Q-Day（量子计算攻破现有加密体系）何时到来？

发布于： 2024-10-22 15:26

一个每秒能做1万亿次运算的经典计算机，破解一个300位的密码需要15万年，但如果是一台拥有300逻辑比特位的量子计算机，运用Shor算法，破解只需一秒。这一刻便是Q-Day。

2023年2月，量子防御公司（QD5）预测，可能最快在2025年，世界就会迎来Q-Day。当然，也有乐观者估计，Q-Day将在21世纪中叶到来。

不管Q-Day何时到来，正如IBM在《量子计算时代的安全》所言，量子计算是对经典数据安全的“生存威胁”，存在与否无须争论，而是更应担心多快到来和破坏性多大。

“科盾量子是国内最先致力于将量子通信技术和经典密码技术进行融合的量子安全创新公司和国家级高新技术企业”，科盾量子研发总监牛总在前不久福田区双创赛上表示，基于QKD（量子密钥分发）+SM4（对称密码体系），科盾量子正构建涵盖量子密钥分发、量子密码资源池和量子密码管理服务平台的量子安全基础设施和量子增强商用密码产品，形成了量子密码技术在关键信息基础设施和各行业不同场景落地应用。

PQC 人脑和量子的“顶尖数学大战”

“密码战是人类智力最残酷、最高级的较量”，正在热映的电影《解密》中，解密是一整套系统工程，是天才与天才之间的对决。如今，数十年过去，密码战依然是顶尖大脑之间的攻防战。

8月13日，美国国家标准与技术研究院（NIST）正式发布首批PQC标准，旨在推出更安全的加密算法和技术，以抵御量子计算机对传统信息安全体系的攻击，简而言之，便是为量子计算机找几道难解的数学题。

现代密码战，本质上是一场高水平的“数学大战”。当前全球主流加密方式采用的是非对称密码算法，比如我们常听说的RSA算法，就是一道数学难题，秘钥藏在答案中，攻击者通常采用“暴力破解”，也即将所有答案都试一遍。谷歌的 Craig Gidney 和瑞典斯德哥尔摩 KTH 皇家理工学院的 Martin Ekera的一项研究工作显示，即便是最快的超级计算机，破解主流的2048位RSA加密也需要数十年，而量子计算机利用量子位（qubits）的特性，算力呈指数级上升。理论上，量子算法Shor 8小时便可破解2048位RSA加密。

在黑客世界里，当下流行的一种攻击模式是“囤货杀”。尽管还没有足够算力攻破企业的加密体系，但黑客选择先将整个机密数据库全部下载，等待Q-Day到来之后，再一举攻破。

留给全球企业的时间不多了。经过8年全球遴选，美国NIST终于选出了四道难题，其中三道题便是此次官宣的PQC标准。

“无论数学层面，还是物理层面，PQC都需要沉淀。”一位密码技术专家坦言，面向抗量子攻击，PQC目前处于“可证明安全”阶段，的确还没有人能找到解题的路径，是应对Q-day有效的缓解方式，但既然是题就一定有解，并不排除将来可能有一种新的量子算法破解PQC加密。事实上，2022年4月、8月和2023年初，全球各地都有研究者发文称采用新算法对抗PQC。

魔高一尺，道高一丈，PQC选择的是一条永远没有尽头的路。

目前，我国在PQC标准化方面亦有动作，目前已进行多轮PQC算法评选，但暂未正式启动PQC标准算法的公开征集。不过，一位业内人士分析，2024年内，应该会对PQC算法迁移计划开始征求意见。

PQC大规模应用的前提是修改整个现有的密码体系，甚至已有的软件和硬件系统都要随之更改，是一个生态工程，业内人士预估，PQC产业从标准出台到大规模应用还需要至少3年时间。因此，国家在确定标准时极为谨慎，“否则很容易陷入‘建成便落后’的陷阱。”上述密码技术专家表示。

QKD 中国领先一步

全球范围内，抗量子攻击有两条主要路线，一条是前文介绍的PQC加密，另一条便是量子密钥分发（QKD），前者是人类顶尖大脑与量子计算机的对抗，而后者则是利用量子态来传输密钥信息，一旦发现有第三方试图获取信息，双方会立即察觉并废弃该部分密钥。

QKD依赖的是量子的物理特性-不可分割、不可复制、测不准，安全性和可靠性由物理定律保障，通过利用量子力学的基本原理来确保通信双方能够生成并共享一个理论上绝对安全的密钥，从而提供了理论上无条件的安全通信。近几年来，美国、韩国、欧洲等国家和地区都在试点建设QKD网络，网络规模最大、应用实践最成熟的，还是中国。

2016年全球首个量子卫星“墨子号”成功发射，并于2017年在全球率先实现千公里级卫星和地面之间的量子纠缠分发、量子密钥分发和量子隐形传态。如今，由中国科学技术大学组建的跨越4600公里天地一体化量子通信网络已试验成功。

