国外量子计算机进展、对信息安全的挑战与对策

1 引 言
二十一世纪是信息的时代。

量子信息科学的研究和发展导致了量子计算机、量子通信和量子密码的出现。

量子计算机可以理解为信息对抗领域的原子弹，其最直接的应用领域之一就是密码破译。

一旦量子计算机成为现实，目前使用的公钥密码将被攻破。

过去,我们显然没有估计到量子计算机会来得这么快。

然而，量子计算机却实实在在地来了。

虽然它现在尚不能实用，但是量子计算机的实用化只是时间问题了。

如果我们对此没有任何预案，到时候我国的网络信任体系将会遭到致命打击。

为此，我们要站在国家安全的战略高度，迎接量子计算机的挑战，抓紧研究现有公钥密码的替代技术，确保量子计算条件下的信息安全。

2 国外商用量子计算机研究进展
2007年2月，加拿大D -W a v e 公司成功研制出世界上第一台16位商用量子计算机“O r i o n”，其量子计算芯片由铝和铌元素组成的超导材料制成，被液氦冷冻在-273.145℃温度下，只比绝对零度高0.005℃。

该量子处理器在基础构造和生产工艺上借鉴了现有半导体产业的成果，包含16个量子位(q u b i t )（见图1），每个量子位可以同时表示为0和1。

目前，D-Wave 的量子计算机方案是一种混合型平台，使用普通的硅处理器和平台，而将量子处理器作为运算加速器或协处理器。

整套系统由D -W a v e 设计，而量子处理器芯片由美国宇航局喷气推进实验室下的微型设备实验室制造。

该量子计算机的主要技术进步点：以前的量子计算机存在着不容易增加量子位数的问题，而在“绝热量子计算”方式下，量子位数没有限制。

D -W a v e 宣布今后将以一定的时间间隔使量子位数翻番，让计算能力则呈指数级增长，实现类似于半导体集成度每隔一段时间翻一番的摩尔定律。

图1 硅芯片上16个量子位的光学照片
2007年11月，D-Wave 宣布研制成功28 qubit 量子计算机系统。

按照D-Wave 发布的路线图，到2008年底，将达到1024 qubit（或512 qubit）。

2008年5月，D -W a v e 宣布研制成功48 q u b i t 量子计算机系统，公布了量子处理器、设备内部和设备外形的照片，以及下一个目标——采用片内SFQ（Single-Flux-Quantum，单量子流）控制的128 qubit 量子处理器的CAD 图，这是Rainier 系列量子处理器的第一个版本，计划在2008年11月完成。

Rainier 系列采用一种叫做“贴瓷砖”的可扩展方式，能成倍数地增加量子位数。

如图2所示，设每个部件（瓷砖）的输入为8 qubit，其带有16个交互耦合细胞和8个内部耦合细胞（其中4个向右，4个向底），然后用4个8 qubit 的瓷砖组合成1个32 qubit 的运算部件。

运用规定的方法，可以把小瓷砖组装成大瓷砖，把大瓷砖组装成更大的瓷砖，例如：
(1)用16个8 qubit 瓷砖实现128 qubit 量子计算部件；(2)用2个128 qubit 的瓷砖实现256 qubit 的量子计算部件；
(3)用2×2个128 qubit 的瓷砖实现512 qubit 的量子计算部件；
(4)用4×4个128 qubit 的瓷砖实现2048 qubit 的量子计算部件。

…
国外量子计算机进展、对信息安全的挑战与对策
管海明
（中国电子设备系统工程公司通信研究所，北京 100141）
摘 要：对加拿大D-Wave 公司的量子计算机进展和相关情况进行了分析，并针对量子计算机对于信息安全的挑战，讨论了抗量子计算的公钥密码领域的竞争态势和发展思路。

