葱一根 - one sat on Nostr: 5 后量子时代的世界会是什么样子？ ...

5
后量子时代的世界会是什么样子？

当量子霸权和即将到来的量子密码破解发生时，世界将永远改变。会有之前的世界历史和之后的世界不可思议的未来。大多数改变不会立即发生，而是会发生在基于不同用途和应用的众多时间线上。有些将在以周和月为单位的时间线内发生，而其他的将在数年和数十年内发生。但影响深远的重大变革即将到来。
本章将讨论可能发生的变化，首先集中讨论量子计算在近期内可能中断的应用程序(本书的重点)，然后是由于量子特性我们将看到的所有新的或改进的设备和应用程序。与以往大多数重大技术进步一样，这些变化可以而且将被用于善恶两方面。量子计算将在许多方面对我们产生影响，而不仅仅是通过破译密码秘密。在讨论了与密码学直接相关的突破和改进之后，本章将探讨我们将看到的所有奇妙的新发明和改进，而不仅仅是密码问题。
注：本章中的应用程序一词是用来表示任何类型的技术实现，而不仅仅是软件程序。

中断的应用程序

这本书的主要目的是使用当前技术、算法、协议和密码的所有计算应用程序，它们将被量子计算削弱或完全打破。这包括任何基于新利用的量子特性可以击败的东西的保护的应用程序。后量子世界将充满削弱和完全破碎的密码学（在捍卫者的帮助下，大量的抗量子密码学，将在第6章“抗量子密码学”和第7章“量子密码学”中讨论）。
如前几章所述，这包括任何依赖于传统二进制计算机无法进行超高速计算（Grover的算法可以克服）或使用Shor的算法分解涉及大素数的数学公式的保护。

