Why Nostr? What is Njump?
2023-11-23 12:06:14

葱一根 - one sat on Nostr: 4 量子密码破解何时发生? ...

4
量子密码破解何时发生?

本章将涵盖确定量子密码破解何时发生、何时可能发生以及如何进行的主要因素。它将给出一个许多其他量子计算专家都想避免的答案:量子密码究竟什么时候会被破解?

永远是“十年后”?

自1994年Peter Shor的量子算法发布以来,全世界的计算机科学家和密码学家都认识到,量子计算机,如果我们能制造出量子计算机,就有可能破解现有的公钥密码和其他加密技术。如果我们能成功破解密码,那只不过是个时间问题。
在过去的20年里,当我们大多数人被问到什么时候会发生时,我们的回答是,“在未来10年内!”每当有人问我的时候,我都说同样的话。说“在未来10年内!”基本上就是在说,“我们真的不知道。也许很快。也许还有几十年!” 这是一个捏造的回答。
我开门见山吧。没有人真正知道什么时候会发生。任何人告诉你不同的答案,那是他们最好的猜测,或者是一些秘密团体的一部分,他们已经破解了量子密码,但发誓保密。甚至有可能永远不会发生。我们可以找到一些令人吃惊的技术墙来阻止它的发生!有一些人认为,“永远”是可能的结果。有些人认为,我们所描述的量子计算机真的是别的东西,我们都错了。但总的来说,一般的量子物理学研究者,如果被要求猜测量子密码何时会被破解,往往会说:“在未来10年内。”
有一次,大约十年前,当我从一个关于量子计算和可能的未来量子突破的频繁演讲中走下来时,听众中有人问我,我认为量子突破可能会在什么时候发生。我说:“在未来10年!”一如往常。著名的密码学和业界名人Bruce Schneier,我一直把他看作是一位非正式的导师,在我之后上台做主题演讲。经过我身边时,他悄悄地在一旁问我,“罗杰,这话你说了多久了?“我意识到,作为对这个问题的回答,我已经说了近20年了。时间过去了,我的答案没有改变。这让我怀疑自己是否真的了解量子密码破解还有多远。这让我意识到,我其实并不知道。没人知道。那是将近10年前的事了。
但现在如果你问我今天的最佳猜测,我会告诉你量子密码的破解要么已经发生,要么更有可能在未来几年内发生。我相信,不仅加密货币很有可能在未来一到三年内被破解,而且世界上大多数国家都对此毫无准备。因此,我写这本书的全部原因是:尽我所能帮助你更好地为即将到来的现实做准备。我不是量子物理学家我也不是靠制造量子计算机为生的。我是故意拿我的职业声誉冒险,宣布我的量子突破的预言近在眼前。
那么,是什么改变了我,让我在没有人真正知道的情况下,在地上立了一个木桩,预测了一个特定的时间线?我不就像以前那些失败的末日预言家一样吗?他们预测了圣经中的大灾难,小行星碰撞,粒子加速反物质的漩涡,以及每一种可能的原因造成的世界末日的情景。是什么改变了,让我不再说“10年后”,开始认为这可能在几年内发生?我将在下一节介绍这一点。
当人们讨论他们是否认为量子计算机将打破传统密码学时,他们真正争论的是量子力学的现实,它在现实世界量子计算机中的实现,以及这些量子计算机在打破传统密码学方面的能力。在本节中,我们将讨论其中的许多因素,并对我们目前所处的位置和在不久的将来我们将处何方。我将逐一解决这些因素。

量子力学是真的吗?

是的,量子力学是真的。如第一章所述,量子力学和大部分涉及的量子特性(光电效应、波粒二象性、纠缠、不确定性、隧穿等)已经被反复证明是存在的。量子力学是世界上最成熟、最精确的科学之一。我们通常不知道一个量子属性是如何或为什么工作的,这对所有参与者来说都是非常令人不安的,但量子力学不是想象出来的。它不仅是真实的,而且科学家预测它将如何工作已经被证明,一遍又一遍。有时候,世界上最聪明的人试图证明量子力学的“奇怪性质”,是由于我们所遗漏的其他东西。而在每一种情况下,证明量子力学不是量子力学的实验都失败了。每一个实验都是为了证明量子特性的存在,并且会以某种方式反应,这些实验都被证明了。这是相当不错的实验记录。

量子计算机是真的吗?

