量子计算加速发展，PQC如何抵御“量子威胁”

量子技术被认为是科技领域的下一个里程碑。量子计算带来计算能力的飞跃，使得处理复杂问题如同小儿科，无论是药物设计、气候模拟，还是优化大型系统，量子计算都有望大显身手。但这把双刃剑也将带来巨大威胁——它能在瞬息之间破解现今大多数加密技术。

传统密码学，就像是保护我们数字世界的城墙，但在量子计算面前，这些城墙就好比是纸糊的。比如，现在广泛使用的RSA密码机制，量子计算机使用著名的Shor算法就能轻松破解。一旦量子计算机普及，我们的银行账户、电子邮件甚至国家机密都将裸露在风险之下。

为了应对量子计算带来的巨大威胁，PQC(Post-Quantum Cryptography，抗量子密码，又称后量子密码)技术就显得尤为重要。作为一种针对量子威胁设计的加密算法，PQC能够抵抗量子计算机的攻击，保护我们的信息安全。

格尔软件(603232.SH)总经理助理、上海泓格后量子科技有限公司总经理董明富在接受第一财经采访时表示，随着量子计算技术的加速发展，抗量子密码的迁移工作十分紧迫，密码的升级替换是一项非常复杂且庞大的工程，并且需要非常大的资金支持，不是一夜之间可以完成的，只有早做布局，在量子时代真正到来时才不会措手不及。

本文将聚焦以下话题，对PQC技术及其应用展开讨论：

1、什么是PQC技术，PQC是绝对安全的吗?

2、传统密码学向PQC过渡有哪些难点?

3、PQC技术目前的应用情况及投资机会。

用于抵抗“量子威胁”，PQC也并非绝对安全

PQC技术是指研发设计能够抵抗量子计算机攻击的加密算法。

传统的公钥密码体系，如RSA、ECC(椭圆曲线密码学)等，依赖于整数因式分解和离散对数问题的计算难度，破解所需的时间极其漫长，在现有技术条件下十分安全。

然而，随着量子计算机的发展，Shor算法等量子算法被发现能够快速破解这些问题。以目前最流行和广泛使用的加密算法——RSA算法为例，现在最常见的是2048位加密(密钥长度越长破解时间越久)，而Shor算法理论上能够在短短8小时内破解长达2048位的RSA加密，从而威胁传统公钥密码体系的安全性。

关于量子计算机对传统密码学的威胁和担忧已经存在一段时间，但目前尚未变为现实。量子计算机的算力取决于能够处理的量子比特数，目前的量子计算机只有数百到一千个噪声量子比特，用于创建少量稳定和纠错的量子比特。而要威胁到传统加密技术，需要数千个稳定的量子比特，这可能需要数百万个噪声量子比特。因此，虽然量子计算机的能力正在迅速发展，但还没有达到威胁经典加密的水平，但有业内专家表示，可能在未来5-10年内或更短的时间内达到这一水平。

目前，PQC以及量子密码学领域已经开发出多种密码学技术和算法用于对抗量子计算的威胁，其重点就是避免使用整数因式分解和离散对数问题来加密数据。具体方法包括基于格的密码学、基于哈希的密码学、基于代码的密码学和基于多变量的密码学。其中，基于格的加密技术被认为是目前最为突出和可靠的。

在由美国国家标准与技术研究所(NIST)主导的全球影响力最大的PQC标准化工作中，其2023年选定的四种标准化算法，有三种都是基于格的加密技术。

那么PQC是否就是绝对安全的?

董明富表示，任何一个密码算法，只要给到足够的时间，理论上都是可以被破解的。判断一个算法是否安全，主要是在现有技术条件下，可接受的时间范围内不能被破解，就可以认为是安全的。

所以PQC也并非万无一失。一方面，尽管这些密码学问题目前看来难以攻破，但未来可能发现新的解决这些问题的方法;另一方面，密码算法的实际实现也可能存在缺陷，或者在参数选择上出现失误，这些都可能成为潜在的安全漏洞。

据悉，目前对PQC算法的安全性已经从理论层面的数学漏洞拓展到实际应用层面，被NIST提名的标准化算法之一的Kyber密钥封装机制(KEM)，在2023年接连爆出在应对侧信道攻击上的安全漏洞。

