美国国家标准与技术研究院（NIST）自2016年起持续推动后量子密码算法研发。"若大规模量子计算机问世，将能破解当前多数公钥加密体系，"该机构在《后量子密码学（PQC）综述》中警示道。 

新西兰奥克兰大学计算机科学教授Peter Gutmann对此嗤之以鼻。在2024年题为《为何量子密码分析是胡扯》的报告中，他直言PQC纯属"无稽之谈"。其核心论据简明扼要：迄今所有量子计算机——被他视为"物理实验设备"而非实用产品——在未作弊前提下，最大仅能分解数字21。 

量子计算机与PQC皆极度复杂，但破解RSA公钥加密的常规流程相对直接：给定密钥模数n，需将其分解为两个质数p和q（满足n=p×q）。当n=21时，p=3与q=7构成极不安全的5位RSA实现；但当n升级为1024位或2048位数时，寻找质因数需天文级算力。 

NIST的担忧源于众多科学家的警告：未来量子计算机或能运行Shor算法——该算法本质是寻找大整数质因数的捷径。为此，该标准机构已主导开发HQC（汉明准循环）、CRYSTALS-Kyber等抗量子加密算法，拟替代现行RSA体系。NIST表示（虽未即时置评），有工程师声称量子破译或在二十年内实现，这与现代公钥设施部署周期相当，故需未雨绸缪。 

从量子计算机的现状来看，新算法的必要性似乎不那么令人信服。在3月份发布的一份讽刺性报告中，Gutmann和合著者、苏黎世应用科学大学计算机科学高级讲师Stephan Neuhaus认为，用1981年的VIC-20 8位家用计算机、算盘和狗，就可以复制当前量子计算机的密码破解能力。 

该报告指出，IBM在2001年用7量子比特量子计算机实现了Shor算法，演示了数字15的因数分解。十年后，研究人员成功用量子计算机分解了数字21。IBM在2019年尝试分解35，但基本上失败了——由于量子比特错误泛滥，该算法只有14%的概率能成功。 

上海大学的相关研究人员声称，他们使用了专门针对特定优化问题设计的量子退火计算机D-Wave，分解了一个2048位的RSA整数。 

但根据Gutmann和Neuhaus的说法，评估的RSA数是两个过于接近的质因数的乘积。 

就像魔术师为纸牌戏法预先码好的牌组一样，计算机科学家在报告中解释道："量子因数分解是通过使用编制好的数字来进行的，这些数字经过选择，使得用物理实验（进而用VIC-20、算盘和狗）很容易分解。" 

"由于n（公钥）=p×q，如果p和q之间只有一两位的差异，n的平方根会让你在一两位内得到p和q，"Gutmann告诉The Register。"这就是为什么像报告中引用的FIPS 186这样的RSA标准要求它们至少相差100位，即它们相差2^100（1.3×10^30，谷歌告诉我这叫nonillion）或更多，这样你就不能用平方根运算来近似它们。" 

在AI领域的一个类比是，吹嘘一个在基准测试问题上训练的AI模型的基准测试能力。

D-Wave首席开发官Trevor Lanting告诉The Register："根据我们的评估，这项研究并不代表能力上的新突破，它是对之前用量子退火计算机分解小数的一些工作的探索。这项研究探索了分解能力，我们早就说过，退火和门模型量子系统都可以解决这个问题集。 

"破解现代加密需要比现在规模大许多数量级的量子处理器：未来许多年都不会对加密构成威胁。此外，已经有后量子加密协议可用。D-Wave并不特别关注密码学，但我们的技术已被用于支持入侵和威胁检测应用。" 

在谷歌宣称"量子霸权"、微软有争议的马约拉纳突破、伊利诺伊大学计算机科学教授Daniel Bernstein认为不应放弃量子计算机、以及德克萨斯大学计算机科学家Scott Aaronson认为量子计算"即将成为现实"的背景下，Gutmann仍然怀疑有人能在短期内用"物理实验"进行任何有意义的密码破解。 

The Register请Gutmann详细说明量子密码分析何时能实现。 

"并没有一个具体的时间，尽管随着时间的推移，随着任何真正的（非编造数据）量子密码分析都没有出现，这一点变得越来越明显，它就像'便宜到不用计费的聚变电力'和其他几十年前的科技幻想一样不现实，"Gutmann解释道。 

"我是一个经验主义的不可知论者，对于运行良好的标准加密，它基于数学和工程，我们可以看看数学和工程（计算能力等），并在图表上的数据点之间画一条线，说'这大概能用到这个时间。' 

"另一方面，PQC不是数学或工程，它是占卜：'一台伟大的机器将会出现，它将抛弃所有现有的密码学，随之而来的是饥荒、瘟疫、战争和一片漫长的可耕地。' 

"这份胡扯报告在我们拥有的两个PQC数据点之间画了一条线，表明我们将在约2000年后达到与现在标准计算机相同的密码破解水平，但即使是这些数据点也来自编造的数据因数分解，而不是像破解RSA所需的那样，用Shor算法恢复两个未知因数的合法应用（这就是为什么我们在报告中建议对量子密码分析声明进行抗手法技巧的评估标准）。 

"实际上，我们拥有的数据点为零，这很好地证明我们在基于物理实验的密码分析方面没有取得任何进展。" 

Gutmann还顺便提到，我们在超光速太空旅行、《星际迷航》式的传送器和许多其他高科技梦想方面也拥有相同数量的数据点。 

当被问及他对PQC的怀疑是否延伸到量子计算机整体时，Gutmann说澳大利亚战略政策研究所比他更好地解决了这个问题： 

与普遍说法相反，量子算法不会"同时尝试所有解"。相反，它们小心地操纵量子比特，以放大在输出端测量到有用答案的概率，同时抑制测量到其他任何答案的概率。这大致类似于魔术师的纸牌戏法：与其检查牌组中的每一张牌来找出被选中的那张，魔术师使用一系列巧妙的步骤，使被选中的牌更有可能出现，而实际上并不知道它是什么。 

与传统算法相比，量子算法能更有效地随问题规模扩展。这意味着对于一个足够大的问题，它们可能比传统方法更高效地计算出答案——在时间、能量或成本上。对于较小的问题，由于量子计算的开销，在可预见的未来，传统计算机可能仍保持明显的比较优势。

我们询问IT安全专业人士应如何看待向"后量子密码学"的转变，以及这种转变是否能带来任何好处。 

"不，事实上会失去很多，"Gutmann回答。"目前我们有一个价值数十亿美元的全球网络犯罪产业，它建立在加密未能提供应有的保护之上，而我们没有解决这个问题，反而投入大量精力将我们的加密换成新的、低效且难以使用的东西，它提供的保护并不比旧的好（在被量子密码分析赋予存在理由之前，它被忽视了几十年是有原因的，它真的不太实用或好用）。转向PQC只是让我们不必解决真正难题的干扰。"