今日量子计算机安全信息佯谬

今日量子计算机安全信息佯谬

──专访宗传明：数学奠定“后量子密码”的基础

韩扬眉（中国科学报记者）

（摘编自2022年12年7日中国科学报）

2022年7月5日美国国家标准与技术研究院，公布了4项后量子密码标准，旨在抵御未来量子计算机的攻击，迎接量子计算时代信息通信安全的“保护神”。今日量子计算机安全信息佯谬是：基于量子科学原理建造的量子计算机，将大大地超越电子计算机。而现代通信，所利用的许多密码体系，在量子计算的攻击下，将不堪一击。能够抵抗这一攻击的现有或新一代密码算法，就是“后量子密码”。

此次公布的4项后量子密码标准中，其中3项基于一个古老的数学学科──格理论：假如量子计算机在不远的将来能投入实用，格理论将是量子计算时代信息通信安全的“保护神”。量子计算机安全信息佯谬，是在当下复杂国际环境下，我们该如何应对量子科技可能会带来的挑战？《中国科学报》专访格理论研究专家、天津大学教授宗传明，问：“格理论如何在信息通信安全中发挥作用？”

宗传明教授说：“我不懂物理，也不懂计算机，只懂很小的一个数学分支—格理论。碰巧格理论成了后量子密码的数学基础，我有责任向公众科普这一可能的危机，以唤起大家的共识和重视”。

欧美走到后量子密码标准，是在大批一流数学成果的基础之上，没有“弯道超车”，也不靠“黑科技”，而完全是一个水到渠成的过程。

我国现代科学技术起步晚，现代数学进入中国，才刚刚一个世纪多一点。在有了近几年，被“卡脖子”的经历后，大家一定已经有了共识：要摆脱被“卡脖子”，就必需成为科技强国。

要成为科技强国，就必需要有一流的基础科学。要有一流的基础科学，就必需有一流的数学。在量子计算机，已成为各国竞争潜在战场的今天，我们必需要有一批格理论的数学家，尽快迎头赶上，搞懂前面提到的欧美数学家，为后量子密码所奠定的基础，与我国的密码学家密切合作，共同打造我国的信息安全之盾。

宗传明教授说：密码是一种防范第三方，窃取信息的通信保护手段。随着电报、电话等现代信号传输技术的发明，用于军事和外交的密码变得越来越复杂。第二次世界大战密码成了某些重要战役胜负的决定因素，为了有效地破译敌方的密码，电子计算机应运而生。

但现在的电子计算机，是基于电子的物理学理论，历经电子管、晶体管、集成电路，发展到今天的大规模集成电路计算机。随着计算机技术的快速发展，密码学也得到了空前的发展。特别是进入互联网时代以来，密码学也从一项技术，发展成为一门跨数学与计算机科学的科学技术。基于量子科学原理建造的量子计算机，将大大地超越电子计算机，不论是计算速度还是智能性。由此，许多电子计算机无法解决的科学问题，对量子计算机来说将易如反掌。

两派敌对国家，今日的电子计算机怕两派敌对国家量子计算机，安全信息佯谬是现代通信，所利用的许多密码体系，在量子计算的攻击下，将不堪一击。所以两派敌对国家的“代工”们，在加速量子科学研究和量子计算机研制的同时，也在加速准备量子计算机时代安全的密码体系。这就是后量子密码。设想一下，假设有两派敌对国家，其中一个国家，秘密发展了量子计算机。而另一个还停留在应对普通电子计算机的密码体系；如果前一个国家，利用量子计算机，对后一个国家的密码体系，发动攻击，后一个国家的信息安全体系，将会瞬间崩溃。数学非常抽象、非常难，怎么会成为密码学的基础？

宗传明教授说：数学同时是最讲究逻辑、最精确的一门学问。密码无论是对加密，还是解密过程，都需要精确、需要好的规律性。

而为了避免被敌方，破译则需要加密规律，从计算上来看高度复杂。这样数学中的某些复杂问题，成为密码学的基础是必然的。随着电子计算机和互联网的高速发展，作为通讯安全保障的密码，也变得越来越复杂。1976年两位密码学家提出密钥交换协议，改变原来单一密钥的设计，进而提出加密密钥和解密密钥不同的密码思想。这一方案，为基础数学进入密码学开启了大门。1977年基于大整数分解的密码体系RSA诞生了。早在两千多年前，古希腊数学家欧几里得就已经证明：每一个自然数，都可以被唯一地分解为素数方幂的乘积。