是的,量子计算机是真实存在的。虽然现在大多数量子计算机的功能都不是很强大(退火量子计算机是个明显的例外),但它们仍然使用量子特性来进行计算,并且已经被验证使用量子特性。这很重要。这是另一种证明量子属性是真实存在的方法。在第一台真正工作的量子计算机出现之前,我们人类有可能无法按照自己的意愿捕获、利用和管理量子属性。直到第一台量子计算机被创造出来,我们所拥有的只是关于量子计算机的外观和操作的许多理论。然后,在1998年,第一台真实世界的量子计算机诞生了,我们再也不用担心了。从那以后的21年里,这是一次令人兴奋的旅程。
担心量子计算机会打破今天传统的公钥密码体制的核心障碍,尤其是在彼得·肖尔的素数分解算法于1994年发布之后,是我们是否能建造一台量子计算机。有许多反对者。四年后我们做到了。
没有那一项巅峰成就,其余的一切都不可能。但我们确实做到了。我们现在仅在西半球就有超过80个不同的量子硬件组,这是我们所知道的。可能还有更多我们不知道的世界范围内的人。最大的障碍是我们能否建造出一台量子计算机,我们做到了。最难的,据说是“不可能实现”的部分已经完成了。第一个量子比特是最难的。在我看来,从1个量子比特到100万个量子比特是一个容易得多的问题。
附注:有趣的是,一些非常聪明的科学家在说,我们仍然没有真正实现量子计算,他们提出科学或逻辑支持的论点来支持他们的情况。但是,随着每一种新型量子计算机的出现,以及成功演示量子算法和解决方案的成功证明,这些主张变得更加难以考虑。

叠加是真的吗?

是的,叠加是真实的。你不可能解决所有难以解决的经典计算机问题,如大素数方程因式分解,如果不能一次产生大量的答案……实际上,所有可能的答案都是在瞬间产生的。已经有成百上千的实验证明了叠加是真实的。在1996年,一个单一的原子被证明具有叠加态(https://quantumsciencephilippines.com/seminar/seminar-topics/SchrodingerCatAtom.pdf).从那时起,数以万亿计的原子(https://arxiv.org/abs/1310.8343)数以万计的聚合分子已经被证明是叠加的。更重要的是,所有的量子计算机都使用叠加作为它们的关键量子特性之一。如果没有叠加,它们就不可能存在和发挥作用。

彼得·肖尔的算法是真的吗?

没错,彼得·肖尔的算法是真的。如果没有Shor算法在现实世界中的应用,以及快速分解大型素数方程,传统的公钥密码和其他密码在可预见的将来仍然是安全的。尽管到目前为止,使用肖尔算法的量子计算机还没有分解大素数方程,但它们已经使用了肖尔算法,并显示其工作方式与肖尔预测的完全一致。2001年,IBM早期的量子计算机使用Shor算法对素数方程进行因子分解。这个问题已经有了答案,我们只需要更稳定的量子位来解决非常大的素数方程。肖尔的算法被验证为真,也意味着它所依赖的其他量子算法,如傅里叶变换,也是准确和真的。

我们有足够的稳定量子比特吗?

