我开始了一系列易读的每日帖子，主题是后量子安全。但我不知道这将持续多少天 :). 第1天：肖尔算法与量子末日(?) 我们大部分的安全堆栈——RSA、ECC、Diffie-Hellman——依赖于一个单一的假设：整数因式分解和离散对数是“困难的”。在经典硅基计算中，它们确实是。要破解RSA-2048，你需要的时间简单来说超过宇宙的年龄。 但这并不是物理法则。这是经典计算的限制。 1994年，彼得·肖尔展示了它们可以在量子计算机上高效解决。肖尔算法不仅仅是暴力破解密钥；它使用量子傅里叶变换（QFT [不是量子场论，哈哈]）来找到函数f(x) = a^x mod N的周期。一旦你有了周期，你就有了因子。 一旦你有了因子，私钥就完蛋了。因为私钥可以从公钥重构。复杂度的转变才是真正的“末日”。我们从亚指数时间转变为多项式时间O((log N)^3)。我们不是在谈论10倍的加速；我们是在谈论从数万亿年缩短到几小时在CRQC上。 与RSA类似，ECC（椭圆曲线密码学）也并不安全。由于其高效的代数群结构，破解256位ECC密钥实际上需要的逻辑量子比RSA-2048更少。 --- 感谢阅读！明天，我们将讨论为什么HNDL（现在收割，稍后解密）威胁意味着后量子过渡必须现在发生。 （视觉：彼得·肖尔）

我不确定大多数隐私领域的人是否完全意识到“先收割后解密”攻击。我们一直在说，距离第一台成熟的量子计算机在实际案例中运行 Shor 算法还有 n 年。 后量子安全并不是未来的奢侈品，尤其对于隐私系统而言。威胁模型已经发生了变化：对手今天不需要量子计算机就能在明天破解你的数据。他们只需要收集数据。每一笔加密交易、消息或证明，只要进入公共内存池或链上，就可以无限期存档。一旦足够强大的量子机器到来，任何在经典椭圆曲线假设下加密的内容都会变成明文。这就是“先收割后解密”问题，它悄然摧毁了“今天加密意味着永远私密”的保证。 隐私协议必须将此视为一项首要设计约束。如果你的系统依赖于 ECDH、secp256k1 签名来派生密钥，或在隐私层内使用任何基于椭圆曲线的加密，你已经在让用户面临延迟泄露的风险。我们喜欢认为隐私是一种瞬时属性，但实际上它是一种持久属性：它必须经得起时间、硬件进步以及拥有长久记忆和廉价存储的对手的考验。 这就是为什么后量子安全对隐私的重要性远超一般身份验证或共识。签名可以轮换。验证者密钥可以迁移。但一旦发布，密文就是永久的。而“解密”不是你可以修复的错误。 （视觉：彼得·肖尔）

很高兴在隐私与合规峰会上与其他小组成员交流，感谢@partyactionppl的组织！