实际攻击的出现强调了在部署PQC算法时，及时检查并修复潜在漏洞的重要性，促使PQC算法的不断改进和演进，以提高真实应用场景中的安全性。

董明富表示，密码技术对于国家安全而言，处于一个非常重要的地位。为了保持数字世界的安全，PQC技术需要不断发展和更新，以随时适应新的威胁。

传统密码体系向PQC过渡仍面临很多挑战

尽管量子计算对传统密码学的威胁目前仍停留在理论阶段，但全球各国都在呼吁加速进行PCQ技术的迁移。

2023年12月，中国抗量子密码战略与政策法律工作组成立与专家聘任仪式在第十三届中国信息安全法律大会主论坛上举行。工作组将对抗量子密码技术、产业、业务的现状和相关国内外政策、法律法规进行研究，以公开或定向方式发表抗量子密码相关蓝皮书、专题研究报告等成果，推动形成中国抗量子密码共识和行动方案。

此前在2022年，美国国家安全局(NSA)发出呼吁，要求各种规模的组织在2035年之前进行量子安全加密的迁移。2023年，美国国内安全局(CISA)、NSA和NIST再次发布了一份新的资源，其中包含了抗量子加密技术迁移的指导原则。

英国国家网络安全中心(NCSC)也于2023年发布白皮书，帮助商业企业、公共部门组织和关键国家基础设施提供商的系统和风险所有者思考如何为向PQC迁移做好准备。

对于抗量子加密技术部署的紧迫性，董明富表示，目前一个最大的问题在于敏感信息的前向安全问题，虽然现在量子计算技术还未实现真正突破，但很多加密敏感信息在网上流转，这意味着不法分子可以现在窃取加密数据并将其存储起来，等量子计算技术成熟后再来解密。

应对这个问题，目前主要采取量子密钥分发(QKD)和PQC技术，其中QKD被认为是理论上唯一无条件安全的通信方式，因为QKD密钥安全性是基于量子物理定律，而不是基于数学问题的计算复杂性。我国在基于QKD技术的量子保密通信组网建设上已初具规模，商业化应用正在持续推进，而PQC算法目前正在进行标准化论证。

推动PQC技术大规模商业化应用，完成传统密码体系向PQC过渡仍然面临很多挑战。董明富表示，首先就是标准化工作，目前美国NIST正在推进相关算法标准草案的评估，预计2024年正式批准;我国也从去年开始推进相关标准设立，但目前还没有完全标准化，标准化工作是PQC算法推广的关键环节。

其次，因为密码体系是一项基础性的技术，在整个网络安全生态当中渗透非常广，完全向PQC过渡是一项长期且复杂的工程，从芯片到操作系统需要建立起完整的量子安全生态。与此同时，在资源和资金上的投入也非常大，大规模推广仍需要国家政策的支持。

PQC技术离大规模商业化还有一段距离

各国目前都很重视PQC技术的发展。全球PQC科研机构以高校为主。中国参与PQC领域的科研机构较多，但实现商业化转型的机构仍然有限。美国已有多家科研机构孵化出PQC初创公司，转型商业化。根据专注于前沿科技领域的知名咨询机构ICV的研究报告，从PQC公司总部地理分布来看，美国、欧盟、中国的公司分布较为密集。

从PQC应用方面看，美国IBM、Microsoft、Google等科技巨头已将公司业务拓展至PQC领域，其中Google 已应用PQC算法保护其旗下Chrome浏览器网络安全。

4月10日，我国第三代自主超导量子计算机“本源悟空”成功装备国内首个PQC“抗量子攻击护盾”混合加密方法，能够更好抵御其他量子计算机的攻击，确保运行数据安全。

总体来看，目前PQC技术仍处于研发和标准化阶段，离大规模商业化还有一段距离，但密码技术作为网络安全技术的基石，承担抵御量子时代信息安全的重任，有望在国家政策的大力扶持下快速发展。

对于各大网络安全厂商而言，布局抗量子密码技术已成为重中之重，毕竟一旦量子计算机在算力上实现重大突破，现有密码体系将完全失效。据董明富介绍，格尔软件作为核心的密码安全企业，已经将PQC技术作为战略性技术来对待，在研发、市场等各方面资源都将向抗量子密码技术倾斜。

格尔软件与复旦大学联合成立了密码技术与工程实验室，开展抗量子领域算法研制、标准制定和产业化推广工作，目前实验室拥有了CNTR关键技术，并拥有相关专利。投资设立上海泓格后量子科技有限公司，利用实验室的技术成果进行产品转化，开发抗量子密码核心产品，格尔软件自身也完成了产品抗量子密码迁移路线的设计，所有产品将全面支持CNTR技术。

（编辑：王星）