什么是后量子密码学？量子计算机vs经典计算机

2019年，谷歌与瑞典斯德哥尔摩皇家理工学院公布了一项研究成果，演示了量子计算机如何在8个小时内暴力破解2048位RSA加密（由Ron Rivest、Adi Shamir、Leonard Adleman提出的非对称加密算法），而这是经典计算机几乎不可能完成的任务。这一成果成功秀了量子计算机的“肌肉”，同时也让人们的信息安全意识警醒。在量子计算威胁下，已部署的一些传统密码算法暴露出诸多安全隐患，人们迫切渴求新的加密技术出现。

量子计算机vs经典计算机

计算基本单位不同。经典计算机采用的是经典比特（binary digit），只能表示0和1两种状态。量子计算机则使用量子比特（qubit），具有叠加、纠缠、干涉的物理特性，可在一定条件下同时存在多种状态。因此，量子计算机比经典计算机拥有更强大的计算能力，能够更高效地解决经典计算机无法或难以解决的问题。

发展阶段不同。量子计算机的硬件和软件极其复杂，需要高精度的物理控制和算法设计，不论是制造还是使用都存在很大的技术难度和挑战。当前量子计算机还处于初期阶段，其规模和性能比较有限，在实际应用中存在局限性。尽管量子计算机已展示出强大的计算能力，但距离通用仍有很长一段路要探索。

什么是后量子密码学？

后量子密码学（Post-Quantum Cryptography，PQC）是在经典计算机上定义和执行算法，研究量子计算机和经典计算机都无法破解的新密码系统。后量子密码学的提出是为了抵抗量子计算机的攻击，所以又称抗量子计算密码学。

以公钥密码学为例，作为数字基础设施的基本组成部分，后量子密码学研究了格（一种线性无关向量的线性组合的集合）密码学、容错学习问题等诸多方向，期望基于这些计算难题，构建出不受量子计算机攻击的公钥加密系统，继而替代现有方案。对于有长期数据安全存储需求的行业，如交通、能源、医疗等领域的关键基础设施，需要尽早完成从传统密码到后量子密码的升级换代。

后量子密码学：从理论到实践

随着量子技术不断发展，后量子密码学得到越来越多的关注和广泛研究，但产业化推广工作仍需从以下三方面展开：

在多种硬件平台上实现后量子密码并加速处理，同时跨平台兼容适配，提升后量子密码的可用性、实用性；

实现对现有后量子密码标准算法全覆盖，并完成现有网络传输加密协议的升级；

研发后量子密码芯片，提升能耗比、加密速度及抵抗侧信道攻击能力。

在AIoT时代，物联网芯片资源有限，如何降低算法的资源消耗，是后量子密码算法成功在芯片上部署的关键，更是后量子密码学发展亟待解决的问题之一。

RISC-V与后量子密码学的融合

作为一种全新的指令集架构，年轻的RISC-V摒弃历史包袱，无需担心历史版本的兼容问题，凭借其开放、灵活且高效的特点，或可成为推动后量子密码学走向应用的最大助力。

2021年，德国慕尼黑工业大学基于RISC-V开发出了一种带有定制加速器的ASIC（Application Specific Integrated Circuit，专用集成电路），相比完全基于软件解决方案的芯片，这类新芯片能够以10倍的速度运行基于格的后量子加密算法（Kyber算法），能耗却降低了7/8。

2022年，南京航空航天大学与奥地利格拉茨技术大学合作，在仅有16KB内存可用的RISC-V平台上，提出了一系列基于格的后量子加密算法（Saber算法）的内存优化和性能优化技术方案。

如今，负责指令集规范的RISC-V International也在积极推进后量子密码算法的指令集扩展，究其原因是基于密码指令集的实现比基于软件的实现更具优势：基于CPU硬件的实现可以提高密码操作的性能，且硬件的实现可在应用中隐藏加密细节，减少攻击面。

对此，奕斯伟计算高级副总裁、CTO何宁博士表示：“虽然距通用量子计算机问世仍需时日，但我们无疑正走向量子信息时代，量子计算带来的安全隐患不容忽视，企业与组织应合力加快推动后量子密码技术的产业化进程。后量子密码学消耗资源巨大，需要我们提出低成本解决方案，对于如何提升算法运行能耗比，我相信RISC-V的引入是一个合理的答案。凭借RISC-V的高效性、可扩展性、先进性，可有效降低后量子密码芯片成本、功耗，提升性能，实现技术变革，推动产业升级，无惧量子计算攻击带来的挑战。”

审核编辑：黄飞