22、密码学的未来：量子计算与后量子密码学

密码学的未来：量子计算与后量子密码学

一、量子计算对密码学的挑战

1.1 现有公钥密码体制的安全隐患

目前广泛使用的公钥密码体制的安全性，依赖于一些著名数学问题的难解性，如离散对数问题和因式分解问题。然而，至今没有人能证明不存在简单的求解方法。所以，随时可能有人宣布发现了能破解这些密码的新数学技术。

1.2 量子计算机的潜在威胁

即使没有新的数学技术出现，新型计算机也可能使现有密码变得不安全，其中最有可能的就是基于量子物理的量子计算机。虽然目前还没有人公开展示过能解决有实际意义问题的量子计算机，但近几十年来，研究人员已经开始探索如何为量子计算机编写程序，这一领域被称为量子计算，它可能会对密码学产生重大影响。

1.3 量子物理的特性——叠加态

量子物理与经典物理最显著的区别之一是叠加态。以薛定谔的猫思想实验为例，在打开盒子之前，猫处于既饥饿又饱腹的叠加状态。类似地，量子比特（qubit）可以同时处于 0 和 1 的状态，而不像经典比特只能是 0 或 1。

1.4 量子计算在因式分解中的应用

假设我们要用量子计算机对数字 4 进行因式分解。首先，将一组量子比特设置为数字 4 的二进制表示 100，然后将另一组量子比特设置为可能的因子。与传统计算机逐个尝试因子不同，量子计算机可以让每个因子量子比特同时处于 0 和 1 的状态，形成“qunumber”。但仅利用叠加态进行量子因式分解，有时得到的结果可能并非有效因子，与概率算法相比并没有明显优势。

1.5 量子干涉的作用

除了叠加态，量子物理中的干涉现象也很重要。在单光束分束器实验