密钥生成

生成密钥是数字安全的奠基之举。这些由数字组成的秘密字符串是隐私和信任的基石，支撑着从安全的网上银行到保密通信的一切。但在一个信息可以被完美、即时复制的世界里，我们如何创造一个真正不可预测且独一无二的秘密呢？这个根本性挑战标志着一段旅程的开始，它从物理世界的混沌随机性走向纯粹数学的结构化优雅。本文探讨了密钥生成的原理、机制和现实世界应用，为这一关键的密码学领域提供了一幅地图。

“原理与机制”部分将深入探讨密钥安全的本质。我们将探索对真随机性的探寻、用于提纯它的数学工具，以及“一次性密码本”的理论完美性。接着，我们将审视像 RSA 和 Diffie-Hellman 这样的公钥系统的结构之美，揭示它们所依赖的计算不对称性以及可能导致其灾难性失败的微妙陷阱。“应用与跨学科联系”部分将展示这些原理的实际应用。我们将看到密钥如何在硅硬件中诞生，如何由操作系统管理，以及如何在复杂环境中大规模编排，从而揭示安全性、性能和可用性之间的持续权衡，并最终展望未来的抗量子密钥。

想象一下，我们想要创建一个密钥。这样东西的本质是什么？它是一段信息，一个只有我们知道的数字。它的力量源于其不可预测性。如果对手能猜到它，我们的秘密就一文不值。因此，密钥生成的旅程，其核心就是对完美、纯粹的不可预测性的探寻。这是一段引人入胜的旅程，带领我们从物理世界的混沌噪音走向纯粹数学的崇高、严谨的结构。

我们在哪里可以找到不可预测性？自然界是一个很好的起点。放射性衰变的确切时间、半导体中的热噪声、或计算机振荡器中的抖动，这些现象在所有实际应用中都是根本上随机的。利用这些物理过程的设备被称为​​真随机数生成器 (True Random Number Generators, TRNGs)​​。它们是我们通往宇宙内在混沌的直通线路。

但这种原始材料往往并不完美。假设我们的 TRNG 基于一个过程，它以 $p=0.6$ 的概率产生1，以 $1-p=0.4$ 的概率产生0。这就像一枚有偏的硬币。它确实是随机的，但并非均匀随机。了解这种偏差的对手会占有优势。

我们如何量化这种“随机性的大小”？在信息论中，我们有两个重要的概念。第一个是​​香农熵 (Shannon entropy)​​，它衡量一个结果的平均意外程度或不可预测性。对于我们这枚有偏的硬币，香农熵约为每抛一次 $0.97$ 比特。这比从一枚公平硬币中得到的完美 $1$ 比特要少，反映了其偏差。

然而，在密码学中，我们是悲观主义者。我们关心的是最坏情况。衡量这一点的指标是​​最小熵 (min-entropy)​​。它由最可能出现的结果来定义。在我们的例子中，最可能的结果是1（概率为 $0.6$），所以最小熵是 $-\log_2(0.6)$，约等于 $0.74$ 比特。这个较低的值告诉我们，在最坏的情况下，我们能从每个比特中获得的不可预测性只有 $0.74$ 比特。要构建一个具有 $128$ 比特安全性的密钥，我们不能只取 $128$ 个这样有偏的比特。我们至少需要 $\lceil 128 / 0.737 \rceil = 174$ 个原始比特，以保证我们已经累积了至少 $128$ 比特的最坏情况不可预测性。

所以我们有了这一堆有偏的、“低质量”的随机比特。我们如何提纯它呢？我们使用一种称为​​随机性提取器 (randomness extractor)​​ 的数学工具，它通常通过密码学哈希函数实现。你可以把它想象成一个精炼厂。我们将我们那串 174 个（或更多）有偏的比特长字符串输入，提取器会将其压缩，去除偏差和相关性，从而产生一个更短但均匀随机且高质量的输出——我们的密码学种子。这个过程被称为​​熵调节 (entropy conditioning)​​，它并不创造新的随机性，而是将现有的随机性浓缩成一种纯净可用的形式。

一旦我们有了这个宝贵的高质量种子，我们就可以用它来驱动一个​​确定性随机比特生成器 (Deterministic Random Bit Generator, DRBG)​​，也称为密码学安全伪随机数生成器 (Cryptographically Secure Pseudorandom Number Generator, CSPRNG)。DRBG 是一种算法，它接收一个种子，并确定性地将其扩展成一个看起来随机的非常长的比特序列。这里的关键词是确定性。给定相同的种子，DRBG 总是会产生完全相同的输出流。其安全性完全依赖于其初始种子的保密性和不可预测性。

