今年8月的時候，美國國家安全局（NSA）在其網頁上更新了一段不起眼的內容
，他們計劃對現在政府和軍方加密數據的方式更新，以期能夠阻擋來自量子計算機的攻擊。NSAdefayanrenbiaoshi，liangzijisuanjinenggoudailaigengxingengqiangdejisuannengli，xianranxianyoudeanquancuoshihejiamifangshiwufachengshoulaizizhezhongshebeidegongji。ruguoyaoyanmibaohuguojiaxitongdeanquandehua
，nametamenxuyaozaizheyifangxiangqudexianzhufazhan。

量子計算機對於過去的人而言聽起來就像是遙遠的神話，但現在人們普遍認為在5到30年內它就將成為現實。通過不斷探索量子物理的法則，不管是NSA的絕密檔案、銀行記錄還是郵箱密碼，這種機器能夠解密現在世界上絕大多數“機密”的數據。在意識到這可能的威脅後
，密碼學家們正在量子計算機大範圍使用以前
，抓緊開發能夠防止量子破譯的方案。

現在看來，最可行的方案是基於格的數學方案（mathematicsoflattices）。這種方案有效性在於，要在一個擁有幾百空間維度的格中找出隱藏的信息非常難，除非你知道那條秘徑。

但是去年十月
，英國政府通訊總部（GCHQ）demimazhuanjiafabiaolunwenzhichu
，jibianshizuiyouxiaodegefanganyemianlinzheanquanwenti。zhexiefaxianyiweizhe，zaiyixiaolvweimubiaofazhanlejishinianhou，zhezhonggaoxiaobaoluchuleanquanfengxian。zhuanjiamentongguojianhuatamenfanganzhongdege，daozhizhexiefangangengrongyishoudaogongji。

基ji於yu上shang麵mian所suo述shu的de問wen題ti，一yi些xie密mi碼ma專zhuan家jia從cong去qu年nian開kai始shi都dou在zai做zuo實shi驗yan，看kan哪na些xie基ji於yu格ge的de方fang案an會hui被bei量liang子zi計ji算suan機ji打da破po
，而er哪na些xie至zhi少shao對dui於yu現xian在zai而er言yan又you是shi安an全quan的de。對dui於yu編bian寫xie密mi碼ma和he破po解jie密mi碼ma的de專zhuan家jia而er言yan，這zhe就jiu是shi一yi場chang貓mao鼠shu遊you戲xi。當dang解jie碼ma員yuan沉chen默mo的de時shi候hou，編bian碼ma員yuan為wei了le效xiao率lv會hui放fang鬆song方fang案an的de安an全quan性xing，有you時shi候hou，其qi結jie果guo就jiu是shi導dao致zhi安an全quan越yue過guo了le那na條tiao紅hong線xian。

公開的秘密

在談論這一話題前，我們需要先對現在的加密方式有一個了解。事實上，當你每次訪問以“HTTPS”開kai頭tou的de鏈lian接jie時shi，你ni都dou會hui發fa送song和he接jie收shou加jia密mi的de信xin息xi
，而er這zhe一yi安an全quan的de網wang絡luo交jiao易yi方fang式shi使shi用yong了le基ji於yu加jia密mi技ji術shu的de公gong共gong密mi鑰yao。這zhe一yi創chuang造zao性xing的de發fa明ming始shi於yu上shang個ge世shi紀ji70年nian代dai
，而er在zai此ci前qian，密mi碼ma技ji術shu基ji本ben就jiu是shi政zheng府fu和he間jian諜die之zhi間jian的de比bi賽sai。通tong常chang而er言yan
，參can與yu信xin息xi傳chuan遞di的de人ren
，例li如ru一yi個ge人ren和he他ta的de對dui接jie人ren之zhi間jian如ru果guo想xiang要yao偷tou偷tou交jiao流liu的de話hua，要yao事shi先xian約yue定ding一yi個ge暗an號hao或huo者zhe“鑰匙”。ergonggongmiyaodejishuzekeyirangrenherengeiqitarenfasongyizujiamixinxi，buguanshifouyourenzaitouting，zhiyouzhidingdejieshourenkeyijiemi
，jishicanyuderenyikaishibingmeiyouchuantonghao。

