量子计算带来网络安全威胁，我们还有多少时间？

光子盒研究院出品

近日，加拿大风险管理组织Global Risk Institutions联合量子风险管理服务供应商evolutionQ Inc.共同编撰并发布了《量子威胁时间线报告》。此篇报告反映了量子计算研究领域近五十位专家的观点，重点介绍了量子计算机对网络安全构成威胁的时间线的估计。本文为报告简版。

量子计算机使用量子系统，来运行超越标准计算机（“经典”计算机）所能实现的计算。

量子计算机利用量子特性，但这些特性非常难以保存/控制。这使得建造量子计算机成为一个非同寻常的挑战：需要不同领域，包括物理学、工程学和计算机科学专家的贡献；以及政府、老牌公司和支持初创企业的风险资本的大量投资。

尽管关键量子特性是非常脆弱的，但量子计算机的可实现性还没有发现根本障碍。相反，能够运行初级“量子程序”的小型原型机已经建成；此外，包括学术机构和私营公司的“量子生态系统”正在出现。私营部门既包括参与特定量子技术的公司，也包括旨在处理建立、运行量子计算机所需的“全栈”公司。目前，这种生态系统的蓬勃发展得到了该领域前所未有的投资支持，表明人们对量子技术和量子计算的潜力持续看好。

成熟的量子计算机将能够解决以前被认为是任何合理手段都无法解决的计算问题。这将危及当前网络安全基础设施：如果这些漏洞得不到缓解，潜在后果将是灾难性的。其中，最关键的问题之一是尽可能地了解加密相关的量子计算机(CRQC)何时可能被制造出来。

通过部署新的加密工具（包括传统加密和量子加密），可以减少量子对网络安全的威胁。尽管如此，向安全的量子密码过渡过程本身就是一个挑战：它需要开发和部署硬件和软件解决方案、建立标准、迁移遗留系统（migration of legacy systems）等。由于必须投入足够的时间来有序、安全地过渡到“后量子”世界，具体组织启动和完成特定网络系统向量子安全加密过渡一般可以用三个简单的参数来估计：

1）保存时间：数据必须受到网络系统保护的年限。

2）迁移时间：将系统安全迁移到量子安全解决方案所需的年数。

3）以及本报告的关键焦点：威胁时间线，即在潜在威胁性的量子解密技术能够破解当前脆弱系统之前的年数。

图1 量子威胁时间线（红色）。在量子威胁变得具体之前，网络系统是否可能已经处于危险之中，因为还必须考虑所需的迁移时间（黄色）以及所需的（例如，根据法规）数据保存期（绿色）。

本报告通过挖掘量子计算领域的国际领先者的意见，阐明了量子威胁的时间线。

专家们普遍承认，我们无法可靠地预测实现实用量子计算机的进展速度，因为建立一个量子计算机需要超越目前已知的科学极限和/或工程极限。尽管有这种不可避免的不确定性，本系列报告旨在提供以下方面的洞察力：

1）量子威胁在短期、中期或长期内成为现实的可能性。

2）建造加密相关的量子计算机方面正在取得的进展速度。

3）网络风险管理者应该关注的量子计算研发中的里程碑。

在2019年，报告撰写方首次针对22位思想领袖进行了前所未有的广度和深度调查，为管理网络风险的专家提供见解、分析与量子密码有关的网络风险；2020年，他们扩大了受访者的范围：共接触了44位量子专家；2021年，他们再次进行了针对47名参与者的广泛调查，受访者来自四大洲、包括来自学术界和产业界从事量子计算的专家。

图2 各地接受调查的专家数量。受访者来自国家（如加拿大、中国、日本和美国）和地理区域（如欧洲），这些国家和地区一直并继续在发展量子信息技术。

调查问卷中，询问了专家们关于量子计算机发展时间线的估计，特别是对于强大到足以对已有网络安全构成威胁的量子计算机。结果表明，量子威胁将很快变得不可忽视，而且很可能比许多人预期的更早、更具体。