关键词：量子计算机；公钥密码体制； Shor 量子算法；数字签名
图2 Rainier采用的“贴瓷砖”可扩展方式示意图
上述“贴瓷砖”方法的理论依据，来自麻省理工学院的科学家William、Kaminsky和Lloyd在2000年提出的《运用绝热量子计算建立求N P难问题的可扩展构架》（Scalable Architecture for Adiabatic Quantum Computing of NP-hard Problems）。

D-Wave的工作可理解为用实践来检验这篇论文的正确性。

2008年12月19日，D-W a v e宣布研制成功128 qubit 量子处理器（见图3），下一步进入测试阶段。

整个系统的完成时间，初步确定在2009年2月。

如果现在的方案失败，将退回到“T a n t a l u s构架”的备用方案，完成时间大约推迟到2009年5月。

图3 128 qubit量子处理器电路图
D-W a v e还制定了一个量子计算机发展规划（见图4）：在2009年达到低质量的应用，2010年底前发布量
子计算软件系统，提供SQL、Prolog、Lisp
等程序界面，
将通过一个安全的互联网连接提供量子计算机的对外访问和使用，最终开始销售这种系统，达到中等质量的应用，不过价格问题没有披露。

图4 D-Wave提出的量子计算机发展规划
3 美国政府量子计算研究计划
美国政府已在量子计算领域投入巨资并走在世界前列[1]。

首先是美国军方的高度重视。

美国国防高级研究计划局（D A R P A）制定了一个“量子信息科学和技术发展规划”，2002年12月发表1.0版，2004年4月发表2.0版，其目标是：在2012年前开发出各种复杂的量子技术，从核磁共振量子计算、离子陷阱量子计算、中性原子量子计算、谐振量子电子动态计算、光量子计算、固态量子计算、超导量子计算和“独特”量子位（如液态氦上的电子等）量子计算等八个不同的技术方向上同时开展研究。

美国政府的其他部门也部署了相关计划：国家安全局（NSA）的ARDA5(Advanced Research and Development Activity)计划；美国科学基金会（NSF）的QuBIC (Quantum and Biologically Inspired Computing)计划；美国宇航局（NASA）的Quantum Computing Technology Group计划；以及美国国家标准与技术研究院（N I S T）的P h y s i c s L a b o r a t o r y Quantum Information计划等。

上述计划正在紧锣密鼓地进行，但研究成果严格保密。

这本来就不是纯学术问题，而是关系到国家重大利益的对抗性问题，不允许在公开的学术会议上发表。

尽管如此，我们仍然可以从一些迹象，发现上述计划已经取得了重要进展：
2007年2月，加拿大D-Wave公司研制出世界上第一台16 q u b i t量子计算机，其中的核心技术——量子计算芯片，就是由美国宇航局研制的。

这是美国政府量子计算计划中浮出海面的冰山一角。

D-W a v e的进展发布后曾引起了学术界的强烈否定。

美国权威刊物《自然（新闻）》发表评述，滑铁卢大学的Ontario说:“这是一个弥天大谎，16 qubit量子计算机目前肯定无法实现”，牛津大学的S t e a n e断言:“不可能解决多个量子比特之间的相互干扰问题”。

《自然（物理）》发表了编辑部评论《天方夜谈》（Reach for the stars）和Wim van Dam的评论《量子计算：处在死亡地带吗？》（Quantum Computing: In the ‘death z o n e’?），主要疑问：（1）数据在哪里？完成一个16比特的难题，用常规计算机也能做，怎样证明你是用量子的方法计算出来的？（2）怎样克服噪音？实验室数据表明这是不可能解决的问题。

