量子计算（QC）带来了突破性的可能性和重大风险。 IBM、谷歌、微软和亚马逊等科技巨头已经推出了商业量子计算云服务，而Quantinuum和PsiQuantum等专业公司也迅速达到了独角兽地位。专家预测，全球量子计算市场在2025年至2035年间可能为世界经济增加超过1万亿美元的价值。然而，我们能够肯定地说收益超过风险吗？

一方面，这些尖端系统有望在药物发现、气候建模、人工智能甚至通用人工智能（AGI）开发等领域带来革命性变化。另一方面，它们也带来了严重的网络安全挑战，即使能够破解当今加密标准的全功能量子计算机还需要几年时间，这些挑战也应该立即得到解决。

理解量子计算威胁格局

与量子计算相关的主要网络安全担忧是其破解被认为不可破解的加密算法的潜力。毕马威的一项调查显示，大约78%的美国公司和60%的加拿大公司预计量子计算机将在2030年成为主流。更令人担忧的是，73%的美国受访者和60%的加拿大受访者认为网络犯罪分子开始使用量子计算来破坏当前安全措施只是时间问题。

现代加密方法在很大程度上依赖于传统计算机在合理时间内几乎无法解决的数学问题。例如，分解RSA加密中使用的大质数需要传统计算机大约300万亿年的时间。然而，通过Shor算法（1994年开发，帮助量子计算机快速分解大数），足够强大的量子计算机可能以指数级速度解决这个问题。

Grover算法专为非结构化搜索设计，在对称加密方法方面是真正的游戏规则改变者，因为它有效地将其安全强度减半。例如，AES-128加密只能提供与64位系统相同的安全级别，使其容易受到量子攻击。这种情况需要推动更强大的加密标准，如AES-256，它能够在不久的将来抵御潜在的量子威胁。

现在收集，稍后解密

最令人担忧的是"现在收集，稍后解密"（HNDL）攻击策略，涉及对手今天收集加密数据，等到量子计算技术足够先进时再解密。这对具有长期价值的数据构成重大风险，如健康记录、财务详情、政府机密文件和军事情报。

鉴于HNDL攻击的潜在严重后果，世界各地负责重要系统的许多组织必须采用"密码敏捷性"。这意味着他们应该准备好在发现新漏洞时迅速更换加密算法和实现。这种担忧也反映在美国国家安全备忘录《在降低脆弱密码系统风险的同时促进美国在量子计算领域的领导地位》中，该备忘录专门指出了这一威胁并呼吁采取主动措施应对。

威胁时间线

在预测量子威胁时间线方面，专家意见差异很大。MITRE最近的一份报告表明，基于量子体积的当前趋势（用于比较不同量子计算机质量的指标），我们可能要到2055年至2060年左右才会看到足够强大的量子计算机来破解RSA-2048加密。

同时，一些专家感到更加乐观。他们认为量子纠错和算法设计的最新突破可能会加速进程，可能早在2035年就允许量子解密能力。例如，研究人员Jaime Sevilla和Jess Riedel在2020年底发布了一份报告，表达了90%的信心认为RSA-2048可能在2060年之前被分解。

虽然确切的时间线仍不确定，但有一点是清楚的：专家们一致认为，无论量子威胁何时真正到来，组织都需要立即开始准备。

量子机器学习——终极黑盒？

除了当今组织令人质疑的密码敏捷性外，安全研究人员和未来学家还一直担心AI和量子科学看似不可避免的未来融合。量子技术有潜力推动AI发展，因为它能够以闪电般的速度处理复杂计算。它可以在实现AGI方面发挥关键作用，因为今天的AI系统需要数万亿个参数才能变得更智能，这导致了一些严重的计算障碍。然而，这种协同作用也开启了可能超出我们预测能力的场景。

不需要AGI就能理解问题的本质。想象一下如果量子计算被整合到机器学习（ML）中。我们可能面临专家所说的终极黑盒问题。深度神经网络（DNN）已经以相当不透明而闻名，其隐藏层连其创造者都很难解释。虽然理解经典神经网络如何做出决策的工具已经存在，但量子机器学习会导致更加混乱的情况。

