Bilakah komputer kuantum akan memecahkan RSA?

Anggaran terbaik: 10–25 tahun untuk serangan pada RSA 2048-bit. Perkakasan masih belum dekat, tetapi trajektorinya adalah nyata. Jawapan yang jujur adalah ketidakpastian; perancangan selama 10 tahun adalah berhemat kerana data yang disulitkan sekarang mungkin masih berharga ketika itu.

Adakah penyemak imbas saya sudah menggunakan crypto post-quantum?

Jika Chrome, Edge, Firefox atau Safari dengan kemas kini terkini, sebahagiannya ya — menyambung ke pelayan berkemampuan PQ menggunakan pertukaran kunci hibrid. Penggunaan pelayan tidak sekata; Google, Cloudflare dan CDN utama menyediakan TLS hibrid PQ, manakala tapak yang lebih kecil kebanyakannya belum lagi.

Patutkah saya menggunakan Kyber dan Dilithium hari ini?

Jika anda seorang pembangun yang membina sistem baharu, ya — gunakan hibrid jika boleh. Jika anda seorang pengguna produk yang sudah mantap, peralihan berlaku di bawah anda. Jangan gantikan kripto klasik yang berfungsi dengan PQ tulen; gunakan kedua-duanya dalam konfigurasi hibrid.

Apakah perbezaan antara QKD dan PQC?

QKD menggunakan fizik kuantum untuk pertukaran kunci dan memerlukan perkakasan khas dan pautan khusus. PQC menggunakan algoritma klasik yang menentang serangan kuantum; ia berjalan pada infrastruktur sedia ada. PQC ialah apa yang sedang digunakan secara meluas; QKD ialah penyelesaian khusus untuk pautan fizikal keselamatan tinggi khusus.

Adakah kripto pasca kuantum pasti selamat?

Dipercayai selamat berdasarkan masalah keras (masalah kekisi, masalah kod, sifat cincang). Kurang diuji pertempuran berbanding RSA/ECC kerana ia lebih baharu. Kemajuan kriptanalitik terhadap skim berasaskan kekisi telah berlaku (dan membawa kepada penarikan balik algoritma semasa pertandingan NIST). Mod hibrid menyediakan insurans terhadap rehat masa hadapan.

Kriptografi Kuantum Dijelaskan: Algoritma Pasca Kuantum dan Maksud "Tuai Sekarang, Nyahsulit Kemudian"

Komputer kuantum — apabila cukup besar — akan memecahkan RSA, ECC, dan Diffie-Hellman dalam masa polinomial. Perkakasan belum wujud pada skala yang diperlukan, tetapi matematik telah diselesaikan: setiap sistem kunci awam yang dijalankan oleh Internet moden adalah terdedah. Tanggapan adalah kriptografi pasca kuantum, dan peralihan sedang dijalankan.

Badan artikel penuh disediakan dalam bahasa Inggeris di bawah.

Quantum cryptography ialah bidang kriptografi yang berkaitan dengan ancaman daripada komputer kuantum dan algoritma yang direka untuk menentangnya. Kategori ini merangkumi dua perkara berbeza yang sering dikelirukan antara satu sama lain: quantum key distribution (QKD), yang menggunakan mekanik kuantum secara langsung untuk pertukaran kunci; dan post-quantum cryptography (PQC), yang menggunakan algoritma klasik yang dipercayai dapat menahan serangan kuantum. PQC ialah apa yang sedang digunakan; QKD kekal khusus.

Ancaman: Algoritma Shor

Algoritma 1994 Peter Shor menunjukkan bahawa komputer kuantum yang cukup besar boleh memfaktorkan integer besar dalam masa polinomial. Akibatnya: RSA, yang bergantung kepada kesukaran pemfaktoran, rosak. Algoritma yang sama juga mengira logaritma diskret dalam kumpulan lengkung eliptik, jadi ECC (ECDSA, ECDH, Ed25519, X25519) juga rosak. Semua kriptografi kunci awam semasa kami bergantung pada dua masalah sukar ini.