其他疑问：该计算机没有拿到展览会现场，不能眼见为实；其工作原理没有在正规的学术
会议上发表，没有获得同行专家的认可。

更严厉的指责：D -W a v e 试图用虚假研究成果骗取风险投资。

面对这些批评，D -W a v e 只是回答：他们的量子计算芯片是由美国宇航局研制的。

几天以后，美国宇航局量子计算项目负责人Kleinsasser 确认，按照D-Wave 的设计方案，他们运用在微电子组件和超低温技术上的经验制造了这块量子芯片。

于是，所有的反对意见都消失了。

2007年11月D-Wave 宣布研制成功28位量子计算机，以前持反对意见的科学家和媒体均保持沉默。

美国宇航局与D-Wave 的关系类似于研制CPU 的Intel、以及组装电脑的中关村公司：美国宇航局的贡献是量子计算芯片；D-Wave 的贡献主要是低温设备和控制系统软件设计。

该进展是否属于美国政府量子计算计划中的一个合同项目，目前还不能断定。

但是，美国政府在量子计算上的投资远远大于D-Wave 的风险投资，一定有更重要的成果。

尤其是美国军方和国家安全局的量子计算研究，均有实质性密码应用背景，不可能公开发布。

美国国家安全局坦率声明：为了保证美国政府的通讯安全，它并不乐见量子计算机的建造，但如果量子计算机能够造出来，那么美国国家安全局希望首先拥有。

按照这种理解，这次美国宇航局站出来说话，由他们研制了量子计算芯片，并不是要公开技术原理，而是要向全世界展示一种姿态和威慑力。

我们也可以把这个事件看作为一次意外的泄密事故。

在2007年以前，I B M 一直是量子计算领域的先锋企业。

该公司2001年率先研制成功7位量子计算机，并完成了用S h o r 算法进行整数分解的试验。

I B M 没有采用“绝热量子计算”的技术路线，其研制难度更大，但更接近于多用途密码破译量子计算机。

然而最近几年，I B M 的量子计算研究成果一直没有公布。

按照美国的国情，I B M 应该参与美国政府的量子计算计划，并遵守该计划的保密要求。

欧盟在已完成的第五个框架计划中、以及正在进行的第六个框架计划中都有量子计算的项目。

日本早在2000年10月就开始了为期5年的量子计算与信息计划。

但欧盟、日本的投资力度和研究深度都远远不如美国的计划。

4 量子计算机对信息安全的挑战
目前,针对密码破译的量子算法有两种：
一是由贝尔实验室的Grover 在1996年发明的Grover 算法。

这是一种针对所有密码（包括对称密码）的通用的
搜索破译算法，其计算复杂度为O(N 1/2)（相当于把密钥长度减少到原来的一半）。

从破译的角度，虽然这种算法使现有的计算能力提高了数亿倍，但对于目前使用的绝大多数对称密码和公钥密码来说还没有受到致命威胁。

二是由贝尔实验室的Shor 在1994年发明的Shor 算法。

这是一种专用的搜索破译算法，其扩展算法能以多项式时间攻破所有的能够转换成广义离散傅立叶变换的公钥密码——包括目前广泛使用的RSA、DH 和ECC。

由于量子并行运算的内在机制，即使我们不断增加这类密码的密钥长度，也只不过给破译工作增加了很小的代价。

对于椭圆曲线离散对数问题，Proos 和Zalka 指出在N qubit 的量子计算机上可以容易地求解k 比特的椭圆曲线离散对数问题，例如,利用1448 q u b it 量子计算机可以破译256位的椭圆曲线密码。

但S h o r 算法不能用来破译其他类型的公钥密码。

如果量子计算机技术受到超级大国的控制，并在保密的状态下率先投入使用，那么这种科技进步对于其他国家来说，就是一场灾难：银行、网络、商业等领域可能无密可保，假冒的证书和数字签名泛滥将带来严重的社会混乱，银行信任系统的崩溃还将引发金融危机等一系列连锁反应！由此将可能导致一个信息帝国主义和信息恐怖主义时代的来临。

