什么是后量子密码学？

后量子密码学（PQC），也称为抗量子密码学或量子安全密码学，指的是能够抵御量子计算机攻击的加密算法。量子计算机是一种新兴技术，它的运算基于量子物理学，即研究宇宙微观规律的科学。 

如今，全球大部分数据都通过基于复杂数学原理的加密算法进行保护。不具备后量子加密功能的传统计算机（有时也称为“经典”计算机），其算力不足以在实际可行的时间内破解这些加密算法。对大多数传统计算机而言，破解过程可能需要数千年的时间。

但是，量子计算机能够在几秒内攻破或破解当前的加密技术。 

虽然量子计算机尚未普及，但在不久的将来可能会被广泛使用，因此，后量子密码学正成为一个快速崛起的领域。全球的科学家和工程师正致力于研发新算法与方法，以保护数据免受当前普通计算机及未来量子计算机的网络攻击。 

为后量子密码学做好准备的四个步骤

密码学是指通过特定方法（常借助数学算法）对信息进行隐蔽处理的技术，它的目的是确保只有预定接收方能解读其内容。对计算机而言，密码学涉及设计编码算法，以保护和隐蔽在不同位置间传输的机密信息。政府、银行和医院等机构的核心职能部门大多依赖于类似的加密算法，来保障其数据的完整性与机密性。 

加密算法会将数据转换为不可读的格式，然后使用密钥进行解密。这些算法就像为数字信息打造的“保险箱”。加密算法的主要类型包括： 

对称算法。 这类算法使用相同的密钥对数据进行加密和解密。打个比方，如果把数据看作放进实体保险箱的文件，那么只有您和您的搭档拥有打开的钥匙。您用钥匙将文件锁入箱内，而搭档用相同的钥匙打开保险箱以获取文件。对称算法的工作原理与之类似，可用于保护通常永久存储在一个位置的大量数据（例如企业保存在服务器上的文件）。这一过程有时也称为高级加密标准（AES）。 

非对称算法。 这类算法使用两种不同的密钥，即公钥和私钥。还是打个比方，可以把它想象成一个公共邮箱：任何人都可以将邮件投进邮箱（邮箱的投递口对应公钥），但只有邮递员持有专门的钥匙（私钥）才能打开取出。这种方法的优势在于，人们能够安全地向素未谋面的人发送信息（例如在线购物时输入信用卡号），而无需向其发送密钥。这类算法是互联网安全的核心基础之一。常见算法包括Rivest-Shamir-Adleman（RSA）算法和椭圆曲线密码学（ECC）。

大多数现代安全系统会结合使用对称与非对称算法。例如，可以使用非对称算法（公共邮箱）传递访问受对称算法保护的数据所需的共享密钥。

假设一台传统计算机和一台量子计算机同时尝试破解一个密码锁的密码组合。传统计算机会逐一尝试每种密码组合，直至找到正确答案。 试想一下，如果这个密码锁存在数万亿种可能的密码组合，传统计算机若要逐一尝试每种密码组合，将耗费极长时间。我们当前使用的加密算法（尽管远比密码锁复杂）正是基于类似的安全原理设计的。 

我们继续沿用密码锁的比喻：量子计算机能同时处理数万亿种可能的密码组合，迅速找到正确的密钥。它能够猜出保护我们数据的共享密钥、公钥和私钥。这种处理能力的飞跃提升意味着，我们如今依赖的数学密码锁未来可能分分钟就被破解。 

量子计算机面临的挑战

当前的量子计算机虽然强大，却存在独特的局限性。温度和振动的微小差异或其他环境因素的变化都可能干扰量子计算机，导致其无法完成计算任务。当今的量子计算机仍需在低于外层空间温度的真空环境中运行，且其处理能力尚不足以对现有密码学领域产生实质性影响。 

量子计算机何时将对密码学领域产生实质性影响，或者能够彻底破解我们当前的加密体系？目前尚无定论，但许多预测认为这一突破可能在未来 10 至 15 年内实现。也有观点认为进展可能更快，甚至早在 2029 年就可能实现。尽管量子计算何时会真正颠覆现有加密体系仍无定论，但其带来的安全风险已然存在，人们需要提前采取措施，保护数据安全。

目前，量子计算机尚未广泛普及，现有的量子计算系统也极其复杂，维护成本高昂。但即便如此，量子计算未来可能具备的能力，已经在当下催生了新的安全威胁。其中一个主要威胁是“先窃取，后解密”（HNDL）攻击，即攻击者先行窃取加密数据，等待未来量子计算机成熟后再进行解密。医疗信息、银行账号、社会保障号或其他政府机密信息通常变更频率较低，所以这类数据在长期内都具有利用价值。正因如此，许多企业组织已开始为量子计算机及其对数据隐私与安全的影响做准备。 

一种应对 HNDL 攻击的方法是开始采用“抗量子算法”。美国国家标准与技术研究院（NIST）已选定四种抗量子算法，这些算法基于量子计算机（以及当今传统计算机）难以破解的数学问题而构建。通过采用这些新型抗量子算法，企业组织能够保护当前及未来可能被不法分子窃取的信息。 

随着人们对量子计算机潜在能力的担忧不断加剧，以及 HNDL 等现实威胁的出现，全球各行业和政府机构都在加速寻求解决方案。通常而言，任何加密方法的广泛应用都需要数十年的时间。没有人愿意将自身的安全标准建立在未来可能被证明效力不足或存在漏洞的算法之上。因此，许多组织都寄望 NIST 能制定后量子密码学标准，正如其过去在其他加密标准制定中所发挥的作用。

2016 年，NIST 启动了后量子密码学项目，旨在汇集全球专家，共同创建并提交能够抵御经典计算机与量子计算机攻击的算法。经过一轮严格且公开的反复测试和评估，NIST 于 2024 年发布了首批三项最终版后量子加密标准，并鼓励企业组织尽快开始实施应用。许多国家/地区及安全机构，例如欧盟网络安全局（ENISA）、法国国家网络安全局（ANSSI）和美国国家反情报与安全中心（NCSC），正遵循 NIST 的指导方针推进相关工作。其中部分机构已设定了合规期限。

自 2022 年起，红帽已着手研究后量子密码学的技术要求，以帮助客户防范数据攻击并满足未来的合规要求。红帽®企业 Linux® 作为红帽全系产品的基础，是集成后量子密码学功能的起点。 

红帽企业 Linux 9.6 和 10 已包含经 NIST 认证的算法。红帽的目标是帮助客户在产品开发全流程中，为后量子密码的采用进行规划、测试和实施准备。

进一步了解布局后量子密码学的信息