不,我们没有足够的稳定量子比特。这是目前量子计算的圣杯。使用 Shor 的算法去分解任何素数方程需要( 2 × n )+ 3 个稳定的量子比特,其中 n 是要破解的关键比特数。因此,要破解一个2048位元的RSA金钥,我们需要4099个稳定的量子位元,而要破解一个4096位元的RSA金钥,我们需要8195个稳定的量子位元。我们需要稳定的量子比特在正确的计算机上。肖尔的算法在量子退火计算机上没有那么有用(如第二章所讨论的)。到目前为止(写这篇文章的时候),我们只有一些范围在100以下的通用量子比特,而且即使是这些也不像我们需要的那样稳定。这与所需的4000多个稳定量子比特(或潜在的4,000,000,000个量子比特,包括一些计算中的辅助量子比特)相去甚远。问题是,稳定的量子比特数量会以多快的速度增长?
我要说的是人类的创造力。一旦我们发现了一个非常困难的硬件问题,我们就非常非常擅长制造大量的硬件。就像在第二次世界大战中,阿兰·图灵和他的团队(基于以前数百个盟友所做的工作)终于弄清楚了如何才能破解德国的恩尼格玛密码。图灵将不得不发明第一台真正的工作计算机,他做到了。然后他发现他需要几百个。他得到了。第一台收音机和电视机是超级难做的。下一百万没那么难。你可以说它花了几百或几千年的时间才做成了第一个东西。通常,下一个一百万不需要五年。第一个超级稳定的量子比特是最难的。从一个人变成十亿人并不难。
与此同时,许多科学家正致力于对肖尔算法进行因式分解优化,以减少所需的量子位数。肖尔的算法是一个上限(即所需的量子比特的最大数量),而不是一个下限。随着稳定量子比特数量的提高,Shor的算法很可能会随着时间的推移而得到显著的改进,因此需要的数量也会减少。所以今天,至少在公开场合,我们没有必要的稳定量子位数,但我们正在使用中间的两种协同方法来达到这个目的。一个是增加更稳定的量子比特,另一个是首先需要更少的稳定量子比特。

量子比特稳定性与误差校正

量子位元的相干性和退相干性目前是否达到了我们对量子霸权和量子密码破解所需要的程度?数字但就像量子比特的绝对数量一样,稳定性和纠错能力也在上升。每个季度的稳定性和纠错能力都有明显的提高。我们现在所知道的最稳定的量子计算机类型,如微软的Majorana费米子和离子阱,有很大的可能性来增加更多的量子比特。每个量子位元都是非常稳定的量子位元。这些供应商可以花费更多的时间、金钱和其他资源来增加量子位数,而不是试图稳定和错误纠正他们所拥有的。这是一个竞赛,看看哪种量子技术获胜:很多量子位元具有大量的纠错能力,或者更少的稳定量子位周期。

量子资源与竞争

有一个非常强烈的迹象表明,我们可能迟早会解决现有的量子问题,那就是投入大量的资源来解决剩余的问题。所有主要国家都在花费数百亿美元。对许多发展中国家来说,这已成为政府的首要任务,甚至连小国也在与大国合作。每个国家所有最大的技术和计算机公司,以及顶尖的大学都参与其中。这让我想起五年前的另一个全球项目。
在20世纪50年代,很少有人认为到1969年人类会登上月球。更令人吃惊的是,美国将宇航员送上月球的主要推动力直到1961年约翰·F·肯尼迪发表著名的宣言后才出现。八年后,在经历了无数的错误和灾难之后,美国宇航员登上了月球。我想不出还有哪一个项目能有同样数量的全球资源来争夺第一。对我来说,这绝对是一个登月计划。

我们是否有稳定的进步?

是的,我们有稳定的进步。所有这些全球资源和竞争都在推动量子计算的稳步发展。量子比特的数量在增加。量子比特的稳定性在增加。纠错能力越来越好。量子逻辑门的速度在增加。量子计算机类型的数量正在增加,改进的量子发明几乎每周都会发生。
更多的量子算法被发明出来,更老的量子算法也被证明在量子计算机上使用。有多个量子处理器可供选择。现在有十几种量子编程语言、脚本语言和编译器存在。量子网络不再是梦想。量子随机数发生器正在使用中。多厂商都觉得量子霸权指日可待。似乎没有什么重大的挫折或障碍是人们认为无法解决的。
一些批评家把量子计算和量子突破比作核聚变。核聚变是指两个或两个以上原子的原子核结合成为一个原子的过程。核聚变产生大量的能量。它是太阳产生热量、能量和光的方式,长期以来一直被认为是为地球提供动力的能源技术。但是,经过80多年的研究和开发,花费了数十亿美元,我们似乎并没有比开始时更接近。批评者称量子计算为下一个聚变现金呼吁。他们认为,以量子为基础的团体为了获得大量资金而过度宣传量子计算的前景。
但是聚变研究和量子研究有着巨大的区别。核聚变研究几乎没有十年的进展。大多数实验都是实际失败的。我们还是没有一个能用的聚变反应堆。在量子世界里,我们有工作装置。我们不断改进。我们不断进步。这似乎不是一门被阻碍或放慢的科学。恰恰相反。