但是具体分解一个大整数，在计算上非常复杂耗时。正是其复杂性，成就了RSA密码体系的安全性。在RSA成功之后，又有多种基于基础数学的密码体系相继被发现，比如基于椭圆曲线的密码体系、基于格理论的密码体系等。毫不夸张地说，数学已成为现代密码学的基础。那么，两派敌对国家的“代工”们研究的电子计算机时代的这些密码体系，都能抵抗两派敌对国家的“代工”们研究的量子计算机攻击吗？宗传明教授说：正因为 在量子计算时代，电子计算机基于大整数分解和离散对数问题的公钥密码体系，将被攻破。即随着量子科技的快速发展，以及多项广泛应用的密码体系，在量子计算环境下被攻破，所以各国及两派敌对国家的“代工”们，意识到量子计算机可能给信息安全带来的危机──今日量子计算机安全信息佯谬成立。

2016年美国国家标准与技术研究院，就发起向全世界征集抵抗量子计算机攻击的后量子密码标准。历经4轮遴选淘汰，就是开头说的2022年7月5日他们公布的4项后量子密码标准。其中的3项是基于格理论，一项基于编码理论。格理论溯源，早在1831年高斯就提出有格的概念。它是n维空间中，最有规律的离散结构。

在过去的近两个世纪中，历经高斯、厄尔密特、闵科夫斯基、西格尔等大数学家的系统研究，格理论已发展成为数论、代数与几何相交叉的一个重要数学分支。在这一领域中，2021年洛瓦兹的工作荣获“阿贝尔奖”，2022年7月维亚佐夫斯卡，由于8维堆球和24维堆球的工作荣获“菲尔兹奖”。特别是三维格理论，奠定了晶体学的基础。高维格理论，成就了美国四项后量子密码标准中的三项。

为什么格密码，能抵抗量子计算攻击？宗传明教授说：一个给定的格，必定有最短的向量。早在一百多年前，大数学家闵科夫斯基已经给出估计；给定一个格，空间中的任一点，一定有一个最近的格点。但是要找到一个好的算法，来确定格的最短向量(SVP)，或离给定点最近的格点(CVP)，却极其困难。而格密码，在量子计算环境下的安全性，都可以递归到这两个数学问题的计算复杂度。

早在上世纪80年代，数学家们深入系统地研究了上述两个格理论问题的计算复杂度。他们已经证明：在电子计算机环境下，求解这两个数学问题都是非常困难的。格密码最早是由，美国数学家1996年提出的。理论上，格密码因为能显然够抵抗电子计算机的攻击。

那么今日电子计算机怕量子计算机安全信息佯谬是，格密码是否也能够应用量子计算机？因为之先在量子算法刚刚被提出，就经历过在其他密码体系纷纷被量子算法攻破的情况下，世界各地的“代工”密码专家，为此更是使出洪荒之力，试图利用量子算法攻破格密码。

例如的事实，就在美国国家标准和技术研究院于2016年开始征集后量子密码标准以来的六年。而且，在过去的近10年当中，美密会，欧密会和亚密会等世界密码学的三大会议，每届都会设一个分会专门研讨格密码。但是“代工”密码专家至今没有找到有效的量子算法攻击格密码。即量子计算机的算法不可能引进格密码。

由此他们反倒形成一个共识猜想：不存在多项式时间的量子算法，能在多项式误差下，求解格的最短向量问题和最近格点问题。即格密码是能够抵抗量子计算机攻击，量子计算机安全信息佯谬不成立。

但《中国科学报》记者韩扬眉的疑问是：1994年还没有量子计算机的模型机，当时为什么能提出量子算法？“代工”密码专家们又如何检验一个密码体系是否可以抵抗量子计算机攻击的？

宗传明教授说：各国及两派敌对国家的“代工”们在科学技术的发展过程中，有时候是技术推动科学，而大多数情况是科学推动技术。早在1994年，确实没有公开运行的量子计算机模型机。当时是依照量子科学的原理，在理论环境下设计的量子算法。没有参与的“代工”，也是依照量子科学的原理，在理论环境下设计攻击算法，来检验一个密码体系是否可以抗量子计算机攻击的。

假如把计算机比作一个人，硬件若比作躯体，软件则可比作智力。在“代工”们致力于设计建造量子计算机的同时，其他“代工”们也在努力赋予它智能，并且提前防范其智能，对信息安全可能带来的破坏。即要提前制约、对付量子计算机的发展。在当下复杂国际环境下，量子计算时代信息通信安全的“保护神”，这是否是该如何应对量子科技可能会带来挑战的多极化或全球化逻辑？