长期数据保护、旧加密通信量的存储和量子密码体制

Question

Tony在他的不完全前向保密文章中提出了一个有趣的观点，这篇文章基本上可以归结为：

1. 像美国国家安全局这样的大型实体正在存储加密的互联网流量，还有什么可以阻止小实体，比如代理所有者--做同样的事情
2. 当有足够力量的量子计算机上架时，这些数据应被视为与明文一样好，而且随着该日期的临近，将有更多的人开始记录加密的通信量。
3. 量子计算机正以良好的速度变得更强大(去年82 qbit计算机，今年512 qbit计算机)，一个不无道理的估计是，量子计算机将在10到20年内上架。
4. 当这件事发生的时候(全部？)存储的加密数据将被破坏。

当然，由于计算技术和许多通过设计发现存在缺陷的协议的日益强大，以前存在的问题是存在的，但计算机打破现代密码学的前景，以及存在存储过时标准加密数据的巨型数据中心的知识，使问题更加严重。

仅仅保护自己免受今天的密码威胁，并知道在不久的将来，所有你认为安全的数据都将免费提供给病人(例如，许多人使用的密码模式等)，这似乎不再是可以接受的。

那么问题是，我们今天可以使用什么样的加密/散列来防止长期的数据存储？

Clarification

“量子密码启示录”简单地消除了先前存在的一个问题，因为更多的各方可能存储加密数据，等待一个好的密码分析工具。

问题在于普遍关注如何使数据“立即”安全，这是很好的，除非有足够数量的实体存储加密的数据，以便以后破坏它。

不管是真的还是假的，量子密码系统都会让很多人把加密的流量存储在磁带上。这个问题背后的想法是寻找一系列的算法，这些算法是我们所知的“未来证明”，而这些算法可能也应该是量子证明。

底线

好吧，那么底线是什么？是否有不对称密码协议不受Shore算法的影响？除了使用OTP进行会话密钥交换之外，还有其他选择吗？

Answer 1

我不同意问题的要点3，量子计算机正以良好的速度变得更强大(去年82 qbit计算机，今年512 qbit计算机)，至少在密码分析方面是这样的。

就连那些称赞这款设备的营销人员也不会假装它对密码分析有帮助：他们说关于它：

量子计算机所要解决的问题类型称为离散组合优化问题。这类问题最常被引用的例子是“旅行推销员问题”。

重要的是，没有关于精确解决几乎所有给定大小的TSP的说法，这将是密码分析潜在应用的一个重大突破。本文描述了如何更好地解决美国卡车运输中的旅行推销员问题，并没有给出今天的TSP解决者不能令人满意地处理这一任务的任何证据。

在最近的科学预出版链接这里中，“量子退火处理器”一词被用来描述这种设备。仅要求8量子位的纠缠( 8x8个8位阵列中的一个)。即使这8位位在哪一台量子计算机，如果所有64位阵列都有功能，那么64位8位位的阵列就不会做一台512位的量子计算机了。

足够表达我对量子计算机在可预见的未来密码分析中的有用性的强烈怀疑，让我们获得积极的结果。

为了防范一种对密码分析有用的假设量子计算机，在对称算法中使用两倍大的密钥是足够的；今天，AES-128在密钥搜索中是安全的，我敢打赌，即使在量子计算机上，AES-256在实践中仍能抵抗(实际上，除了侧通道攻击)，甚至在几十年内(最前瞻的人可能希望在256位模式下使用Rinjdael，可能有更大的密钥)。

现在有了不对称算法的问题(当我们想要一个私钥而不是与其他人共享时使用)。主流的非对称算法(RSA，ECDSA，DH，ECDH.)与今天的关键尺寸是不可想象的，不安全的说，假设QC。更新:而且，与我最初写的相反，前向保密无法修复这个问题。与TLS或IPSec的一些选项一样，具有前向保密的协议可以防止在未来出现私钥泄漏时破坏过去的拦截，包括使用未来的QC。但是，我们不知道有什么实用的方法(不包括量子密钥分配)来完全保护我们免受今天的拦截，并在未来使用一种可用于密码分析的假想量子计算机进行分析，并且能够突破密钥交换协议的步骤，该协议构建了一个临时/会话对称密钥，通常使用DH或ECDH的一些变体。为此，我们需要更好/更强的非对称算法；我对此无能为力。同时，我们可以使用大的非对称密钥(特别是用于构建短暂/会话对称密钥的方案)；这至少对QC有一定的用处。

而且，我们应该关心的是，比QC更平凡的事情；比如我们的计算平台的妥协，侧通道攻击，坏的TRNG，实现的傻瓜，以及流量分析。