後量子加密的未來展望(一)：傳統通訊安全與量子計算帶來的威脅

測量、展示量子計算機能力的方法之一，是看其有無辦法用量子計算中的蕭爾演算法（Shor’s algorithm）來分解一個數目中內含的質因數（prime factors）。

傳統上質因數分解是個困難的問題，特別是被分解的數目是個大數。但是量子計算的蕭爾演算法對於質因數此一問題相對於傳統計算有指數性加速（exponential speedup），亦即在有足夠量子算力的條件下，質因數分解的計算時間得以指數式地縮短。

量子計算在其它問題上也擁有不等的優勢，譬如在一個無秩序的資料庫中搜尋一筆特定資料的問題，量子計算用葛羅佛演算法（Grover’s algorithm）可以取得平方加速（quadratic speedup），也就是計算時間可以開根號的縮短。

傳統的加密手段可以簡述如下。Alice要安全地傳送一段文本（text）給Bob（這是加密學的標準敍述方式），Alice首先會用一支二進位256位元的數字當成金鑰來加密，現在通用的標準方法是AES-256，然後將這段加密文本送給Bob，Bob用同一支金鑰反向操作即可解密。

問題是Alice如何遞送這支金鑰給Bob才安全？這就要用RSA-2048的公鑰—私鑰架構（public key-private key infrastructure）。

RSA-2048的公鑰是一個二進位2,048位元的大數目，它是2個大質數的乘積。每個人的公鑰都是公諸於世、眾所周知的。Alice用Bob的公鑰來加密文本使用的密鑰，送給Bob。與AES不同的是，解密必須用Bob的私鑰，而這私鑰就是公鑰的2個質因數之一。

這公鑰—私鑰的架構可以用電子郵件來打比方。在此例中，Bob的公鑰是他的電子郵件住址，是公諸於世的。要送給Bob的資訊寫在信中是受到保密的，只有Bob收到信件登入、輸入自己信箱的密碼（也就是私鑰）後，才可以取出資訊。

RSA-2048的安全性依賴於用傳統計算難以分解大數的質因數此一事實，而AES-256的安全性來自於對金鑰搜尋的困難。不幸地，量子計算的出現摧毀現存的加密體制，量子計算的蕭爾演算法—只要有足夠的量子算力—可以有效解決大數質因數分解的問題；葛羅夫演算法可以有效地解決搜尋的問題。這也許是量子計算機未來問世對世界的少數負面衝擊之一。

幸好量子計算不是萬能，不是所有的數學難題都可以解決的。量子計算能解決數學問題的範疇為有界誤差量子多項式時間（Bounded-error Quantum Polynomial Time；BQP）。

由於現存通訊安全體制在量子計算出現後可能會崩潰，業界早已開始籌畫後量子時代的安全通訊機制，其中的安全機制之一是於量子通訊（quantum communication）網路上的量子金鑰分發（quantum key distribution）。量子通訊網路具體例子為中國連接北京、濟南、合肥、上海及從這些節點衍生出的網路與墨子衛星所構成的量子通訊幹線。量子通訊的安全機制依靠的是物理，即量子資訊是無法被複製（non-cloning）的，任何竊取其上資訊的企圖勢必將破壞資訊，因此竊取資訊的企圖是枉然的，加密用的金鑰於其上傳送也是安全的。

另一個機制是後量子加密（Post-Quantum Cryptography；PQC）。此方法沿用目前通訊架構，但是改善加密的措施，藉以對抗量子計算破解加密，這是目前業界關注的焦點。