什么是量子计算?

现代计算机是在名为位的单位上以二进制的方式工作的。位要么是1，要么是0。量子计算则不同，实际上它需要获取一个物理学位才能真正进行理解，但是它是从单位开始的，这些单位被称为量子位或量子位比特。量子位可以是叠加的，这意味着它可以同时是0和1。量子计算的工作方式是基于量子物理的，但就像盒子里有一个硬币，而我们并不知道这个硬币所呈现的值，因此这令人非常不满意，所以丢弃叠加这个概念。

为什么量子计算对我们目前的密码系统是一种威胁

“普通计算机一次只能尝试一种组合，因为它们使用的是位。另一方面，量子计算机则是在量子位上工作的。因此，运行在单个量子位上的量子计算机可以尝试一次性使用两个值来破解它。类似地，有两个量子位的量子计算机可以处于4个位置。我们可以说一个n量子位的量子计算机可以同时尝试2n个组合。拥有72个量子位的Bristlecone可以尝试272(4722366482869645213696)个值。

因此，尽管2048位的RSA密钥目前已经足够了，因为从理论上讲，一台现代计算机在每次只能猜测一个组合的情况下，要花6.4万亿年的时间才能破解它。但是前面提到的目前世界上速度最快的量子计算机Bristlecone，拥有72个量子位，可以在短时间内破解一个长度达2048位的RSA密钥。

这显然突出了一个主要问题，尤其是对于RSA，但对其他密码系统来说也是一个问题。而且RSA不太擅长解决这一问题。基于服务器类型的不同，从1024位的密钥转换到2048位会导致CUP的使用率增加4-7倍。如果将密钥的长度增加到3072位或4096位，则会给处理PKI功能的服务器带来更大的负担，而且这些密钥的安全方面的改进尚不完善。随着密钥的长度越来越大，所需的资源会越来越多，因而获得的收益也会越来越少。

这一性能问题在一定程度上解释了，为什么你已经看到加密系统正朝着基于椭圆曲线的趋势发展，尽管即使这些系统是不抗量子的。另外，值得注意的是，对称密码系统和哈希函数不像公钥密码系统那样具有风险。

什么是后量子或抗量子加密？

当下，公钥密码系统基于的是以下三种数学问题中的一种：

• 质因数分解

• 离散对数

• 椭圆曲线

我们已经尽可能多地讨论了质因数分解。我们有一个关于ECC的很好的指南。而且可能不值得在对数上深入研究，因为它只会让我们分心。所有这些都很容易受到量子计算的影响，而量子计算很有可能在8-10年内就能实现。

再一次地，这不太可能会影响哈希函数和对称密码系统，因为有分析称，在对称密码系统中，只是简单地增加密钥的长度就可以使像AES这样的系统具有足够的抗量子能力。

但是公钥密码系统需要彻底的变革，变革应当在以下几个领域中进行：

• 基于点阵的加密

• 多变量的加密

• 基于哈希的加密

• 基于密码的加密

• 超奇异椭圆曲线加密