在zai公gong鑰yao加jia密mi技ji術shu中zhong，人ren們men通tong過guo一yi些xie數shu學xue技ji巧qiao來lai保bao證zheng數shu據ju的de安an全quan性xing，一yi些xie數shu學xue問wen題ti解jie答da起qi來lai容rong易yi，但dan是shi要yao用yong逆ni向xiang工gong程cheng解jie碼ma則ze很hen難nan。例li如ru，要yao計ji算suan機ji計ji算suan兩liang個ge質zhi數shu的de乘cheng積ji很hen容rong易yi，但dan是shi如ru果guo給gei計ji算suan機ji一yi個ge數shu
，要yao它ta解jie出chu組zu成cheng這zhe個ge數shu的de質zhi因yin子zi，則ze可ke能neng要yao花hua費fei很hen多duo時shi間jian。在zai基ji於yu質zhi數shu分fen解jie的de方fang案an中zhong，這zhe個ge質zhi數shu就jiu是shi某mou人ren並bing不bu與yu他ta人ren共gong享xiang的de“私鑰”。而質數的乘積則是“公鑰”，公開分發。當某人用公鑰來加密信息時，隻有這個擁有私鑰的人才能夠解密信息。

有兩個公鑰加密方案自上世紀70年代以來廣為應用：一個是基於質因子的RSA方案

，另一個是基於離散算法的Diffie-Hellmanfangan。suiranzheliangzhongfanganbingbushishuoyidingjiuwufapojie，danshimeirennenggouzhaodaogaoxiaojisuanchujieguodefangfa。ruguoyaoyongjisuanjijiangtedingchangdudegongyaojinxingjisuanchulai，kenengyaohuafeishuniandeshijian。yinci
，zheliangzhongfanganchenglebaohuhulianwangxinxidelidun。buguotamendailaidezhefenanquan


，sihuyikuailaidaolezhongjiezhishi。

Shor的算法

計算機難以短時計算出結果這一神話在1994年被打破，當時AT&T的研究人員PeterShor提出了一種理論，他認為未來的量子計算機會具有破解算法的能力。

在普通計算機中，信息以比特的形式存儲。比特存在兩種狀態中的一種，即0或者1，而計算機的計算能力與比特數量相稱。但是在量子計算機中

，數據是用量子位方式存儲的
，數據存儲格式既可以是0也可以是1。由you於yu大da量liang的de量liang子zi位wei，使shi得de其qi中zhong可ke以yi存cun在zai大da量liang可ke能neng的de組zu合he形xing式shi和he可ke能neng的de個ge體ti狀zhuang態tai。因yin此ci隨sui著zhe量liang子zi位wei數shu量liang的de上shang升sheng，量liang子zi計ji算suan機ji的de計ji算suan能neng力li會hui以yi指zhi數shu級ji的de方fang式shi增zeng長chang。

基ji於yu此ci
，量liang子zi計ji算suan機ji比bi普pu通tong計ji算suan機ji會hui具ju有you更geng強qiang的de運yun算suan能neng力li。然ran而er要yao開kai發fa出chu其qi潛qian力li，還hai必bi須xu同tong時shi找zhao到dao一yi個ge合he適shi的de算suan法fa
，能neng夠gou充chong分fen利li用yong這zhe種zhong同tong時shi存cun在zai的de狀zhuang態tai，即ji得de到dao正zheng確que的de解jie答da。80年代量子計算機被提出來以後，超過10多年間都沒有什麼有用的算法出現，這個領域似乎前途暗淡。

變化發生於1994年，Shor提出了一個量子計算機算法
，能夠高效破解了質因子和離散算法
，也就是說打破了RSA加密方法和Diffie-Hellman密鑰交換理論。於是一瞬間，人們對量子計算機的興趣一下子燃燒了起來。隨著Shor的(de)算(suan)法(fa)揭(jie)示(shi)出(chu)了(le)量(liang)子(zi)計(ji)算(suan)機(ji)高(gao)級(ji)的(de)運(yun)算(suan)能(neng)力(li)後(hou)，世(shi)界(jie)範(fan)圍(wei)內(nei)的(de)研(yan)究(jiu)人(ren)員(yuan)爭(zheng)相(xiang)進(jin)行(xing)研(yan)究(jiu)，試(shi)圖(tu)找(zhao)出(chu)破(po)譯(yi)的(de)方(fang)式(shi)。而(er)與(yu)之(zhi)相(xiang)對(dui)應(ying)的(de)是(shi)，密(mi)碼(ma)編(bian)譯(yi)專(zhuan)家(jia)們(men)也(ye)在(zai)競(jing)相(xiang)賽(sai)跑(pao)，提(ti)出(chu)量(liang)子(zi)計(ji)算(suan)機(ji)無(wu)法(fa)攻(gong)破(po)的(de)方(fang)案(an)。最(zui)後(hou)他(ta)們(men)發(fa)現(xian)
，格(ge)似(si)乎(hu)是(shi)一(yi)個(ge)不(bu)錯(cuo)的(de)選(xuan)擇(ze)。

