量子计算机可以在某些问题上获得比经典计算机更快的运算速度。然而量子计算机很挑剔。量子比特必须在算法运行时一直处于叠加态，但它们却很容易“坍缩”成一串“0”态和“1”态。

　　很多专家相信，足以破解RSA和Diffie-Hellman加密算法的强大量子计算机会在接下来几十年内出现，但他们也很快承认，这一时间线并不确定。对于密码学家而言，他们必须比量子计算机更快想出解决方案才行，这种不确定性很令人担忧。每个行业都有一部分工作非常重要，这些信息需要严格保密。比如，医疗保健公司必须确保医学研究使用数据的安全性；电力公司必须保证电网不被黑客破坏。最可怕的情况是：如果发生什么糟糕的事情，它们会完全无力应急。

　　格是指一组周期性的点阵。最简单的格可以被想象成一个钉板——从正方形网格的顶点排列出的点阵。数学家认为这组点阵是由两条基础线组成的结构：一根水平线和一根等长的垂直线。想象在纸的中心画一个点，再从中心沿着水平线或垂直线走几步，把最后的落点记下来。如果你遍历所有走法，会发现最后这些点形成了一个方格。不同的初始线组会生成不同的格。两条线的长度可以不一样，也可以不走横平竖直而是有一定角度。用这种线组重复走许多步，同样会得到周期性的点阵，但是行和列会错开，或是高度不同。

　　比赛还有一个组别是数字签名算法，这种算法能确保发送信息的人为真，以及信息未被修改。美国海军研究院的密码学家布里塔·黑尔解释说，加密算法回答的问题是“我能确保其他人不会读到这条信息吗？”而数字签名回答的问题是“我能信任这些数据没被修改过吗？”现在使用的数字签名算法同样会被肖尔算法破解。三个数字签名算法进行标准化，其中两个基于格。如此依赖单一类型的数学问题，风险很大。没有人能保证，数学家不会在哪天破解这个问题。用户也没有太多选择上的自由度——可能另外一种加密算法更符合他们的具体需要。因为这些原因，研究院拓宽了两个组别的标准化过程，以研究那些非基于格的算法。

　　而就算是选作标准的算法，也需要进行调整。在第一轮提交过后，研究人员注意到CRYSTALS-Kyber有一个小问题，而作者也解决了。在之后的一轮提交过程中，他们找到一个办法稍微改进了算法。“我们改变了参数，增加了几比特的安全性。”德国马克斯·普朗克安全与隐私研究所的彼得·施瓦贝说，他是CRYSTALS-Kyber的作者之一。其中，密码学中一个算法的安全等级可以用“比特”衡量，安全度为n比特表示需要2n次运算才能破解。