深入分析量子计算对 RSA 和 ECC 加密算法的威胁

TL;DR

RSA 和 ECC 是目前保护互联网安全的两大主流加密技术。虽然 ECC 在效率和密钥长度上优于 RSA，但两者在未来强大的量子计算机面前都显得脆弱。本文探讨了它们的运作原理以及量子计算将如何挑战现有的加密标准。

RSA 与 ECC 的脆弱性原理

RSA（Rivest-Shamir-Adleman）与椭圆曲线密码学 (ECC) 是现代在线隐私新闻和安全网络连接的基石。RSA 的安全性建立在大数质因数分解的极端难度之上，而 ECC 则利用了椭圆曲线离散对数问题 (ECDLP)。在传统硬件上，256 位 ECC 密钥提供的安全强度相当于 3,072 位 RSA 密钥，因为使用波拉德 Rho 算法对其进行破解需要数十亿年的时间。

然而，这种安全性优势仅针对传统计算机而言。秀尔算法（Shor’s Algorithm）作为一种量子周期查找机制，可以在多项式时间内解决整数分解和离散对数问题。虽然 ECC 的量子电路在每位处理上更为复杂（需要模逆运算和托佛利门），但破解它所需的总资源远少于 RSA。根据 Webber 等人（2022 年）的研究表明，破解 256 位 ECC 大约需要 2,330 个逻辑量子比特，而破解 2,048 位 RSA 则需要 4,098 个逻辑量子比特。

量子威胁入门：为什么 RSA 和 ECC 无法长久维持

图片来源：Tekysinfo

“先收集，后解密”(HNDL) 风险

对于 VPN 技术用户而言，最直接的威胁莫过于“先收集，后解密”（Harvest Now, Decrypt Later）策略。目前，某些国家级黑客组织正在拦截并存储加密的 SSL/TLS 会话和 VPN 隧道数据。虽然他们现在无法读取这些内容，但其目标是待“具有密码学意义的量子计算机”（CRQC）问世后，再对这些历史数据进行回溯解密。

这对于具有长期敏感性的数据（如知识产权、医疗记录和政府机密通信）构成了致命风险。如果您的数据保密期需要达到十年或更久，那么这种威胁从现在起就是“进行时”。各机构必须评估其加密方案的暴露风险，并向抗量子协议过渡，以防止未来的量子计算技术破解当下的流量。

量子计算机硬件

图片来源：PBX Science

新标准：ML-KEM 与 ML-DSA

摆脱对 RSA 和 ECC 依赖的关键在于转向后量子密码学 (PQC)。这些是专为抵御量子攻击而设计的传统算法。美国国家标准与技术研究院 (NIST) 的后量子密码学项目已正式确定了三大标准：FIPS 203 (ML-KEM)、FIPS 204 (ML-DSA) 以及 FIPS 205 (SLH-DSA)。

ML-KEM（原名 Kyber）是一种基于格（Lattice-based）的机制，用于通用加密和密钥封装，是 TLS 和 VPN 应用的官方推荐默认算法。ML-DSA（原名 Dilithium）则作为数字签名的标准。这些新算法在提升安全性的同时也带来了一定的性能权衡；例如，基于格的方案拥有更大的公钥和密文，与传统的 ECDH 相比，这可能会使握手开销增加 20% 到 35%。