自從量子計算成為各大科研機構、大型企業(yè)、創(chuàng)業(yè)公司競相追逐，且逐漸升溫的前沿領域以來，量子計算與網(wǎng)絡安全之間的“矛”與“盾”之爭便不斷被關注和研究。一方面，我們關心量子計算機到底何時能夠到來，并成為我們解決若干關鍵問題的“殺手锏”；另一方面，我們又不得不關注：量子計算帶來的全新的網(wǎng)絡安全風險到底有多大，應該如何做好應對準備？

　　2020年4月9日，美國智庫蘭德公司發(fā)布了一份報告：《在量子計算時代確保通信安全：管理加密風險》。該報告提醒，未來的量子計算機可能對當今最安全的通信構成威脅。這項研究是蘭德公司“Security 2040”計劃的一部分，該計劃通過跨領域方式對未來威脅進行分析和評估。本文以該報告為基礎，介紹量子計算的最新發(fā)展，分析其安全風險，了解美國應對量子計算機攻擊的政策建議及風險緩解措施，以期對我國提前應對量子計算引發(fā)的網(wǎng)絡安全風險提供參考。

　　一、量子計算發(fā)展迅猛

　　進入2020年，關于量子計算機研發(fā)的最新進展就有以下重磅消息令業(yè)界高度關注：

　　2020年5月初，IBM有關負責人透露，IBM目前已擁有18臺量子計算機，其中本季度就增加了3臺，這是一個相當大的機群，這表明公司正努力從一種革命性的計算中獲益；目前，IBM公司性能最佳的量子計算機是“Paris”，其量子比特數(shù)為53，能夠在200秒內完成目前最先進的傳統(tǒng)超級計算機需要1萬年完成的特定計算任務。IBM同時宣布，將在2020年晚些時候推出一個更大的系統(tǒng)，運行超100萬個量子比特。IBM正朝著每年至少將其量子計算機的性能提高一倍的目標邁進，到目前為止，該公司已連續(xù)四年實現(xiàn)這一目標。

　　同樣引人注目的是，IBM的競爭對手美國霍尼韋爾公司在2020年3月宣布，他們正在建造一種不同類型的量子計算機——離子阱量子計算機，預計將于2020年年中推出，其量子體積數(shù)高達64，它的運行溫度比IBM的超導設計要低一些。目前，霍尼韋爾公司的量子計算機僅有6個量子比特，但其稱每年將量子體積數(shù)提高10倍，5年后預計達到640000，比IBM的速度快得多。目前，霍尼韋爾有6臺量子計算機。

　　2020年4月，美國英特爾公司在《自然》雜志上發(fā)表了一項最新的科研技術，即“熱”量子計算機技術，該技術是將需要在約0.1開爾文（零下273.05攝氏度）下運轉的量子計算機，溫度提升至1.1左右開爾文溫度。該技術能將硅中的電子自旋作為量子比特，并且可以和周圍在1.1開爾文左右溫度的材料有效的隔離開，從而引入定域電子來操控量子比特，科研人員聲稱這將是此類量子處理器擴展至百萬量子比特所不可或缺的先決條件。雖然溫度的提升不是很大，但是卻極大的降低了量子計算機在溫度控制上的成本，在量子計算機技術中是非常重要的里程碑，對量子計算機的技術進步和發(fā)展起到非常大的作用。

　　4月6日，《美國國家科學院院刊》（PNAS）發(fā)表了麻省理工、印度理工、加州大學、香港科技大學等研究人員的一項發(fā)現(xiàn)論文：在金屬“金”中觀察到了馬約拉納費米子，這種粒子具有其反粒子就是自己本身的獨特屬性，是制造量子計算機的完美選擇之一。因此，這一發(fā)現(xiàn)無疑推動了容錯量子計算機的研發(fā)，向人類量子計算之夢的實現(xiàn)又邁進了一步。

　　綜上，可以看到：量子計算機研發(fā)進展迅猛，雖然量子計算技術仍處于初期發(fā)展階段，關于實現(xiàn)量子計算機基本架構的最佳方法，即量子比特尚未達成共識（目前正在探索可能實現(xiàn)的量子比特架構，包括超導量子比特、捕獲離子量子比特、自旋量子比特、光子量子比特和拓撲量子比特），但是，經(jīng)過多年的研究和大量的投資，像IBM、谷歌、微軟、英特爾和霍尼韋爾等大型科技公司，以及IonQ、Rigetti、本源量子等初創(chuàng)公司，都在競相將量子計算推向成熟。

