2019年，谷歌與瑞典斯德哥爾摩皇家理工學院公布了一項研究成果，演示了量子計算機如何在8個小時內暴力破解2048位RSA加密（由Ron Rivest、Adi Shamir、Leonard Adleman提出的非對稱加密算法），而這是經典計算機幾乎不可能完成的任務。這一成果成功秀了量子計算機的“肌肉”，同時也讓人們的信息安全意識警醒。在量子計算威脅下，已部署的一些傳統密碼算法暴露出諸多安全隱患，人們迫切渴求新的加密技術出現。

量子計算機vs經典計算機

計算基本單位不同。經典計算機采用的是經典比特（binary digit），只能表示0和1兩種狀態。量子計算機則使用量子比特（qubit），具有疊加、糾纏、干涉的物理特性，可在一定條件下同時存在多種狀態。因此，量子計算機比經典計算機擁有更強大的計算能力，能夠更高效地解決經典計算機無法或難以解決的問題。

發展階段不同。量子計算機的硬件和軟件極其復雜，需要高精度的物理控制和算法設計，不論是制造還是使用都存在很大的技術難度和挑戰。當前量子計算機還處于初期階段，其規模和性能比較有限，在實際應用中存在局限性。盡管量子計算機已展示出強大的計算能力，但距離通用仍有很長一段路要探索。

什么是后量子密碼學？

后量子密碼學（Post-Quantum Cryptography，PQC）是在經典計算機上定義和執行算法，研究量子計算機和經典計算機都無法破解的新密碼系統。后量子密碼學的提出是為了抵抗量子計算機的攻擊，所以又稱抗量子計算密碼學。

以公鑰密碼學為例，作為數字基礎設施的基本組成部分，后量子密碼學研究了格（一種線性無關向量的線性組合的集合）密碼學、容錯學習問題等諸多方向，期望基于這些計算難題，構建出不受量子計算機攻擊的公鑰加密系統，繼而替代現有方案。對于有長期數據安全存儲需求的行業，如交通、能源、醫療等領域的關鍵基礎設施，需要盡早完成從傳統密碼到后量子密碼的升級換代。

后量子密碼學：從理論到實踐

隨著量子技術不斷發展，后量子密碼學得到越來越多的關注和廣泛研究，但產業化推廣工作仍需從以下三方面展開：

在多種硬件平臺上實現后量子密碼并加速處理，同時跨平臺兼容適配，提升后量子密碼的可用性、實用性；

實現對現有后量子密碼標準算法全覆蓋，并完成現有網絡傳輸加密協議的升級；

研發后量子密碼芯片，提升能耗比、加密速度及抵抗側信道攻擊能力。

在AIoT時代，物聯網芯片資源有限，如何降低算法的資源消耗，是后量子密碼算法成功在芯片上部署的關鍵，更是后量子密碼學發展亟待解決的問題之一。

RISC-V與后量子密碼學的融合

作為一種全新的指令集架構，年輕的RISC-V摒棄歷史包袱，無需擔心歷史版本的兼容問題，憑借其開放、靈活且高效的特點，或可成為推動后量子密碼學走向應用的最大助力。

2021年，德國慕尼黑工業大學基于RISC-V開發出了一種帶有定制加速器的ASIC（Application Specific Integrated Circuit，專用集成電路），相比完全基于軟件解決方案的芯片，這類新芯片能夠以10倍的速度運行基于格的后量子加密算法（Kyber算法），能耗卻降低了7/8。

2022年，南京航空航天大學與奧地利格拉茨技術大學合作，在僅有16KB內存可用的RISC-V平臺上，提出了一系列基于格的后量子加密算法（Saber算法）的內存優化和性能優化技術方案。

如今，負責指令集規范的RISC-V International也在積極推進后量子密碼算法的指令集擴展，究其原因是基于密碼指令集的實現比基于軟件的實現更具優勢：基于CPU硬件的實現可以提高密碼操作的性能，且硬件的實現可在應用中隱藏加密細節，減少攻擊面。

對此，奕斯偉計算高級副總裁、CTO何寧博士表示：“雖然距通用量子計算機問世仍需時日，但我們無疑正走向量子信息時代，量子計算帶來的安全隱患不容忽視，企業與組織應合力加快推動后量子密碼技術的產業化進程。后量子密碼學消耗資源巨大，需要我們提出低成本解決方案，對于如何提升算法運行能耗比，我相信RISC-V的引入是一個合理的答案。憑借RISC-V的高效性、可擴展性、先進性，可有效降低后量子密碼芯片成本、功耗，提升性能，實現技術變革，推動產業升級，無懼量子計算攻擊帶來的挑戰。”

審核編輯：黃飛