专家意见

最后,在很长一段时间里,几乎所有的量子计算专家都认为,量子霸权至少还需要十年的时间。现在各种观点开始发生冲突,越来越多的声音开始认为量子霸权离我们不过一两年的时间。许多量子计算专家认为,距离量子密码破解只有几年的时间了。
剑桥量子计算公司商业发展的科学负责人马克·杰克逊(Mark Jackson)就是其中之一。他和剑桥量子计算正在帮助几个不同的量子计算项目。他在量子计算机技术的深厚积淀,了解技术目前在哪里,并在未来几年内将在哪里。他曾公开预测,量子密码很可能在未来几年内被破解,肯定不超过10年。这可不是我们常说的“十年后”的胡扯。那时候我们(一度)甚至没有量子计算机,更不用说一百台工作的量子计算机,遍布世界各地的团队,以及数百亿美元来解决这个问题。现在,这不是一个“我们不知道”的答案,而是基于现有量子计算科学的稳步、有条不紊的进步。杰克逊并不孤单。

量子网络突破将何时发生

当所有需要打破传统密码学的因素都被考虑在内时,一个强有力的论点可以说,它迟早会发生。一些专家说,如果在未来五年内没有发生,他们会比如果发生更惊讶。话虽如此,在完成之前,谁也不知道什么时候会发生。一个理性的人应该看一看所有可能的择时方案,并考虑哪种方案在风险调整的基础上看起来更合理。

定时方案

当量子密码破解将要发生(或不发生)时,有四个可能的大致时间段:它已经发生了,但我们不知道这件事;它会在未来几年内发生;它不会在未来几年发生,但最终会发生;或者它永远不会发生。这是仅有的四种可能的结果,下面将详细介绍每一种结果。

已经发生了

有一个非常真实的可能性,量子霸权和量子密码破解已经发生在一个私人实体内,而公共世界的其他人根本不知道。人们普遍认为,如果一个主要国家的政府能够获得量子霸权,特别是第一个破解量子密码,他们将有充分的动机保持沉默。
附注:世界各国政府都很擅长保守加密的秘密。英国政府通信总部(GCHQ)的Clifford Cocks在1973年创建了我们现在所说的RSA密码,Malcolm J. Williamson在1974年发现了我们后来称之为Diffie-Hellman的密码。不久后,两人都被转交给美国国家安全局(NSA)。他们分别于1976年和1977年公开宣布的迪夫、赫尔曼和默克尔的再创,并没有使英美两国政府承认它们在过去几十年中的存在。事实上,英国政府直到1997年(24年后)才承认自己是公钥密码术的第一创造者。
世界上大多数间谍机构都希望获得量子密码的破解,并尽可能长时间地保密。然后,他们可以监视许多实体和其他政府,这些实体和政府仍然依赖传统公钥密码,认为它仍然可以安全使用。我相信大多数加密专家希望,如果他们的政府在公共部门的某个人或某个实体之前首先获得访问权限,他们的政府会保守秘密。
这一理论甚至可以被接受,因为几个国家和公司已经(在2019年之前)声称他们已经获得了量子霸权,或者已经非常非常接近了。这包括谷歌、IBM和阿里巴巴。然后突然间,许多公众的声音都沉默了。许多人想知道为什么。就我个人而言,正如我所猜测的那样,在不知道它的可能性的情况下,我给出了15%的可能性。