　　二、現(xiàn)代公鑰加密面臨嚴重威脅

　　2.1公鑰加密（PKC）是現(xiàn)代數(shù)字通信的骨干

　　自互聯(lián)網(wǎng)誕生以來，公鑰加密（Public Key Cryptography，PKC）已成為所有可信數(shù)字通信的骨干，它為人們以多種數(shù)字交互方式進行重要和敏感信息共享提供足夠的隱私和安全性，確保了開放式網(wǎng)絡通信的基本信任。

　　在PKC中，每個用戶都有兩個密鑰（公鑰和私鑰），用公鑰加密的任何消息只能用私鑰解密，因此可以在可觀察的通道上安全地傳輸。盡管公鑰和私鑰在數(shù)學上是相關的，而且當密鑰足夠小時，從公鑰確定私鑰在技術上是可能的，但是由于導出私鑰所需的操作（作為數(shù)字分解和解決離散對數(shù)問題的工具）在計算上一直具有相當大的挑戰(zhàn)性，因而PKC在實踐中可以始終實現(xiàn)安全性。

　　2.2量子計算可能徹底顛覆和完全破解數(shù)字加密系統(tǒng)

　　量子計算的快速發(fā)展使得PKC未來面臨巨大的安全漏洞。從理論上講，量子計算機可以通過計算能力繞過現(xiàn)行的防御，直接暴力破解用于保護現(xiàn)有幾乎所有網(wǎng)絡通信的PKC，可能徹底顛覆和完全破解現(xiàn)代信息和通信基礎設施所依賴的數(shù)字加密系統(tǒng)。通過這種對密碼的破壞性，將使得身份驗證的安全與通信隱私難以保證，軍事情報系統(tǒng)、金融交易系統(tǒng)乃至全球經(jīng)濟的支持系統(tǒng)都將面臨潛在的巨大風險。

　　量子計算在數(shù)字分解和數(shù)據(jù)庫算法檢索中能極大提高算力，減少計算時間和資源，使得量子計算機能夠暴力破解這兩個領域的PKC的公共密鑰，使通信的身份驗證和訪問控制失去安全性。

　　另外，PKC通常使用更長的密鑰長度來提高安全性，但更長的密鑰需要更多的計算資源才能進行常規(guī)的加密或解密操作。量子計算從根本上改變了破解密鑰的資源規(guī)模，如果試圖通過加長密鑰長度來確保在量子計算中的等效安全，則對這些密鑰進行常規(guī)加密或解密操作所需要的計算資源將是完全不切實際的大體量。

　　最后，所有在當下被認為是安全的數(shù)據(jù)傳輸有可能被保存到未來量子計算成熟的時間點，從而被量子計算攻破。

　　2.3量子計算未來威脅風險的決定因素

　　量子計算未來的威脅風險將取決于三條時間線：

　　（1）量子計算機的開發(fā)和應用速度。

　　（2）能夠抵御量子計算攻擊或破密的PQC（postquantum cryptography，后量子密碼學）及其標準協(xié)議的開發(fā)和應用速度。

　　（3）如何快速地、廣泛地、平滑地向PQC過渡。

　　對此，美國智庫通過調研和評估，得出以下結論：

　　（1）對能夠實現(xiàn)破密的量子計算機問世時間的預計平均在15年后，即大約在2033年。但更早和更晚的開發(fā)都是可能的。

　　（2）PQC的標準協(xié)議預計將在未來5年內起草并發(fā)布，而PQC的完全采用將可能在2030年代中期或更晚，因為執(zhí)行標準協(xié)議和減輕量子計算的脆弱性所必需的全國性或全球性過渡時間可能達到數(shù)十年之久。

　　（3）如果在有能力（破密）的量子計算機開發(fā)后尚未充分實施PQC，則在不對現(xiàn)有基礎設施進行重大顛覆性更改的情況下，無法確保身份驗證的安全和通信的隱私，系統(tǒng)漏洞不僅比當前網(wǎng)絡安全漏洞更加嚴重，種類和路徑也會相對不同。