这在现代计算中，尤其是在虚拟化环境中，导致了一种有趣而危险的故障模式。想象一下，一个数据中心管理员创建了一个虚拟机 (VM) 镜像，然后将其克隆 100 次以创建一组服务器，所有服务器都在同一瞬间启动。如果该镜像上的操作系统在首次启动时生成其唯一的 SSH 主机密钥，它从哪里获取随机性呢？在启动那一刻，一个无头服务器几乎没有熵源——没有鼠标移动，没有键盘点击。如果所有克隆中随机数生成器的初始状态都相同，并且它们都同步执行相同的启动序列，那么它们将全部生成完全相同的“唯一”SSH 密钥。

如果有一点熵，但不多呢？假设每台机器设法收集到一个只有 $H=12$ 比特熵的种子。这意味着每台机器的种子是 $2^{12} = 4096$ 种可能性之一。现在，我们有 $m=120$ 台机器独立地选择一个种子。至少有两台机器选择相同种子的概率是多少？这就是著名的“生日问题”。发生碰撞的概率出奇地高。在 120 个实例从仅有 4096 个种子的池中抽样的情况下，至少发生一次碰撞的概率超过 80%。结果是多个本应是独立的服务器共享了同一个密钥——这是一场安全灾难。这就是为什么现代系统开发了稳健的解决方案，比如在收集到足够熵之前阻止密钥生成，或者让虚拟机宿主在创建每个克隆时注入一个唯一的随机种子。

到目前为止，我们一直专注于生成一串完美的随机比特。用它能做的最好的事情是什么？密码学的理论顶峰是​​一次性密码本 (One-Time Pad, OTP)​​。这个想法异常简单：要加密一条消息，你需要生成一个与消息等长的真随机比特串作为密钥。加密过程就是消息与密钥的按位异或 (XOR) 操作。

为了使这个系统达到 Claude Shannon 所称的​​完美保密性 (perfect secrecy)​​——即密文完全不泄露任何关于明文的信息——必须遵守几条铁律：

1. ​​密钥必须是真正且均匀随机的。​​ 每个可能的密钥必须是等概率的。如果某些密钥的可能性更高，攻击者就可以先尝试它们。这与我们对纯粹随机性的探寻相关联。如果我们的密钥是从一个大小为 $2^{n-k}$ 的有缺陷的集合中选取的，而不是从完整的 $2^n$ 种可能性的集合中选取，那么知道这个缺陷的攻击者就能准确地了解到关于我们消息的 $k$ 比特信息，不多也不少。
2. ​​密钥长度必须至少与消息等长。​​ Shannon 证明，为了达到完美保密性，密钥空间必须至少与消息空间一样大。
3. ​​密钥绝对不能重复使用。​​ 如果同一个密钥 $K$ 被用来加密两条不同的消息 $M_1$ 和 $M_2$，攻击者如果获得了两个密文 $C_1 = M_1 \oplus K$ 和 $C_2 = M_2 \oplus K$，就可以计算 $C_1 \oplus C_2 = (M_1 \oplus K) \oplus (M_2 \oplus K) = M_1 \oplus M_2$。这会泄露两条明文的异或结果，是巨大的信息泄露。

真随机性的本质可能非常违反直觉。想象你有一串完美的随机比特流 $U_0, U_1, U_2, \dots$。如果你通过对相邻比特进行异或来创建一个新的密钥流：$K_i = U_i \oplus U_{i-1}$，会怎么样？你正在将这些比特混合在一起。这难道不会通过制造相关性而破坏随机性吗？令人难以置信的是，并不会。生成的比特流 $K_1, K_2, \dots$ 同样是一个由完美随机、独立且均匀分布的比特组成的序列。这展示了“真随机”这一概念深刻而稳健的本质。

一次性密码本是完美的，但极不实用。需要一个与消息等长的预共享密钥，这在后勤上是一场噩梦。这催生了密码学史上最伟大的革命之一：公钥系统。在这里，密钥不仅仅是随机字符串；它们是具有深刻而优美的数学结构的数字。

