後量子密碼學：未來數位安全的關鍵

摘要：

本篇文章介紹後量子密碼學，並包含了必要的基礎知識。密碼學、量子電腦演算法、後量子密碼學以及量子密碼學。請參閱左方的目錄

什麼是密碼學？

密碼學的歷史可以追溯到凱薩大帝時期。為了防止敵人了解我方的通訊內容，凱撒將欲傳送的內容向下移動三個字母，形成密文。因為我方已經約定好向下移動三個字母，所以拿到密文後，向上移動三個字母即可解回原來的內容。舉例來說：

明文字母表：A B C D E ......

密文字母表：D E F G H ......

明文：「HI MY NAME IS CESARE」加密後變成：「KL PB QDPH LV FHVDUH」

（你可以到以下網站玩凱薩密碼：http://www.atoolbox.net/Tool.php?Id=778）

加密者也可以選擇其他移動數，例如向下移動七個字母，或者向上移動四個字母等等，如此就可產生二十五種不同的加密方式。然而，這種方法在現代可以通過電腦的窮舉法或語言學的字母頻率分析來破解，因此我們需要更聰明的加密方法來建立安全的通訊系統，這正是密碼學研究的方向。

到目前為止，我們已經看到密碼學的兩個面向：

1. 建構密碼系統

2. 驗證密碼系統的安全性（這部分也可以稱為「破密學」）

現代的密碼系統

現代的密碼系統主要分為對稱式和非對稱式。

對稱式密碼系統

對稱式密碼系統使用相同的密鑰進行加密和解密，例如 AES 加密技術。其工作原理是發送方和接收方共享一個秘密密鑰，發送方使用此密鑰加密訊息，接收方則使用相同密鑰解密訊息。對稱式加密的優點在於速度快、效率高，特別適合大數據量的加密應用。然而，對稱式加密的主要缺點是密鑰分發困難。如果密鑰在傳輸過程中被攔截，整個加密系統的安全性將會崩潰。此外，隨著通信方數量的增加，密鑰管理變得更加困難，每對通信方需要一個唯一的密鑰，這在大規模系統中非常麻煩。

非對稱式密碼系統

非對稱式密碼系統使用一對密鑰：一個公開密鑰和一個私密密鑰。公開密鑰可以從私鑰推得，具有密鑰分發與電子簽章兩種功能。

密鑰分發：

在密鑰分發中，公開密鑰用於加密，私密密鑰用於解密。發送方使用接收方的公開密鑰加密訊息，接收方使用自己的私密密鑰解密訊息。這樣，任何人都可以使用公開密鑰加密訊息，但只有擁有相應私密密鑰的人才能解密，確保了通信的安全性和完整性。公開密鑰可以自由分發，而私密密鑰只需保護好自身即可。

電子簽章：

在電子簽章中，私密密鑰用於加密，公開密鑰用於解密。簽章人對文件進行電子簽章時，使用私密密鑰加密文件。驗證人檢驗簽章人的電子簽章時，使用對應的公開密鑰解密文件，確認簽章人確實簽署了該文件，且因為私密密鑰只有簽章人擁有，簽章人無法否認。

這兩種場景都依賴於非對稱性的特性：「私密密鑰可以推導出公開密鑰，但公開密鑰難以推導出私密密鑰。」例如在 RSA 加密系統中，私密密鑰是兩個大質數，公開密鑰是這兩個質數的乘積。私密密鑰可以推導出公開密鑰，而公開密鑰難以推導出私密密鑰。

量子電腦如何影響密碼學系統

在二十世紀，兩個重要的量子演算法被提出：Shor 演算法和 Grover 演算法。

對稱式密碼系統的挑戰

在對稱式密碼系統中，攻擊者需要找到加密用的密鑰，這是一個搜尋問題。Grover 演算法可以將搜尋速度提升到平方級別。例如，原本需要 4 秒的搜尋工作可以加速到 2 秒完成，原本需要 16 秒的搜尋工作可以加速到 4 秒完成（註：這裡的舉例不精確，實際是「數量級」的平方加速，詳見演算法複雜度理論）。

