在当今数字化深度融入工作与生活的背景下，现代公钥密码构筑起守护日常沟通、金融交易及商业安全的坚固防线。然而，随着量子计算技术的迅猛发展，尤其是密码分析相关量子计算机的出现，互联网的信任锚和安全通信体系将面临崩溃风险，严重威胁着从个人数据安全到国家战略安全的各个领域。因此，如何在量子时代确保大型网络安全的持续发展，并在量子计算的冲击下稳固并重建安全体系，成为各国政府、企业及每位数字生活参与者亟须面对的重大挑战。

现代公钥密码学：大型网络的信任基石

20世纪70年代中叶，斯坦福大学的迪菲和赫尔曼通过提出Diffie-Hellman密钥交换协议，为公钥密码学的发展奠定了基础。公钥密码学的问世巧妙解决了大型网络中的信任难题与高效安全通信的挑战。它摒弃了传统对称密码学需双方共享唯一密钥的局限，而是采用公钥与私钥的配对机制：公钥公开用于验证，私钥则严格保密，专用于签名和解密。随后，美国麻省理工学院的里夫斯特、沙米尔和阿德曼提出了第一个比较完善和实用的公钥加密算法和签名方案——RSA算法，首次展示了依托复杂数学难题（如大整数分解）实现密码算法创新与突破的可能性。此机制下的签名系统，为动态网络环境构建了用户间的可靠信任机制，允许每个网络参与者生成独特的密钥对，通过私钥签名信息，并利用公钥进行验证。这种基于数学基础的强绑定签名，不仅能有效防止信息被篡改而且能确保签名的不可抵赖性，为现代网络空间提供了证明自己唯一身份的电子签名，为互联网等网络空间构建了坚实的信任根、信任锚。

在实际应用中，公钥密码学极大地简化了密钥管理流程。传统对称密码学需预先在通信双方间交换密钥，导致频繁进行点对点密钥交换的繁琐与成本高昂，而公钥密码学允许用户通过公开的公钥加密通信密钥，接收方则用私钥解密，整个过程通过计算机网络安全协议自动化完成，无需人工干预，降低了成本并提升了效率。例如，微软通过私钥签名软件更新，全球用户利用公钥验证，确保了软件的真实性与安全性；中国电子证书体系也广泛采用公钥签名技术，增强了网络交易与信息传递的可信度。

因此，公钥密码学不仅是当今大型计算机网络通信的安全基石，也是全球网络空间不断演进的信任根。没有公钥密码学的支撑，就不可能有安全高效的大型计算机网络通信。

量子革命下的密码学：抗量子公钥密码的崛起

随着科学技术的发展，现代公钥密码技术正面临量子计算机的严重威胁。这一由美国加州理工学院著名的物理学家理查德·费曼于1981年提出的量子计算机概念，旨在利用量子物理原理与基本粒子等构件实现高效运算，模拟微观量子物理世界。然而，由于技术门槛极高，涉及全新体系架构、严苛的量子调控要求及巨额投资，加之早期对其潜在应用认知的局限，该技术初期并未获得广泛关注。

直到20世纪90年代中叶，量子计算领域取得重大突破，特别是麻省理工学院的彼得·舒尔在1994年发明的Shor算法，能高效分解大整数，直接威胁到基于整数分解难度的现代公钥密码体系。这一发现预示着，一旦能够运行Shor算法的大型量子计算机被研发出来，现有的公钥密码算法将失去效用，互联网的信任与安全通信体系将面临瓦解，全球社会经济活动也将因此全面崩溃，后果不堪设想。

尽管全球科技强国在量子计算机研发上投入巨大，但真正对现代公钥密码产生巨大威胁的是一种与图灵当年研发的密码破译机功能类似的新型量子计算机，美欧称其为密码分析相关量子计算机。一旦有国家成功研发密码分析相关量子计算机，它将能在大型计算机通信网络中冒充各种身份进行窃密，对现代公钥密码体系构成巨大挑战。因此，各国政府对密码分析相关量子计算机的研发进展保持高度保密。

事实上，不少国家正采用“先收集，再破译”策略，收集海量公钥加密数据包，以待未来用密码分析相关量子计算机破解这些数据。这一局势凸显了全球网络安全新挑战，强调了加强抗量子密码技术研发的重要性和紧迫性。2000年，美国IBM实验室的艾萨克·庄首次搭建了一台拥有7个物理量子比特的计算机运行Shor算法，成功将15分解为质数3和5，证明其不仅理论正确且实际可行，预示量子计算机威胁迫近。这一实验促使不少具有远见卓识的研究者开始涉足这一全新研究领域，探索新数学难题，构建能抵御未来量子攻击的新型公钥密码——抗量子密码（PQC），为全球网络安全筑起新防线。

