量子计算环境下密码技术展望

马小荣 杨贇

摘要：在今天的信息时代，密码技术作为近年来信息安全学科研究的一个热点，量子密码技术的诞生很好地解决了传统密码技术存在的问题。然而由于量子计算机的强大运算能力，量子计算一旦在密码计算中成为霸权，现有密码体制可能发生很大变化。本文主要对量子计算与密码学进行了分析，总结了量子计算环境下对现有密码算法的影响进行分析，最后展望了量子环境下密码技术的发展现状。

关键词：传统密码;密码技术;量子计算

中图分类号：TN918 文献标识码：A 文章編号：1672-9129（2020）08-0007-01

1 引言

目前，量子计算还处于起步阶段，无法确定哪些安全，哪些不安全，对称加密很容易产生量子抗性，现在的密码技术正致力于量子抗性公钥算法。如果根据现有的数学知识和计算能力，公钥加密最终只是一个暂时的异常，目前的密码技术仍然可以生存。近些年，研究人员设计出特色各异的量子环境密码技术，且对其安全性展开了全面深入的研究。并在方案性能的提升和实验的实现中，获得了众多研究成果。

2 量子计算与密码学

量子计算的方法能够很容易地计算出大的数字排列，破坏任何密钥长度的RSA密码系统，这也是密码学家努力设计和分析“量子抗性”公钥算法的原因，密码学的核心依赖于数学上的技巧。数字签名和公钥加密相对比较复杂，它们依赖于诸如因子分解之类的困难的数学问题，所以在计算过程工有很多潜在的技巧来反推它们。因此，我们看到RSA的密钥长度为2，048位，基于椭圆曲线的算法的密钥长度为384位。量子计算机有望颠覆这一切。由于工作方式的不同，量子计算机更擅长扭转这些单向函数所需的各种计算。对于对称密码学，Grover的算法表明量子计算机可以加速这些攻击，从而有效地将密钥长度减半。这意味着256位密钥与量子计算机一样强，就像128位密钥与传统计算机相比;两者在可预见的未来都是安全的。对于公钥加密而言，Shor的算法可以很容易地破解所有常用的基于因式分解和离散对数问题的公钥算法。

我们知道密码学是关于信任的，而且我们有比早期的互联网更多的技术来管理信任。像保密这样的重要属性会变得迟钝而且复杂得多，但只要对称加密有效，仍然具有安全性，基于数学理论加密的整个概念是我们现代公钥系统的基础，是基于我们不完整的计算模型的暂时的迂回。

3 量子计算环境下对现有密码算法的影响

3.1对称密码算法的影响。Grover算法：量子计算中的Grover随机数据库搜索算法能够以“指数减半”的效果提升空间搜索效率。对称密码的安全性如果以穷举搜索密钥的攻击复杂度进行衡量，将导致对称密码的安全性减半，即在经典计算环境下2^128安全的对称密码算法，在量子计算环境下只有2^64安全。

影响：量子计算可使DES、AES、SM4等分组密码算法和流密码算法的安全性降低为原来的1/2。但由于Grover算法需要指数级内存，其对于对称密码算法的实际影响不大。

应对策略：增加密钥长度：为了达到2^128的量子计算安全，需将对称密码的有效密码尺寸设计为至少256比特。需要注意的是，密钥长度增加对加解密运算速度有影响，但影响可控，从密钥长度128bit的约450MB/s降低至密钥长度256bit的约320MB/s。

AES算法：支持256比特密钥长度，可暂时满足量子计算安全。

SM4国密算法：密钥长度固定为128比特，可能受到影响。

3.2量子随机行走算法。量子随机行走算法可提高经典搜索算法的时间效率，进而增加一定时间内随机找到两个碰撞原像的概率，实现对抗碰撞性的暴力破解，降低哈希摘要算法的安全性。

影响：量子计算可使MD5、SHA、SM3等哈希摘要算法的安全性降低为原来的2/3。

应对策略：增加摘要长度：量子计算对哈希摘要算法的影响不大，只需采用摘要长度较大的算法即可。

SHA算法：最高支持SHA-512，可暂时满足量子计算安全。目前认为SHA-256在经典计算环境下是安全的，所以量子计算环境下至少应使用SHA-384。

SM3国密算法：摘要长度固定为256比特，可能受到影响。

3.3对公钥密码算法的影响。Shor算法：Shor量子算法可以在多项式时间内破解大整数分解问题和离散对数问题。破解2048比特强度的RSA密钥可能需要经典计算机耗费10亿年以上的时间，而谷歌称2000万量子比特的量子计算机只需8小时就可破解2048比特RSA算法。

影响：量子计算可破解RSA等基于大整数分解的公钥密码算法和ECDSA、SM2等基于离散对数的ECC椭圆曲线公钥密码算法。

应对策略：更换新的算法：大整数分解和离散对数困难问题在量子并行计算环境下可被轻易破解，因此可考虑选取无法高效并行计算的数学困难问题构造抗量子公钥密码算法。

4 结论

密码技术作为信息安全的重要研究课题，亦是其中的核心技术。目前，传统计算领域已有可分解768位RSA整数的算法，而量子计算机仅成功分解了整数56153（约16比特）。然而，RSA算法目前建议的安全长度为2048比特，需要2000万量子比特的量子计算机才能通过Shor量子算法实现破解，而目前量子计算机还未突破100位，所以量子计算机对现有密码体制不具威胁。

密码技术在不断地发展，量子环境下的密码技术作为其中的前沿技术，对于促进密码学的发展发挥出其重要作用。伴随互联网技术的全面发展，计算机技术的不断深化，人们对其期望亦越来越高。而传统密码学本身安全性的不足，也促进了量子环境下密码技术的发展。其作为信息安全技术的最新发展方向，表现出强大的安全性和广泛的运用前景。

尽管量子环境下的密码技术得到了广泛关注，亦取得了丰硕的研究成果，但为了将来能够以很快速度向量子密码体制迁移，就应用来讲，应多考虑量子密码算法的兼容性。

参考文献：

[1]温巧燕，高飞，朱甫臣，量子密钥分发和身份认证问题的研究现状及方向[J].北京邮电大学学报，2018（01）：15-16.

[2]温晓军，刘云，张振江.基于纠缠交换的量子信息签名方案[J].电子与信息学报，2018，27（5）：811-813

作者简介：马小荣（1990.06.16—），女，回，新疆乌鲁木齐人，本科学历，研究方向：信息安全/电子认证。