量子計算與密碼學分析、風險與對決策者的建議

杰克·蒂貝茨

（1.加州大學伯克利分校，美國；2.勞倫斯·利弗莫爾國家實驗室 全球安全研究中心，美國）

0 引 言

一些有影響力的美國決策者、學者和分析人士非常關注量子計算對國家安全的影響。與冷戰時期美蘇對抗背景下對空間技術的看法類似，他們認為量子計算的科學進步是一場具有重大國家安全后果的競賽，也是正在形成的美中對抗的一部分。據稱，這場競賽的獲勝者能夠破解失敗者的所有加密工作，并可以不受限制地訪問失敗者的任何國家機密。此外，獲勝者能夠以比當前加密技術更高的安全性來保護自己的秘密。本文認為這三個主張被高估了，決策者和學者應該將重點轉移到量子計算將影響另一個國家安全的問題上。在現代密碼的保護下，如何保證秘密信息的長期安全性，使其不受未來量子計算機的攻擊，是當前需要關注的主要挑戰。

本文針對此問題采用了技術上可行的方法。首先，列出了有關量子計算的當前大多數討論中預想的國家安全問題。其次，它將評估量子計算機在密碼學領域比傳統計算機具有的技術優勢。第三，它將解釋量子計算的技術現實與主要關注領域不一致的具體方式。第四，它將突出顯示大多數情況下未公開討論的量子計算帶來的更為緊迫的國家安全問題。第五，本文最后將提供有關如何緩解此問題的建議。

1 主要關注領域

當前圍繞量子計算的一些政策論述圍繞以下三個相關主題展開：

（1）美國和中國爭奪量子霸權的競賽。

（2）由于量子計算，密碼方案失敗。

（3）通過啟用量子計算的加密方案來提高安全性。

更廣泛地說，許多人斷言，美國與中國正在爭奪量子計算領域的霸主地位，這場競賽對國家安全具有重大影響。這些觀點來自科學界的評估，即量子計算將在解密對手的加密消息方面提供優勢，并且量子計算將允許使用量子加密方案發送消息，與當前的加密方案相比，量子加密方案可提供更高的安全性。此外，他們擔心首先擁有量子計算能力的國家將獲得超過其對手的優勢。

1.1 主題：爭奪量子霸權

量子至上是科學界人士設定的一個人工基準，它標志著量子計算機比傳統計算機能更有效地計算出一個定義明確的問題答案。盡管這在很大程度上是一個科學目標，但許多作家和分析家已將該術語作為共同目標，并將其設定為美國應迅速向前邁進和首先實現的目標。事實上，他們將實現量子霸權與美蘇在太空和導彈技術領域爭奪霸權的歷史性競爭聯系起來。例如，《華盛頓郵報》稱量子計算是“自太空競賽以來最重要的科技競賽”，而外交關系委員會（Council on Foreign Relations）稱之為“美國輸不起的量子競賽”。另外，類似于上世紀五六十年代與蘇聯在導彈技術上的競爭，以及人們普遍認為美國正在追趕的評價。當前有人說“中國科學家走在這場技術競賽的前列”，美中之間存在著“量子鴻溝”，而且美國處于劣勢。

這些分析具有實際的政策含義。美國政策界的一些人，如約翰·科斯特洛（John Costello）十分擔心，如果中國首先實現量子霸權，將對美國的國家安全產生直接的負面影響。科斯特洛的報告表明，如果中國實現量子霸權，中國將通過“破壞美國的網絡間諜活動和信號情報能力”以及“將美國敏感信息系統置于危險之中”獲得重大戰略優勢。此外，國會議員威爾赫德（R-TX）稱量子計算是“下一個巨大的安全風險”。

共和黨和民主黨的關鍵人物都認同這些觀點。2018年，白宮發布了一份政策備忘錄，概述了美國政府的研發重點，其中將量子計算列為“保持美國在戰略計算領域的領導地位”的關鍵領域。此外，特朗普總統簽署了《國家量子倡議法案》，并發布了《量子信息科學國家戰略概述》，作為加速美國量子計算科學進步努力的一部分。同樣在2018年，參議員卡馬拉·哈里斯（D-CA）提出了《量子計算研究法案》，其目的是“建立一個國防部量子計算研究聯盟，以促進美國在量子計算領域的競爭優勢和發展”。參議員哈里斯還發表了推文，以支持她提出的立法“量子計算將是改變世界的下一個技術前沿，我們不能承受落后”。

政策界支持這樣的觀點：量子霸權的競賽正在進行，美國正在輸掉，美國科學界正在迅速向技術優勢邁進，就像美國在太空競賽中所做的那樣，這對國家安全戰略至關重要。

1.2 主題：量子計算使當前的加密過時

一些分析人士和學者在查閱了技術文獻后發現，量子計算機將能夠運行允許對加密信息進行解密的算法，而無須訪問解密密鑰。根據他們的說法，這些量子算法將使“當前的加密方法變得微不足道”。破壞這些算法后，它將使受害者面臨重大的戰略和安全風險，并允許美國的對手閱讀軍事通信、外交電報和其他敏感信息。可以將這種情況與第二次世界大戰中英國和美國打破德國的謎碼和日本的紫碼，使同盟國在戰略上超過了軸心國的事件相提并論。

