NSA：不知道量子計算機“何時甚至是否”能突破當前的公鑰加密體制

美國國家安全局（NSA）發布量子密碼常見問題與解答（FAQ），稱其說不準能夠“利用”公鑰密碼體制的量子計算機“什么時候或是否能夠”出現。

題為《量子計算與后量子密碼常見問題與解答》的文檔中，NSA稱其“現在必須為未來幾十年要用的系統提出需求”。考慮到這一點，該機構就不遠的將來量子計算及其對加密的影響做出了一些預測。

NSA是在擔心“密碼相關量子計算機”（CRQC）帶來的威脅嗎？顯然也不是那么擔心。

報告稱：“NSA不清楚擁有足夠規模和能力以利用公鑰密碼體制的量子計算機會在何時出現，甚至是否會出現都尚未可知。”這聽起來似乎相當肯定——然而2014年該機構豪擲8000萬美元尋求能夠在“Owning the Net”程序中破解當前加密的量子計算機，所以，這份文檔中聲明的坦率性或許值得商榷。

這個超級監督機構似乎在說，能夠打破當前公鑰算法的CRQC將永遠不會出現，雖然如果未來真造出了CRQC，那要是能找到可以打敗CRQC的新技術也不錯。

盡管原因未明，但NSA幾乎就是在瘋狂暗示了。如果NSA已經有了CRQC，或者即將擁有CRQC，那它可能會警告盟友、供應商和公民，讓他們考慮使用抗量子技術防備別人也開發出CRQC。但這幫間諜為什么要藏頭露尾呢？所以，真的非常奇怪。

安全廠商Forcepoint全球政府副總裁Eric Trexler告訴媒體稱：“過去數年來，量子計算機一直在穩步發展，盡管可能永遠不會替代我們的標準經典計算，卻在處理特定問題上尤為有效。其中就包括公鑰非對稱密碼體制——當今所用兩種不同類型密碼體制之一。”

公鑰密碼是當今世界強加密的基礎，比如支撐HTTPS標準的TLS和SSL，可以保護瀏覽器數據不被第三方偷窺。

在NSA的概要中，CRQC（如果存在的話）“將可破壞非對稱密鑰交換和數字簽名廣為使用的公鑰算法”，現在還沒人擁有這樣的機器真是太令人欣慰了。正如El Reg在2019年詳述的那樣，后量子加密行業長期以來一直試圖將自己描繪成當今加密的直接威脅。

思科Talos信息安全部門技術負責人Martin Lee解釋稱：“目前廣泛使用的加密和散列算法仰賴需要花費大量時間的某些數學計算。如果出現量子計算機，我們就會面臨這些計算易于執行，從而導致當前加密軟件無法再保護相應系統的風險。”

鑒于各國和各個實驗室都在研究破譯密碼的量子計算機，NSA表示，其自2016年以來一直在進行后量子標準化工作，目前正在攻克“抗量子公鑰”算法，以期供美國政府的私營供應商使用。不過，該機構稱當下尚不存在商用的此類算法，“除了固件用的有狀態散列簽名”。

聽到NSA認為AES-256和SHA-384“可以抵御大型量子計算機的攻擊”，聰明的人笑了。

Sectigo公司推廣“量子安全密碼”，其首席技術官Jason Soroko表示，NSA報告并非當前加密算法不用創新的確鑿證據。

他說，“量子計算機本身不會破解公鑰密碼”，要執行某種秀爾算法（Shor）實現才行。1994年，麻省理工學院一位數學教授率先描述了這種算法，該算法可以計算大數的質因數；而大數分解正是破解當前加密算法產品的關鍵一步。

Soroko表示：“考慮到‘通用’量子計算機最終會擁有足夠的穩定量子來實現秀爾算法，抗量子加密算法的研究工作一直在推進。我認為，我們有必要假設數學和工程方面的創新可能會讓我們大吃一驚。”

雖然密碼學領域的進展對信息安全界而言不僅僅是學術興趣而已，但業界一直有種安全和數據泄露主要是人為因素引發的觀點。勒索軟件是目前企業面對的最大威脅，通常就是因為某個人忘了打補丁或停用企業網絡上某臺機器，或者因為某人打開了惡意電子郵件中的附件，而導致在企業內大肆傳播的。

還有個關于“膠管”密碼分析的老笑話，講的是抓住系統管理員逼問出密碼。

Talos信息安全部門技術負責人Martin Lee總結道：“身處用戶會泄露密碼換取巧克力，或者被誘人的網絡釣魚郵件釣出密碼的世界，量子計算機的風險可能不是我們最大的威脅。”

美國國家安全局《量子計算與后量子密碼常見問題與解答》：

https://media.defense.gov/2021/Aug/04/2002821837/-1/-1/1/Quantum_FAQs_20210804.PDF