在未来几年内

你的作者,我和许多其他人认为量子霸权和量子密码的破解只需要几年的时间,或者更快。这绝对不是大多数人的观点,但它的支持率每天都在增长。量子霸权很可能在未来一年左右获得(谷歌、IBM和其他公司一直在直言不讳地谈论这一事实)。我不认为同意谷歌和IBM的预测是一个巨大的风险。
获得量子霸权意味着什么是另一回事。虽然量子霸权将是一个历史性的转折点时刻,量子计算机可以做经典计算机不能做的事情,但这不太可能意味着世界将在可测量的水平上立即不同。达到量子霸权的第二天是大量工作的开始,毫无疑问,这些工作将导致许多伟大的发现。但它们都不会在一天之内实现。大部分劳动的成果需要多年的时间和更多的进步才能实现,就像电、灯泡、收音机、电话、电视和互联网被发明时一样。
量子密码的破解绝对会紧随量子霸权之后,但它之后的时间目前也无法预测。核心问题是通用量子计算机供应商需要多长时间才能将稳定量子比特从不到100个提升到超过4000个?一旦量子位稳定和纠错得到“想通”,这是一个很好的机会,数字将移动得相当快。
在古典世界中,一旦我们找到了如何在一块硅片上安装大量晶体管的方法,在同一空间中的晶体管数量大约每隔18个月到两年就会翻一番(根据摩尔定律的预测)。到目前为止,能够被特定类型的量子计算机所创建和使用的量子比特的数量以一种更难以预测的方式增长,尽管它可能被比作非常早期的微处理器。表4.1显示了不同量子计算机每年使用的量子位数,比较了非退火和退火类型(只是作为一个比较)。
表4.1:按年份分列的各种量子计算机使用的量子比特数
重要的是要记住,正如第二章所述,一台量子计算机,它的速度,以及它所能完成的不仅仅是量子比特的数量。如果你看看量子计算到目前为止的历史,几乎所有的组件都在改进,以及以前不存在的新组件和组合。我们只知道在所有的量子制造前沿都在稳步改善。我认为这种情况发生的可能性为30%。

在未来几年后

这基本上是标准的“未来10年内”的回应。它不太可能在未来几年内发生,但量子霸权和量子密码破解将在未来的某个时候发生。绝大多数量子科学家都属于这一类。这种时间场景与前者(“在未来几年内”)的一个显著区别是,实际上直接从事量子计算机产品的量子科学家认为它会在10年前发生。这是一个值得注意的事件。科学家们还不确定什么时候会发生,但他们开始对未来五到七年内会发生的事情感到舒服,不相信我们要等10年。这是一个很大的思维转变。当然,量子霸权和量子密码破解的可能性总是存在的。毕竟,谁也不知道具体什么时候会发生。我认为这种情况发生的可能性为50%。

这是永远不会发生的

更小比例的量子计算专家认为,这种情况永远不会发生。他们认为大规模量子计算的剩余问题是无法克服的。有些人甚至认为,我们今天拥有的量子计算机并不是真正的量子计算机。他们认为,在一个我们还不太了解的世界里,我们看到了我们想要看到的东西。他们认为,我们创造的每一种量子计算机最终都会遇到一个问题,使他们无法真正超越我们今天创造的粗糙的算盘式装置。他们的信仰不能被抛弃。其中一些信徒是我们世界上最聪明的人之一。他们对量子计算的了解远远超过我们大多数人。
尽管如此,我不会把我的钱放在这个“永远”理论下。永远是一个很长的时间,很多以前的聪明人,包括爱因斯坦,直到走到坟墓,都在质疑量子力学的完整性,即使他们质疑量子属性,但是最终被证明是存在的。我认为这种情况发生的可能性在5%或更低。更重要的是,绝大多数知识渊博的量子科学家和美国政府都不太相信这最后一个时间方案(下一节将详细介绍)。
关于这个问题,我最喜欢的一句话来自德克萨斯大学奥斯汀分校的量子教授斯科特·阿伦森,他在他的书《自德谟克利特以来的量子计算》中写道:
如果可扩展的量子计算被证明是不可能的,那将比证明它是可能的更让我兴奋一千倍。因为这样的失败将意味着我们对量子力学本身的理解有错误或不完整的地方:物理学的革命!

