🔒 加密筆記 encryption.hk
[]

量子電腦對加密技術嘅威脅:後量子密碼學係咩嚟

量子電腦正悄悄威脅緊我哋日常用嘅加密系統。2026年NIST已正式發布後量子密碼標準,銀行、政府、企業都要開始準備加密遷移。本文用淺白語言解釋量子威脅有幾逼切、後量子密碼學點樣保護數據、同埋各行業應該點樣部署新標準。

NaN年NaN月NaN日

量子電腦唔再係科幻小說情節。根據IBM量子路線圖,佢哋計劃喺2026年底前推出具備4000+量子位元嘅量子處理器,而Google Quantum AI團隊亦已展示量子糾錯嘅突破性進展。與此同時,NIST(美國國家標準與技術研究院)喺2024年正式發布首批後量子密碼學標準,歐盟更要求關鍵基礎設施喺2027年前完成初步加密遷移評估。呢個唔係「將來發生」嘅問題——而係而家就要準備嘅現實。

傳統公鑰加密系統如RSA、橢圓曲線密碼學(ECC),安全性建基於大數分解或離散對數問題,經典電腦破解呢啲數學難題需要數十億年。但量子電腦利用Shor演算法,可以喺數小時內瓦解2048位元RSA加密。換句話說,今日攔截到嘅加密數據,將來量子電腦成熟後就能批量解密。銀行交易、醫療記錄、政府機密全部曝露喺「先收集、後解密」嘅威脅之下。呢個就係點解後量子密碼學(Post-Quantum Cryptography, PQC)咁緊要——我哋需要而家就轉用能夠抵抗量子攻擊嘅新加密演算法。

量子威脅嘅時間線:點解而家就要行動

好多人會問:「量子電腦仲未夠勁去破解RSA㗎,點解要咁早驚?」答案牽涉到兩個關鍵概念:數據壽命遷移週期

首先,機密數據嘅壽命可以好長。醫療記錄要保存幾十年,國家機密可能永不解密,金融交易記錄亦有長期法律保存要求。如果呢啲數據今日被攔截儲存,五年後量子電腦成熟就即刻解密,咁而家嘅加密保護形同虛設。「先收集、後解密」(Harvest Now, Decrypt Later)嘅攻擊模式已經被NSA、GCHQ等情報機構高度關注

其次,加密系統遷移係極其複雜嘅工程。根據NIST喺2026年發布嘅遷移指引,大型金融機構預計需要5至7年先能夠完成全面PQC遷移。伺服器更新、軟件庫替換、硬件安全模組(HSM)升級、證書管理系統改造,每一步都要測試兼容性同性能。銀行嘅ATM網絡、POS終端、手機銀行App全部牽涉其中。如果等到量子威脅成真先開始遷移,就已經太遲

量子電腦硬件進展亦比預期中快。IBM喺2026年已實現數千量子位元嘅處理器,雖然距離破解RSA-2048所需嘅數百萬邏輯量子位元仲有距離,但量子糾錯技術嘅突破速度超出好多專家預期。保守估計,具備密碼學威脅能力嘅量子電腦可能喺2030年代初期出現。考慮到遷移需時,2026年啟動PQC部署係相當合理嘅時間表。

後量子密碼學係咩?五種主要技術路徑

後量子密碼學(PQC)係指一類能夠抵抗量子電腦攻擊嘅加密演算法。呢啲演算法建基於全新嘅數學難題,量子電腦對佢哋冇明顯嘅計算優勢。NIST經過長達八年嘅標準化競賽,最終選出以下幾種主要技術路徑:

格密碼學(Lattice-Based Cryptography) 係目前最受睇好嘅方向。佢嘅安全性建基於「格」上嘅計算難題,例如Learning With Errors(LWE)同Ring-LWE問題。NIST選定嘅主要金鑰封裝機制Kyber(現稱ML-KEM)就係基於格密碼學。格密碼學嘅優勢係運算速度快、密鑰同密文尺寸相對細,而且可以實現公鑰加密、數位簽章等多種功能。CRYSTALS-Dilithium(ML-DSA)則係基於格嘅數位簽章標準。

編碼密碼學(Code-Based Cryptography) 源自1978年嘅McEliece密碼系統,安全性建基於解碼隨機線性碼嘅困難性。呢個方案嘅公鑰較大(幾百KB到1MB),但加密解密速度極快,而且四十年嚟從未被破解,安全性信譽極高。NIST已將Classic McEliece列為備選標準之一。

多變量密碼學(Multivariate Cryptography) 建基於解多變量二次方程組嘅NP困難問題。佢嘅簽章非常短,適合資源受限嘅物聯網設備。不過公鑰較大,而且部分方案曾被破解,需要審慎選擇參數。

哈希簽章(Hash-Based Signatures) 如SPHINCS+,安全性純粹建基於哈希函數嘅抗碰撞性,係最保守、最可靠嘅選擇。NIST已將SPHINCS+列為無狀態哈希簽章標準。缺點係簽章較大,簽署次數有限制(但足夠絕大多數應用場景)。

