有没有想过一夜之间互联网安全层出现大裂缝怎么办？如果破解深入到密码算法的数学基础呢？现在，这种情况似乎已经出现了。最近，德国密码学家克劳斯·彼得·施诺尔在论文中声称，他找到了一种“破解RSA加密系统”的方法。

此事在密码学和量子密码学领域引起了广泛关注。虽然本文的内容没有经过验证，但如果是这样的话，必然会对很多应用产生安全影响，因为RSA非对称加密算法在很多对信息安全性要求较高的领域得到了广泛的应用。

面对这种情况，我们不可避免地需要思考两个问题:第一，论文内容是否真实？二、加密的未来是什么？有没有可以代替RSA的密码系统，即使在量子计算机时代也是安全的？

在写这篇论文的时候，数学家和密码学家还在讨论和验证论文内容的真实性，而更多的人已经在思考第二个问题，并开始制定计划来处理这个灾难性的漏洞。他们正在努力创建一个更强大的基础，这个基础是基于各种协议实现的各种算法，从而使切换更加容易。

一些密码学家正在寻找RSA的替代品。因为不管本文的结果是真是假，RSA的安全问题早已经引起了业界的关注。早在2010年7月，美国国家标准与技术研究所就曾要求用户在2010年12月31日前停止使用1024位RSA算法。据RSA负责人介绍，虽然没有证据表明RSA 1024位算法被破解，但破解只是时间问题，导致加密信息泄露、数字签名伪造、通信被窃听。

此外，随着技术的不断发展和量子计算机的应用，RSA安全将再次遇到挑战。谷歌首席执行官桑德尔·皮帅曾预测，

“5-10年后，量子计算将打破我们今天所知道的加密技术”。

密码学家认为，世界必须变得更加敏捷，因为任何时候都可能有许多潜在的裂缝。

RSA算法面临的挑战

分解大素数

据悉，本文名为《用SVP算法快速分解整数》，作者Claus Schnorr，现年77岁，2011年从约翰·沃尔夫冈·歌德大学退休。他是一位受人尊敬的密码学家，Schnorr签名算法就是以他的名字命名的。在密码学中，Schnorr签名是由Schnorr签名算法生成的数字签名。它是一种以简单高效著称的数字签名方案，其安全性是基于一些离散对数问题的难度。由于Schnorr签名算法可以构建更高效、更隐私的区块链系统，因此一直备受区块链开发者的关注。

RSA是另一种历史悠久、应用广泛的算法。它是罗纳德·李·韦斯特、阿迪·沙米尔和伦纳德·阿德曼在1977年提出的一种加密算法。该算法主要依靠分解大素数的复杂性来实现其安全性。因为大素数的乘积很难分解，密码很难破解。

在过去的40年里，RSA算法经历了各种各样的攻击。根据公开的文献，目前破解的最长RSA密钥是768位二进制。也就是说，长度超过768位的密钥还没有被破解，至少还没有公开宣布。

据悉，Schnorr发表的最新论文实际上是对近年来发表的一系列论文的补充，这些论文重述了将大素数分解成数学家有时所说的“在由小得多的数定义的多维格中寻找正确的向量”的问题。因为他的论文在很大程度上是理论性的，很多人怀疑RSA算法的安全性是否真的走到了尽头。然而，到目前为止，还没有人在公开场合演示过这种方法，甚至有些尝试过的人说它不起作用。

修复RSA的难度

解决新发现的攻击引起的问题并不是什么新鲜事。软件公司通常会发布补丁来修复漏洞，并公开征集错误报告，以鼓励人们报告发现的问题。但Schnorr的论文，如果被证实，将暴露协议基础的弱点，没有公司对这个协议负责。

一家名为“RSA”的公司过去曾长期拥有该算法，但其专利已经过期，这意味着整个互联网上使用的大多数RSA实现都不再来自他们。许多受欢迎的图书馆都是开源的，由社区维护。

更糟糕的是，如果论文有漏洞，单纯靠几行新代码是不可能解决问题的。任何有效的解决方案可能都需要几年才能发布，因为测试和部署任何算法都需要时间。

此外，切换到新算法的过程可能并不容易，因为许多加密软件包支持使用具有不同密钥长度的不同算法选项。一个更深层次的挑战可能来自更新身份验证基础架构，这将维护用于验证公钥的证书级别。当前版本的一些主流浏览器附加了不同认证机构的根证书，大部分依赖于RSA算法。