弱化散列和对称密码

Grover的算法本质上意味着量子计算机将能够削弱大多数现存的传统对称密码和散列，特别是当它们与较小的密钥大小一起使用时。Grover在量子计算机上的算法基本上将大多数对称密码的保护减少了一半。128位密码只有64位的等效保护，256位密码只有128位的等效保护，依此类推。当量子密码破解发生时，128位的对称密钥保护仍然被认为足够强大，不会立即失效，但它确实在短期内有可能发生破解。考虑到计算机处理器的传统改进（即摩尔定律），128位对称密钥很可能只能提供数年的保护，而不是数十年。
任何使用小于256位密钥大小或散列输出的对称密码或散列，其长期保护值都将是有问题的（即，量子敏感的）。使用较大密钥长度的对称密码术被认为是量子抵抗的，而在规模的上限，使用大于裸最小值的密钥长度被认为是量子安全的。大多数密码学权威机构建议现在使用256位或更大的对称密钥（例如，量子安全的）来对抗基于量子的攻击的威胁。传统的想法是，只需要适度的安全需求或只需要保护机密几年的组织可以使用192位对称密钥，但需要高安全性或保护超过几年的组织应该使用512位密钥。尽管192到256位密钥可以用作“桥梁”，直到更大的密钥大小可以取代它们，但最终每个人都应该努力使用更大的密钥大小来保护他们想要长期保持安全的最关键和敏感的数据。从本质上讲，你要让莫斯卡不等式来指导你的计划；在第9章“现在准备”中有更多的内容。
注意:加密哈希也应使用与对称密码相同的推荐长度的摘要输出，即使它们不是相关的加密类型。
值得注意的是，即使是被广泛信任的、“密码强”的对称密码和散列，如果使用192位和较小的密钥大小和摘要，也会被认为受到量子计算的威胁。例如，即使是目前被信任和接受的SHA-2和SHA-3散列，如果它们使用小于192位的密钥长度，也不被认为是抗量子的。这是因为量子中断场景中的主要弱点是密钥大小本身的内在保护，而不是底层算法的弱点。密钥大小决定了密码或散列所提供的“保护位”。例如，一个使用128位密钥的密码提供了2128位的比特数，破解者必须猜测（除非在算法中有一个潜在的密码缺陷，削弱了保护的总比特数），以确保找到正确的答案。
在大多数真实场景中，平均猜测数是128位（2127位）的一半，因为平均有一半的时间真实世界猜测的数量将小于2127次猜测，而另一半的时间将花费超过2127次猜测（在大量的尝试中平均等于2127次猜测）。当对键或散列摘要结果进行纯暴力猜测时，重要的是必须猜测的保护位数。在进行纯粹的猜测攻击时，底层算法的数学能力不是一个因素。
注：美国国家标准与技术研究所（NIST）和其他组织认为128位对称密码是“弱”抗量子的。我不知道有谁想移动到使用安全的量子抗密码，想要“弱”的保护。因此，我不认为128位密钥是真正的量子安全的，我不会这样写。
表5.1列出了在后量子（PQ）世界中被认为具有或不具有弹性（即敏感性或抵抗性）的各种传统哈希和密码的例子。
表5.1：后量子世界中弱和抗量子的传统散列和密码
注意：任何有兴趣在PQ世界中抵抗量子的组织，都需要开始使用密钥长度等于或大于256位的传统对称密码和散列，最好使用512位。
如果对称密钥被破坏，对手可以读取它所保护的内容。这种情况过去发生过。早期的对称密码，如DES（64位密钥，但只有56位的保护），被认为足够强大，以保护机密信息。随着时间的推移，增加的计算能力使DES失去保护。今天，受DES保护的信息可以在几分钟内被破解。因此，目前推荐的对称密码是，具有256位或更多保护的AES，如果您希望长期保持量子安全，则推荐使用512位。AES-192是可以接受的量子保护，只有很短的一段时间，也许几年。
如果散列被破坏，对手就有可能创建其他具有相同散列摘要（对手声称是原始合法内容）的流氓内容。这就是所谓的第二次原像攻击。创建相同哈希结果的两个不同内容使散列算法在任何使用中都完全无效。它在过去发生过几次，最近一次是由谷歌研究人员在2017年用SHA-1散列证明的。Google能够创建两个不同的文档，导致相同的SHA-1散列（参见图5.1）。你可以在这里阅读更多关于第一次成功的SHA-1散列“冲突”：http://shattered.io/.
[插图]
图5.1示例散列和其他内容文档属性显示来自两个不同文档的相同SHA-1散列
注：有趣的是，如图5.1所示，MD-5和CRC 32的假设较弱的哈希算法，正确地显示了两个不同的哈希值，而据称更强的SHA-1哈希没有显示。这是因为，这两个不同的文档，是专门为利用SHA-1哈希算法中的一个缺陷而构建的，而研究人员并不关心对其他算法的影响。在现实中，利用MD-5和CRC 32中的缺陷是非常容易的，而且这些缺陷在很多年前就被利用了。然而，对于这两个文档来说，制作两个会导致所有三个散列显示相同散列的文档将更加困难。如果“文档”是一个更复杂的可执行文件，而不是一个简单的文档，那么创建一个与原始的、非恶意的可执行文件具有相同哈希的恶意可执行文件将更加困难(如果不是更多的话)。但是在密码学中，如果你的密码连一个简单的测试都失败了，它就完全失败了。
附注：CRC32不是加密哈希。循环冗余校验（CRC）是一种错误检测代码，它试图允许两个不同的内容被快速总结和比较，以查看它们是否不同，就像一个真正的加密散列。但是CRC不具备好的散列所需的任何特性，例如保证没有两个不同的内容会有相同的摘要输出。CRC是几十年来流行的“穷人的散列”，但现在在大多数应用程序中已被合法的加密散列所取代。
历史经验告诉我们，弱对称密码和散列可以被对手用于恶意目的。弱对称密码可以用来读取未经授权的内容，弱哈希可以用来不公平地声称两个不同的内容是相同的，然后可以用来愚弄不知情的用户。削弱的非对称密码已被用于几次高调的攻击，以侵入毫无防备的受害者。
如前几章所述，任何依赖于以下三个数学问题之一的非对称密码将被认为是不可用的，一旦肖尔的算法（和其他改进它的算法）在具有足够数量的稳定量子比特的量子计算机上运行：整数分解问题、离散对数问题或椭圆曲线离散对数问题。这包括以下传统的非对称密码算法：
里维斯特，沙米尔，阿德曼 （RSA）
Diffie-Hellman（DH）及其相关基元
椭圆曲线密码体制（ECC）及其相关基元
埃尔加马尔