非對稱式密碼系統的挑戰

在非對稱式密碼系統中，攻擊者知道公鑰，並試圖找到對應的私鑰。以 RSA 加密系統為例，私鑰是兩個大質數，公鑰是這兩個質數的乘積。在傳統電腦上，分解大型質數需要指數級別的時間，非常耗時，因此私鑰難以破解。然而，量子電腦使用 Shor 演算法能在極短時間內分解大型質數，將指數級別的問題降到多項式級別的時間內完成。例如，原本需要 2^16 秒的工作可以加速到 16 秒完成，2^32 秒的工作可以加速到 32 秒完成（註：這裡的舉例不精確，實際是「數量級」的指數加速，詳見演算法複雜度理論）。

總的來說，對稱式密碼系統在量子電腦下只需將密鑰長度加倍，就能維持相同的安全性。然而，像 RSA （和橢圓曲線加密）等非對稱密碼系統在量子電腦面前顯得非常脆弱。

後量子密碼學：面向未來的安全方案

文章開頭提到：密碼學是建立安全通訊系統的學問。後量子密碼學的目標即是開發出能夠抵抗量子電腦攻擊的新型加密算法。這些算法需要在量子計算機面前保持足夠的安全性，同時在傳統計算機上保持高效運行。

設計後量子加密算法面臨多重挑戰。首先，這些算法必須能夠抵抗已知的量子攻擊，例如 Shor 演算法和 Grover 演算法。其次，這些算法需要在現有的計算基礎設施上運行良好，不會顯著增加計算和存儲需求。

目前，研究者們正在探索多種後量子加密算法，包括基於格理論（Lattice-based）、碼理論（code-based）和多變量多項式（multivariate-based）的算法。其中，基於格理論的算法被認為是最有前景的，因為它們具有良好的安全性和性能特性。（筆者未來也會以這些技術為題發表更多文章，敬請期待）

後量子密碼學的實際應用

雖然量子電腦尚未完全成熟，但一些國家和企業已經開始為後量子時代做準備。美國國家標準與技術研究院（NIST）正在進行一項全球範圍的後量子密碼標準化計劃，以確定和標準化最具潛力的後量子加密算法。

此外，一些大型科技公司，如 Google 和 IBM，也在積極參與後量子密碼學的研究和應用。他們的目標是確保未來的數據安全，並在量子計算技術成熟之前，為用戶提供可靠的安全解決方案。Google 出品的瀏覽器 Chrome 已經偷偷開始測試後量子密碼學了，Apple 出品的 iMessage 也有使用後量子密碼來進行加密。

那麼「量子密碼學」又是什麼，與「後量子密碼學」差別在哪？

再次重複，密碼學旨在研究如何建立安全通訊環境。量子密碼學指的是當雙方都有量子電腦時，如何建立安全通訊系統。而上段提及的後量子密碼學，也稱為抗量子密碼學，研究的是在敵人擁有量子電腦的情況下，我們如何使用傳統電腦建立安全的通訊系統。

結論

後量子密碼學是應對量子計算機威脅的重要研究領域。隨著量子計算技術的快速發展，傳統的加密算法將面臨前所未有的挑戰。為了確保數據和通信的安全，我們必須開發和實施能夠抵抗量子攻擊的加密算法。後量子密碼學的研究不僅是為了未來的安全，更是為了在數字化時代中持續保護個人和企業的隱私和數據。

後記：

因為已經看了三四年的英文，中文已經不像高中時流暢（？），部分還依賴了人工智慧的協助。如果你（妳）覺得這份文章讀得很痛苦，百分之百是筆者我的問題。

我切薩雷發誓在練習撰寫更多文章之後，會回來以同個主題重新撰寫內容，讓作品的精緻度能越來越好。