　　三、美國智庫建議的應對措施

　　量子計算的風險威脅將影響每個政府機構、關鍵基礎設施和行業(yè)，這將構成全面的國家安全威脅。因此需要整個國家采取集中協(xié)調的方法來應對風險。對此，美國智庫蘭德公司在相關報告中，提出了以下應對建議：

　　3.1總體策略

　　蘭德建議，美國應當在以下三個策略方向上，開展量子計算準備和安全應對工作：

　　（1）采取各種措施推動PQC的開發(fā)和普及

　　廣泛、適當?shù)剡^渡到PQC將是減輕量子計算安全風險的最有效手段，PQC的研制速度、普及規(guī)模和標準協(xié)議將是決定潛在風險大小的關鍵性因。PQC的可互操性標準實施和普及的越早，最終風險就會越小。

　　（2）在數(shù)字基礎架構中構建網(wǎng)絡彈性和加密敏捷性

　　通過對數(shù)字基礎架構進行調整以應對不斷發(fā)展的當前威脅和未來威脅（例如量子計算），新系統(tǒng)的目標應當是：①保持足夠的與量子計算及其標準的預期演進和PQC未來更高要求的兼容性；②通過模塊化實現(xiàn)對新威脅或漏洞的快速響應和低成本的密碼適應。總之，過渡到PQC所需的系統(tǒng)性更新提供了在原有通信和信息系統(tǒng)中使用新密碼和安全結構的契機，這將有利于提高我們對當前和未來網(wǎng)絡威脅的響應能力。推動PQC應用和進行量子計算準備的工作應當具有使用新系統(tǒng)的連續(xù)性階段目標，以實現(xiàn)更大的網(wǎng)絡彈性和加密敏捷性。

　　（3）為不確定的未來做好準備

　　量子計算的發(fā)展時間節(jié)點帶有較大的不確定性，這將會產(chǎn)生一個難以預測和不太安全的未來。因此在對公眾進行量子計算風險的普及時，應當在夸大威脅和忽視真實風險之間尋求平衡。美國的風險預案和控制能力可以確保在最壞的情況也不會導致數(shù)字信息安全的終結，而在最佳情況下，全球網(wǎng)絡安全性可能會提高。

　　3.2白宮和行政部門應對措施

　　（1）確保聯(lián)邦協(xié)調機構充分地優(yōu)先考慮威脅

　　美國政府的應對措施需要一個專門應對量子計算威脅的聯(lián)邦機構，負責協(xié)調政府各部門和整個行業(yè)的行動。鑒于美國國家量子協(xié)調辦公室（NQCO）的其他優(yōu)先事項，目前無法確定NQCO是否能夠重視和應對量子計算威脅，政府應當在其（無法重視）情況下考慮設立其他機構或者路徑。

　　（2）制定促進量子計算和PQC采用的標準

　　美國國家標準技術研究院（NIST）應對相關算法標準進行梳理和精煉，并基于此逐步創(chuàng)建國際標準。同時要確保創(chuàng)建的國際標準與當前NIST評估標準一致，盡量避免市場的分散化，確保互操作性的最大化和廣泛普及。

　　（3）制定強制性向PQC過渡的政策

　　美國國家安全局網(wǎng)絡安全理事會（NSA Cybersecurity Directorate）應當考慮制定一個政府各個部門、關鍵基礎設施和其他組織向PQC過渡的政策方案，并確保足夠的執(zhí)法權限和極少的豁免例外。

　　（4）聯(lián)邦協(xié)調機構應當推動改革并提高意識

　　擴大聯(lián)邦協(xié)調機構的代表范圍，使聯(lián)邦政府中更多部門和機構的人員參與進來。機構應當：①召集政府和私營部門的利益相關者，提高意識并共同解決量子計算帶來的風險；②發(fā)布有關PQC過渡和加密敏捷性的最新指南；③推動廣泛的信息技術變革。

　　3.3國會應對措施

　　（1）通過聽證會提高人們的認識并保持監(jiān)督

　　國會聽證會能夠提高各方對量子計算風險的認識，建立相應監(jiān)督機制，并審查量子計算準備工作的進度。國會應特別注意國家安全組織與非國家安全組織之間的模糊界限。

　　（2）通過立法激勵公共和私營部門向PQC過度

　　國會的立法選擇包括：①對政府各部門和關鍵基礎設施的PQC過渡和加密敏捷性進行進一步的立法和授權；②增加或集中相關的人力和資金，確保政府的PQC過渡和量子準備工作；③制定一系列PQC過渡的商業(yè)激勵措施；④適當實施PQC的認證計劃。