问题的根源在于量子计算的本质，即它使用叠加、纠缠和干涉来以没有任何经典等价物的方式处理信息。当这些量子特征应用于机器学习算法时，出现的模型可能涉及难以转化为人类能够理解的推理过程。这在医疗保健、金融和自主系统等关键领域引发了相当明显的担忧，在这些领域理解AI决策对安全和合规至关重要。

后量子密码学足够吗？

为了应对量子计算带来的日益增长的威胁，美国国家标准与技术研究院（NIST）在2016年启动了其后量子密码学标准化项目。这涉及对来自全球密码学家的69个候选算法进行彻底审查。完成审查后，NIST选择了几种基于结构化格和哈希函数的有前途的方法。这些是被认为能够抵御传统和量子计算机攻击的数学挑战。

2024年，NIST推出了详细的后量子密码标准，主要科技公司从那时起一直在采取措施实施早期保护。例如，苹果为其iMessage平台推出了PQ3——一种后量子协议——旨在防范高级量子攻击。类似地，谷歌自2016年以来一直在Chrome中试验后量子算法，并正在稳步将它们整合到其各种服务中。

与此同时，微软在不干扰量子环境的情况下增强量子比特纠错方面取得了进展，标志着量子计算可靠性的重大飞跃。例如，今年早些时候，该公司宣布已经创造了一种称为"拓扑量子比特"的"新物质状态"（除了固体、液体和气体之外的一种状态），这可能在几年而不是几十年内导致完全实现的量子计算机。

关键转换挑战

然而，向后量子密码学的转变面临着必须正面应对的一系列挑战：

实施时间框架：美国官员预测，在所有系统中推出新的密码标准可能需要10到15年时间。这对于位于难以到达位置的硬件（如卫星、车辆和ATM）尤其棘手。

性能影响：后量子加密通常需要更大的密钥大小和更复杂的数学运算，这可能会减慢加密和解密过程。

技术专业知识短缺：为了成功地将量子抗性密码学整合到现有系统中，组织需要精通经典和量子概念的高技能IT专业人员。

漏洞发现：即使是最有前途的后量子算法也可能有隐藏的弱点，正如我们在NIST选择的CRYSTALS-Kyber算法中看到的那样。

供应链担忧：基本的量子组件，如低温冷却器和专用激光器，可能受到地缘政治紧张局势和供应中断的影响。

最后但同样重要的是，在量子时代，技术熟练将至关重要。随着公司急于采用后量子密码学，重要的是要记住，仅靠加密无法保护他们免受点击有害链接、打开可疑电子邮件附件或滥用数据访问权限的员工的影响。

最近的一个例子是微软发现两个应用程序无意中暴露了它们的私有加密密钥——虽然底层数学是可靠的，但人为错误使得这种保护无效。实施中的错误经常危及理论上安全的系统。

为量子未来做准备

组织需要采取几个重要步骤来为量子安全威胁带来的挑战做好准备。从广义上讲，他们应该做以下事情：

进行密码清单——盘点所有使用加密且可能面临量子攻击风险的系统。

评估数据的生命周期价值——确定哪些信息需要长期保护，并优先升级这些系统。

制定迁移时间表——为在所有系统中移动到后量子密码学设置现实的时间表。

分配适当资源——确保为实施量子抗性安全措施的重大成本制定预算。

增强监控能力——建立系统来发现潜在的HNDL攻击。

Michele Mosca提出了一个定理来帮助组织规划量子安全：如果X（数据需要保持安全的时间）加上Y（升级密码系统所需的时间）大于Z（量子计算机能够破解当前加密的时间），组织必须立即采取行动。

结论

我们正在步入一个量子计算时代，它带来了一些严重的网络安全挑战，我们都需要快速行动，即使我们不完全确定这些挑战何时会完全实现。可能需要几十年才能看到能够破解当前加密的量子计算机，但不采取行动的风险实在太大。

《外交政策》杂志的Vivek Wadhwa直言不讳地说："世界未能控制AI——或者更确切地说，伪装成AI的粗糙技术——应该成为一个深刻的警告。还有一种更强大的新兴技术有可能造成严重破坏，特别是如果它与AI结合：量子计算。"