广泛可用的量子计算机尚未出现，但更高强度加密算法已然就绪

NIST继续推进CRYSTALS-KYBER、CRYSTALS-Dilithium、FALCON与SPHINCS+四大算法

美国国家标准与技术研究院（NIST）推荐将四种加密算法设为标准，确保随着量子计算机的发展成熟、解密能力增强，数据仍能得到严格保护。

早在2015年，美国国安局就曾宣布计划，希望研究抗量子加密算法。毕竟在量子计算机面前，现有算法（如AES和RSA）明显不太够看，新的数据保护设计已经势在必行。

虽然没人能确定这样的转折点何时才会到来，但量子计算机的量子比特数量一直持续增长，纠错能力也愈发强大。

谷歌和瑞典的研究人员去年表示，假定一台量子计算机拥有2000万个量子比特，那么它应该可以在约8小时之内破解使用2048位整数的RSA加密系统。而法国研究人员指出，使用13436个量子比特配合多模内存，2048位RSA整数的逆向分解大概需要177天。

目前的量子计算机在量子比特规模上，距离能够真正破解当前主流加密算法还差着几个量级。IBM公司刚刚推出一款127量子比特的量子处理器。蓝色巨人表示，其目标是到2023年底推出1000量子比特芯片，而路线图中的百万级量子比特计算机则明显遥遥无期。德国于利希超级计算中心（JSC）与D-Wave Systems公司目前拥有一台5000量子比特计算机。

但请注意，量子比特绝非越大越好。JSC/D-Wave的设备依赖于量子退火处理器，更擅长解决优化问题。而IBM则基于量子门，更适合运行Shor算法实现加密破解。

无论如何，人们还是相信量子计算机终有一天能够成功突破现有加密算法的壁垒，以暴力破解数据内容。为此，白宫方面于今年5月发布一份国家安全备忘录，强调在积极发展量子计算的同时，降低其对加密能力造成的风险。

目前的主要担忧在于，当前加密算法保护的数据需要在特定时间段内维持安全，具体到政府机密、银行信息和健康数据，这一时间周期将长达75年。所以面对量子计算机却无动于衷，显然是一种坐以待毙式的消极安全态度。

自2017年以来，NIST一直在为此努力。他们最初从一组82种加密算法开始，逐步筛选可作为后量子密码学（PQC）标准化流程的选项。其中有69种算法成功晋级第一轮比拼，2019年有26种进入第二轮。到2020年，只有7种顺利进入第三轮，另有8种算法作为替补。

第三轮筛选现已结束，最终有四种候选算法成功进入标准化阶段。

NIST在一份声明中解释道，“NIST将推荐两种适合大多数用例的主要算法，分别为CRYSTALS-KYBER（密钥创建）与CRYSTALS-Dilithium（数字签名）。另外，签名算法FALCON与SPHINCS+也将进入标准化流程。”

两个月前，就在NIST筹备上述声明的同时，一位被认为曾干预原有加密算法的国安局官员在采访中坚称，这些新算法中“不存在后门”。话虽如此，但新算法可能仍会经历进一步改进。

密码学家兼公共利益技术专家Bruce Schneier指出，NIST的加密算法筛选过程相当“残酷”。由于被成功破解，其中25种候选算法在第一轮即遭淘汰。另外8种算法则没能顶住第二轮破解的洗礼。而就在几个月前，最新密码分析结果又给至少四位决赛圈选手泼了盆冷水。

Schneier写道，“作为目前最流行的算法之一，Rainbow被彻底破解。而且问题是它并非被量子计算机击溃，而是在现有商用笔记本电脑上只坚持了两天多就举手投降。另外三位决赛圈选手Kyber、Sabre和Dilithium也受到一定冲击——此次引入的新技术可能还会突破其他一些算法。”

好消息是，NIST并不打算止步于此。在接下来的第四轮筛选中，四大加密算法的规格将迎来调整，并通过对四种密钥创建机制候选者（BIKE、Classic McEliece、HQC与SIKE）的深入研究再淘汰掉两种。

Schneier表示整个流程正按计划有序进行，同时强调了加密弹性的必要性——一旦某些广泛使用的算法遭到破解，必须能够顺畅切换至新算法。

Schneier总结道，“量子计算技术的发展已经势不可挡。也许最终事实会证明，量子计算并不会破坏现有加密算法，但我们不可能坐视这种风险。面对种种不确定性，只有保持敏捷才是实现安全的唯一途径。”