何謂Post-Quantum Cryptography?
後量子密碼學(Post-quantum Cryptography, PQC),屬於密碼學的研究領域之一,其研究目的是找尋能夠抵抗量子電腦的加密演算法。與量子密碼學不同的是,PQC使用的加密演算法不需要量子技術的介入,因此可以在傳統電腦上執行,而其加密演算法的核心就是無法被量子電腦有效解決地計算難題。
PQC的實現方法主要可分為以下五大類:
為甚麼需要PQC?
由於量子電腦在特定問題上的運算能力將完全輾壓當代超級電腦,而很不巧地,目前我們最廣泛使用的非對稱加密法就是其中一種量子電腦特別擅長解決的問題。換句話說,若未來的某一個時間點(Years to Quantum, Y2Q),當量子電腦發展成熟到能夠破解公鑰加密系統時,原先經過非抗量子電腦加密演算法所加密的資料將不再安全。
以下利用Y2Q作為時間點來討論在其到來之前與之後,我們分別需要PQC的理由:
Y2Q之前 - Mosca's Inequality
假如已知有一個技術可以破解絕大部分的機密,那麼在這項技術到來以前你可以做甚麼事情來大幅增加這項技術帶來的效益?
答案就是盡量蒐集任何可能對你有利的機密資料,並且妥善保存它們,等到技術發展成熟時,再回頭一一解密這些蒐集到的情資。這就是目前全世界各國情報單位或有心人士正在進行的「Harvest now, decrypt later」戰術。
Michele Mosca於2015年的一場演講中提出了Mosca's Inequality Theorem,他利用這個不等式清楚地闡釋當前全世界面臨的資安威脅。
Mosca's Inequality Theorem: If X + Y > Z, then worry.
其中X為機密資料需要保存的時長, Y為從傳統加密演算法遷移到抗量子加密演算法所需要的最短時間,而Z為量子電腦發展成熟並可以開始破解傳統加密演算法的時間(e.g., Y2Q)。
舉例來說,若我們假設Y2Q為十年後,而你有三個機密資料(i.e., 機密1、機密2與機密3)分別想要保存三年、七年與三十年,但是從傳統加密演算法遷移到抗量子加密演算法最短需要五年。
整理上述資訊我們得到的變數分別為X1 = 3, X2 = 7, X3 = 30, Y = 5, Z = 10,以下分別討論三個機密的使用情境(以2024年為基準):
情境一:
機密1代入Mosca's Inequality我們得到 X1 + Y < Z 即 8 < 10 (Don't worry)
由於機密1的保存期限只要三年,不管有沒有使用抗量子加密技術,只要在Y2Q到來的三年前(即2031年前)發布,該資料都是安全的,因為三年後的2034年也已經過了資料的保存期限,該資料即使被破解也無傷大雅。
情境二:
機密B代入Mosca's Inequality我們得到 X2 + Y > Z 即 12 > 10 (Worry)
由於機密2的保存期限要七年,那麼在2027年以後,機密2在尚未轉移成抗量子加密技術之前,都不可以發布,否則該資料將在Y2Q到來的時候被破解,進而保密失效。
(注意: 機密2發布時間比抗量子加密技術轉移完成早一天都不行,因為 X2 + Y 即使少一天依然大於 Z!)
因此,機密2除非在頭三年(2024-2027年)發布,否則都必須等到抗量子加密技術轉移完成後才能發布。
情境三:
機密C代入Mosca's Inequality我們得到 X3 + Y > Z 即 35 > 10 (Worry)
由於機密3的保存期限要三十年,因此不論如何,機密3都必須等待抗量子加密技術轉移完成後才可以發布,否則將在Y2Q到來的時候被破解資料,進而保密失效。
由上述三個情境我們可以清楚知道,在加密技術需求不間斷的情況下,即使量子電腦還沒發展完成,我們還是需要對應的抗量子加密技術來保護保密期限需求長的資訊文件。
Y2Q之後 - 量子電腦 vs. 傳統電腦
若Y2Q的到來代表量子技術已經發展成熟,那麼我們即可使用量子密碼學來保護我們的文件,屆時是否還需要PQC呢?
答案依然是肯定的,我們還是需要PQC。
其實量子技術成熟並不代表量子電腦會完全取代傳統電腦,它甚至可能不會如傳統電腦來的普及。礙於量子電腦的運作原理、運作條件以及運作成本等因素,應付我們日常生活需求的工具(e.g., 手機、個人電腦、IoT裝置等)依然會以傳統電腦為主。
如此一來,即便量子電腦發展成熟後,我們仍然需要可以用傳統電腦實現的抗量子加密技術來抵禦量子電腦的攻擊,因此PQC還是有其存在的必要性!