作为量子安全创新企业，科盾量子正在推动专业、合规、标准、安全的商用密码产品和上下游产业链，从而为所有用户提供普遍性的量子安全服务。届时，无论是移动的5G应用，还是长途OTN应用，或是本地MSTP应用，都可以从量子保密通信城域网和骨干网上在线获取量子密钥，帮助用户构建量子保密通信网络最后一公里。

与此同时，量子密钥分发骨干网也在紧锣密鼓的建设中。据了解，目前中国已建成总里程超过12000公里的量子密钥分发骨干网，覆盖京津冀、长三角、粤港澳、成渝等重要区域，并结合“墨子号”“济南一号”量子通信卫星等形成天地一体化的广域量子密钥分发网络。

“QKD的标准也正在不断推进，国际标准化组织ISEN、欧洲标准协会ETSI、中国密码行业标准化技术委员会以及中国通信标准化协会，都在推进标准化工作。”量子科技产学研创新联盟副秘书长、中国信息协会量子信息分会会长赵勇曾在上半年举行的智算云生态大会·量子信息论坛上表示。

全球范围内，中国企业在QKD标准制定上已经先行一步。2024年3月4日至15日举行的国际电信联盟电信标准部门第13研究组全体会议上，由中国电信研究院牵头的国际标准立项提案“量子密钥分发网络——服务感知框架”获批新立项。同时，中国电信研究院与信通院和北京邮电大学联合牵头的国际标准立项提案“量子密钥分发与IPSec集成框架”和“量子密钥分发网络——自主服务质量保证的功能架构”获批新立项。

7月，世界三大国际标准化组织之一的国际电信联盟（ITU）批准通过了《量子密钥分发节点保护的安全要求》国际标准，这是全球首个系统性规范关于可信中继节点安全实施部署方面的国际标准，可为量子保密通信网络节点的安全实施和操作提供指导，标准由国科量子牵头，联合国盾量子、新加坡国立大学共同制定。

“未来，最安全的方案还是QKD+PQC，科盾量子目前在QKD应用领域有丰富的行业案例和成熟的产品支撑，在PQC高速发展的快车道上，科盾量子也联合国内高校共同研发高安全算法”

在实际应用中，PQC和QKD往往适用于不同的场景。作为一种密码算法，PQC可分成两大应用：一是密钥协商，用于保护数据信息安全，二是数字签名，用于身份认证，QKD则侧重于通信过程中的数据加密。

对于两种方式的利弊，国际上的基本共识是：QKD具有长效安全性，但缺少认证手段、应用成本相对较高；PQC具有功能和应用体系与传统密码兼容的优势，但缺少安全性证明。

美国电气电子工程师学会IEEE Spectrum便曾发文表示，PQC不一定能提供QKD所承诺的坚不可摧的“量子安全性”，目前尚不能判断QKD和PQC两种不同的“量子安全”技术谁是赢家。

面对迫在眉睫的Q-Day，QKD和PQC的混合是量子安全网络最有可能的解决方案。

早在2021年5月，国内量子龙头企业和高校等单位组成的联合团队便完成了国际首次量子密钥分发（QKD）和后量子密码（PQC）融合可用性的现网验证。

在量子技术与密码技术融合发展方面，分为两个层面，一是技术层面的融合：量子密钥分发（QKD）和后量子密码（PQC）的结合，可以充分发挥两者的优势，提升网络系统的安全性和可靠性。通过研发自主可控的PQC算法、协议在QKD网络中进行设备间的身份认证，简化了密钥管理并提高了网络的操作效率；二是产品层面的融合，体现为密码设备和密码系统的开发，这些密码设备和系统可同时兼容QKD与PQC。

如果在不同城市之间传输机密文件，一条“完美”的安全链路是这样的：基于PQC的数字签名可以对文件的电子签名进行“真实性”和“不可否认性”的确认，然后再通过QKD实现用户侧密钥分发，从而确认其传输过程的机密性。

在此过程中，安全认证网关产品通过QKD获取量子密钥实现端到端加密通信，同时可通过PQC算法协商密钥进行安全通信；服务器密码机产品既能存储和使用QKD分发的量子密钥，也可以通过PQC算法为应用系统提供身份认证、签名验签等密码服务；密码服务系统则融合了QKD网络的分布式部署能力，可进行跨域密码协商和分发，并为应用提供全面的PQC算法服务。

面对Q-Day，科盾量子正在快速崛起，科技强国，盾护中华！

·END·

本篇文章来源于微信公众号:科盾量子科盾量子

Q-Day（量子计算攻破现有加密体系）何时到来？

PQC 人脑和量子的“顶尖数学大战”

QKD 中国领先一步

推荐文章