迷失在格裏

其實同RSA加密方案類似
，理論上來說
，計算質數的乘積很容易
，但是求解質因子很難

，基於格的安全加密方案也取決於，讓計算機迷失在一個500維的格中有多難。不同的是，在格方案中
，私鑰與格點相關，而公鑰則與空間中的特定位置有聯係。

除了一開始的驚豔，這種加密方案卻發展遲緩。80niandaideshihou，zhezhongfangandegongyaodoutaichang
，jiaohuanshujuxuyaohailiangdezijiekongjian。weiletigaoxiaolv，mimaxuejiabudebujianhuaqianzaidege。zaiyigeputongdegezhong，gedianshiyoujisuanyizuxiangliangdexianxingzuhedechu。geizhexiexiangliangfenpeiyigemoshi
，shidesuanchulaidejieguojiandanhua，zexiangguandemiyaoyegengduan。danzhedailaidewentishi
，jianhuafanganshiderenmenkeyiconggongyaozhongtuilunchusiyao，congerpohuaizhegefangan。yiner，geduiyumimaxuelaishuo，youchenglezainandedaimingci。

隨著時間的前進，一些密碼學專家仍然在不斷完善格。1995年的時候，一些專家提出了一種基於“環狀”的格
，可以產生在任意方向旋轉的向量。這個名為NTRU的方案極其高效

，甚至比老的RSA和Diffie-Hellman方案更高效。盡管沒有證據表明這種方案就是一定安全的
，但20年過去了還沒有人能破解它，證明某種程度上還是具有安全性的。

格的前景自1997年以後變得明朗起來，IBM的研究人員提出第一種較好的加密方案，這種加密方案名為LearningWithErrors（LWE），yijibansuiwuchaxuexi，youyuyaozhaodaozuijindetongyonggeyaohenchangshijian
，yinerkeyidikanglaiziliangzijisuanjidegongji。jiyulixianggexia，tamenkaifachuleyigegengxingzhiyouxiaodefangan。

什麼是LWE方案

在2005年，OdedRegev基於LWE問題提出了一種加密方案，他證實這個方案解決起來很難
，因而比較安全。這個方案的基本思路是這樣的：

首(shou)先(xian)選(xuan)擇(ze)任(ren)何(he)一(yi)個(ge)奇(qi)數(shu)
，並(bing)且(qie)不(bu)要(yao)告(gao)訴(su)任(ren)何(he)一(yi)個(ge)其(qi)他(ta)人(ren)
，這(zhe)就(jiu)是(shi)你(ni)的(de)私(si)鑰(yao)。然(ran)後(hou)把(ba)它(ta)乘(cheng)上(shang)任(ren)何(he)一(yi)個(ge)數(shu)，再(zai)加(jia)上(shang)一(yi)個(ge)小(xiao)的(de)偶(ou)數(shu)。重(zhong)複(fu)多(duo)次(ci)，得(de)到(dao)一(yi)係(xi)列(lie)的(de)數(shu)，這(zhe)些(xie)數(shu)就(jiu)是(shi)你(ni)的(de)私(si)鑰(yao)，然(ran)後(hou)再(zai)把(ba)它(ta)們(men)告(gao)訴(su)別(bie)人(ren)。

現在，如果有誰想給你發信息，如0或1，首先這個人隨機地在你的公鑰裏選擇一半的數，把它們加起來。然後如果要發送0，他們就把數據加起來然後發給你。如果要發送1的話

，就把數據加1並發給你。之後你想要解碼這段數據的話，隻要用你的私鑰求出這個和數的商。如果餘數是偶數的話，這個信息就是0。如果是奇數

，則為1。

再一次，人們似乎又要在安全和效率間進行權衡。魚和熊掌不可兼得，LWE方案雖然更加通用並且安全性更高，但它的效率較低。研究人員在這個方向上，還在不斷探索
，之後提出了一些其他方案。

