向后量子密码学过渡

Question

经典非对称密码体制通常基于离散对数问题和整数分解，如果量子计算机有能力运行Shor算法，就可以在量子计算机上求解，或者设计出一种算法在经典计算机上运行。

现在我们知道，这是不可能的，至少在几十年内。但这并不意味着被动窃听者收集对称密钥协商的密钥交换握手数据包。

一旦建立了上述量子计算机，窃听者就可以解密与这些密钥关联的通信。例如，在过去，正在使用的密码系统最终容易受到攻击，这样专门的攻击者就可以恢复多年来存储的所有私有信息。

这里最明显的问题是，一旦打破了传统的非对称方案，现在转向后量子密码方案将阻止攻击者在未来恢复私有信息。我知道现在正在分析这些方案，即NIST呼吁新的后量子密码方案。

Q1：目前是否有任何机构或政府在其通信机构上实施NTRU、SIKE或多元密码方案，以防止过去的私人信息恢复？

Q2：怎样才能更好地估计时间(即年份)来继续进行这些后量子密码方案？我是说，我们不能等到这些攻击在理论上有能力的量子计算机上才能实现。

Answer 1

Question #1：

目前是否有任何机构或政府在其通信设施上实施NTRU、SIKE或多元密码方案，以防止过去的私人信息恢复？

回答

目前，开放式量子安全(OQS)项目已经被推出，以支持后量子密码学或量子抵抗密码学的发展和原型。

他们在liboqs，一个用于抗量子密码算法的开源C库.存储库中基于选定的NISTRound2候选项(如NTRU、SIKE和MQDSS (一种多元密码方案)实现了GitHub。

Question #2：

什么是一个好的估计时间(即年份)，以继续这些后量子密码方案？我是说，我们不能等到这些攻击在理论上有能力的量子计算机上才能实现。

回答

(1) 开放式量子安全(OQS)项目联席领导Michele在IEEE & Privacy杂志(2018年9月/10月，第16卷第5期)上发表了一篇文章量子计算机时代的网络安全:我们准备好了吗？，题为“到2026年有1/7的机会打破RSA-2048，到2031年有1/2的机会。”

(2) NIST PQC标准-下一步于2019年8月举行的第二届PQC标准化会议闭幕词：

“NIST不应旨在结束这一进程，并在2022年之前制定标准。这太快了，找不到合适的答案.还需要更多的研究。“

(3) NIST将于2020年4月29日在第八届国际密码模块会议(ICMC20)上作报告，报告NIST后量子密码标准化进程的最新情况。。

走向PQC标准化--一种更新

“在我们开始进行第三轮选拔时，这份报告分享了评估第一轮和第二轮候选人的经验教训。它讨论了一些关键问题，并讨论了过渡和移民战略。”