公钥加密技术RSA现在是否能保住安全？

实际上，经典计算机的高速发展、还有密码分析技术的提高对于RSA冲击也很大。2009年768位密钥的RSA-768就被破解了。2011年，美国国家安全局NSA建议停用RSA-1024，改用RSA-2048。NIST还要求对于在最高机密的保护要使用RSA-3072。增加密钥长度可以暂时缓解经典计算和密码分析能力提升带来的破解压力，但是密钥越长，RSA算法的效率就越差，加密解密、分发密钥的速度就越低，而面对Shor算法量子计算攻击，增加RSA算法的密钥长度也解决不了问题。

目前，量子计算机的确还处于比较初级阶段，但是它的研制在快速发展中，Google、IBM和中科院量子信息与量子科技创新研究院处于第一阵营，Google略微领先，有望在两年内实现所谓“量子霸权”。而至于破解RSA的量子计算机，10-15年是过于乐观的估计，我们认为至少20年左右，量子计算机才有望破解RSA。而现在加密保护的信息可以被存储下来，等待未来破解，对于需要长期安全的信息而言，比如说个人的指纹、虹膜、甚至基因数据等生物信息，量子计算的威胁并不那么与己无关、遥不可及。然而，建设一个保密体系也需要很长时间，因此，目前国际上开始普遍很重视量子计算的威胁了：NSA提出要更换抗量子计算的密码体系，国际标准化组织ISO、ITU、ETSI已经开始了量子密钥分发和后量子计算密码（PQC）的标准化。不同于量子密钥分发，PQC是沿着公钥体系的思路，寻找新的数学难题构造新的密码算法去抵御Shor算法等已知的量子计算攻击。PQC被认为相比量子密钥分发更容易部署，但是否能抵御任何量子计算攻击还是未知数；而量子密钥分发是明确能抵御任何量子计算攻击的，被公认为具有长期安全性。因而国际上普遍认为，同步发展PQC和量子密钥分发能有效抵抗量子计算，是未来密码技术发展的方向。

说RSA等算法对于量子计算安全是概念上的混淆。现有RSA是不能抵御量子计算的。只是有人提出，如果对RSA进行改造，可以有一些抵抗Shor算法量子计算攻击的能力。这种改造的RSA可以认为属于PQC范畴。但是这种改造的RSA需要非常长的密钥，几十G比特乃至T比特的密钥，才有抗Shor算法量子计算的效果，相比其他PQC算法实际上是不可行的。目前国际上正在标准化的PQC，都不考虑这种改造的RSA。