量子計算將破壞現有系統的安全基礎

互聯網和其他通信系統的功能依賴于安全和有效的加密算法。這些算法允許互聯網實體之間進行保密通信和身份驗證。如高級加密標準（AES）之類的對稱加密算法通過使用通信方之間的共享密鑰來提供保密。公鑰加密提供用于導出共享密鑰的密鑰協商算法（例如，Diffie-Hellman），以及用于驗證每個實體的身份的數字簽名算法（例如，RSA算法）。

RSA和Diffie-Hellman的安全性基于計算意義上的困難問題，例如大整數因子分解問題和離散對數問題。使用傳統計算機和經典算法，這些困難問題難以解決。即使考慮到摩爾定律，人們仍然認為，除非在分解算法方面取得非常顯著的進步，否則RSA，Diffie-Hellman和其他此類算法都是長期安全的。

1994年發明的Shor算法改變了這一點。這是一種求解大整數因子分解的算法，其關鍵步驟只能在量子計算機上運行。如果可以構建足夠大規模的量子計算機來運行Shor算法，則可以非常有效地分解大整數，進而使得RSA和Diffie-Hellman之類的相關算法被徹底攻破。這對互聯網安全會造成巨大的影響。據估計，如果某些關鍵技術難題得以解決，則可以用一個具有二千萬量子比特（qubit）的量子計算機來徹底破解2048比特的RSA算法[1]。不過目前實驗性質的量子計算機僅包含大約50個量子比特。

由于量子計算機研發過程的不確定性，目前尚不能確認實用的量子計算機什么時候能夠成為現實。衡量發展進程的一個里程碑是量子霸權的概念：在這個預想的時間節點，量子計算機首次能夠在實踐中解決傳統計算機無法解決的任務。在數十億美元研究資金的支持下，工業界現在預測量子霸權可以在未來幾年內實現[2]。雖然這并不意味著我們的公鑰算法即將面臨被破壞的危險，但這意味著行業需要開始準備過渡到量子安全算法（后量子密碼），從而避免受到Shor算法和其他量子算法的影響。

我們注意到，即使面對量子計算機的強大能力，對稱密鑰算法仍然是安全的。據估計，量子計算可以將對稱密鑰的有效長度減半，這意味著像AES-256這樣的算法將保持足夠的安全性，短期內無需替換。

引入后量子密碼以增強安全性

華為計劃盡早將量子安全算法引入其產品中，以確保其產品的長期安全性。最重要的一點是為密鑰協議引入安全的后量子算法，這是因為存在前向攻擊的可能：攻擊者可以把當前密鑰協商過程的消息存儲下來，等到量子計算機成為現實時，再對歷史數據進行恢復。這意味著如果繼續使用傳統的密鑰協商算法，在實現量子計算機之前進行的會話可能不滿足前向安全性。

華為正在關注后量子算法的各種標準化活動。當前，一個著名的標準化工作正在進行中：在全球學術界的幫助下，分析大量的候選算法以制定一套標準。預計此標準化工作將于2024年完成。

我們計劃在次標準化工作結束之前將一些候選算法試驗性地引入我們的產品中，以應對對密鑰協商過程的囤積攻擊。考慮到候選算法的屬性，可以將其分為六類。每個類別對算法的安全性的實現特性和成熟度都存在一定的差異。這六個類別是：

• 基于哈希的算法。此類算法只能用于簽名。其中一個限制是每個私鑰僅可用于生成有限數量的簽名，需要繼續研究如何優化和使用。基于哈希的算法的優點是，其安全性比較容易理解和分析。
• 基于多變量的算法。這類算法只能用于簽名。雖然這類算法可以產生尺寸非常小的簽名，但許多多變量算法的安全性還不是很清楚，有待進一步深入研究。
• 基于格的算法，例如NTRU簽名方案。基于格的算法可用于簽名和密鑰交換算法。普通格的特征并不是最優的，雖然引入代數結構可以減小密鑰大小，但可能影響安全性。
• 基于超奇異同源的算法，提供了基于特殊橢圓曲線代數結構上的后量子密鑰交換算法。這是一類算法的特點是速度較慢但密鑰較短。
• 基于編碼的算法，如McEliece加密算法，在安全性方面比較保守。通過精心選擇的參數，該算法的安全性自1978年發明以來并未受到威脅。它的特點是公鑰尺寸較大，但適用于長期密鑰很少改變的密鑰交換場景。其他類型的基于編碼的算法，例如基于低密度奇偶校驗碼的算法，可以在提供高安全性的同時顯著減小公鑰的大小。
• 其它類型的算法，如Rainbow簽名算法，基于零知識證明和輕量級分組密碼算法。

后量子遷移

在如何處理密鑰交換消息的前向安全問題方面有幾種選擇。首先，可以從當前的標準化活動中選取一種當前呼聲較高的候選密鑰協商算法，立即取代Diffie-Hellman，但這會帶來安全風險：隨著學術界的進一步研究，該算法有可能會在未來幾年受到攻擊。其次，可以選擇推遲幾年，直到標準化活動結束再引入后量子算法。在這種情況下，密鑰交換消息的前向安全問題仍然存在。

第三種選擇是實現混合方案，該方案同時基于Diffie-Hellman和某個候選的后量子密鑰協商算法得到兩個不同會話密鑰，然后將兩者混合推導出最終的會話密鑰。這樣可以顯著降低潛在的風險。因為如果最終量子計算機成為現實：首先，它不可能直接攻破后量子部分的密鑰；另一方面，如果在過渡期間發現后量子算法的安全問題，則Diffie-Hellman算法可以提供一層額外的保護。

理想情況下，后量子安全的混合密鑰交換算法應直接實現到目前廣泛使用的協議中，如TLS或IPsec。然而，與傳統算法相比，后量子算法在實現難度和參數特性（例如，密鑰尺寸很大或帶寬消耗較高）方面比較復雜。實際的實現方案需要仔細研究協議和優化算法，降低使用混合密鑰交換方案對各方面性能指標的影響。