你应该什么时候准备

你可能会问自己,“如果量子计算专家中没有一个人对它何时发生达成一致,我们是否应该现在就开始为即将到来的量子密码破解做准备?”你可能会担心,你会浪费宝贵的时间和资源,开始关注可能是多年,甚至几十年后的事情。您可能会想:“在计算机安全的世界里有许多事情需要担心,其中许多比一些理论上的、空中楼阁式的千年虫问题要紧迫得多!”你有这样的想法是可以理解的,尤其是因为你的绝大多数同行计算机安全从业人员目前完全没有意识到这一点,也没有采取任何行动。你甚至可能采取“保守的立场”,并认为你是最大限度地利用资源,直到你听到量子霸权和量子密码破解实际发生。你可能会觉得,当真正的威胁最终实现时,等待大众做出反应更安全,就像鱼在逃离捕食者时同步移动一样。你可能认为等待、宣布休息是有效和最具成本效益的。
好吧,与那些没有人真正知道答案的计时场景不同,当你和你的组织应该开始为量子优势做准备的时候,答案就是现在!有很多事情你现在应该做(在本书的第二部分),如果你现在开始做,将会更便宜和容易。还有一种非常真实的可能性,那就是等待量子中断的发生太晚了,无法保护你的组织的秘密。如果您的竞争对手或感兴趣的民族国家足够关心您最敏感、最具保护性的数据,他们可能已经在虹吸您的加密数据,等待有一天,他们可以看到它使用量子计算。即使你认为你拥有对对手有用的零敏感数据,现在开始为后量子世界做准备显然更便宜、更有效。这个推荐不是我一个人说的。

美国国家安全局说,现在!

2016年,美国国家标准与技术研究所(NIST)、国家安全局(NSA)和中央安全局(CSS)表示,“现在”是开始为“后量子”世界做准备的时候了。他们在国安局/CSS信息保证局商业国家安全算法套件和量子计算FAQ(https://cryptome.org/2016/01/CNSA-Suite-and-Quantum-Computing-FAQ.pdf).很明显,关于后量子准备,“国家安全局认为现在的时间与量子计算的进步是一致的。”
如果你的组织中有人问你是否应该为量子霸权和即将到来的量子密码破解做好准备,向他们展示这篇文档,特别是那一部分。已经很清楚了。它至少有三年的历史(截至2019年)。因此,不管可能的时间方案及其可能性,我们国家最好的科学家头脑和那些最有可能最熟悉量子计算的进展和剩余的技术障碍是告诉世界,它现在需要做好准备。这听起来像是他们没有看到“永远不可能”这一最后可能的时机方案的成本效益论点。

美国国家科学院说,现在!

2018年,美国国家科学院发表了一份共识研究报告,名为《量子计算:进展与展望》(英语:Quantum Computing:Progress and Prospects)。http://cs.brown.edu/courses/csci1800/sources/2018_NAE_QuantumComputing_ProgressAndProspects.pdf).关键发现1号说,量子计算突破R SA-2048位的前景至少还需要十年。这是我读过的关于量子断裂何时发生的最轻松的结论之一。但紧随其后的是发现 10号,它说:
即使能够解密当前密码的量子计算机还需要十多年的时间,这样一台机器的危险性也足够高,而且过渡到新的安全协议的时间框架也足够长和不确定。后量子密码的标准化和部署对于最大限度地减少潜在的安全和隐私灾难的机会是至关重要的。
就是说,现在就开始准备。