同源密碼學(Isogeny-Based Cryptography) 曾係熱門方向,但SIKE方案喺2022年被經典電腦喺一小時內破解,令學界對呢個路徑更審慎。目前仍有研究,但短期內唔會進入標準。

NIST喺2024年正式發布FIPS 203(ML-KEM)、FIPS 204(ML-DSA)同FIPS 205(SLH-DSA,即SPHINCS+)三項標準。呢啲標準嘅發布標誌住後量子密碼學正式進入實用階段

NIST後量子標準嘅關鍵細節

2024年8月,NIST正式發布首批三項後量子密碼學聯邦資訊處理標準(FIPS),結束咗長達八年嘅標準化競賽。呢個時間點極具象徵意義——全球加密體系正式進入「量子安全」過渡期

FIPS 203(ML-KEM) 係金鑰封裝機制,源自CRYSTALS-Kyber演算法。佢用嚟取代而家嘅RSA-OAEP同橢圓曲線Diffie-Hellman(ECDH)金鑰交換。ML-KEM提供三種安全級別:ML-KEM-512(對應AES-128安全級別)、ML-KEM-768(AES-192級別)同ML-KEM-1024(AES-256級別)。NIST建議大多數應用使用ML-KEM-768,平衡安全性同性能。公鑰尺寸約1,184位元組,密文約1,088位元組,比RSA大但比McEliece細好多。

FIPS 204(ML-DSA) 係數位簽章標準,源自CRYSTALS-Dilithium。佢同樣提供三種安全級別,簽章尺寸約2,420至4,595位元組。雖然比ECDSA簽章大幾十倍,但喺現代網絡頻寬下完全可接受。驗證速度極快,適合TLS證書、軟件簽名等高頻場景

FIPS 205(SLH-DSA) 係無狀態哈希簽章,即SPHINCS+。佢嘅最大優勢係安全性假設極弱——只需假設底層哈希函數安全,唔依賴任何新數學難題。簽章尺寸較大(約7,856至29,792位元組),但作為保守備選方案極為重要。NIST建議喺高安全場景(如長期證書簽發)同時部署ML-DSA同SLH-DSA。

值得注意嘅係,NIST明確表示未來會繼續加入更多標準,包括基於編碼密碼學嘅備選方案。機構部署時應該採用「加密敏捷性」(crypto-agility)架構,確保可以快速切換演算法。

加密遷移:企業應該點樣部署

加密遷移唔係一朝一夕嘅事,需要分階段、有策略咁推進。根據NIST喺2026年更新嘅遷移指引(SP 800-131A修訂版),機構應該採取以下步驟:

第一階段:資產盤點與風險評估。機構需要全面識別邊啲系統使用公鑰加密,包括TLS/SSL證書、VPN閘道、數位簽章系統、區塊鏈應用、IoT設備等。重點標記處理敏感數據、且數據壽命超過五年嘅系統。呢個階段通常需要3至6個月。

第二階段:建立加密敏捷性架構。喺現有系統中引入抽象層,令加密演算法可以模組化替換。例如,使用支援多種演算法嘅TLS庫(如OpenSSL 3.x嘅provider架構),避免硬編碼特定演算法。Google同Cloudflare已經喺TLS 1.3實驗中成功測試混合金鑰交換(同時使用ECDH同ML-KEM),確保過渡期間嘅兼容性。

第三階段:混合模式部署。為防範未知攻擊,NIST建議過渡期採用「混合模式」——同時使用傳統加密同PQC加密,只有兩者都通過先視為安全。歐洲電信標準協會(ETSI)同德國BSI都強烈建議混合模式。呢個做法會增加頻寬開銷,但可以大幅降低風險。

第四階段:全面PQC遷移。當標準成熟、信心充足後,逐步淘汰傳統加密。金融機構目標喺2030年前完成核心系統遷移,醫療機構喺2032年前,政府系統則按各國法規要求。

實踐上,Microsoft已喺Azure開始部署PQC,支援ML-KEM金鑰交換;Apple喺iMessage中引入PQC保護;Signal訊息應用亦已實作PQXDH協議。呢啲先行者嘅經驗顯示,PQC性能開銷喺現代硬件上完全可接受——ML-KEM-768嘅TLS握手延遲增加約1-2毫秒,對用戶體驗影響極微。

後量子密碼學嘅挑戰與局限

雖然PQC標準已經發布,但遷移過程中仍有唔少挑戰需要正視。

性能與兼容性係首要考量。PQC金鑰同簽章尺寸普遍比傳統加密大,對於頻寬受限嘅衛星通訊、低功耗IoT設備可能構成壓力。ML-KEM公鑰約1KB,比256位元ECDH公鑰大幾十倍。喺5G網絡同現代雲端環境下問題唔大,但嵌入式系統需要審慎評估