最著名的例子是 ​​RSA 密码系统​​。生成 RSA 密钥的过程是计算不对称性的杰作。我们需要找到两个非常大的素数 $p$ 和 $q$。找到这些素数相对来说是“容易”的。但如果你将它们相乘得到 $n = pq$，那么反向问题——仅根据 $n$ 找到 $p$ 和 $q$——则被认为是极其“困难”的。RSA 的安全性就建立在乘法的易与因式分解的难之间的这道鸿沟之上。

我们如何找到一个大素数？我们没有生成它们的公式。我们采用一种简单的“猜测并检验”策略。素数定理告诉我们，素数并不过于稀少。对于一个 $k$ 比特的数，大约每 $k \ln 2$ 个整数中就有一个是素数。所以，我们可以随机挑选一个大的奇数，然后测试它是否为素数。

但我们如何进行素性测试呢？一个简单的方法是试除法：检查该数是否能被所有小于或等于其平方根的素数整除。但对于一个 2048 位的数，这是不可能的。没有小于或等于 $40$ 的素数因子的最小合数已经是 $41^2 = 1681$，这说明了对于具有大素数因子的数，该方法会多快地失效。

一个更高级的想法是使用费马小定理，该定理指出，如果 $p$ 是素数，那么对于任何不能被 $p$ 整除的 $a$，都有 $a^{p-1} \equiv 1 \pmod p$。我们可以把它变成一个测试：选择几个基数 $a$，检查该同余式是否成立。不幸的是，存在一些具有欺骗性的合数，称为​​卡迈克尔数 (Carmichael numbers)​​，它们对于所有与之互质的基数 $a$ 都满足这个同余式。最小的此类数是 $561 = 3 \times 11 \times 17$，但还存在其他可以被构造出来以欺骗特定测试的数，例如 $n=1105=5 \times 13 \times 17$。这些“骗子”迫使我们使用更复杂的概率性素性测试，如 Miller-Rabin 测试，它可以提供极高的置信度来确认一个数确实是素数。

公钥系统赋予我们另一项神奇的能力：在公开信道上创建共享秘密。在 ​​Diffie-Hellman 密钥交换​​中，Alice 和 Bob 双方可以协商出一个秘密数 $S \equiv g^{ab} \pmod p$，而一个窃听者即使看到他们所有的公开通信（$g^a \pmod p$ 和 $g^b \pmod p$），也无法计算出这个秘密数。

但这个秘密值 $S$ 是什么？它是一个介于 $1$ 和 $p-1$ 之间的整数，但它不是一个均匀随机数。它是一个特殊数学群的元素，其分布具有结构性。直接使用 $S$ 的原始比特作为对称密钥是错误的，因为其非均匀性可能会引入微妙的弱点。

这让我们回到了起点。正如我们需要提纯 TRNG 的原始、有偏输出一样，我们也需要提纯这个结构化的、非均匀的共享秘密。我们再次求助于一个提取器，但这次它被称为​​密钥派生函数 (Key Derivation Function, KDF)​​。像 HKDF 这样的 KDF 将共享秘密 $S$ 作为输入，通过密码学哈希，提取其熵，以生成一个或多个全新的、干净的、任何所需长度的均匀随机对称密钥。这是将一个数学上的奇物转变为实用密码学工具的最后一道精炼工序。

密钥的生成不仅仅是核心算法的问题；它是一个有精确规则的协议。偏离这些规则，即使是看似微不足道的方式，也可能导致整个系统的崩溃。

再以 RSA 为例。私钥 $d$ 与公钥 $(n,e)$ 通过方程 $ed \equiv 1 \pmod{\varphi(n)}$ 相关联，其中 $\varphi(n)=(p-1)(q-1)$。这意味着对于某个整数 $k$，$\frac{e}{\varphi(n)} - \frac{k}{d}$ 是一个非常小的数。由于 $\varphi(n)$ 非常接近 $n$，这意味着 $\frac{k}{d}$ 是 $\frac{e}{n}$ 的一个非常好的有理数逼近。

如果为了效率，有人选择了一个非常小的私钥 $d$ 会怎样？事实证明，这是一个灾难性的错误。Michael Wiener 的一个优美的定理表明，如果 $d$ 小于约 $\frac{1}{3}n^{1/4}$，那么分数 $\frac{k}{d}$ 将会作为公开比率 $\frac{e}{n}$ 的连分式展开中的一个“收敛项”出现。攻击者只需计算这个展开，将每个收敛项作为 $\frac{k}{d}$ 的候选值进行测试，就能瞬间恢复私钥 $d$。这是一个惊人的例子，说明了一个深刻的数学性质——连分式在寻找最佳有理数逼近方面的威力——如何能被转化为毁灭性的攻击。它严酷地提醒我们，在密码学中，数学之美与其安全实现所需的毫不留情的精确性是相匹配的。