Seberapa besar komputer kuantum? Anggaran sumber yang diperlukan untuk memfaktorkan RSA 2048-bit: kira-kira 4,000 qubit logik dan 10^9 gerbang kuantum, dikekalkan selama kira-kira 8 jam. Peranti semasa mempunyai 1,000+ physical qubit tetapi sangat sedikit qubit logik selepas pembetulan ralat; mencapai skala yang berkaitan secara kriptografi dianggarkan secara meluas mengambil masa 10–25 tahun.

Symmetric crypto kebanyakannya baik

Grover's algorithm menyediakan kelajuan kuantum untuk carian tidak berstruktur, mengurangkan separuh kekuatan kunci berkesan sifir simetri. AES-128 berkesan menjadi selamat 64-bit (tidak selesa), AES-256 menjadi selamat 128-bit (masih kuat). Fungsi cincang turut terjejas: Rintangan perlanggaran SHA-256 menurun daripada 128 kepada kira-kira 85 bit, rintangan praimej daripada 256 kepada 128.

Tindak balas pragmatik: gunakan kekunci simetri yang lebih besar (AES-256, SHA-384/512) dan algoritma sedia ada kekal selamat. Kripto simetri tidak rosak; ia hanya perlu diperbesarkan.

Tuai sekarang, nyahsulit kemudian

Kebimbangan jangka pendek yang paling sering disebut: musuh mengumpul trafik yang disulitkan hari ini dengan andaian mereka boleh menyahsulitnya dalam 10–20 tahun apabila perkakasan kuantum matang. Ancaman adalah nyata untuk mana-mana data yang kekal berharga selama itu — kabel diplomatik, risikan, rekod perubatan, dokumen undang-undang, harta intelek.

Inilah sebabnya peralihan pasca-kuantum tidak sabar menunggu perkakasan kuantum wujud. Data yang disulitkan pada tahun 2026 perlu tahan kuantum jika ia mesti kekal sulit pada tahun 2040. Penyeragaman PQC

NIST

NIST menjalankan pertandingan terbuka berbilang tahun (2016–2024) untuk menyeragamkan algoritma pasca kuantum. Pemenang 2024:

ML-KEM (CRYSTALS-Kyber) untuk pengkapsulan kunci — menggantikan ECDH/RSA-KEM
ML-DSA (CRYSTALS-Zdilithium) menggantikan XXL-Zdilithium ECDSA/RSA
SLH-DSA (SPHINCS+) tandatangan berasaskan cincang — sandaran untuk ML-DSA sekiranya kemajuan analisis kriptografi kekisi
FN-DSA (Falcon) dalam tandatangan padat environments

Tiga yang pertama telah diseragamkan sebagai FIPS 203, 204, 205 pada Ogos 2024. Falcon belum selesai.

Pengerahan sedang berlaku

Penyerahan dunia sebenar utama oleh 2025–2026:

TLS jas tangan hibrid — Chrome, Firefox, Cloudflare, Google dan lain-lain menggunakan hibrid X25519+Kyber. Kedua-dua algoritma berjalan; sambungan adalah selamat jika mana-mana kekal tidak terputus.
Apple iMessage PQ3 — protokol pemesejan menambah pertukaran kunci pasca-kuantum melalui hibrid tersuai pada tahun 2024.
Signal PQXDH pertukaran kunci hibrid Kybers ditambahkan — Signal PQXDH pertukaran kunci hibrid — 2023.
SSH — OpenSSH 9.x menyokong hibrid NTRU Prime Diperkemas untuk pertukaran kunci.
VPNs — WireGuard dengan pembalut Kyber wujud; VPN komersial mula mengiklankan pilihan PQ.

Pertukaran

Algoritma pasca-kuantum tidak percuma:

Saiz kunci lebih besar. Kunci awam Kyber ialah ~1.5 KB berbanding 32 bait untuk X25519. Tandatangan Dilithium ialah ~2.5 KB berbanding 64 bait untuk Ed25519. Lebar jalur dan kos storan penting pada skala.
Sesetengah algoritma adalah lebih perlahan pada perkakasan tertentu, terutamanya peranti yang dikekang. ML-KEM adalah setanding dengan ECDH; ML-DSA lebih perlahan daripada Ed25519.
Lkriptografi kisi lebih baharu dan kurang diuji pertempuran. Kebimbangan tentang kemajuan kriptanalitik adalah nyata; tandatangan berasaskan cincang (SPHINCS+) ialah sandaran yang lebih konservatif dengan kos tandatangan yang jauh lebih besar.