如果要在浏览器中替换根证书，往往需要发行新版本才能实现，而且由于根证书非常强大，问题变得异常棘手。例如，一些攻击涉及插入伪造的证书来帮助攻击者冒充其他站点。到目前为止，Verisign、Amazon、GoDaddy、trust等一些主要认证机构的证书都依赖于RSA算法。

量子问题加剧了挑战

如何应对量子计算时代带来的挑战，是RSA安全面临的另一个重大问题。密码学界从几年前就开始寻找抵制量子计算的替代品，因为他们担心量子计算的时代可能很快就会到来。这将威胁到像RSA这样的算法，因为彼得·索尔开发的最著名的量子计算算法之一是整数的因式分解。

那么量子计算到底有多强大呢？例如，如果我们分解一个400位整数，最快的超级计算机需要60万年。如果我们换成量子计算机，只需要几个小时，甚至几分钟。早在2012年，研究人员就表示，他们已经成功利用量子计算机将21分解为7和3的乘积，尽管这两个数字并不是特别大。然而，RSA加密算法严重依赖于大整数素分解的计算和时间消耗。RSA算法的核心设计是通过增加破解代价来提高安全性。因此，任何能够提高计算速度的方法都会威胁到这种常见加密算法的安全性。虽然量子计算机可以加速Shor算法，但安全专家警告说，有一天，量子计算可以轻松破解RSA。我们必须为这一刻做好准备。

寻找一种新的非RSA密码体制

由于担心犯罪分子会利用量子计算机发起攻击，人们开始加强算法，以防止协议和算法被破坏。NIST的方法是建立一套新的“反量子”或“后量子”算法。目前，这场加密竞赛已经开始。

去年夏天，NIST公布了从2016年底开始的第三轮比赛的初步结果。到目前为止，已经开发了69种不同的算法，其中26种是优秀算法，15种是最佳算法。当然，15个算法中，最终会有7个突破，另外8个算法会针对特殊应用或需要改进的地方继续开发研究。

第三轮的7个候选算法是:

公钥加密/KEMs

经典麦克埃利斯

水晶-KYBER

公钥密码体制

军刀

数字签名

晶体-二锂

猎鹰

彩虹

第三轮评审结束后，NIST将继续对上述7家入围企业的算法进行评审，供下一步制定标准时参考。由于crystal-KYBER、NTRU和SABER都是基于晶格的方案，NIST打算最多选择一个作为标准。签名方案中的CRYSTALS-DILITHIUM和FALCON也是如此。在NIST看来，这些基于格困难的方案是公钥加密/KEM和数字签名方案中“最有前途的通用算法”。

此外，NIST还选择了——经典麦克埃利斯，这是罗伯特·麦克埃利斯在1978年开发的一种更古老的签名方法。它由Robert McEliece于1978年设计开发，是一种基于代数编码理论的非对称加密算法，使用一系列纠错码Goppa。该加密系统使用Goppa码作为私钥，并将其编码为线性码作为公钥。要解码公钥，您必须知道私钥。

McEliece密码系统虽然应用不多，但是非常强大和稳定。唯一的缺点是公钥太大，长达219位，使得加密信息远大于明文信息，从而增加了传输过程中的出错概率。此外，不对称使得这种技术无法用于数字认证和签名。在过去的30年里，针对这种加密系统的攻击和破解不断，但始终如泰山般稳健。

最终入围的称为Rainbow，是一种基于多元多项式结构的数字签名方案，属于多元密码体制，但攻击者很难解决这些变量。

RSA的这些新的潜在替代方案可能不容易实施替换过程。有些要慢得多，而另一些可能不提供相同的选项来生成签名或加密数据。许多仍然依赖于更大的键——可能大于或等于500KB，远远大于许多当前的键。

帮助创建公钥密码学的密码学家惠特菲尔德·迪菲指出，新提议可能需要更多的计算才能成立。另一位数学家马丁·赫尔曼说，世界可能希望开发一种结合了许多不同算法的新协议。该协议不仅依靠一种算法创建随机密钥来加密一些数据，还运行多种算法，并将所有算法的密钥组合成一个新的密钥。

赫尔曼警告说，即使加密灾难尚未到来，制定灾难恢复计划也有助于抵御多年来不断演变和加剧的威胁。他说，

50年甚至100年后的今天，今天的机密数据应该还是保密的。因此，我们必须警惕任何可能对当今受保护数据构成威胁的发展趋势，并随时做好准备。

参考资料和来源:https://www . CSoonline . com/article/3613550/如果RSA算法被破坏，下一步该怎么办加密. html