我们已经见识了允许我们生成密钥的优美数学机制——那些作为数字隐私基石的秘密数字串。但就像一台仍在工厂车间里的强大引擎，一个密钥只具有势能。只有当它被投入使用时，其真正的目的、其动能生命才得以显现。这些密钥存在于何处？它们如何塑造我们的世界？

我们回答这个问题的旅程并非始于抽象的数学领域，而是始于机器的核心：计算机芯片的硅片。从那里，我们将向上穿越赋予机器目的的软件层，进入依赖数字信任的复杂人类系统，并最终凝视计算本身那奇异而不确定的未来。我们将发现，密钥生成不是一个单一的行为，而是一个连接物理学、工程学、法律甚至伦理学的动态、鲜活的过程。

想象一下你想保守一个秘密。第一条规则是：不要把它写在别人能看到的地方。对于计算机来说，主存——存放其工作思想的 DRAM 芯片——就像一个公共广场。具有物理访问权限的对手可以轻易地“窃听”往返内存的电信号。计算机如何才能对这样的窃听者保守秘密呢？它必须学会用密码说话，即使是自言自语。

这就是全内存加密背后的原理。现代处理器现在包含一个特殊的内存加密引擎，一个位于处理器和其内存之间的微型密码学守护者。在任何数据离开芯片的安全范围之前，该引擎会对其进行加密。当数据返回时，引擎会对其进行解密。计算机的“思想”是保密的，即使它们穿行于内存总线这个公共广场。

但它应该使用哪个密钥呢？如果它永远使用同一个密钥，一旦泄露将是灾难性的。于是，工程师们设计了一种极其优雅的解决方案，称为​​密钥梯 (key ladder)​​。在芯片深处，有一个根密钥 $K_{\text{root}}$，它以一种永远无法被更改或读出的方式蚀刻在芯片中——这是芯片与生俱来的秘密。每次计算机启动时，它都使用这个根密钥来锻造一个全新的、临时的​​会话密钥 (session key)​​，$K_{\text{session}}$。它通过将 $K_{\text{root}}$ 与一丝纯粹的随机性——一个由芯片上的真随机数生成器生成的 nonce——相结合来做到这一点。这个 $K_{\text{session}}$ 仅在当前工作会话中存在，并保存在一个特殊的寄存器中，该寄存器在重置时会被清除。正是这个会话密钥被用来加密内存流量。

这个简单的两步生成过程——$K_{\text{root}} \to K_{\text{session}}$——提供了一种深刻的安全属性，称为​​前向保密性 (forward secrecy)​​。即使攻击者以某种方式攻破系统并发现了当前的会话密钥，所有过去的会话——用不同的、早已消失的密钥加密——仍然是安全的。此外，它还能防御​​重放攻击 (replay attacks)​​，即对手记录旧的加密内存内容并试图将其反馈给处理器。因为每次启动时会话密钥都是全新的，旧数据就只是一堆无意义的乱码。密钥生成过程赋予了计算机短期记忆，保护其现在免受过去的侵扰。

我们可以将物理世界与数字世界之间的这种联系更进一步。如果一个密钥根本不是被存储的，而是硬件本身固有的、不可克隆的属性呢？这就是​​物理不可克隆函数 (Physical Unclonable Functions, 或 PUF)​​背后引人入胜的思想。在硅芯片的制造过程中，微观上的差异——原子的精确位置、导线的厚度——会产生一个独特的、混沌的模式。PUF 是一种旨在将这种微观随机性转化为一致的数字“指纹”的电路。当被激发时，它会产生一个唯一的二进制字符串，但由于其底层结构极其复杂和随机，物理上不可能制造出一个能产生相同字符串的设备克隆。

