NSA：不知道量子计算机“何时甚至是否”能突破当前的公钥加密体制

美国国家安全局（NSA）发布量子密码常见问题与解答（FAQ），称其说不准能够“利用”公钥密码体制的量子计算机“什么时候或是否能够”出现。

题为《量子计算与后量子密码常见问题与解答》的文档中，NSA称其“现在必须为未来几十年要用的系统提出需求”。考虑到这一点，该机构就不远的将来量子计算及其对加密的影响做出了一些预测。

NSA是在担心“密码相关量子计算机”（CRQC）带来的威胁吗？显然也不是那么担心。

报告称：“NSA不清楚拥有足够规模和能力以利用公钥密码体制的量子计算机会在何时出现，甚至是否会出现都尚未可知。”这听起来似乎相当肯定——然而2014年该机构豪掷8000万美元寻求能够在“Owning the Net”程序中破解当前加密的量子计算机，所以，这份文档中声明的坦率性或许值得商榷。

这个超级监督机构似乎在说，能够打破当前公钥算法的CRQC将永远不会出现，虽然如果未来真造出了CRQC，那要是能找到可以打败CRQC的新技术也不错。

尽管原因未明，但NSA几乎就是在疯狂暗示了。如果NSA已经有了CRQC，或者即将拥有CRQC，那它可能会警告盟友、供应商和公民，让他们考虑使用抗量子技术防备别人也开发出CRQC。但这帮间谍为什么要藏头露尾呢？所以，真的非常奇怪。

安全厂商Forcepoint全球政府副总裁Eric Trexler告诉媒体称：“过去数年来，量子计算机一直在稳步发展，尽管可能永远不会替代我们的标准经典计算，却在处理特定问题上尤为有效。其中就包括公钥非对称密码体制——当今所用两种不同类型密码体制之一。”

公钥密码是当今世界强加密的基础，比如支撑HTTPS标准的TLS和SSL，可以保护浏览器数据不被第三方偷窥。

在NSA的概要中，CRQC（如果存在的话）“将可破坏非对称密钥交换和数字签名广为使用的公钥算法”，现在还没人拥有这样的机器真是太令人欣慰了。正如El Reg在2019年详述的那样，后量子加密行业长期以来一直试图将自己描绘成当今加密的直接威胁。

思科Talos信息安全部门技术负责人Martin Lee解释称：“目前广泛使用的加密和散列算法仰赖需要花费大量时间的某些数学计算。如果出现量子计算机，我们就会面临这些计算易于执行，从而导致当前加密软件无法再保护相应系统的风险。”

鉴于各国和各个实验室都在研究破译密码的量子计算机，NSA表示，其自2016年以来一直在进行后量子标准化工作，目前正在攻克“抗量子公钥”算法，以期供美国政府的私营供应商使用。不过，该机构称当下尚不存在商用的此类算法，“除了固件用的有状态散列签名”。

听到NSA认为AES-256和SHA-384“可以抵御大型量子计算机的攻击”，聪明的人笑了。

Sectigo公司推广“量子安全密码”，其首席技术官Jason Soroko表示，NSA报告并非当前加密算法不用创新的确凿证据。

他说，“量子计算机本身不会破解公钥密码”，要执行某种秀尔算法（Shor）实现才行。1994年，麻省理工学院一位数学教授率先描述了这种算法，该算法可以计算大数的质因数；而大数分解正是破解当前加密算法产品的关键一步。

Soroko表示：“考虑到‘通用’量子计算机最终会拥有足够的稳定量子来实现秀尔算法，抗量子加密算法的研究工作一直在推进。我认为，我们有必要假设数学和工程方面的创新可能会让我们大吃一惊。”

虽然密码学领域的进展对信息安全界而言不仅仅是学术兴趣而已，但业界一直有种安全和数据泄露主要是人为因素引发的观点。勒索软件是目前企业面对的最大威胁，通常就是因为某个人忘了打补丁或停用企业网络上某台机器，或者因为某人打开了恶意电子邮件中的附件，而导致在企业内大肆传播的。

还有个关于“胶管”密码分析的老笑话，讲的是抓住系统管理员逼问出密码。

Talos信息安全部门技术负责人Martin Lee总结道：“身处用户会泄露密码换取巧克力，或者被诱人的网络钓鱼邮件钓出密码的世界，量子计算机的风险可能不是我们最大的威胁。”

美国国家安全局《量子计算与后量子密码常见问题与解答》：

https://media.defense.gov/2021/Aug/04/2002821837/-1/-1/1/Quantum_FAQs_20210804.PDF

声明：本文来自数世咨询，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。