美国国安局公开承认：现在所有加密都会被破，只是时间问题

你手机里的密码，现在可能已经被人复制走了，不是今天偷的，也许是几年前就偷的。对方不打算现在用，他们在等一台机器造出来，到那天再一次性全部曝光。

这不是阴谋论。美国国家安全局已经公开承认：一旦足够强大的量子计算机建成，它将能够摧毁所有目前广泛使用的公钥加密系统。

美国国会随即紧急立法，要求所有政府机构立刻切换加密方式，不是五年后，是现在，你现在看不出任何异样。

密码还在，账户还在，钱也还在账户里。但有人可能已经拿到了钥匙，只是在等最好的时机开门。这种手段有个正式的名字，叫"现在存储，以后解密"，说白了就是先偷，再慢慢看。

全球已经有国家级别的组织在做这件事，把拦截到的加密数据打包存起来，内容包括银行流水、医疗档案，甚至各国政府的绝密情报。他们现在打不开，但他们等得起。

我们今天用的加密，是五十年前的老东西

说出来你可能不信，现代互联网安全的核心原理，是1977年三个美国科学家发明的RSA加密，到现在已经跑了将近五十年。

逻辑很简单：把两个超大的素数乘在一起，得到一个公开的大数字，用它给信息上锁；想解锁，就必须把这个大数字拆回两个素因数。

这道题看起来简单难度却离谱，现代密码用的素数大概有313位长，就算调动全球最顶级的超级计算机来算也要1600万年，这套系统五十年没出过事，原因只有一个：没有任何计算机算得过来。

量子计算机，是另一个维度的东西

普通计算机里，一个比特每次只能是0或者1，非此即彼，量子比特不一样，它可以同时是0又是1，处于一种叠加状态，就像一枚旋转中的硬币，落地之前正反两面同时都是。

把20个量子比特放在一起，可以同时表示超过100万种状态，同时跑100万个计算。300个量子比特能表示的状态数量，比可观测宇宙里所有粒子的总数还多。

这不是比普通计算机快一点，这是另一个维度的东西，但很多人没想到一个关键问题：量子计算机能同时跑所有计算，但你没办法直接读结果。

你一测量，叠加态就塌缩了，只剩下一个随机答案，其他全部消失，就好像旋转的硬币落了地，只能看到一面，旋转时候的信息全丢了。

所以量子计算机并不万能，大多数问题上它根本没用，目前人类找到的能真正发挥量子优势的难题寥寥无几，但偏偏RSA依赖的那道数学题，就在这寥寥无几里面。

一个1994年的算法

1994年，数学家彼得·肖尔想出了用量子计算机破解RSA的方法，后来被称为肖尔算法，核心思路并不复杂：随便选一个数，不停地把它自乘，每次除以要破解的大数N，只看余数。

神奇的事情发生了，这些余数不是随机的，它们会形成周期性的循环，一遍遍重复，找到这个循环的周期，就能用数学方法反推出N的两个素因数，RSA就解开了。

普通计算机要找这个周期，只能逐一尝试，对大数字来说根本不现实。量子计算机可以把所有可能的余数同时算出来，再用量子傅里叶变换直接读出周期，整个过程几分钟搞定。

那条斜率很猛的曲线

2012年，专家估计需要10亿个物理量子比特才能破解RSA；2017年降到2.3亿；2019年再次暴跌，只需要2000万个。

IBM目前最新的量子计算机有几千个量子比特，离2000万还差得远。但这条曲线长得很猛，没人知道两条线什么时候会交叉，几乎所有密码学家都同意那一天会来。

密码学家的赛跑，在你看不见的地方，正是因为知道这件事迟早要发生，密码学家从十年前就开始准备后路了。

2016年，美国国家标准与技术研究院发起了一场全球竞赛，向世界征集能抵抗量子计算机的新加密算法。

82个方案参赛，经过6年的公开破解测试，一批批被淘汰。2022年最终选出4种算法作为新标准，其中三种基于同一个数学原理，叫格密码。

格密码的逻辑有点烧脑，但说白了就一件事，想象一个坐标系，用两组向量能走到的所有格点构成一个格，给你一个随机点，让你找最近的格点。

向量选得直观时，这道题很容易；但同一个格可以用另一组歪歪扭扭的向量来描述，难度完全不同，把维度从二维扩到一千维，情况彻底变了。

每走一步，你朝正确方向近了一点，但同时在其余999个维度上全部跑偏。想找到最近的点，对任何计算机都是噩梦，量子计算机也一样。

公开的是难用的格，自己藏着好用的向量，加解密的难度完全不对称，量子计算机也破不了，这场加密技术的升级战，普通人几乎感知不到，但它就在你看不见的地方悄悄进行着。

有一批数学家和密码学家几十年如一日做着没人关注的工作，只是为了保证有一天量子计算机真的来了，你的密码还在，你的钱还在，你的隐私还在。

量子计算机一定会改变世界。但真正决定它是威胁还是工具的，从来不是那台机器本身，而是那些永远走在危机前面的人。

信息来源：