圍繞這一問題的一些政策討論受到以下建議的影響：在對手取得量子霸權后，美國本身可能成為破譯密碼既成事實的受害者。例如，量子產業聯盟執行董事保羅·斯蒂默斯（Paul Stimers）特別指出，“破解加密”的能力是一種“改變游戲規則的軍事應用”。有人指出，如果美國失去與中國爭奪量子霸權的競爭，這是美國可能面臨的主要戰略風險之一。

1.3 主題：量子計算使新的加密比當前的加密更安全

回顧了技術文獻的分析家和學者們還發現，量子計算機能夠使用不依賴于數學假設的密碼方案。“量子通信……這個新概念試圖利用量子物理學的規則來保證安全性，以實現新的密碼協議”。諸如此類的陳述暗示著量子物理學的安全保證遠大于數學假設的安全保證。這導致了政策界的一種觀點，即量子通信比經典密碼學安全得多。

美國國會已經提出了這樣一種觀點，即量子通信將提供比基于經典計算的加密更高級別的安全性。眾議院科學、空間和技術委員會的詹姆斯·F·黑澤斯（James F. Kurose）博士在國會的證詞甚至暗示，量子通信“提供了……絕對安全通信的承諾”。

2 政策關切與技術現實之間的矛盾

2.1 量子計算不會使加密過時

量子計算確實威脅到了當前加密系統RSA、ECDH和更小密鑰AES的生存能力。但這在某種程度上過分夸大了這個問題，使人覺得這個迫在眉睫的問題似乎沒有解決辦法，而事實上，卻有解決辦法。

對于對稱加密，AES的256位模式對所有已知的攻擊仍然是安全的。雖然值得注意的是，它處于不安全的邊緣，但它仍然可以抵御那些有大量時間和資源投入的對手的攻擊。此外，通過AES的多個應用構造一個安全級別更高的方案，就像DES和3DES那樣，將是一個簡單易行的擴展，可以創建一個更安全的密碼系統。

對于非對稱加密，目前密碼學領域正在研究后量子密碼學。這一研究的目的是尋找有效的非對稱方案，用新的量子安全加密方案取代RSA和ECDH。這些新提出的方案基于NP中不存在于P或BQP中的新問題，例如最短向量問題或校驗子解碼問題。

圖1 復雜度分類

實際上，NIST目前正在對量子安全公鑰加密系統進行標準化，該系統將于2024年完成。美國國家安全局（NSA）緊隨其后，發布了CNSA加密套件，該套件旨在成為量子安全之前的過渡加密標準，使量子安全加密標準化。這些新算法可以使用傳統計算機運行。在未來，將會出現與傳統計算機的加密方案相同安全級別的針對量子計算機的加密方案。

2.2 量子計算沒有提供明顯的新加密功能

QKD確實解決了竊聽者的檢測問題。正因為如此，政策學者們聲稱，“接收者和發送者確定消息是否被截獲”的能力是經典密碼學的一個“主要優勢”。雖然這在技術上是一個有趣的進步，但它實際上并沒有在安全通信中提供相對于經典密碼學的安全優勢，因為最初竊聽檢測并不是安全通信中的問題。

當Alice和Bob使用QKD時，Eve不能得到密文，因此不能得到任何對應的明文。當Alice和Bob使用經典密碼學時，Eve可以得到密文。但是，Eve無法解決在沒有解密密鑰的情況下解密密文所需的底層NP問題，因此Eve無法獲得任何相應的明文。雖然QKD和經典密碼學使用完全不同的方法，但在這兩種方法中，提供給Alice和Bob的安全級別毫無區別。無法竊聽的竊聽者與無法從恢復的密文中獲取有效信息的竊聽者之間的操作差異可以忽略不計。由此得出的結論是，量子計算并不能提供比經典計算更高級別的安全性。

2.3 量子霸權競爭主要是一場經濟競爭

在后量子加密方案標準化之后，量子計算將不會對通過密碼學保證的安全通信構成威脅。未來的美國通信將獲得與當前加密技術所提供的計算機安全相同的級別。敵方情報機構仍將受到美國加密方案的挑戰。同樣的道理，通過使用量子輔助密碼技術，對手也不會獲得更高級別的安全，以對抗美國的情報工作。雖然美國有可能像今天一樣陷入困境，但情況不會更糟。從本質上講，美國及其對手的情報收集和信息保護能力將保持不變。在后量子加密標準化之后，從密碼學家的角度來看，這些領域沒有國家安全風險。

這就引發了一個問題，為什么“爭奪量子霸權”的焦點似乎集中在了量子計算對密碼學的影響上。與中國的“量子霸權之爭”與其說關系到國家安全，不如說關系到經濟優勢和技術聲望。量子技術確實有許多非常有價值的商業應用，發展最快的國家將可能獲得先發制人的經濟優勢。雖然經濟能力無疑是國家權力的延伸，但這種“量子霸權之爭”并沒有通過太空競賽上演的導彈技術霸權之爭那么緊迫。

