雷锋网按,本月,谷歌宣布他们实现了量子霸权(量子计算机的性能超越所有传统计算机),在其自研的量子计算机上用时3分20秒完成的任务需要最强超算运算1万年,但随后谷歌提交给NASA的论文后被删除。一时间,关于量子计算的讨论又热烈了许多。
其实,量子计算领域还有许多技术挑战,比如量子比特的获得以及量子纠错。上周的2019云栖大会上,阿里达摩院就有一个宣布,就是其量子实验室宣布完成了第一个可控的量子比特研发工作。
那么,性能强大的量子计算什么时候能够破解密码?
结论是:量子计算对诸如RSA和ECC这样的不对称密码算法构成了生存威胁,这些算法实际上是当前所有互联网安全的基础。这个结论来自美国国家科学院量子计算可行性和含义的技术评估委员会。那么,我们还需多少时间才能生活在后量子世界?
简短的答案是,没人知道。这不是因为缺乏尝试。美国国家标准协会(ANSI)成立了一个专门的工作组,目的是设法给出一个答案。业界的相对认可的猜测是大约十年,也有可能更多或更少。如果你试图找出替换从电子邮件到世界银行系统所使用的加密方案,这可能不是你想听到的。
为什么我们无法给出更具体的时间表?因为影响量子计算机发展的因素非常复杂且难以衡量。
数字不能说明全部
我们知道,使用Shor算法的量子计算机将需要数千个量子位(量子比特,表示1或0的基本量子计算单元)才能破解RSA或ECC。但这并不一定意味着第一批实现该数字的量子计算机就能够破解加密算法。需要明确,并非所有的量子位都相同。它们不可避免地与环境互动,并改变状态(发生错误),并且某些量子位的执行速度比其他技术更快。
能够支持数千个量子位的第一代量子计算机不太可能稳定到足以与解密相关。那么,量子比特质量最快会在多长时间内得到改善?很难说。尽管研究人员很快就能发布每个新系统所能支持的量子位数量,但他们很少公布错误率,因此很难跟踪该领域的进展。
纠错的重要性
同样,研究人员正在研究纠错策略,以帮助解决量子比特的不稳定性。这里指的是,多个物理量子位将被组合为单个“逻辑”量子位,这与传统的纠错非常相似。但是,量子纠错码对量子位的消耗要大得多。这也是研究人员仍然没有获得一个逻辑量子位的原因。即使假设我们确实清除了障碍(并且正在取得重大进展),纠错所需的量子位数量仍将取决于基础量子位的质量。
仍然存在的技术挑战
量子计算中的另一个悬而未决的问题是,我们仍然不知道构造量子位的最佳方法。研究人员正在探索多种方法,但可能还没有建立具有密码学上相关数量的稳定量子位的系统技术。最终采用哪种技术将对量子计算机的扩展速度产生重大影响。
如果该技术遵循与常规计算相同的通用路径,那么从最初的稳定量子位到全面的密码相关系统的时间可能会很短。但是,稳定的量子位所需要的扩展性技术可能缺乏,或者可能与我们所见过的其它任何事物都不一样。目前,我们无法估算未来的量子比特的质量,也无法预测改进的速度。毕竟,具有非平凡数量的量子位的量子计算机是最近的发展,因此只有很少的数据点可以从中推算出来。
摩尔定律不适用
诱人的是,想像一下摩尔定律类似的量子位,它可以帮助我们预测何时出现与密码学相关的量子计算机。不幸的是,我们不太可能找到任何一个。如前所述,加密相关性的进步取决于量子位的数量和质量,因此一维图无济于事。更重要的是,正如美国国家科学院指出的那样,摩尔定律带来的的经济效果与技术效果一样多。
常规的计算机芯片遵循一个良性循环,更高性能的芯片会带来新的应用,也会带来更多收入,从而会带来对更快芯片的更多投资。量子计算机也一样吗?也许可以,但是我们不能这样假设。量子计算机是否将对特定几种类型的算法之外的任何事物都有用,仍然是该领域的一个未解决的问题。
是时候开始了
与密码学相关的量子计算机是从现在起五年,十年或十五年后出现,这一点几乎是无关紧要的。最重要的是,我们现在需要开始准备。从过去的加密技术演变(例如从RSA 1024转换为RSA 2048,或从SHA-1转换为SHA-256)来看,这些转换可能需要数年甚至数十年。
如果你要开发任何依赖于密码学的系统,则应该立即采取具体行动,为后量子时代做准备。双键大小,拥抱基于哈希的签名。构建采用多种加密算法的系统,并确保你的基础架构使用自动化,灵活的PKI解决方案。