JOVANA
Library Glossary Getting Started Three Levels Fields How it works Mission
Join the mission
All guides

量子与密码学

一台可用的量子计算机,有朝一日或许能攻破保护你几乎所有网络活动的公钥密码——但不是今天,也不是靠魔法。本指南把真实威胁从炒作中剥离出来:[[shors-algorithm|Shor 算法]]究竟危及什么、人们为何已经在迁移,以及后量子密码学和量子密钥分发各自解决的是不同的问题。读完之后,你就能分辨 PQC 与 QKD——大部分混淆正是出在这里。

Shor 对 RSA/ECC 的威胁

你用到的大多数安全连接——浏览器里的小锁、加密通讯、软件签名——都依赖 RSA 和椭圆曲线密码(ECC)这类公钥密码。它们的安全性建立在一类“正着算容易、反着算极难”的数学问题之上:把两个大素数相乘很容易,但要把乘积分解回那两个素数,在经典计算机上慢得离谱——对我们实际使用的密钥长度而言,所需时间比宇宙的年龄还长。RSA 和 ECC 今天之所以安全,恰恰是因为没人有快速的逆向方法。

Shor 算法就是一种快速方法——但只在量子计算机上有效。它并不是“一次性试遍所有因子”。它是把分解重新表述为一个求周期问题,并借助量子傅里叶变换,通过干涉让错误答案的振幅相互抵消、让你需要的那个周期得到加强。有了这个周期,普通的经典数学就能还原出因子。回报是针对这个特定、高度结构化问题的指数级加速——把“比宇宙年龄还长”变成可处理的规模。这是量子真正改变格局的罕见而真实的案例。

问题在于——而且是个大问题——这样的机器还不存在。我们正处于 NISQ 时代:今天的处理器量子比特太少、噪声太大、纠错不足,无法以攻破真实密钥所需的规模运行 Shor。攻破 RSA-2048 需要数百万个物理量子比特,并通过容错纠错组装成数量少得多的可靠逻辑量子比特。这乐观估计也还要好几年。威胁是真实的,但属于未来,而非当下。

“现在收割,日后解密”

既然机器还要好几年才有,为什么现在就要行动?因为有一种名字很直白的策略:现在收割,日后解密。对手并不需要今天就拥有量子计算机,也能威胁到今天的数据——他们只需现在把加密流量录下来并存起来,等到几年后有了足够强的量子计算机再解密。你的秘密本就以加密形式在线路上传输;攻击者只需耐心等待。

这就把通常的时间线颠倒了过来。真正的问题不是“量子计算机什么时候能攻破 RSA?”,而是“我的数据需要保密多久,以及量子攻击者可能在什么时候出现?”如果这两个时间窗重叠,你已经暴露了。医疗记录、国家机密、金融数据和长期使用的身份密钥,其价值可能持续数十年——所以今天发出的数据,完全可能在其敏感期内就被解密。

后量子密码学

实用的解决办法不是自己也搞一台量子计算机——而是后量子密码学(PQC)。它们是运行在你已有的笔记本、手机和服务器上的普通经典算法,只不过建立在一类被认为即便对量子计算机也很难的数学问题之上。Shor 攻破的是分解和离散对数;PQC 刻意避开这些,转而依托不同的根基——最突出的是结构化格问题,外加基于哈希和基于编码的方案。

这一点要牢牢记住:PQC 内部没有任何量子成分。它不需要量子比特、不需要相干性、不需要任何特殊硬件。它就是你今天就能部署、用来抵御未来量子攻击者的软件。2024 年,美国标准机构 NIST 敲定了首批 PQC 标准——包括一种基于格的密钥建立方法(ML-KEM,源自 CRYSTALS-Kyber)以及若干签名方案——而整个互联网的迁移工作已经在进行中。

量子密钥分发与 BB84

量子密钥分发(QKD)处理的是一项更窄的任务——安全地共享一把秘密密钥——用的是一套完全不同的思路。它不依赖某个困难的数学问题,而依赖物理学:在量子力学中,测量一个未知的量子态会扰动它,而且你无法完美复制一个未知态(不可克隆定理)。所以窃听者无法悄无声息地截获编码在单个量子上的密钥——偷听会留下指纹

BB84(Bennett 与 Brassard,1984 年)是经典协议。Alice 发送单光子,每个光子都在一组随机选定的基中制备。Eve 必须猜测该用哪组基去测量——而不可克隆定理意味着,她无法在放行光子的同时留下一份完美副本。一旦她猜错,就会扰动光子,注入可被检测到的错误。

  1. Alice 把每一位比特编码到一个单光子上,在两组测量基之间随机选择。
  2. Bob 测量每个光子,他的基也是随机选的——所以他只有大约一半的概率选到匹配的基。
  3. 他们通过公开信道比对各自用了哪些基(绝不公布比特值),只保留两人基相匹配的那些比特。
  4. 他们牺牲这些共享比特中的一部分作为样本来估算错误率;错误率偏高就标志着有窃听者,于是他们丢弃这把密钥
  5. 如果错误率足够低,后处理就能提炼出一把最终的秘密密钥,任何窃听者对它所掌握的信息都微乎其微。

QKD 与 PQC:别把它们搞混

这是整篇指南中最重要的一个区分,而媒体却总把它搅成一团。QKD 与 PQC 是两样不同的东西,解决的是不同的问题。PQC 是抵御量子攻击的*经典数学*,以软件形式运行在你现有的设备上。QKD 则是一种基于*物理*、借助专用硬件来交换密钥的方式。与其说它们是竞争对手,不如说是各司其职的工具——而对互联网的绝大部分来说,真正合适的是 PQC。

                    PQC                         QKD
                    --------------------------  --------------------------
What it is          classical algorithms        physics-based key exchange
Runs on             your existing devices       special quantum hardware
Protects against    quantum + classical attack  eavesdropping on the key
Replaces            RSA / ECC directly          (only the key-sharing step)
Deployable today    yes, software update        limited, niche links
Needs new hardware  no                          yes (photonics, fiber)
对“量子怎么办?”的两种不同回答——PQC 在软件层面替换算法;QKD 替换的是密钥在物理上传输的方式。今天现实世界中的迁移绝大多数是 PQC。

一个清爽的记忆口诀:PQC 改的是数学,QKD 改的是介质。如果有人说“我们是量子安全的”,有用的追问是“哪一种——而且是为了什么?”对于正在发生的、大范围的实用迁移——浏览器、服务器、VPN、软件更新——答案压倒性地是后量子密码学。QKD 仍是少数高安全、固定链路的专门选项。