莫斯卡不等式

2015年,滑铁卢大学的Michele Mosca指出,我们需要开始担心量子计算机的影响,当我们希望我们的数据安全的时间加在我们的计算机系统从经典过渡到后量子所需的时间上,超过了量子计算机开始破解现有量子敏感加密协议所需的时间。例如,如果您需要您的关键数据在未来10年内是安全的,而您将需要5年的时间来过渡,那么您需要在15年前从后量子世界开始迁移到后量子系统。当Mosca第一次陈述他的结论时,他选择2020年作为未来的时间点,但普遍的共识是,对于大多数需要高数据安全性的组织来说,我们在2017年就通过了。这里是一个伟大的文章莫斯卡不等式由剑桥量子计算联合创始人伊莱斯·汗:www.linkedin.com/pulse/moscas-inequality-why-matters-ilyas-khan-ksg/. 我会重新介绍莫斯卡的不等式,在第九章有更详细的介绍。

突围方案

更复杂的是,没有人知道当我们达到量子霸权和量子密码破解的时候,“突破”的场景会是什么样子。那些可以实现的和被破坏的东西的权力是掌握在少数人的手中,还是会像发现公钥密码术那样,在几年内全世界都在使用它?让我们来看看如果实现了这一目标,可能会出现的一些突破场景。

长期停留在民族国家的领域

许多国家正在花费数十亿美元成为第一个实现量子霸权和量子密码破解的国家。大规模建造量子计算机需要数十亿甚至数千亿美元的投资。一个可能的突破性情景是,一个或多个国家可能在几年内实现这些量子目标,而这就是实力所在。政府将保护和限制量子力量,因为它有能力破解当今的数字密码,并尽可能将其掌握在少数人手中。他们将希望限制可能的损害,并确保自己国家的秘密在向公众释放量子能量之前得到充分保护。
这种情况可以被看作是大多数国家对待原子武器的方式。它们是在民族国家层面付出巨大代价实现的,一旦实现,就会受到高度保护。每一个进入“核俱乐部”的国家都会受到,一旦他们加入俱乐部,大多数其他俱乐部成员都会试图阻止他们未来的成员资格。各国和全球都制定了法律,以防止核武器落入未经授权的绝密政府机构之外的任何人手中。
您可能会对将量子计算等同于核武器持怀疑态度,但请记住,许多政府认为强密码学是国家最高机密。英国和美国并没有公布英国发明公钥密码的事实,因为它在公共领域使用了几十年之后。即使在今天,包括美国在内的许多大国的个人和公司仍被禁止向其他国家出口强密码学。即使是在互联网上发布强密码,让其他国家的人下载,也可能是一种犯罪。强加密技术被认为是“军火”,受《美国武器出口管制法》的保护。不遵守国家密码出口法可能被视为叛国罪,可能会被判处死刑。
过去,很多人甚至因为在软件产品和互联网上分享常用的密码算法,而被判叛国罪。在九十年代初,齐默尔曼(Phillip Zimmerman)(https://en.wikipedia.org/wiki/Phil_Zimmermann)由于在其可免费下载的PGP软件程序中使用了通用密码标准,他被美国政府视为必抓捕之国际密码学烈士。
可以说,如果民族国家认为他们可以独享量子计算,他们会的。政府可能会允许量子计算,但将破解传统密码定为非法,即使公众有可能这样做,这也不是不可能的。政府甚至可能制定法律,阻止量子计算制造商允许他们的计算机被用来破解传统的公钥密码。肖尔的算法会被取缔吗?如果肖尔算法被禁止,有人会因为自己实现该算法而被捕吗?
同样,您可能会怀疑这种可能性,但已经有类似的情况,关于打印机,扫描仪和复印机(和其他设备,如传真机和照片编辑软件)被美国政府强制阻止打印真实的美国货币。大多数人都不知道,大多数复印机、打印机和扫描仪(和软件)都含有防止实际印刷钞票的编码。我会告诉你尝试复制和印刷货币,是重罪,甚至连尝试都非法。
附注:有很多很多的美国法律禁止复制和印刷法定货币。许多人认为,设备中包含的代码,以防止货币印刷,但这是一个普遍的虚假谣言。我的一个“朋友”最近试图在各种设备上复制和打印不同的美国货币,发现他可以复制相当逼真的货币副本,甚至将它们保存为文档文件,但任何以100%比例打印货币的尝试都被阻止了。他可以印制非常大的钞票,但所有按常规比例印制的尝试都会导致印刷错误、拒绝印制和切掉副本。这可能不适用于所有的设备,但它确实发生在我的朋友在他有限的测试中尝试过的设备上。下面是一个 YouTube 视频,有更多的细节:www.youtube.com/ watch ? v =1c-jBfZPVv4。