断开的非对称密码

与对称算法类似，非对称密码的密钥大小也会影响它是否被认为是弱的或容易被破坏的。使用 Shor 的算法去分解任何素数方程，需要（ 2 × n ）+ 3 个稳定的量子比特，其中 n 是要破解的非对称密钥比特数。因此，要破解一个2048位元的RSA金钥，你需要4099个稳定量子位元；而要破解一个4096位元的RSA金钥，你需要8195个稳定量子位元。从理论上讲，你可以不断增加非对称密钥的大小，以保持领先于量子计算机获得的量子位数。然而，大多数量子专家认为，采用抗量子的非对称密码是一个好得多的策略，这样你的防御就不会依赖于保持领先于另一个你无法控制的数字。 
注意：易受量子影响的密钥交换也很弱或破损。因此，大多数传统的密钥交换，如Diffie-Hellman（DH）和Elliptic Curve Diffie-Hellman（ECDH）也是如此。

削弱和破坏的随机数发生器

计算机安全经常依赖于随机生成的数字，来进行大部分的操作和安全（这将在第7章中详细解释）。由于这种依赖性，大多数计算机都有内置的硬件级随机数生成器（RNG），大多数操作系统和许多软件级的应用程序也是如此。不幸的是，一台非量子计算机，不可能对任何事情都是真正随机的，更不用说能够产生真正的随机数了。即使传统的计算机可以，它们也不能证明任何特定的生成数字是真正随机选择的。相反，非量子计算机RNG会尽最大努力逼近真随机性（称为伪随机性），这对普通人和应用程序来说似乎是完全随机的，即使事实并非如此。问题是，任何需要真正随机生成的数字，当该数字不是随机生成时，就会产生潜在的漏洞。这是一个自计算机诞生之初就困扰着计算机安全行业的问题。
在过去的几十年中，发现许多RNG都包含一个或多个漏洞，这些漏洞是使用传统方法在标准计算时间内发现的(即，在合理的时间框架内不需要指数或对数的解决方案速度)。失败的计算机安全解决方案的历史，充满了有缺陷的随机数生成器的例子。基本上，如果对手能发现伪随机数生成器是如何有缺陷的（它将永远是一个可重复的模式，它可以用来预测未来生成的数字），他们可以用它来削弱或打破更高级别的密码或应用程序。
正因为如此，随着时间的推移，最流行和依赖的RNG稳步提高了它们的伪随机性。真正糟糕的RNG不再被使用，而现有的RNG更努力地工作，以减少不太明显的缺陷。今天，许多非量子RNG看起来几乎是真正的随机，即使它们不是。发现缺陷和可预测的模式并非易事。尽管如此，许多密码学研究者仍然专注于发现RNG的缺陷。寻找非随机的、可重复的模式，有点像试图分解大型素数方程或破解对称密钥。你的计算能力越强，就越容易发现RNG的缺陷。
量子特性和算法（如叠加和格罗弗算法），将提高传统RNG缺陷被更快发现的机会。量子计算机甚至有很大的可能性，能够帮助找到每一个可预测的、可重复的经典计算机RNG模式，揭示它们所有的真正缺陷。可以说，量子计算也许能够永远削弱（如果不是打破）传统RNG，以及依赖它们的一切。削弱和打破传统随机数发生器的最佳解决方案，是采用基于量子的随机数发生器（将在第7章中讨论）。

被削弱或损坏的依赖应用程序

显然，任何依赖于量子敏感的散列、密码或RNG的应用程序，也被认为是量子敏感的。今天，有更多的脆弱的计算机安全应用程序，比非脆弱的多得多。下面是这类应用的一些常见例子。