3 更緊迫的國家安全問題

盡管量子計算的技術現狀表明，量子計算不存在完全永久的安全隱患，但存在一個值得注意的長期國家安全問題。問題在于，通過現代加密方案確保了具有長期情報價值的機密信息的安全，這種加密方案將來可能被量子計算機打破。

4 決策建議

有許多短期預防措施可以緩解這一問題。盡管美國無法收回敵方情報機構已經擁有的任何加密數據，但美國可以制定一些短期改革措施，通過阻止未來數據流向敵方，使這一現實的影響不至于成為安全問題。

4.1 NIST標準建議

盡管已經認識到需要能夠抵抗量子計算機攻擊的加密方案，并且當前的一些加密方案不能提供這種保護，但是NIST的官方標準目前并不支持這一立場。具體來說，NIST仍然規定，允許在2031年之后使用AES加密方案的128位和192位模式為聯邦政府數據提供加密保護。這些算法不能抵抗Grover算法的攻擊。NIST應該使FIPS 197的各方面失效，FIPS 197是AES的官方NIST規范，允許使用AES-128和AES-192。雖然必須認識到，“IT最佳實踐”建議無論如何都只能使用AES-256，但政府機構或政府承包商仍然可以使用較弱的加密方案來遵守聯邦法規。這是一個安全風險，可以通過AES-128和AES-192作為2031年后的失效的加密安全方案來輕松解決。

此外，由于量子計算的發展，美國國家安全局已經撤銷了對AES-128和AES-192的支持，它們是加密安全的長期加密方案。美國國家安全局只允許在計劃逐步淘汰的遺留系統上使用這些方案，而且只能在特殊情況下使用。通過撤銷對AES-128和AES-192的支持，NIST將在美國密碼學標準的制定方式上與其對應方保持一致。

需要重點關注的是，即使在量子霸權實現之后，實際攻擊也可能不會在很長時間內實現，但沒有理由冒攻擊可能提前實現的風險。使AES-128和AES-192作為加密安全方案在2031年以后失效的弊端是，迫使政府機構和承包商在10年內更新其加密方案會產生經濟成本。與現狀的不利因素相比，這根本算不上什么。現狀的不利因素是將敏感的或機密的聯邦政府信息暴露給對手會造成國家安全成本。即使預測來自該領域最重要的專家，也幾乎無法預測技術的發展。

此外，NIST還可以開發和標準化密鑰長度更長的AES版本。與3DES（三重DES）通過多次使用不同密鑰應用同一加密方案來取代DES的方式類似，NIST可以開發和標準化3AES，該3AES使用不同密鑰多次應用AES以獲得更高級別的安全性。

4.2 NSA標準建議

如前所述，國家安全局指出，在國家安全系統中全面部署任何加密算法大約需要20年。鑒于量子計算對長期安全的威脅，這應該被認為是不可接受的。全面部署新的密碼算法將直接轉化為額外的20年長期情報漏洞，這可能會導致國家安全受到損害。跨NSS完全部署加密算法的時間應降低到盡可能短的范圍內。至少，它應該大大低于20年，這對于實施加密標準來說時間過長。即使這段時間不能大大縮短，美國國家安全局也應該采取措施，對現代化工作進行分類，確保最敏感的系統和信息首先用量子安全加密方案進行更新。

4.3 降低風險的建議

幸運的是，對于保密信息的捍衛者來說，使用加密仍然具有可以放大的優勢。雖然使用量子計算機的攻擊者可以在合理的時間范圍內成功破解大量加密方案，但執行此類攻擊仍可能需要大量的時間和資源。即使目前使用的加密方案最終可能會被破壞，但仍然可以采取降低風險的措施，使解密信息的時間更長。

這可以通過設置蜜罐來實現，蜜罐被偽裝成僅包含無用的加密數據的易受攻擊的機密網絡，并允許它們被美國對手利用。這將迫使對手使用寶貴的計算機周期來解密無用的信息，從而浪費大量時間。根據執行此操作的程度，這可能使對手解密有用的情報信息所需的平均時間和資源增加一倍或兩倍。此類操作將被歸類為“通過欺騙進行防御”，這是一種成熟的策略，可以阻止想要竊取敏感信息的黑客。該策略只是舊的反情報策略的應用，但可以解決新問題。

5 結 論

量子計算將對國家安全產生影響，只是不會像政策界宣稱的那樣。量子計算不會顯著減少或增強加密技術在為通過不安全通道發送的消息提供機密性保證方面的內在效用。此外，盡管美國可能在量子計算領域與近于平等的經濟競爭對手展開經濟和技術競爭，但這種競爭的結果不會從根本上改變大國之間軍事和情報優勢的分配。

在這種情況下，美國需要警惕受到當代加密方案保護的敏感信息的保密性受到的長期威脅。這些威脅可以通過更新NIST的建議以與NSA的建議保持一致，對傳輸和存儲敏感和機密信息的系統進行加密更新，并采取對策，大大增加對手竊取加密信息所需的時間和資源。

盡管有些人認為量子計算對保密構成了威脅，但實際上，只要美國的管理機構實施一些簡單的常識性改革，量子計算的威脅就可以控制。