最大的公司在使用中

有一种观点认为,开发量子计算机的成本将使量子密码破解停留在民族国家的领域,只有拥有足够资源来制造、购买或租用大型量子计算机的最大公司才能使用。Shor的算法需要拥有超过4000个非常稳定的量子位的量子计算机来打破当今最常见的公钥大小。一旦达到这种规模,它很可能会成为最昂贵的计算机之一,其价格远远超过房间大小的大型机,甚至超过数百万的托管云虚拟机。任何新的、惊人的、非常困难和罕见的东西的纯粹经济学表明,大规模量子计算在许多年内都将是超级昂贵的。
当然,有一天,我们可能会在每个人的桌子上得到一台量子计算机(或处理器),但这一特定的现实肯定是几十年后。第一个传统的计算机微处理器(至少供应商称之为微处理器)诞生于1968年。虽然微处理器在昂贵的计算机和有点昂贵的计算器中广泛使用,但在世界上大多数桌面上的计算机微处理器的想法直到20世纪90年代才发生(许多人仍然会说,它们不是世界性的)。
因此,仅仅出于经济原因,这可能是一个现实的突破性场景,最大的公司使用大规模量子计算机,但几十年来资源较少的公司和个人很少使用它们。此外,由于国家法律的原因,最大的公司也很有可能将量子密码破解的能力限制在预先授权的公司身上(这是通过印刷货币实现的)

大规模扩散

最合理的中期突围方案是大规模扩散。现在已经有大约100台小型量子计算机,有限的量子计算能力正在向小公司和个人免费或收取分时费用提供。似乎不太可能如果不被法律禁止,这些公司制造和分享他们现有的有限的量子计算资源,就不会让它们变得越来越普遍。

最有可能突破的情况

如果历史可以作为指导,那么最有可能的突破方案将是民族国家(及其支持机构、公司和相关大学)将成为第一个使用大规模量子计算的实体。也许最大的公司(如谷歌、IBM、阿里巴巴或微软)可能会先到达那里——尽管如果他们真的打败了政府,政府可能会是主要的初始客户,其次是大型组织。
很快,你就会看到各种规模的公司将量子计算机用于数百种不同的应用。分时量子计算机的使用将在大型组织和大学中很普遍。我认为这一切都发生在量子霸权的几年之内。在十年左右的时间里,我们都将在自己的设备上运行某种量子计算功能。要么它们将成为设备的一部分,要么我们的设备将链接到量子计算服务,当我们的设备和问题需要时,量子计算服务将处理和提供量子计算。
我们以前也经历过,身处在技术跳跃点的边缘。发生在互联网上。发生在传统的公钥加密中。所有这些努力首先使政府和大型组织受益,并在短时间内推广到世界其他地区。政府试图(而且仍然努力)将强大的密码锁在远离世界其他地方的地方。到目前为止,这种策略并没有长期有效,主要是因为一旦一个特别强大的加密实现在理论上是已知的,它很快就会成为一个实际的现实。试图阻止强大的加密货币被世界使用就像试图阻止通信。他们往往是同一件事,尤其是在数字世界。

总结

总结一下这一章,虽然我们不知道量子霸权和量子密码破解什么时候会发生,但最有见识的计算机科学家和美国政府的普遍共识是,你现在就应该开始准备了。第五章将介绍后量子世界可能是什么样子的,这样你就可以在开始准备的时候有一个全面的了解。



Author Public Key
npub1n9mrac8x3pk62ct3p4j5h7s5kpk9kdx34h99yhuuz63urwka2kfsuv4ptv