当然，挑战在于物理世界是嘈杂的。温度波动或微小的电压下降都可能导致 PUF 每次产生略有不同的字符串——一个“带噪声”的读数。你不能将一个带噪声的密钥用于密码学。解决方案是信息论中的一个杰作，称为​​模糊提取器 (fuzzy extractor)​​。它是一个由两部分组成的算法。在注册阶段，它接收一个带噪声的读数，并产生两样东西：一个稳定的、完美随机的密钥 $R$，以及一段公开的“辅助数据” $W$。辅助数据就像一张噪声地图。之后，你可以将一个新的、略有不同的带噪声读数连同辅助数据一起输入到算法的第二部分，它就能神奇地重现出完全相同的密钥 $R$。从这一个稳定的秘密出发，像 HKDF 这样的密钥派生函数就可以生成一整套用于不同目的的密钥，例如长期设备身份密钥和临时会话密钥。在这里，密钥生成成为一座桥梁，连接着物理学混乱的模拟现实与密码学纯净的数字世界。

从硬件往上，我们遇到了操作系统 (OS)，所有软件的主协调者。它的工作之一是管理文件——可能多达数百万个。如果我们想用唯一的密钥加密每个文件，所有这些密钥从何而来？

一个听起来很聪明的想法是，根据一个主密钥和文件的唯一标识符，即其“inode 号”，为每个文件派生一个密钥。inode 是文件系统用来跟踪文件元数据的序列号。公式很简单：$K_{\text{file}} = \mathrm{KDF}(K_{\text{master}}, \text{inode})$。这看起来既高效又优雅。

但这里隐藏着一个微妙的陷阱，一个密码学领域的鬼故事。在大多数文件系统中，当你删除一个文件时，它的 inode 号最终会被回收并分配给一个新文件。想象一下，你创建了一个文件，在其中写入一个秘密，然后删除了它。之后，你创建了一个新的、不相关的文件，而操作系统恰好给了它与之前相同的 inode 号。它将被用与你已删除的秘密完全相同的密钥加密。如果一个攻击者能够从磁盘上恢复旧密文的“幽灵”数据，并且也能看到新密文，他就可以对它们进行比较。正如我们所见，当两条不同的消息使用相同的密钥和 nonce（在流密码中）加密时，加密层可以被剥离，从而揭示两条明文消息之间的关系。这是保密性的灾难性失败。

这个教训是深刻的：你的密钥生成函数的输入必须与你所要求的保密性一样独一无二且持久。解决方案是用一些真正唯一的东西来增强 inode，比如为每个新文件生成一个随机的“盐 (salt)”，或者使用一个在每次 inode 被重用时都会递增的“inode 生成号”。我们从中了解到，密钥生成不仅仅是产生随机性，更是要仔细地管理唯一性。

所有这些关于加密的讨论自然会引出一个问题：这不会拖慢一切吗？如果我们加密内存的每一个块、每一个文件、每一个网络数据包，我们的计算机肯定会慢得像蜗牛一样。

这里有一个美妙的惊喜。虽然加密并非没有成本，但现代处理器的速度非常快。让我们考虑从硬盘驱动器读取一个加密文件。获取数据的过程包括移动物理读写磁头、等待磁盘旋转到正确的扇区，然后传输数据。这些物理操作可能需要几毫秒（$1 \text{ ms} = 0.001 \text{ s}$）。那么，现代 CPU 解密同样大小的数据块需要多长时间？答案通常是几微秒（$1 \mu\text{s} = 0.000001 \text{ s}$）的量级，快了一千倍。密码学开销如此之小，以至于完全被磁盘的机械延迟所掩盖。花在密钥派生和解密上的时间在正常操作的“噪音”中消失了。

即使对于为抵御量子计算机而设计的复杂的下一代算法，这一点也同样成立。建立一个混合式后量子安全通道的完整握手过程可能总共需要几毫秒——这是一次性成本——而之后每个数据包的加密开销仍在微秒级别。

这并不意味着性能无关紧要。在物联网 (IoT) 或信息物理系统 (CPS) 中的小型、电池供电的设备中，每个 CPU 周期都会消耗宝贵的能源。在这里，密钥生成变成了一个工程权衡问题。我们必须在“安全预算” 内操作。一个设备应该多频繁地建立新的会话密钥？频繁操作通过限制攻击者的“机会窗口”提供了更好的安全性，但每次密钥建立握手都会消耗 CPU 时间和能源。操作得太不频繁可以节省电力，但可能会耗尽给定密钥的唯一 nonce 池，或创建一个不可接受的巨大重放窗口。正确的策略是在设备的安全需求和计算预算之间进行仔细计算的平衡。

到目前为止，我们的例子都局限于单台机器内部。但我们最重要的数据存在于庞大的、由成千上万人访问的分布式系统中。想象一下医院的电子健康记录 (EHR) 系统，它保存着整个社区的私人病史。保护这些数据不仅仅是一个技术问题；根据像 HIPAA 这样的法规，它是一项法律和伦理上的责任。

