量子计算机的发展对传统密码学的核心威胁,源于其能高效解决传统计算机“计算不可行”的数学问题——而这些问题正是当前主流密码算法保障安全的基石。这种影响并非“全面摧毁”,而是针对传统密码学的不同分支(非对称密码、对称密码、哈希函数)呈现出差异化的风险等级。
一、非对称密码算法(公钥密码)
颠覆性威胁,现有体系面临“失效危机”。
非对称密码(如RSA、ECC、DSA等)是现代数字安全的“核心骨架”,广泛用于身份认证、数字签名、密钥交换(如HTTPS协议、区块链签名、VPN加密),其安全性依赖于“大整数分解”“离散对数问题”(含椭圆曲线上的离散对数ECC)的计算复杂度——传统计算机破解这类问题需要指数级时间(如破解2048位RSA需数千年),而量子计算机可通过专用算法实现“多项式时间破解”,直接瓦解其安全基础。
关键威胁来自两类量子算法:
1.Shor算法(1994年提出)
这是对非对称密码最致命的量子算法,能在多项式时间内解决:
大整数分解问题(直接破解RSA、Rabin密码);
离散对数问题(直接破解ECC、DSA、DH密钥交换协议)。
例如,理论上一台拥有足够量子比特(约数千个逻辑量子比特)的通用量子计算机,可在数小时内破解当前广泛使用的2048位RSA,而3072位RSA的安全性也将大幅下降。
2.Grover算法(1996年提出)
虽不如Shor算法“精准打击”,但能将非对称密码的“暴力破解复杂度”从“指数级”降至“平方根级”。例如,对某一公钥对应的私钥进行暴力搜索时,传统计算机需尝试\\(2^N\\)次,量子计算机仅需\\(2^{N/2}\\)次,进一步削弱了短密钥非对称算法的安全性。
二、对称密码算法与哈希函数
影响有限,可通过“密钥升级”缓解。
对称密码(如AES、SM4)和哈希函数(如SHA-256、SHA-3)的安全性依赖于“混淆扩散”“单向性”等设计,而非特定的数学难题,因此对量子攻击的抗性远强于非对称密码。但量子计算机仍会通过Grover算法带来一定风险,需通过“密钥/输出长度升级”应对。
1.对称密码(如AES)
传统风险:对称密码的安全假设是“攻击者无法在合理时间内暴力枚举密钥”(如128位AES需尝试\\(2^{128}\\)次,传统计算机无法完成)。
量子影响:Grover算法可将暴力破解次数降至\\(2^{64}\\)次(128位密钥),而\\(2^{64}\\)次运算在未来高性能量子计算机上可能“可行”,导致128位AES的安全性不足。
应对方案:无需替换算法,仅需提升密钥长度——例如将AES-128升级为AES-256,此时Grover算法的破解次数升至\\(2^{128}\\)次,恢复至传统128位AES的安全等级,仍能抵御量子攻击。
2.哈希函数(如SHA-256)
传统风险:依赖“单向性”(无法从哈希值反推原始数据)和“抗碰撞性”(无法找到两个不同数据对应同一哈希值)。
量子影响:Grover算法会削弱“抗碰撞性”——例如SHA-256的抗碰撞安全等级从128位降至64位,可能被量子计算机破解;但“单向性”受影响较小。
应对方案:升级为更长输出的哈希函数,如将SHA-256升级为SHA-512,或直接使用抗量子设计的哈希函数(如SHA-3,其结构对量子攻击天然更鲁棒)。
三、现实威胁
“现在截获,未来解密”(HNDL)攻击
量子计算机的当前发展阶段(NISQ,含噪声中等规模量子计算机)尚未能破解主流密码,但这已带来前瞻性风险——即“现在截获,未来解密”(Harvest Now, Decrypt Later)攻击:
攻击者当前可截获加密数据(如政府通信、金融交易、医疗隐私)并存储,无需即时破解;
待未来通用量子计算机成熟(能运行Shor算法)后,再回溯解密这些历史数据,导致当前的“长期敏感数据”(如军事机密、个人身份信息)失去保密性。
这种威胁对“数据生命周期长”的领域(如国防、金融、政务)尤为致命,也是全球推动“抗量子密码学(PQC)标准化”的核心动因之一(如美国NIST的后量子密码标准化项目、中国的SM9等算法升级)。
四、传统密码学的“风险分层”与应对方向
| 传统密码类别 | 核心威胁算法 | 安全风险等级 | 短期应对方案 |
