後量子密碼學真有必要？專家嘲諷：連分解 21 都難還談破解 RSA

美國國家標準和科技機構 (NIST) 自 2016 年起積極推動「後量子密碼學」(Post-Quantum Cryptography, PQC)，理由是未來如果真的有大規模量子電腦問世，會徹底破壞現有的 RSA 公鑰加密機制。然而，紐西蘭奧克蘭大學電腦科學教授 Peter Gutmann 卻痛批這一切是「胡扯」，認為量子電腦到現在連 21 這個數字都還沒成功分解過，還談什麼破解現代加密系統，更在演講時直指 PQC 就是個「占卜」。

NIST 為何推動 PQC？

據報導，美國 NIST 認為，假設有一天量子電腦真的大規模出現，就能跑演算法 Shor，直接快速找出 RSA 加密用的兩個質數因子，讓現有的公鑰密碼系統瞬間失效。

• RSA 加密邏輯簡單說：你有一個 n，要分解成 p 和 q 兩個質數，例如 21 = 3 x 7，而 21 的二進位是「10101」，這種 5 位元的 RSA 安全疑慮相當高。但如果是 1024 位元或 2048 位元的 n，要分解就非常難，需要龐大算力。

• NIST 的焦慮點：未來量子電腦如果跑 Shor 演算法，能快速拆解超大數字，那現在的加密資料就不安全了。

所以 NIST 這幾年一直推各種量子抗性加密演算法，比如 HQC、CRYSTALS-Kyber、CRYSTALS-Dilithium、Sphincs+、FALCON，打算逐步取代 RSA。NIST 還補充，有些工程師認為量子破解可能 20 年內就會出現，剛好也是現代公鑰基礎建設部署所需的時間，現在準備算是剛好。

廣告 - 內文未完請往下捲動

Gutmann 稱量子電腦現狀超悲劇，根本假的

不過 Gutmann 對此直接潑冷水。他在 2024 年的演講《為什麼量子密碼分析是胡扯》中表示，量子電腦至今連分解 21 都沒真的成功過，IBM 2001 年用演算法 Shor 只能分解 15，十年後才勉強到 21。

而 IBM 2019 試著挑戰 35，結果成功率只有 14%，因為 qubit 錯誤太多，根本不算是真的有解出來。有上海大學團隊宣稱用 D-Wave 的量子退火電腦分解 2048 位元 RSA，但那是挑了「兩個很接近的質數」來當作案例，根本是作弊。

Gutmann 還跟蘇黎世應用科技大學的 Stephan Neuhaus 合寫了一篇搞笑論文，說現在的量子電腦破解能力，其實用 1981 年的 8 位元家用電腦 VIC-20、一個算盤，再加一隻狗都能模擬出來。

為什麼標準 RSA 不怕「投機取巧的分解法」

Gutmann 補充，真正標準的 RSA，像是 FIPS 186 規範，會要求兩個質數 p、q 至少差 100 位元，意思是至少差大約 10 的 30 次方 (2^100)，避免被「開平方根」這種偷懶的方式來解出答案。他暗示那些「量子分解成功案例」，其實就是拿差距很小的質數來作弊。

D-Wave 的開發長 Trevor Lanting 受訪時也表示，這些研究只是以前就有的量子退火方法在玩小數字，沒什麼突破。而要破解現代加密，還需要多出成千上萬倍的量子位元和穩定度，量子電腦在短時間內對 RSA 完全沒威脅。

支持派喊未來近在眼前，Gutmann：別再幻想

這幾年也有正反兩面聲音陸續出現，像是 Google 說自己有「量子霸權」、微軟炒作 Majorana 1 量子晶片稱為「量子突破」，伊利諾大學教授 Daniel Bernstein 說量子電腦不能太快被放棄，德州大學的 Scott Aaronson 認為量子運算「快要變成真實」。

但 Gutmann 還是覺得，這些都只是「物理實驗」，離真正能破解還遠得要命，根本跟「核能發電便宜到不要錢」這種幻想級別差不多。

PQC 根本是占卜，短期內還是一般電腦更實用

Gutmann 笑稱 PQC 是占卜，真正能用數據推估壽命的是「正常加密」，因為能依照數學、算力發展來估算。但 PQC 完全沒有實際數據，只有兩個「作弊案例」，照這趨勢要達到現在普通電腦的破解水準，至少還要 2000 年。

Gutmann 引用澳洲戰略政策研究所的觀點解釋量子演算法，他表示，量子運算不是一次把所有解法都試完，而是用 qubit 操作去讓「正確答案」被測試出來的機率變高而已。

小問題還是經典電腦比較有效率，大問題對量子運算可能有優勢，但短期內還是經典電腦更實用。

PQC 反而是浪費資源？

最後被問到「那 IT 業該不該換 PQC？」Gutmann 直接表示不該換，因為換了只是更沒效率，資安漏洞也沒被修復，把資源花在沒意義的地方根本不需要，真正該做的是修補現有加密系統的防護漏洞，而不是換上一套更麻煩又未必安全的演算法。

(《一小時略懂量子電腦》：帶你深入了解量子革命，數十秒就可破解網路加密)

RSA量子威脅量子運算量子電腦

衍伸閱讀

• 中本聰百萬顆 BTC 恐遭量子威脅，開發者提案三階段淘汰舊比特幣錢包地址
• Google、貝萊德警告比特幣量子威脅：破解 RSA 加密比想像中簡單 20 倍