在这里，挑战不仅仅是生成一个密钥，而是管理其完整的​​生命周期​​。这个生命周期包括：

• ​​生成：​​ 使用真随机性创建密钥。
• ​​存储：​​ 保护密钥免遭盗窃。
• ​​轮换：​​ 定期更换密钥，以限制其一旦泄露所造成的损害。
• ​​撤销：​​ 如果怀疑密钥已被泄露，立即禁用该密钥。
• ​​销毁：​​ 在其生命周期结束时，安全且不可逆地擦除密钥。

为了大规模地管理这个生命周期，我们使用专门的技术：​​硬件安全模块 (Hardware Security Modules, HSMs)​​ 和 ​​密钥管理系统 (Key Management Systems, KMS)​​。HSM 是密钥的物理堡垒——一个专用的、防篡改的设备，其唯一目的是生成、存储和使用密钥，而绝不让它们以明文形式离开其安全边界。KMS 则是管理大脑。它是一个协调密钥生命周期的服务，强制执行关于谁可以使用哪个密钥、用于何种目的的策略，创建详细的审计日志，并自动执行轮换计划。KMS 是管理金库准入的银行家；HSM 则是金库本身。

这些系统支持强大的密码学模式，如​​信封加密 (envelope encryption)​​。我们不是用一个主密钥来加密所有数据，而是为每一份数据（或每条患者记录）生成一个新的、唯一的数据加密密钥 (Data Encryption Key, DEK)。然后，我们使用一个由 HSM 保护的主密钥加密密钥 (Key Encryption Key, KEK) 来加密每个 DEK。加密后的 DEK 与加密数据一起存储。这就像把每个秘密放进它自己的上了锁的盒子里（DEK），然后再把那个盒子的钥匙放进一个密封的信封里（KEK）。要读取一个秘密，你必须首先从 KMS 获得许可，使用主密钥打开信封并取出盒子的钥匙。这提供了难以置信的灵活性和控制力。例如，要“密码学粉碎”一个病人的记录，我们不必覆盖数 PB 的数据；我们只需销毁与之相关联的那个微小的 DEK，数据就变得永久不可恢复了。

如果不展望未来，以及地平线上正在逼近的风暴——量子计算机，那么密钥生成的故事将是不完整的。一台足够强大的量子计算机，利用 Shor 算法，将能够破解我们今天用于建立安全连接的大部分公钥密码学。

这就产生了一种令人不寒而栗的威胁，称为​​立即捕获，稍后解密 (Harvest-Now, Decrypt-Later, HNDL)​​ 攻击。对手可以今天就记录我们加密的通信——我们的金融交易、国家机密、私人消息——然后简单地把它们存储起来。他们现在无法解密。但他们在赌，未来一旦他们拥有了量子计算机，就可以用它来破解今天的密钥建立握手，揭示会话密钥，并解密所捕获的数据。

我们如何保护今天的秘密免受未来计算机的威胁？答案是开始以一种新的、抗量子的方式生成我们的密钥。密码学界已经在标准化新一代的后量子密码学 (Post-Quantum Cryptography, PQC) 算法。在这一过渡期间，最安全的策略是​​混合密钥交换 (hybrid key exchange)​​。当两方建立一个会话密钥时，他们并行执行两次密钥交换：一次是经典的（像我们今天使用的），一次是后量子的。然后他们将两者的结果结合起来生成最终的会话密钥。攻击者必须破解经典算法和 PQC 算法两者才能成功。这为我们通往量子未来架起了一座桥梁，确保只要两种方法中至少有一种保持不被破解，我们的安全就得到保障。

此外，量子计算机也影响对称密钥，尽管影响不那么剧烈。Grover 算法为暴力破解攻击提供了二次加速，实际上将密钥的比特强度减半。为了维持我们当前的安全水平，我们必须将使用的密钥大小加倍，例如，对于像 AES 这样的对称密码，从 128 位密钥迁移到 256 位密钥。

我们看到，一个密钥的旅程，是一条贯穿我们整个技术世界的线索。它始于物理学的基本随机性，由数学的逻辑和工程的实用主义锻造而成，受我们社会和法律体系的政策所规制，现在又延伸到量子力学不确定的前沿。这是一场持续不断的、不断演进的探索，旨在在一个无限复杂的世界中创造确定性和信任。