　　3.4相關組織應對措施

　　（1）評估并跟蹤量子計算的未來風險

　　將量子計算的潛在風險整合到組織的風險評估和管理體系中。整合并儲備目前已有的相關信息以備未來開發(fā)時使用，評估當下和未來可能的漏洞。

　　（2）制定密碼公鑰的使用清單

　　梳理組織、合作伙伴和第三方供應商在組織內使用公鑰加密的每個環(huán)節(jié)，在未來具備可行性技術和標準時全部過渡到PQC。

　　（3）建立網(wǎng)絡彈性和加密敏捷性

　　組織應當計劃建立更大的網(wǎng)絡彈性和加密敏捷性，以改善整體網(wǎng)絡安全性，確保向未來PQC的平滑過渡。

　　四、啟示與建議

　　量子計算機的發(fā)展對通信基礎設施的安全提出了一種新的威脅，網(wǎng)絡攻擊者找到了繞過旨在保護信息的加密系統(tǒng)的方法。采用量子技術實施的網(wǎng)絡攻擊將使用一種直接攻擊這些密碼系統(tǒng)的設備，從而破壞信息安全的基石。這是一個重大而緊迫的安全威脅，如果不能解決它，可能會對信息、軍事、政治和經(jīng)濟安全造成毀滅性的影響。對此，我們應該高度警惕，及時采取行動，采取適當?shù)恼摺p少風險的措施，并提前做好各種應對準備：

　　首先，密切跟蹤并積極參與后量子密碼算法標準的推進工作。當前，許多國際標準開發(fā)組織正在測試和分析PQC算法，NIST正在起草PQC的標準協(xié)議4。NIST報告稱，PQC標準的目標發(fā)布日期為2022年至2024年，之后將開始使用新協(xié)議向廣泛的安全性過渡。由于NIST的后量子密碼標準工作具有很大的影響力，因此，國內密碼學界對此應給予高度關注和密切跟蹤，并適時參與其中的相關工作。一旦新算法標準被創(chuàng)建和發(fā)布，則可以及時開始轉換并廣泛采用。

　　第二，在國家重大關鍵數(shù)字基礎設施中構建加密敏捷性與網(wǎng)絡彈性，改善整體網(wǎng)絡安全。由于系統(tǒng)轉換到新標準的過程將是漫長的，從歷史上看，密碼轉換的時間表是以十年為單位來衡量的。尤其對于國家安全系統(tǒng)來說，因為新標準可能需要在整個協(xié)議棧的許多地方進行重大更改，包括軟件、硬件或嵌入式數(shù)據(jù)結構的更改，PKC和PKI（公鑰基礎設施）非常普遍，使用它們的每一個設備和網(wǎng)絡最終都需要使用新的標準來抵御量子計算機，其中涉及的軟件與硬件的替換都需要時間和成本，這可能會進一步延遲過渡決策。這個過程伴隨著網(wǎng)絡攻擊脆弱性的代價，因此，在涉及國家重大利益的關鍵數(shù)字基礎設施中，當前我們必須重視加密敏捷性和網(wǎng)絡彈性。網(wǎng)絡彈性是指網(wǎng)絡在遇到災難事件時快速恢復和繼續(xù)運行的能力；加密敏捷性是指在計算能力提高導致密碼過時的情況下更換密碼系統(tǒng)的能力。加密敏捷性包括：算法的敏捷、協(xié)議敏捷和實現(xiàn)敏捷。正確實現(xiàn)更靈活的密碼系統(tǒng)是當前提高網(wǎng)絡整體安全性的絕對必要的手段，特別是作為減輕量子計算威脅的手段。

　　第三，成立應對量子計算威脅的國家專門管理與監(jiān)督機構。鑒于量子計算可能對國家政治、經(jīng)濟和軍事等造成重大威脅與影響，我國應該盡早成立專門的組織與管理機構，定期評估威脅影響程度，協(xié)調各方的資源，并發(fā)布相關倡議計劃，推動PQC標準的平滑過渡和廣泛采用，監(jiān)督企業(yè)的采納情況。因為依靠市場力量來推動商業(yè)組織采納，往往會導致企業(yè)在被違反之前不采納，而政府主導的過渡可能會迫使企業(yè)采取更積極的措施。