5 国外抗量子计算公钥密码领域竞争态势
当前正处于公钥密码技术体制大换代的前夜，届时必将在信息安全领域引发一次革命性的技术变迁。

“抗量子计算的公钥密码”是信息安全领域的下一个技术制高点，新一轮竞争已拉开了序幕，出现了暗流涌动的态势。

2006年5月，在比利时召开了“第一届抗量子密码学会议”（P Q C r y p t o2006，P o s t -Q u a n t u m Cryptography）[2]，来自美国、欧洲、日本、台湾的大学和大企业的代表交流了研究进展。

从会议文献看，公钥密码应对量子计算机的挑战，有三种基本对策：
(1)采用不能转换成离散傅立叶变换的数学难题来建立公钥密码体制。

(2)用量子密码替代公钥密码。

问题在于：建立量子密码系统需要昂贵的量子信道，量子密码也不具备数字签名的功能，如何建立网络信任体系？
(3)
Hash函数实现Merkle签名方案。

问题在于，这种签名采用一次一密的密钥体制，难以在开放环境下大量使用。

针对上述第一种对策，当前国外主要有三类互相竞争的公钥密码方案：
一是NTRU公钥密码体制。

由美国数学家Hoffstein、Pipher和Silverman在1996年发明的NTRU (Number Theory Research Unit)，基于在一个大维数的格中寻找一个很短向量的数学难题。

这是目前工程指标最成熟的抗量子计算公钥密码。

N T R U公司有强大的资本和美国政府的支持，已完成了知识产权布局，开发了一系列示范性产品（I C卡、手机、3G、无线互联网、电子商务、可信计算等），当前的主攻方向是建立国际标准。

至今NTRU 尚未获得广泛应用的原因：首先是它的安全性还没有获得充分认同，其签名的安全性远低于加密的安全性，不适合用在网络信任体系；其次是知识产权的障碍，N T R U公司在多个国家注册了基础性专利，大量使用涉及到国家利益问题。

二是O T U2000公钥密码体制。

由日本N T T公司Okamoto实验室推出的“量子公钥密码体制”，基于改进的背包问题，属于这个领域的日本概念。

最初的思想由Okamoto、Tanaka和Uchiyama在2000年提出，也叫做O T U2000。

缺点是产生密钥需要计算离散对数，即需要用量子计算机解决大量密钥的生成问题。

N T T已用软件模拟方法完成了概念验证。

三是M Q公钥密码体制。

即多变元二次多项式公钥密码体制（Multivariate Quadratic Polynomials in Public Key Cryptosystem），基于有限域上的多变元二次多项式方程组的难解性。

与R S A、D H、E C C相比，M Q的安全性很难被证明等价于一个已知的可简单表述的数学难题。

M Q是一大类各具特色的公钥密码算法的统称。

最早的M Q算法发表于1985年。

由于早期的M Q算法被破译，使它一直受到冷落。

M Q的屡战屡败，在于算法资源太少，二次多项式的结构限制了加密算法的复杂性。

2000年以后，出于抗Shor量子算法攻击的考虑，对MQ的研究才重新受到重视。

按照M Q的编码风格，目前形成了两大技术流派：
(1)以SFLASH签名方案为代表的法国流派，编码风格采用隐藏域方程算法或大域-小域算法，S P L A S H是惟一被欧洲密码标准NESSIE推荐的国际标准MQ算法，但在2007年被彻底攻破；
(2)以T T S签名方案为代表的后起之秀流派，编码风格采用阶梯三角算法，可用性比SPLASH有明显提高，以丁津泰、杨柏因、王立中、Wolf等年轻数学家为主体，中国人的工作占了很大比例。

在P Q C r y p t2006发表的M Q方案有：由G o u g e t 和P a t a r i n提出的《概率多变元密码体制》，由丁津泰、W o l f和杨柏因提出的《l-周期多变元二次公钥密码体制》，由Stern提出的《量子时代的多变元二次公钥方案》等。

