经典密码学如何在量子计算机中生存

J加拿大总理的Ustin Trudeau去年何时抓住了去年的量子计算了几个缺口的概况^1.-在记者招待会上描述了这件事。但在过去几年里，我们听到了很多关于量子计算机的事情，比如谷歌、I.B.M.和N.a.S.a.以及很多很多大学，都在为各种目的开发量子计算机，或者为量子计算机投入资金。例如，正如斯诺登的文件所揭示的，美国国家安全局想要建造一台用于破译代码的计算机，而人们似乎普遍认为，如果建造一台全面的、实用的量子计算机，它在这方面可能真的很有用。最近的纽约人文章例如，他表示，量子计算机“在运行的第一天，就能够破解互联网上最广泛使用的密码。”但也许它们并不像我们所相信的那样有用。

有些人正在寻找“用量子争夺量子”的方式 - 但是还有另一种（和更便宜）的选择。

量子计算是基于量子物理学的叠加原理。普通计算机中的位不是0就是1。量子物理学允许比特以同样的方式处于0和1的叠加状态Schrödinger的猫可以是“活的”和“死的”的叠加。这有时可以让量子计算机比普通计算机更快地探索各种可能性。对于一般的搜索问题，比如通过尝试所有的方法来寻找密码的密钥，量子计算机的速度有望达到二次加速。例如，美国政府批准的高级加密标准最多有2个^256.-或大约一个1，然后是77零-钥匙。量子计算机可以进行同样的搜索，就好像只有两台一样^128.钥匙 - 约3，后跟38个零。一方面，这更快得多。另一方面，它仍然是一个很可怕的搜索。

但是另一种类型的密码学，称为公钥加密，在20世纪70年代发明。顾名思义，这些是两个人可以通过交换公共信息来达成一个关键或关键的一部分的系统。这在现代电子商务方面非常有用 - 如果您想将信用卡号码安全地通过互联网发送到亚马逊，例如，您不希望先开车到他们的总部以首先进行秘密会议。公共关键系统依赖于一些数学过程似乎是单向的 - 它们很容易，但难以撤消。例如，让您采取两个大整数并乘以它们相对容易。但是对于某人将结果和因素纳入原始数字似乎更难。这种特殊的单向功能用于RSA加密是最受欢迎的公共关键系统之一。

不幸的是，对于RSA来说，不是所有单向函数都是一样的。分解问题属于一类叫做"隐子群问题群是一种特殊的数学结构，而隐藏的子群是它内部的另一种结构，破解程序是不知道的——在因式分解的例子中，乘积生成群，未知因子生成隐藏的子群。在隐子群问题上，预测量子计算机将得到指数加速。要分解比搜索更快，所以普通的计算机可能会考虑一些大小2¹⁵³⁶⁰在搜索的时间里^256.钥匙。但量子计算机可以在更像是搜索20,000键所需的时间内使用相同的数字。这是一个巨大的加速。它会摧毁RSA会摧毁，情况与当前共同使用的所有其他公钥系统类似。

T这将是公开密钥密码学的一次大变革，但密码学家们不会就此放弃。一些人正在寻找“用量子对抗量子”的方法——但还有另一个(而且更便宜)的选择。人们也在研究所谓的后量子密码学，尽管更确切的名字可能是抗量子密码学。这些系统运行在普通计算机上，但基于不属于隐藏子组类别的问题。这些问题包括求解多变量多项式系统，求点到点的最短距离N- 其他点的偏斜网格，并将最接近的位串设置为一组其他位字符串。

例如，如果Alice想给Bob发送一条消息，她可以用Bob邮件中的一个点来标识它N-对网格进行尺寸标注，然后通过将其从网格中移出少量来向其添加一些“噪波”。如果N非常大，而且网格中的角度是歪斜的——远远不是直角——对于窃听者伊芙来说，弄清楚爱丽丝的原始点似乎很困难，量子计算机似乎也帮不上什么忙。但如果Bob(而且只有Bob)通过相同的点绘制了一组不同的线，但角度接近90度，那么他就有了一个“陷阱门”，可以让他恢复这个点和信息。这个想法的变体被称为基于格的密码学它们是后量子时代应用的一些领跑者。

后量子密码学的方法在过去没有被使用过，因为它们比当前的公开密钥方法效率低，但它们正在变得更好。2015年8月，nsa宣布计划推出一份获得批准的加密方法清单，以抵制量子计算机。2016年4月，美国国家标准与技术研究院(National Institute of Standards and Technology)紧随其后，启动了一项持续4至6年的公开审查程序。

这不是一个不合理的时间，以确保加密方法真的很安全。例如，2014年举报说，政府通信总部的研究人员或多或少是N.S.A的英国等同物，已经制定了一种基于格子的加密算法，首先似乎是抗量子的。然而，经过几年的研究，研究人员发现了如何使用代数数字理论领域的工具来识别一个隐藏的格子，这将揭示陷阱门。他们正在使用的问题毕竟是隐藏的子组类别。

对于新的密码标准来说，4到6年的时间也不是不合理的。政府机构担心数据在未来几十年仍需保持安全，所以他们现在正在为10年或20年后的计算机做准备。

如果您担心量子罪犯从互联网上获取信用卡号码，您可以轻松呼吸。当量子计算机来时，加密人员期望为他们准备好。而且你将能够在没有购买自己的量子电脑的情况下安全地放置购物，虽然我肯定亚马逊会很乐意卖给你一个。

Joshua Holden是Rose Hulman理工学院的数学教授，也是本书的作者秘密的数学:从凯撒密码到数字加密的密码学。

注

1。看见“Quantum Computing评分Trudeau，”从斯科特·阿伦森的博客上，Shtetl优化。

观察：理论计算机科学家Scott Aaronson在他的牛肉与D-Wave，一家量子计算机公司。

形象信贷：橡树岭国家实验室/Flickr