抗量子密码迁移与标准化：保障未来互联网安全的新防线

彼得·舒尔和艾萨克·庄的开创性工作加速了量子计算机的发展，促使全球密码学、产业界及标准化机构提前布局应对策略。2006年，首次国际PQC会议在比利时召开，标志着抗量子计算的新一代公钥密码研发正式启动。2012年，美国国家标准与技术研究院启动PQC项目工作组。2015年，美国国家安全局公开宣布将更换现有公钥密码系统为抗量子版本。2016年，美国国家标准与技术研究院启动全球PQC算法征集，并于2022年7月公布了首批标准化算法名单。同时，美国白宫在2022年发布第10号国家安全备忘录《关于促进美国在量子计算领域的领导地位，同时降低易受攻击的密码系统风险的国家安全备忘录》，要求各类计算机网络采用抗量子密码保护；紧接着，美国国会也通过法案，要求全美计算机网络开始进行抗量子密码迁移工作，预计2035年达到抗量子计算威胁的安全状态。对于全球互联网，抗量子密码迁移能在不改变现有网络架构的基础上，以最小代价更新公钥密码系统，也能确保互联网能够继续拥有或重建抵御量子计算机攻击的信任机制及安全的通信体系。因此，抗量子密码迁移是确保当今互联网持续安全、可靠运行的关键所在。

需要强调的是，抗量子密码的安全性基石牢固建立在全球密码学界和产业界广泛认可的公开数学难题之上。与各国在高度敏感信息系统中广泛应用的传统密码技术不同，抗量子密码作为商用密码，在保障数字经济安全方面扮演着十分重要的角色。尤为关键的是，抗量子密码为现有的大型计算机通信网络，涵盖金融、通信、能源、电力、交通等关键基础设施的计算机网络，以及未来蓬勃发展的物联网、车联网等，提供了独一无二且无可替代的身份认证机制，从而确立了其在全球数字经济时代作为信任根与信任锚的坚实地位。鉴于抗量子密码的商用性质，世界各国对其标准化进程及后续的产业化、市场化效应给予了高度重视。其中，美国国家标准与技术研究院今年8月正式公布了全球第一个抗量子密码标准，正深刻塑造着全球密码标准和产业布局的未来。值得注意的是，抗量子密码算法标准虽由美国国家标准与技术研究院选定，但其研发力量却遍布全球各国学界、工业界及国际标准化组织，共同推动抗量子密码技术的发展。

随着世界各国抗量子公钥密码标准化工作的开展，一个重要的工程领域展现在世人面前，即全球网络空间将面临安全信任根（即抗量子公钥密码）的替换，进而导致整个全球网络空间安全的大迁移。这种大迁移体现在以下几个方面。

首先，互联网及大型计算机通信网络的信任根替换，远非简单替换易受量子计算机攻击的公钥密码模块，而是一项紧迫且漫长、复杂的工程化工作。自20世纪90年代互联网兴起以来，网络架构已高度集成，涵盖软硬件设备及通信协议。作为互联网的信任锚、信任根，现代公钥密码早已深深嵌入其中。加之全球IT产业历经沧桑，企业兴衰更替，为信任根的更换增添了额外难度。然而，抗量子密码迁移这个千载难逢的历史机遇，也预示着网络信息安全领域将迎来新的产业链、供应链和市场机遇。

其次，世界各国对重要信息系统基础设施信任根的更换策略各异，但均给予高度重视。美国、英国、加拿大等国倾向于迅速且全面地替换，以确保国家安全计算机网络免受量子计算机威胁。而欧盟则倾向于采用混合模式，即在保持现有公钥密码系统稳定运行的同时，引入抗量子密码系统，以平稳过渡到PQC时代。此举旨在在量子计算机真正威胁到现有系统之前，为大型计算机网络提供双重保障，并在必要时无缝切换至抗量子密码系统。

最后，尽管量子计算机尚未公开破解现有公钥密码，但全球IT强国已前瞻性地布局后量子安全时代。这将导致未来全球网络空间安全迎来巨变，不仅涉及抗量子密码技术本身，还将逐步波及到网络软硬件设备、安全技术研发、国际标准竞争及网络安全市场的未来格局。

总之，抗量子密码技术的革新与产业供应链的发展，正推动全球网络空间迈向新的安全纪元。这场大迁移大变局的复杂性和挑战远超“千年虫”问题。面对量子安全挑战，任何国家都无法独善其身，需携手合作，共同构建网络空间的安全防线。

（作者分别系清华大学丘成桐数学科学中心教授，重庆大学大数据与软件学院教授）