量子計算環境下密碼技術展望

馬小榮 楊贇

摘要：在今天的信息時代，密碼技術作為近年來信息安全學科研究的一個熱點，量子密碼技術的誕生很好地解決了傳統密碼技術存在的問題。然而由于量子計算機的強大運算能力，量子計算一旦在密碼計算中成為霸權，現有密碼體制可能發生很大變化。本文主要對量子計算與密碼學進行了分析，總結了量子計算環境下對現有密碼算法的影響進行分析，最后展望了量子環境下密碼技術的發展現狀。

關鍵詞：傳統密碼;密碼技術;量子計算

中圖分類號：TN918?文獻標識碼：A?文章編號：1672-9129（2020）08-0007-01

1?引言

目前，量子計算還處于起步階段，無法確定哪些安全，哪些不安全，對稱加密很容易產生量子抗性，現在的密碼技術正致力于量子抗性公鑰算法。如果根據現有的數學知識和計算能力，公鑰加密最終只是一個暫時的異常，目前的密碼技術仍然可以生存。近些年，研究人員設計出特色各異的量子環境密碼技術，且對其安全性展開了全面深入的研究。并在方案性能的提升和實驗的實現中，獲得了眾多研究成果。

2?量子計算與密碼學

量子計算的方法能夠很容易地計算出大的數字排列，破壞任何密鑰長度的RSA密碼系統，這也是密碼學家努力設計和分析“量子抗性”公鑰算法的原因，密碼學的核心依賴于數學上的技巧。數字簽名和公鑰加密相對比較復雜，它們依賴于諸如因子分解之類的困難的數學問題，所以在計算過程工有很多潛在的技巧來反推它們。因此，我們看到RSA的密鑰長度為2，048位，基于橢圓曲線的算法的密鑰長度為384位。量子計算機有望顛覆這一切。由于工作方式的不同，量子計算機更擅長扭轉這些單向函數所需的各種計算。對于對稱密碼學，Grover的算法表明量子計算機可以加速這些攻擊，從而有效地將密鑰長度減半。這意味著256位密鑰與量子計算機一樣強，就像128位密鑰與傳統計算機相比;兩者在可預見的未來都是安全的。對于公鑰加密而言，Shor的算法可以很容易地破解所有常用的基于因式分解和離散對數問題的公鑰算法。

我們知道密碼學是關于信任的，而且我們有比早期的互聯網更多的技術來管理信任。像保密這樣的重要屬性會變得遲鈍而且復雜得多，但只要對稱加密有效，仍然具有安全性，基于數學理論加密的整個概念是我們現代公鑰系統的基礎，是基于我們不完整的計算模型的暫時的迂回。

3?量子計算環境下對現有密碼算法的影響

3.1對稱密碼算法的影響。Grover算法：量子計算中的Grover隨機數據庫搜索算法能夠以“指數減半”的效果提升空間搜索效率。對稱密碼的安全性如果以窮舉搜索密鑰的攻擊復雜度進行衡量，將導致對稱密碼的安全性減半，即在經典計算環境下2^128安全的對稱密碼算法，在量子計算環境下只有2^64安全。

影響：量子計算可使DES、AES、SM4等分組密碼算法和流密碼算法的安全性降低為原來的1/2。但由于Grover算法需要指數級內存，其對于對稱密碼算法的實際影響不大。

應對策略：增加密鑰長度：為了達到2^128的量子計算安全，需將對稱密碼的有效密碼尺寸設計為至少256比特。需要注意的是，密鑰長度增加對加解密運算速度有影響，但影響可控，從密鑰長度128bit的約450MB/s降低至密鑰長度256bit的約320MB/s。

AES算法：支持256比特密鑰長度，可暫時滿足量子計算安全。

SM4國密算法：密鑰長度固定為128比特，可能受到影響。

3.2量子隨機行走算法。量子隨機行走算法可提高經典搜索算法的時間效率，進而增加一定時間內隨機找到兩個碰撞原像的概率，實現對抗碰撞性的暴力破解，降低哈希摘要算法的安全性。

影響：量子計算可使MD5、SHA、SM3等哈希摘要算法的安全性降低為原來的2/3。

應對策略：增加摘要長度：量子計算對哈希摘要算法的影響不大，只需采用摘要長度較大的算法即可。

SHA算法：最高支持SHA-512，可暫時滿足量子計算安全。目前認為SHA-256在經典計算環境下是安全的，所以量子計算環境下至少應使用SHA-384。

SM3國密算法：摘要長度固定為256比特，可能受到影響。

3.3對公鑰密碼算法的影響。Shor算法：Shor量子算法可以在多項式時間內破解大整數分解問題和離散對數問題。破解2048比特強度的RSA密鑰可能需要經典計算機耗費10億年以上的時間，而谷歌稱2000萬量子比特的量子計算機只需8小時就可破解2048比特RSA算法。

影響：量子計算可破解RSA等基于大整數分解的公鑰密碼算法和ECDSA、SM2等基于離散對數的ECC橢圓曲線公鑰密碼算法。

應對策略：更換新的算法：大整數分解和離散對數困難問題在量子并行計算環境下可被輕易破解，因此可考慮選取無法高效并行計算的數學困難問題構造抗量子公鑰密碼算法。

4?結論

密碼技術作為信息安全的重要研究課題，亦是其中的核心技術。目前，傳統計算領域已有可分解768位RSA整數的算法，而量子計算機僅成功分解了整數56153（約16比特）。然而，RSA算法目前建議的安全長度為2048比特，需要2000萬量子比特的量子計算機才能通過Shor量子算法實現破解，而目前量子計算機還未突破100位，所以量子計算機對現有密碼體制不具威脅。

密碼技術在不斷地發展，量子環境下的密碼技術作為其中的前沿技術，對于促進密碼學的發展發揮出其重要作用。伴隨互聯網技術的全面發展，計算機技術的不斷深化，人們對其期望亦越來越高。而傳統密碼學本身安全性的不足，也促進了量子環境下密碼技術的發展。其作為信息安全技術的最新發展方向，表現出強大的安全性和廣泛的運用前景。

盡管量子環境下的密碼技術得到了廣泛關注，亦取得了豐碩的研究成果，但為了將來能夠以很快速度向量子密碼體制遷移，就應用來講，應多考慮量子密碼算法的兼容性。

參考文獻：

[1]溫巧燕，高飛，朱甫臣，量子密鑰分發和身份認證問題的研究現狀及方向[J].北京郵電大學學報，2018（01）：15-16.

[2]溫曉軍，劉云，張振江.基于糾纏交換的量子信息簽名方案[J].電子與信息學報，2018，27（5）：811-813

作者簡介：馬小榮（1990.06.16—），女，回，新疆烏魯木齊人，本科學歷，研究方向：信息安全/電子認證。