Pengedaran kunci kuantum: satu lagi

QKD menggunakan sifat kuantum (tanpa pengklonan, gangguan pengukuran) untuk mewujudkan kunci bersama keselamatan antara dua titik akhir. Tangkapan: ia memerlukan perkakasan khas (sumber/pengesan foton tunggal), gentian titik ke titik atau garis penglihatan, dan nod perantaraan yang dipercayai untuk jarak melebihi beberapa ratus kilometer. Penggunaan khusus wujud dalam bank dan rangkaian kerajaan, tetapi QKD tidak menskalakan kepada kes penggunaan gaya Internet.

NIST dan kebanyakan pakar kriptografi telah mengesyorkan PQC secara jelas berbanding QKD untuk kegunaan umum. Gembar-gembur di sekitar QKD sering mengatasi bidang kejuruteraan.

Apakah maksud ini untuk anda

Bagi pengguna individu, peralihan pasca-kuantum kebanyakannya tidak dapat dilihat. Penyemak imbas, OS dan apl pemesejan melancarkan algoritma hibrid secara telus. Data yang disulitkan hari ini dengan algoritma hibrid akan selamat walaupun komputer kuantum tiba. Pengecualian: jika anda mengendalikan data sulit jangka panjang (perisikan, rekod perubatan, rekod kewangan) dan perisian anda masih menggunakan ECDH/RSA klasik sahaja, itu patut diberi perhatian sekarang, bukan dalam 10 tahun.

Soalan lazim

Bilakah komputer kuantum akan memecahkan RSA?: Anggaran terbaik: 10–25 tahun untuk serangan pada RSA 2048-bit. Perkakasan masih belum dekat, tetapi trajektorinya adalah nyata. Jawapan yang jujur adalah ketidakpastian; perancangan selama 10 tahun adalah berhemat kerana data yang disulitkan sekarang mungkin masih berharga ketika itu.
Adakah penyemak imbas saya sudah menggunakan crypto post-quantum?: Jika Chrome, Edge, Firefox atau Safari dengan kemas kini terkini, sebahagiannya ya — menyambung ke pelayan berkemampuan PQ menggunakan pertukaran kunci hibrid. Penggunaan pelayan tidak sekata; Google, Cloudflare dan CDN utama menyediakan TLS hibrid PQ, manakala tapak yang lebih kecil kebanyakannya belum lagi.
Patutkah saya menggunakan Kyber dan Dilithium hari ini?: Jika anda seorang pembangun yang membina sistem baharu, ya — gunakan hibrid jika boleh. Jika anda seorang pengguna produk yang sudah mantap, peralihan berlaku di bawah anda. Jangan gantikan kripto klasik yang berfungsi dengan PQ tulen; gunakan kedua-duanya dalam konfigurasi hibrid.
Apakah perbezaan antara QKD dan PQC?: QKD menggunakan fizik kuantum untuk pertukaran kunci dan memerlukan perkakasan khas dan pautan khusus. PQC menggunakan algoritma klasik yang menentang serangan kuantum; ia berjalan pada infrastruktur sedia ada. PQC ialah apa yang sedang digunakan secara meluas; QKD ialah penyelesaian khusus untuk pautan fizikal keselamatan tinggi khusus.
Adakah kripto pasca kuantum pasti selamat?: Dipercayai selamat berdasarkan masalah keras (masalah kekisi, masalah kod, sifat cincang). Kurang diuji pertempuran berbanding RSA/ECC kerana ia lebih baharu. Kemajuan kriptanalitik terhadap skim berasaskan kekisi telah berlaku (dan membawa kepada penarikan balik algoritma semasa pertandingan NIST). Mod hibrid menyediakan insurans terhadap rehat masa hadapan.