|--------------------|--------------|--------------|----------------------------|
| 非对称密码(RSA/ECC) | Shor算法 | 颠覆性(高) | 逐步替换为抗量子密码(PQC) |
| 对称密码(AES) | Grover算法 | 有限(中) | 升级密钥长度(128→256位) |
| 哈希函数(SHA-256)| Grover算法 | 有限(中) | 升级输出长度(256→512位)或用SHA-3 |
五、抗量子密码学算法
抗量子密码学算法的发展现状呈现出标准化加速推进、技术路线多元化、应用场景逐步落地的特点,同时也面临算法效率、兼容性和全球协同等挑战。
1.NIST主导的国际标准落地
美国国家标准与技术研究院(NIST)的后量子密码标准化项目已进入第四轮评估,2025年3月正式选定Hamming Quasi-Cyclic(HQC)算法作为密钥封装机制(KEM)的备选标准,与核心算法ML-KEM形成互补。NIST计划2027年发布最终标准,涵盖数字签名(如Dilithium)、密钥交换(如Kyber)和哈希签名(如SPHINCS+)三大类算法,并同步制定迁移指南(如NIST SP 800-227)以指导企业过渡。
2.中国自主体系加速构建
中国在2025年2月启动新一代商用密码算法征集,明确要求算法需同时抵抗经典与量子攻击,并推动国产算法(如Aigis系列)参与国际竞争。例如,LAC-PKE密钥封装方案已进入NIST第二轮评估,成为国内唯一入选的公钥算法。此外,吉大正元、格尔软件等企业推出全栈解决方案,支持NIST标准与国密算法的混合部署,在金融、政务领域开展试点。
3.欧盟与日本的差异化布局
欧盟:ETSI在2025年3月发布首个后量子加密标准TS 104 105(Cover Crypt),通过混合加密机制实现“前量子+后量子”双安全层,密钥封装/解封耗时仅数百微秒,可无缝集成现有系统。英国NCSC建议关键行业在2028年前制定迁移计划,2035年完成全面升级。
日本:东京大学团队开发的多变量签名算法QR-UOV成为日本唯一进入NIST第二轮评估的方案,其公钥尺寸较传统UOV算法缩减50%,验证效率提升30%。东芝等企业则通过“量子密钥分发(QKD)+后量子密码”混合方案,实现站点间VPN通信的高可用性与抗量子安全性。
六、应用实践
1.金融与政务领域的先行探索
某国有银行通过格尔软件的抗量子密码服务平台,实现核心交易系统的Dilithium签名替换,单笔交易耗时从12ms降至8ms,同时支持与现有SM2证书体系的兼容。
加拿大政府要求联邦部门在2031年前完成高优先级系统迁移,优先替换处理个人隐私数据(如医疗记录)的加密模块。
2.云计算与物联网的技术整合
亚马逊AWS自2020年起为KMS服务提供后量子TLS 1.3支持,2025年进一步将Kyber-1024设为默认算法,密钥生成延迟降低至传统ECC的1.5倍。
博通Emulex Secure HBA芯片集成Kyber和SPHINCS+,通过硬件加速实现端到端存储加密,符合欧盟DORA法规对关键基础设施的安全要求。
3.通信协议的升级改造
TLS 1.4标准已纳入ML-KEM和Dilithium作为强制支持算法,Firefox和Edge浏览器均在2025年实现默认启用。
信号(Signal)等加密通信应用采用PQDXH协议,结合X25519和Kyber实现前向保密,抵御“现在截获、未来解密”攻击。
总结
简言之,量子计算机对传统密码学的影响并非“一刀切”:非对称密码需全面替换,对称密码和哈希函数可通过“参数升级”过渡,而“HNDL攻击”则要求行业提前布局抗量子密码的落地,避免未来出现“安全真空”。抗量子密码学正从理论研究走向规模化应用,标准化进程的加速与技术路线的多元化为全球网络安全提供了坚实基础。尽管面临性能、兼容和长期安全等挑战,但通过政策引导、产业协作和技术创新,抗量子密码学有望在2030年前完成对传统密码体系的替代,为数字社会构筑抵御量子威胁的“第二道防线”。未来,随着量子计算与抗量子密码的持续博弈,动态加密、混合架构和跨学科融合将成为技术发展的核心方向。
