量子计算机能破解RSA和AES吗？

Question

我试着学习更多关于密码学的知识，并遇到了一个名为AES-128量子安全吗？的帖子，它询问AES-128是否安全。从文章和答复来看，即使量子计算机(目前)的出现，AES-128 (对称密钥)似乎也是安全的。但是，似乎非对称密钥不安全吗？

那么，假设您有一个TLS1.3(它使用对称和非对称密钥)，那么量子计算机能够解密使用像TLS_AES_128_GCM_SHA256这样的密码发送的通信量吗？解密Diffie-Hellman (非对称密钥)是否足以看到某物的明文，还是还需要解密AES-128？

您需要同时解密TLS_AES_128_GCM_SHA256中的对称密钥和非对称密钥吗?还是只需要解密公钥，那么您就不需要费心处理私钥了。

Answer 1

到目前为止，这几乎是公开的知识了。

• 量子计算(QC)打破了现有的非对称密钥算法--基于整数分解和离散对数的算法，如RSA、DH、ECDSA等.
• QC确实削弱了对称密钥算法，但在实际意义上并没有破坏它们.

所以，在您给出的TLS示例中，一旦我们破坏了DH密钥交换，我们就可以导出密码套件中使用的对称密钥。

这就是我们发展后量子密码学的原因。我们的目标是开发基于量子计算机无法比经典计算机更有效解决的困难问题的算法。

Answer 2

一般来说，在因特网密码学中，有一个独立于批量加密机制的密钥建立机制。在使用Diffie-Hellman (包括椭圆曲线Diffie-Hellman)的情况下，它作为密钥建立机制为AES-GCM或chacha20等大规模加密方法提供了对称密钥。破解互联网Diffie-Hellman可能会提供一个对称密钥，然后就可以用来破坏批量加密。在身份验证方面也存在类似的挑战，这就是RSA可能会进入的位置。

然而，TLS1.3并不限于使用Diffie-Hellman建立密钥，也不限于使用RSA进行身份验证。除了DH密钥建立之外，TLS1.3还支持预共享密钥(PSK)机制和混合模式.这样就可以在带外建立钥匙。如果带外建立方法是量子安全的，则可以避免量子脆弱性.量子安全方法的例子可能包括物理密钥管理(例如使用移动电话SIM卡中的MILENAGE密钥材料)或对称密钥管理系统(如Kerberos )。

然而，对许多人来说(大多数？)在互联网连接的今天，卫生署的方法目前是可取的。未来的标准可能支持其他关键的机构选择。

Answer 3

与量子计算无关，如果和当您解密非对称加密时，您看到的是加密的AES通信量，以及获得对称加密的密钥(这是非对称加密的要点，即通信会话的密钥交换)。