徐令予:量子密码通信的工程建设应该缓行(下)
刚才一不小心没裁全 6park.com正文: 6park.com该篇论文的核心观点是:假设量子计算机已经建成,再假设量子计算机的量子位(Qbit)可以无限扩展,进一步假设该量子计算机的运行成本与现在通用电子计算机的成本可以相比,用这样一台超级想象出来的量子计算机来破解长度为 Terabyte(太字节,等于1024GB)的RSA非对称密钥需要量子计算机的Qbit为2^100(2的100次方)。
2^100是一个什么概念?这个数大于我们星球上所有生物细胞的总数!而今天为了建成两位数Qbit的量子计算机,专家们已经弄得焦头烂额,多年来一筹莫展。当然使用长度为Terabyte的RSA公钥确实也有点离谱,但论文作者在今日的电子计算机上产生了这样的公钥,并用它来加密和解密,费时一共为五天。按目前的技术水平,长度为Terabyte的RSA公钥虽然并不实用,至少还是可以实现的,但是还在纸上的量子计算机即使明天就建成,要破解这样的RSA公钥也无一线希望。
这篇论文并不是要为对抗量子计算机提供确切的方案,而是通过实验和数据分析指出了一个冷酷的事实:即使围绕量子计算机的技术难题和运营成本全都解决,只要现行的RSA公钥增加字长和改善算法,就能迫使量子计算机的恶意攻击因为难以承受的代价而失败告终,在后量子时代作为经典密码系统重要基石的RSA具有足够长的生命力。急于丢弃RSA等公钥密码系统而另辟蹊径可能真的是杞人忧天。
让我们进一步再作些成本分析。经典保密技术与量子保密技术的主要区别是:经典保密系统中通信的内容与密码的配送使用的是同一个通信网络,而量子保密系统必须要求两个通信网络,一个传送通信内容,另一个配送量子密码。因此量子保密技术必定会大幅增加通信的成本。
由电路交换和分组交换技术构建起的经典通信网络从本质上来说与量子保密通信网络是格格不入、难以融合的。很难设想在原有的通信网络线路上实现量子密钥分发。换言之,为了通信未来的安全,我们必须在原有的通信网络之外加建一套传递密钥的专用网络。而且这条网络要求通信双方从端到端全程使用光纤联接,当通信双方超过上百公里,还必须使用可信任中继站或卫星中继。暂不考虑工程的难度,对于普通用户特别是手机用户而言,仅成本一项无疑也是难以承受的负担。
到目前为止,在所有的经典加密技术中,通信的内容与加密的信息都在同一网络上传输,信息传输和保证信息传输的安全措施是一个统一完整的过程,密码系统在整个通信过程中所占的额外成本是有限的。因此从工程角度来看,对付量子计算机未来可能的攻击,采用改进的经典数学方法而不是全新的量子密码技术,已经成为密码界近期的共识。因为这些改进后的新的密码算法完全可以在目前所有的计算机和通信网络上运行,现行一切通信方式釆用这些新算法进行升级换代过程可以变得平稳、经济和切实有效。
再让我们看看密码学界最近的动态,请先看下图:密码学界已经明确把公钥密码系统分成两大类,左列中都是目前常用的公钥密码,它们是“量子可破”的,即理论上在量子计算机攻击下是不安全的(事实上也并非如此,见注解[2])。图中右列的几种公钥密码系统被列为“量子不可破”,它们从原理上被证明是不可能被量子计算机破解的,因而它们又被称为后量子时代的密码系统。
|