从量子计算到量子安全：什么是“抗量子密码”

美国国家安全局启动抗量子密码体制

2015年7月29日，美国正式对外公布“国家战略计算倡议”（NSCI）。正当人们纷纷猜测该战略倡议中提到的未来新型计算是什么样的时候，二十天后的8月19日，美国国家安全局（NSA）网站上发布了一则消息，开宗明义指出“由于面临量子计算机的潜在威胁”，国家安全局这个负责统管美国政府和军方密码系统的最高机构决定将联邦政府所使用的“B包密码体制”（B suite）替换成“抗量子密码体制”。

一石激起千层浪。首先，在现实社会当中美国国家安全局一直非常低调和神秘（这也是为什么好莱坞总是喜欢拿它来吸引眼球的原因），而这次美国国家安全局居然一反常态在互联网上公开阐明其最核心的秘密—联邦政府部门所使用的密码系统可能面临的巨大威胁，这件事情本身就非常诡异。美国国家安全局用意何在？“8.19”声明背后是否有什么“阴谋”？其次，什么是“抗量子密码”？它和“量子密码”又是什么关系？此外，量子计算机都还没有研发出来，怎样说明一个密码能够抗击量子计算机的攻击？

我们先来看一看美国国家安全局这个“8.19”声明的要点。国家安全局在密码领域承担了“密码破译”和“密码设计”两大任务。密码破译的工作由国家安全局下属的“信号情报部”（Signals Intelligence Directorate，SID）负责，其前身甚至可以追溯到第二次世界大战期间破译日本的“紫密”等工作，中途岛海战大败日本帝国海军，以及日本“战神”三本五十六的座机被击落均是它立下的战功。而密码设计的工作则由美国国家安全局下属的“信息保障局”（Information Assurance Division，IAD）负责。信息保障局负责“攻”，信息保障局负责“防”，一矛一盾。此次美国国家安全局的“8.19”声明是指其下属的信息保障局研发的B包密码体制将面临量子计算机的威胁，并要求使用“抗量子密码”来替换它。一句话，这次的“8.19”声明是针对美国联邦政府部门自身的密码升级方案。那么B包密码体制为何不再安全了呢？

B包密码体制包括了多种以现代公钥密码为基础的加密算法、数字签名算法、密钥协商算法和随机数生成算法（主要用于产生原始密钥）等。而现代公钥密码诞生于上个世纪七十年代中叶，其安全性依赖于数学上的皇冠—数论中的一类困难问题。美国国家安全局组织专家对公钥密码的安全性分析了整整三十年，在确认没有什么安全漏洞之后，才于2005年允许B包密码体制在联邦政府内部的信息系统当中投入使用。根据NSA的相关规定，B包密码体制可以用于联邦政府的机密信息传递，而且和更为神秘的A包密码体制一道，可以用于处理最高密级为绝密级（Top Secret）的信息，例如美联储等机构就可以使用B包密码体制来传递敏感信息。

其实，现代公钥密码不仅仅用于美国或其他国家的政府部门。在人们日常生活或工作当中，在当今互联网的正常运行与维护当中，均离不开现代公钥密码。例如，各种软件版本的自动更新，各种网络设备补丁的下载与升级，政府部门的电子政务，企业的电子商务，个人的网上消费（如“双十一”）…...均依靠现代公钥密码体制来提供虚拟社会各成员之间（无论是人还是各种软硬件设备）的相互认证，只不过这些认证工作都是在后台默默的完成，无须人们动手。因此，现代公钥密码构成了网络空间的信任链之锚。可以毫不夸张的讲，人类社会从来没有像今天这样，将如此巨大的资产（实体的和虚拟的）托付于现代公钥密码体制。所以，一旦网络空间的这个信任锚“基础不牢”，必将“地动山摇”。

那么人类对现代公钥密码的安全性如此信任，原因何在呢？

四十年前诞生的现代公钥密码体制，无论是RSA算法，ECC椭圆曲线算法，还是DH密钥协商算法，它们的安全根基都系在“一根绳上”—数论中的“大数素因子分解/离散对数”困难问题之上。由于人们相信仅凭现在的计算机（即使是比现有最强大的超级计算机还快千百万倍）都难以在数十年甚至上百年之内破译这些公钥密码算法，因此世人一直高枕无忧。