当前的计算机是否有现成的加密算法,对量子计算机是安全的?我知道一堆当前流行的加密算法,它们对当前的计算机是安全的,但对量子计算机的攻击却明显较弱。例如,Shor 破解 RSA 的算法。
如果我希望我的数据在 50 到 100 年后(希望)量子计算机基本上是商品硬件时安全,那么我今天可以在我的计算机/手机上使用哪些算法?部分忽略了这样一个事实,即 20 年后我们可能会在破解这些算法方面取得突破。我敢肯定,对量子计算机的加密算法进行了大量研究。必须自己实现算法并不是什么大问题,只要在当前硬件上用于文件或磁盘加密是可行的。
编辑:
我知道这个问题:什么样的加密不能通过量子计算机破解?,但是自从那个问答以来已经两年了,我想知道是否有什么新东西。
链接问题的答案很好地概述了为什么量子计算机会破坏现代加密方案(RSA 和椭圆曲线密码学(ECC)),但没有说明如何缓解它。
正如Thomas Pornin对相关问题的回答中提到的,AES-256 因抗量子而获得金星。因此,目前您能做的最好的事情是使用 AES-256 加密您的数据,并且对密钥非常小心(将其保存在与数据不同的驱动器上,存储在单独的位置等)。
我个人的看法是,当人们停止信任 RSA 和 ECC 和开始信任用于长期数据存储的后量子加密之间会有一点差距。在此期间,我怀疑我们将重新使用防篡改信封以物理方式邮寄 AES 密钥。
我在 2016 年 2 月参加了最近的PQCrypto2016 会议,会议期间很明显,这项工作仍处于起步阶段,还有很多关于后量子加密的基础数学研究有待完成。后量子签名要成熟得多,但是由于您的问题是关于加密的,所以我会坚持下去。在会议上,Steven Galbraith教授表示,几乎每周都会在其中一个主要方案中发现一个新的弱点,并提出一个新的变体来解决这个问题。因此,在我们编写任何我们信任的软件之前,我们想再给数学家几年时间。
圣杯是找到一种抗量子加密方案,它可以替代 RSA、ECC 和 Diffie-Hellman 密钥交换。当前大量提出的算法的问题是它们要么非常慢,要么具有非常大的密钥、非常大的密文,或者三者兼而有之!(“非常大的密钥”是指 4 - 10 兆字节,与 2048 或 3072位RSA 密钥或 233 或 283位ECC 密钥相比)。
在会议上,NIST 宣布了一项后量子加密算法竞赛,这将导致新的标准。提交被接受 2017 年 1 月至 11 月,产生60-70 个条目。
这些来自 NIST 的提交必须附有 C 中的示例代码,并且必须放弃任何专利或使用权,所以我想一些开源加密库将很快开始将它们作为“实验性”纳入。到那时,您应该能够使用量子安全算法来保护您的数据——不用担心,量子计算机还不够成熟,以至于 NSA 无法拥有一台,因此您受 RSA 保护的数据对于暂且。
也就是说,这可能不会完全满足你
我希望我的数据在 50-100 年后保持安全
由于这些算法将随着新弱点的发现和优化的发明而快速发展,因此您在 2018 年使用实验算法加密的数据可能无法被我们在所有研究结束时最终标准化的任何变体解密。
根据OpenSSL和Bouncy Castle的密码列表,它们目前都不支持任何抗量子密码。Bouncy Castle 往往很快就能实现新事物,因此我们可能会看到他们在接下来的 12 个月内尝试 NIST 竞赛中的一些实验性算法。