貓鼠遊戲

不僅科研人員在開發基於格的加密方案，GCHQ的人員也在做同樣的事。他們使用數論開發除了名為Soliloquy的(de)方(fang)案(an)，把(ba)公(gong)鑰(yao)的(de)大(da)小(xiao)從(cong)一(yi)個(ge)包(bao)含(han)大(da)量(liang)數(shu)據(ju)的(de)矩(ju)陣(zhen)降(jiang)為(wei)僅(jin)僅(jin)是(shi)一(yi)個(ge)質(zhi)數(shu)。把(ba)它(ta)量(liang)化(hua)到(dao)格(ge)裏(li)而(er)言(yan)
，則(ze)是(shi)產(chan)生(sheng)一(yi)個(ge)非(fei)常(chang)短(duan)的(de)矩(ju)陣(zhen)。然(ran)而(er)
，這(zhe)種(zhong)方(fang)案(an)的(de)便(bian)利(li)也(ye)正(zheng)是(shi)其(qi)致(zhi)命(ming)之(zhi)處(chu)。

在他們發布的論文中可以看出
，他們雖然發明出了這種方案，但是在2013年(nian)後(hou)又(you)棄(qi)用(yong)了(le)，原(yuan)因(yin)是(shi)他(ta)們(men)發(fa)現(xian)量(liang)子(zi)攻(gong)擊(ji)可(ke)以(yi)把(ba)這(zhe)個(ge)加(jia)密(mi)方(fang)案(an)攻(gong)破(po)。雖(sui)然(ran)這(zhe)篇(pian)論(lun)文(wen)隻(zhi)是(shi)對(dui)攻(gong)擊(ji)草(cao)草(cao)描(miao)繪(hui)了(le)一(yi)下(xia)
，但(dan)是(shi)給(gei)人(ren)們(men)留(liu)下(xia)了(le)無(wu)限(xian)的(de)疑(yi)問(wen)：其他的格方案是不是也會受到影響？似乎在追求效率的同時
，安全的紅線隨時也被越過。問題是，這條安全的警戒線到底該放在哪裏？

GCHQ的團隊並沒有找出多少細節，而僅僅是覺得有很強的證據證明，這種攻擊會被開發出來，因而就推論Soliloquy不適用於現實。於是密碼學家們花了差不多一年來了解Soliloquy攻擊的範圍
，此後研究人員發現
，這種攻擊竟然隻需要一台普通的電腦就可以實現。

除了Soliloquy以外
，他們的發現還表明，其他基於理想格的方案
，構造單獨短向量的方法也可以被攻破
，而基於一般格的方案

，如Ring-LWE和NTRU則不受影響。用研究人員的話來說
，似乎想要把這些技術轉化成有效的方案還有一些技術上的難題
，需要更深的研究。

就安全和效率的對稱性而言，密碼學家過於傾向效率這一邊。在他們給政府和銀行等機構尋找最好的抵禦量子攻擊的時候
，Soliloquy這(zhe)樣(yang)的(de)攻(gong)擊(ji)迫(po)使(shi)他(ta)們(men)重(zhong)新(xin)審(shen)視(shi)過(guo)去(qu)，回(hui)到(dao)那(na)些(xie)可(ke)能(neng)沒(mei)有(you)那(na)麼(me)有(you)效(xiao)率(lv)，但(dan)是(shi)更(geng)加(jia)穩(wen)固(gu)的(de)方(fang)案(an)。對(dui)於(yu)一(yi)個(ge)方(fang)案(an)而(er)言(yan)
，在(zai)效(xiao)率(lv)和(he)安(an)全(quan)性(xing)這(zhe)兩(liang)條(tiao)相(xiang)反(fan)的(de)道(dao)路(lu)上(shang)，還(hai)是(shi)需(xu)要(yao)研(yan)究(jiu)人(ren)員(yuan)仔(zai)細(xi)權(quan)衡(heng)。

相關閱讀：

安全性設計如何選擇可靠的隨機數加密方案
？
詳細解析嵌入式加密工作原理
工業計算機的主板該如何選型？有哪些竅門
？