標準演進風險亦不容忽視。NIST標準雖然經過多年審查,但歷史話畀我哋知,密碼學標準可能被發現漏洞。例如SIKE喺2022年被經典電腦破解,震驚學界。呢個就係點解加密敏捷性咁重要——系統必須能夠快速更換演算法而唔需要重寫成個架構

供應鏈挑戰同樣嚴峻。企業依賴大量第三方軟件庫、硬件模組同雲端服務,每個環節都要支援PQC先能夠完成遷移。HSM(硬件安全模組)廠商需要推出支援ML-KEM同ML-DSA嘅新產品,呢個過程可能需要數年。晶片級支援亦在開發中,ARM同Intel已宣布未來處理器將包含PQC加速指令

最後,人才短缺係現實問題。PQC涉及新數學理論同工程實踐,目前熟悉呢個領域嘅專家極少。企業需要投資培訓,或者尋求專業顧問協助規劃遷移路徑。

行業應用場景:邊啲行業最逼切

唔同行業面對量子威脅嘅逼切程度唔同,遷移優先級亦各異。

金融業係最前線。每日數以萬億計嘅交易依賴公鑰加密保護,而且交易記錄保存期極長。國際結算銀行(BIS)喺2025年發布量子風險報告,要求成員央行喺2027年前提交PQC遷移計劃。大型銀行如摩根大通、滙豐已啟動內部PQC測試,特別喺跨行結算系統SWIFT嘅替代方案中引入PQC。

政府與國防領域同樣逼切。機密文件保存期可達50年以上,今日嘅加密必須抵抗未來量子電腦。美國國家安全備忘錄NSM-10要求聯邦機構喺2035年前完成PQC遷移,國防部更設定咗2030年嘅內部期限。北約亦成立量子安全通訊工作組,推動成員國標準統一。

醫療保健行業處理極敏感嘅個人數據,且保存期極長。歐盟GDPR要求數據保護措施必須「與時並進」,未來若因未採用PQC而導致數據洩露,可能面臨巨額罰款。德國已要求醫療保險系統喺2028年前完成PQC評估

電訊與5G網絡同樣需要PQC保護。5G核心網使用大量公鑰加密保護信令同用戶數據,而網絡設備部署後往往運行十年以上。3GPP已喺Release 19中開始研究PQC整合方案,預計2028年納入標準。

區塊鏈與加密貨幣面對獨特挑戰。比特幣使用嘅ECDSA簽章若被量子電腦破解,攻擊者可以偽造交易竊取資金。以太坊基金會已啟動PQC遷移研究,但去中心化網絡嘅共識升級極為複雜。部分新興區塊鏈項目(如QANplatform)從一開始就採用PQC演算法。

FAQ

問:量子電腦究竟需要幾多量子位元先可以破解RSA-2048?

答:根據2026年嘅最新研究,破解RSA-2048大約需要2,000萬個物理量子位元(經量子糾錯後約等於4,000個邏輯量子位元)。IBM目前最大嘅量子處理器約有4,000個物理量子位元,但錯誤率仍然偏高。不過,量子糾錯技術正快速進步,專家估計2030年代初期可能達到破解門檻。值得注意嘅係,Shor演算法本身已經相當成熟,瓶頸在於硬件而非軟件。

問:一般中小企業需唔需要擔心量子威脅?

答:需要,但優先級同大型機構唔同。中小企業若處理客戶個人數據、信用卡資料或知識產權,同樣面對「先收集、後解密」風險。不過,中小企業通常依賴雲端服務同第三方軟件,遷移壓力較細。建議中小企業喺2027年前確認主要雲端供應商已支援PQC,並確保內部證書管理系統支援新標準。唔需要自己研發,但要識得揀正確嘅服務。

問:NIST後量子標準會唔會再變?部署咗會唔會浪費投資?

答:NIST已明確表示FIPS 203/204/205係正式標準,唔會撤回。不過,未來可能加入更多備選演算法(如Classic McEliece),形成「標準套件」而非單一演算法。採用加密敏捷性架構可以解決呢個問題——系統設計成可以靈活切換演算法,即使有新標準加入亦唔需要大規模重寫。2024年標準發布後,各大雲端供應商已開始內置支援,早期部署嘅成本可控。

問:手機同IoT設備點樣部署PQC?佢哋嘅運算能力夠唔夠?

答:現代智能手機完全有能力處理PQC運算。Apple A17晶片及後續型號已內置硬件加速,ML-KEM-768金鑰交換延遲喺手機上約增加1-3毫秒,用戶完全感受唔到。真正挑戰喺低功耗IoT設備,例如藍牙追蹤器或工業傳感器。呢類設備可能需要使用輕量級PQC方案(如精簡參數嘅哈希簽章)或依靠邊緣閘道處理加密。NIST正研究專門嘅輕量級PQC標準,預計2027年有草案。

參考資料

tags: 量子電腦威脅後量子密碼學NIST標準加密遷移網絡安全