JOVANA
Library Glossary Getting Started Three Levels Fields How it works Mission
Join the mission
All guides

量子與密碼學

一台可用的量子電腦,有朝一日或許能攻破保護你幾乎所有網路活動的公鑰密碼——但不是今天,也不是靠魔法。本指南把真實威脅從炒作中剝離出來:[[shors-algorithm|Shor 演算法]]究竟危及什麼、人們為何已經在遷移,以及後量子密碼學和量子金鑰分發各自解決的是不同的問題。讀完之後,你就能分辨 PQC 與 QKD——大部分混淆正是出在這裡。

Shor 對 RSA/ECC 的威脅

你用到的大多數安全連線——瀏覽器裡的小鎖、加密通訊、軟體簽章——都依賴 RSA 和橢圓曲線密碼(ECC)這類公鑰密碼。它們的安全性建立在一類「正著算容易、反著算極難」的數學問題之上:把兩個大質數相乘很容易,但要把乘積因式分解回那兩個質數,在古典電腦上慢得離譜——對我們實際使用的金鑰長度而言,所需時間比宇宙的年齡還長。RSA 和 ECC 今天之所以安全,恰恰是因為沒人有快速的逆向方法。

Shor 演算法就是一種快速方法——但只在量子電腦上有效。它並不是「一次試遍所有因子」。它是把分解重新表述為一個求週期問題,並借助量子傅立葉轉換,透過干涉讓錯誤答案的振幅相互抵消、讓你需要的那個週期得到加強。有了這個週期,普通的古典數學就能還原出因子。回報是針對這個特定、高度結構化問題的指數級加速——把「比宇宙年齡還長」變成可處理的規模。這是量子真正改變格局的罕見而真實的案例。

問題在於——而且是個大問題——這樣的機器還不存在。我們正處於 NISQ 時代:今天的處理器量子位元太少、雜訊太大、糾錯不足,無法以攻破真實金鑰所需的規模運行 Shor。攻破 RSA-2048 需要數百萬個物理量子位元,並透過容錯糾錯組裝成數量少得多的可靠邏輯量子位元。這樂觀估計也還要好幾年。威脅是真實的,但屬於未來,而非當下。

「現在收割,日後解密」

既然機器還要好幾年才有,為什麼現在就要行動?因為有一種名字很直白的策略:現在收割,日後解密。對手並不需要今天就擁有量子電腦,也能威脅到今天的資料——他們只需現在把加密流量錄下來並存起來,等到幾年後有了足夠強的量子電腦再解密。你的祕密本就以加密形式在線路上傳輸;攻擊者只需耐心等待。

這就把通常的時間線顛倒了過來。真正的問題不是「量子電腦什麼時候能攻破 RSA?」,而是「我的資料需要保密多久,以及量子攻擊者可能在什麼時候出現?」如果這兩個時間窗重疊,你已經暴露了。醫療記錄、國家機密、金融資料和長期使用的身分金鑰,其價值可能持續數十年——所以今天發出的資料,完全可能在其敏感期內就被解密。

後量子密碼學

實用的解決辦法不是自己也搞一台量子電腦——而是後量子密碼學(PQC)。它們是運行在你已有的筆電、手機和伺服器上的普通古典演算法,只不過建立在一類被認為即便對量子電腦也很難的數學問題之上。Shor 攻破的是分解和離散對數;PQC 刻意避開這些,轉而依託不同的根基——最突出的是結構化格問題,外加基於雜湊和基於編碼的方案。

這一點要牢牢記住:PQC 內部沒有任何量子成分。它不需要量子位元、不需要相干性、不需要任何特殊硬體。它就是你今天就能部署、用來抵禦未來量子攻擊者的軟體。2024 年,美國標準機構 NIST 敲定了首批 PQC 標準——包括一種基於格的金鑰建立方法(ML-KEM,源自 CRYSTALS-Kyber)以及若干簽章方案——而整個網際網路的遷移工作已經在進行中。

量子金鑰分發與 BB84

量子金鑰分發(QKD)處理的是一項更窄的任務——安全地共享一把祕密金鑰——用的是一套完全不同的思路。它不依賴某個困難的數學問題,而依賴物理學:在量子力學中,測量一個未知的量子態會擾動它,而且你無法完美複製一個未知態(不可複製定理)。所以竊聽者無法悄無聲息地截獲編碼在單個量子上的金鑰——偷聽會留下指紋

BB84(Bennett 與 Brassard,1984 年)是經典協定。Alice 發送單光子,每個光子都在一組隨機選定的基中製備。Eve 必須猜測該用哪組基去測量——而不可複製定理意味著,她無法在放行光子的同時留下一份完美副本。一旦她猜錯,就會擾動光子,注入可被偵測到的錯誤。

  1. Alice 把每一位元編碼到一個單光子上,在兩組測量基之間隨機選擇。
  2. Bob 測量每個光子,他的基也是隨機選的——所以他只有大約一半的機率選到匹配的基。
  3. 他們透過公開通道比對各自用了哪些基(絕不公布位元值),只保留兩人基相匹配的那些位元。
  4. 他們犧牲這些共享位元中的一部分作為樣本來估算錯誤率;錯誤率偏高就標誌著有竊聽者,於是他們丟棄這把金鑰
  5. 如果錯誤率足夠低,後處理就能提煉出一把最終的祕密金鑰,任何竊聽者對它所掌握的資訊都微乎其微。

QKD 與 PQC:別把它們搞混

這是整篇指南中最重要的一個區分,而媒體卻總把它攪成一團。QKD 與 PQC 是兩樣不同的東西,解決的是不同的問題。PQC 是抵禦量子攻擊的*古典數學*,以軟體形式運行在你現有的裝置上。QKD 則是一種基於*物理*、借助專用硬體來交換金鑰的方式。與其說它們是競爭對手,不如說是各司其職的工具——而對網際網路的絕大部分來說,真正合適的是 PQC。

                    PQC                         QKD
                    --------------------------  --------------------------
What it is          classical algorithms        physics-based key exchange
Runs on             your existing devices       special quantum hardware
Protects against    quantum + classical attack  eavesdropping on the key
Replaces            RSA / ECC directly          (only the key-sharing step)
Deployable today    yes, software update        limited, niche links
Needs new hardware  no                          yes (photonics, fiber)
對「量子怎麼辦?」的兩種不同回答——PQC 在軟體層面替換演算法;QKD 替換的是金鑰在物理上傳輸的方式。今天現實世界中的遷移絕大多數是 PQC。

一個清爽的記憶口訣:PQC 改的是數學,QKD 改的是介質。如果有人說「我們是量子安全的」,有用的追問是「哪一種——而且是為了什麼?」對於正在發生的、大範圍的實用遷移——瀏覽器、伺服器、VPN、軟體更新——答案壓倒性地是後量子密碼學。QKD 仍是少數高安全、固定鏈路的專門選項。