图3 2022年调查的关键问题的答复。47位专家中46位表明量子威胁正变得越来越具体。

表1 基于专家意见的期望。总结了一些量子威胁潜在的趋势。

在比较2019年、2020年和现在2021年所表达的意见时，可以观察到一个总体趋势——更高的可能性。

根据专家的意见，可以计算出加密相关的量子计算机出现的概率范围，专家们估计这将对短期内的进展产生实质性影响。专家们表示，部分乐观情绪是重大科技进步的结果；另一个原因可以从一些大公司为实现所谓的容错量子计算机而制定的“积极”路线图中找到。此外，目前有大量的资金和投资可以用来加速量子计算机的发展。

参与调查的专家和整个量子领域都明确表示，助长这些投资炒作有些危险。因为，例如，如果没有达到（不现实的）期望，可能引发“量子寒冬”：资金水平的突然下降可能导致投资减少↔成果减少的恶性循环。

图4 专家们可能性估计的演变。在左边的三个图中：基于对2019年、2020年和2021年调查答复的可能性区间的乐观或悲观解释的概率估计。右边的大图：对这种估计的并列和时间范围的比较。在所考虑的每个时间框架中，平均可能性估计的下限和上限都在逐次调查中上升，唯一的例外是5年估计的下限。在最近的调查中，10年和15年的增长更显著。

量子计算机的成功开发将在许多方面改变经济和社会的游戏规则，而不仅仅对密码学和数字基础设施的影响。例如，量子计算机天生适合模拟任意的量子系统，可用于设计新药和先进材料。出于这个原因，许多国家和超国家实体（如欧盟）认为量子技术，特别是量子计算是战略性的，并开启了一场“量子竞赛”。

专家们指出了哪些地区目前处于领先地位，北美似乎是目前公认的领导者；以及哪些地区在5年后可能成为领导者，这是一个更复杂的问题，也有更细致的答案：例如，中国将如何取得快速发展。

图5 表示“五年后某一地区/实体有可能成为建造容错量子计算机全球竞赛领先者”的受访者人数统计。

大多数受访者认为，目前的全球在量子领域的投资水平将保持稳定，甚至在未来两年内增加（图6）。

图6 未来两年对量子计算投资水平的预期变化。

另一场“竞赛”与物理架构有关。建立量子计算机的一个主要挑战是创造可靠的基本组件——（物理）量子比特，任何加密相关的量子计算机都需要许多量子比特（数以百万计），并适用于几个拟议的平台。一般对于任何物理/技术实现来说，允许实现和操纵许多（物理）量子比特是极其重要的：可以扩大规模，同时保持控制和质量。

与过去两年的调查一样，专家们表示，目前最有希望实现加密相关的量子计算机的物理平台是超导系统，其次是离子阱系统。在其他有希望的平台中，今年的调查结果表明人们对光量子计算的潜力重新产生了兴趣。更广泛地说，虽然有一些哪种平台领先的观点，但还没有确定这场竞赛的明显赢家，而且有可能不止一个平台会有重要作用。

图7 与前几年类似，超导系统的实现，其次是离子阱的实现，被认为相较其他物理实现有一些优势。

许多受访者强调了“模块化”——独立设备的组合，而不是少数大型单片机的组合。还有人认为，有可能利用不同的物理平台，这些平台可能在量子计算的不同方面表现出色，如存储、操作和传输量子信息。在这个基础上，利用一个以上的物理平台混合系统可能会发挥重要作用；另一方面，混合系统也有其自身的挑战：如何使不同的物理实现有效地相互协作？

能够创造和处理许多量子比特的主要阻碍是，无论是量子比特本身还是它们的操纵都不可能完美：量子本身具有脆弱性，物理错误不能被完全消除。然而，多个不完美的物理量子比特可以通过纠错来编码更可靠的逻辑量子比特。