这些成果表面上看属于学术研究，背后往往有政府的参与，例如杨柏因负责的台湾政府项目《离散代数结构及其于公钥系统与破密学等的应用》（国科会专题研究计划案：NSC 94-2115- M-032- 010）。

2008年10月，在美国辛辛那提大学召开“第二届抗量子密码学会议”（PQCrypto 2008）[3]。

NSA的官员参加了会议。

IBM研究中心的Graeme Smith作特邀报告，介绍了I B M的量子计算机进展。

在会议文献中，台湾学者的工作继续占据了很大比例。

除了上述几个研究方向以外，1978年提出的基于纠错编码问题的McEliece公钥密码体制重新受到关注，其优点是安全性强，缺点是密钥量太大、计算效率较低。

从工程应用的角度，N T R U似乎应该是下一代公钥密码体制的最佳选择。

相比之下，O T U2000离实用还有相当的距离；MQ的缺点比较明显，使得研究MQ的论文很多，但真正使用的很少。

假如量子计算机现在就取得突破，N T R U很有可能会成为许多国家不得不用的现有公钥密码的替代产品。

6 自主的抗量子计算公钥密码研究进展
开展抗量子计算的公钥密码研究，不仅是一个前瞻性的预研课题，也是一个具有相当紧迫感的应急任务。

公钥密码算法不同于普通的工业技术，关系到国家之间在密码技术领域的控制与反控制。

国际上这个领域的游戏规则是“算法专利化——专利标准化——标准垄断化”。

美国已提前完成了下一代公钥密码的知识产权布局。

NTRU专利（WO98/08323，CN1232588）是一个基础性专利，覆盖范围要比我们通常理解的N T R U密码算法大得多，从技术上很难绕过。

N T R U在我国大量使用必将遇到知识产权问题。

十五期间，我国有多个基金项目和博士论文把N T R U密码算法作为研究课题。

遗憾的是，这些研究成果发表后
均成为公知技术，没有产生出N T R U 的改进型专利或封锁N T R U 的垃圾专利（目前检索到的这类专利，均由外国公司申请），我国错过了申请这类专利的最佳时机。

从知识产权对抗的角度，国家投入巨大科研经费获得的成果，却在客观上提高了美国N T R U 公司的无形资产价值。

我国抗击NTRU 的专利进攻，已没有什么筹码。

M Q 基本上属于公知技术。

但需要解决三个问题：一是加密算法过于简单；二是只能签名、不能加密，其加密的安全性远低于签名的安全性；三是要实现基于身份的密钥管理。

对此有两个研究方向：
第一个研究方向：在现有的M Q 框架内部挖掘潜力。

二十多年来，国际密码学术界对M Q 进行了深入研究，目前尚未完全解决上述三个问题。

第二个研究方向：突破MQ 框架的限制，开发外部资源，在更大的算法空间中建立新的公钥密码体制。

例如本文作者
提出的“有理分式公钥密码体制”[4]，对M Q 进行了向外决定把“抗量子计算的公钥密码”作为重要研究方向，并且投入了相当的人力物力。

2008年，由我国著名信息安全专家张焕国教授领导的密码研究团队，已经在“有理分式公钥密码体制”的基础理论、安全性分析、算法优化、软硬件实现等方面开展了研究，并取得了一些实际成果。

参考文献：
[1] 陆晓亮，胡苏太，“量子计算机的发展现状及趋势”，《高性能计算发展与应用》2006 年第一期，pp.7-11.
[2] PQCrypto 2006: International Workshop on Post-Quantum Cryptography, http://postquantum.cr.yp.to/pqcrypto2006record.pdf [3] PQCrypto 2008: Post-Quantum Cryptography, Second International Workshop . Lecture Notes in Computer Science 5299 Springer 2008, ISBN 978-3-540-88402-6
[4] 管海明，“有理分式公钥密码体制”，《第五届中国信息与通信安全学术会议（CCICS’2007）》，科学出版社，2007.
[5] /2008/10/dwave-quantum-。