量子計算威脅：深入解析 RSA 與 ECC 加密安全危機

TL;DR

本文探討量子計算對現行主流加密技術（RSA 與 ECC）的潛在威脅。雖然目前 ECC 以較短金鑰提供與 RSA 同等的安全強度，但量子演算法的發展可能在未來輕易破解這些傳統加密標準，迫使網絡安全領域轉向後量子加密技術。

剖析 RSA 與 ECC 的安全隱患

RSA（Rivest-Shamir-Adleman）與橢圓曲線密碼學（ECC）是現代網絡私隱資訊與安全網頁連線的基石。RSA 的安全性建基於大質數分解的極高難度，而 ECC 則利用橢圓曲線離散對數問題（ECDLP）。在傳統硬件上，256 位元的 ECC 密鑰所提供的安全性等同於 3,072 位元的 RSA 密鑰，因為使用波拉德 Rho 演算法需要數十億年才能將其破解。

然而，這種運算上的不對稱安全性僅適用於傳統電腦。秀爾演算法（Shor’s Algorithm）作為一種量子週期尋找機制，能在多項式時間內解決整數分解與離散對數問題。雖然破解 ECC 的量子電路在每位元運算上較為複雜（需要模逆運算與托佛利閘），但比起 RSA，破解 ECC 所需的總資源反而少得多。根據韋伯等人（2022年）的研究顯示，破解 256 位元的 ECC 約需 2,330 個邏輯量子位元，而破解 2,048 位元的 RSA 則需 4,098 個邏輯量子位元。

量子威脅入門：為何 RSA 與 ECC 無法長久維持安全

圖片來源：Tekysinfo

「現在攔截，稍後解密」（HNDL）的風險

對虛擬私人網絡（VPN）技術使用者而言，最迫在眉睫的威脅是「現在攔截，稍後解密」（Harvest Now, Decrypt Later）策略。目前，具備國家級規模的黑客組織正持續攔截並儲存加密的 SSL/TLS 會話以及 VPN 隧道數據。雖然他們目前無法讀取這些資料，但其目標是在「具備密碼分析能力的量子電腦」（CRQC）面世後，立即進行解密。

這對具有長期敏感性的數據（如知識產權、醫療紀錄及政府通訊）構成了致命風險。如果您的數據必須保密十年或以上，那麼威脅在當下已經存在。企業與機構必須評估其密碼學曝險，並轉向抗量子協議，以防止未來的量子運算破解今天的流量。

量子電腦硬件

圖片來源：PBX Science

新標準：ML-KEM 與 ML-DSA

告別 RSA 與 ECC 的過程涉及轉向後量子密碼學（PQC）。這些是專為抵禦量子攻擊而設計的傳統演算法。美國國家標準與技術研究院（NIST）的後量子密碼學計劃已落實三項主要標準：FIPS 203 (ML-KEM)、FIPS 204 (ML-DSA) 以及 FIPS 205 (SLH-DSA)。

ML-KEM（前稱 Kyber）是一種基於晶格（Lattice-based）的機制，用於一般加密與密鑰封裝，是目前 TLS 與 VPN 應用的推薦預設標準。ML-DSA（前稱 Dilithium）則作為數碼簽署的標準。這些新演算法各有利弊；例如，基於晶格的方案擁有更大的公鑰與密文體積，與傳統的橢圓曲線迪菲-赫爾曼密鑰交換（ECDH）相比，可能會增加 20% 至 35% 的握手開銷。