向前迈需要的重要一步将是实验纠错方案证明逻辑量子比特比基础物理量子比特更可靠。要做到这一点，必须能够很好地制备、操纵和测量基础物理量子比特。

围绕纠错和容错的重大成果在一些架构中已经实现，但还没有一次证明纠错的所有特性，也没有完全解决可行的可扩展性问题（在同一架构内以合理的资源实现和处理多个逻辑量子比特）。硬件和纠错方案方面的进展使专家们相信，展示一个或多个逻辑量子比特，在存储和操作量子信息的计算和纠错方面都优于底层物理量子比特。

图8 量子信息是脆弱的，对它的操纵也不完善。尽管如此，专家们普遍认为，我们很快就会看到利用纠错来抵消这些问题的逻辑量子比特的实现。最重要的是，即使考虑到编码方案的可扩展性要求，这似乎也是可能的：即可以通过可控的资源和操作复杂性的增加来实现和处理越来越多的逻辑量子比特。

另一方面，一些专家也表示，可扩展的单个逻辑量子比特的概念不一定是一个定义明确或合理的里程碑。理由包括：专注于单个逻辑量子比特的实现可能不太能体现量子计算实现的意图；以及在真正实现扩展之前，可扩展性的主张是相对虚无的。

但是目前可以预计，未来一个或多个（可扩展的）逻辑量子比特的实现将受到社会的高度关注，也将是量子计算研究和发展的一个重要里程碑。

量子计算机被视为量子技术的“圣杯”，但也是对网络安全的一个重大威胁。

建立一台量子计算机需要科学和工程的进步，需要几年的时间来开发和实施，还需要集中精力和资源。对量子计算机的追求常常被描述为一场“量子竞赛”，是在国家和私人公司层面的竞争。这种竞争在最近几年大幅升温，也被描述为一场马拉松，因为需要相对长期的研究和投资。然而，可能会有突然的加速，这可能以科学或工程突破的形式出现。未来，期望在硬件实现和新的纠错和容错方案中得到改进，也就是说，从旨在克服量子脆弱性的方案中得到改进。

2021年报告中，46位专家估计了实现量子计算机的可能性——该计算机可以打破像RSA-2048这样的加密体制。虽然大多数专家（25/46）判断在未来5年内开发这种量子计算机的可能性非常小（<1%），但有几位专家（21/46）表示这种可能性是不可忽视的。值得注意的是，只有24/46的人判断10年内的可能性小到“<1%”或“<5%”。

公司和机构的风险规避/偏好可能有很大差异，但对于关键系统来说，这种可能性已经代表了一种严重的担忧。尽管量子破解RSA-2048需要30年以上的时间，并且要由每个机构、公司和经理来决定他们准备接受什么样的风险，但Global Risk Institute（GRI）认为网络风险经理自然更关心量子威胁在早期/比预期更早出现的机会，而不是永远不会出现。

专家们赋予量子威胁的可能性在每年的调查中都在发生变化，因为领域内最新成果、投资水平变化等因素都会影响实际的威胁时间表和专家们对它的看法。将2021年的意见与2019年和2020年进行的调查结果相比，专家们坚持量子威胁将在中长期内变得更具体化。

一位答复者写道：“必须强调迁移到后量子安全密码的重要性，特别是考虑到产业界提出的路线图。在寻求长期保密性应用中，这一点非常重要。”本着类似的精神，曾领导了“量子霸权”首次演示的超导线路先驱John Martinis，根据他看到的进展速度，提出了相应的谨慎行动时间表：“量子安全加密需要在未来5年内开发和部署，以保证合理的安全；现在开发和部署会更好。”

Global Risk Institute和evolutionQ公司已经提供了一个量子风险评估方法，用于估计威胁的时间线和评估采取行动的整体紧迫性。GRI和evolutionQ公司将在大约一年后提供这项调查的更新。将进一步跟踪专家不断变化的意见，以及量子威胁对网络安全的预期时间表的任何变化。

报告原文（包括完整版）：

https://globalriskinstitute.org/publications/2021-quantum-threat-timeline-report/