TLS

光光是破解与传输层安全（TLS）有关的加密技术（互联网大部分都依赖于TLS），就可以看出量子计算的突破是一个多么大的威胁。TLS依赖于量子敏感公钥基础设施（PerkinElmer）、数字证书、数字签名、非对称密码、对称密钥和哈希。TLS使用非对称密码和数字证书，来允许计算机主机和用户向他人验证自己。它还允许通信参与者安全地生成共享会话对称密钥，以便他们能够在授权方之间加密通信量(使用独立生成的共享会话对称密钥)。
在2019年，超过70%的互联网网站使用基于TLS的HTTPS（HTTPS）。https://etherealmind.com/percentage-of-https-tls-encrypted-traffic-on-the-internet/).作为VPN安全性的一部分，TLS也正以令人目眩的速度被几乎每一个虚拟专用网络（VPN）实现所采用。几十年来，大多数VPN都提出了自己的专有安全算法和方法，但现在他们中的大多数，包括最大和最流行的VPN（思科，帕洛阿尔托，微软等），都依赖于TLS的至少一部分，用于他们的基础安全。
有几个不同的TLS版本（1.3版是撰写本文时的最新版本），尽管TLS可以更新为使用抗量子加密，但几乎所有当前的应用，都使用量子敏感版本。一旦世界被告知要升级他们的TLS，应用到量子抵抗的形式，如果历史是指导，将需要许多年的大部分互联网升级。TLS在过去遭受了许多严重的漏洞，大多数TLS应用者通常需要三到五年的时间才能过渡到缺陷较少的版本。希望量子断裂发生的时候不要花那么长时间。或者，让我们希望，甚至更好，应用者能够提前转移到抗量子版本。

PerkinElmer和数字证书应用

像TLS一样，PerkinElmer和数字证书消费应用程序的数量在过去十年中爆炸式增长。PerkinElmer已经存在并广泛使用了几十年，尽管通常是在幕后实现的。大多数终端用户没有意识到，他们每天有多依赖PerkinElmer。在过去的10年中，使用PerkinElmer的组织的内部应用程序数量迅速上升。几乎不可能找到一个组织不依赖PerkinElmer，来实现其日常关键业务功能。
一旦量子计算机能够分解4096位或更少的公私密钥对，世界上大多数当前的PerkinElmer应用将被彻底打破，从根证书颁发机构（CA）到CA及其下属依赖CA曾经颁发的每一个数字证书都会被打破。目前发行的大多数数字证书，仅使用2,048位的保护，所有数字证书中有相当大的百分比，仍然仅使用1,024位。一个4096位的密码破解，将得到所有这些证书，尽管1024位和2048位的证书将首先被破解。
PerkinElmer CA和许多支持PerkinElmer的应用程序可以被更新，以使用不易受影响的加密形式。但像TLS一样，几乎所有这些应用目前都使用量子敏感形式，而将它们转移到抗量子形式，可能需要数年时间。这些支持Perkin Elmer的应用程序包括以下内容:
使用数字证书的主机身份和身份验证解决方案
使用公钥加密的密码和身份验证解决方案
安全复制协议）的TLS安全版本，邮局协议、网络新闻传输协议、简单邮件传输协议、因特网消息访问协议、文件传输协议、Telnet、超文本传输协议（HTTP协议），安全互联网实时会议协议（Silicom Limited）等
智能卡/虚拟智能卡
多因素身份验证使用非对称密码
安全壳牌（SSH）
绝好隐私（PGP）
安全/多用途互联网邮件扩展（S/MIME）
统一可扩展固件接口），这是一种被大多数计算机使用的计算设备引导协议
域名系统安全扩展（DNSSEC），用于保护DNS事务
DomainKeys标识邮件(DKIM)，用于帮助防止电子邮件域欺骗
硬件安全模块
802.1X端口安全性（使用数字证书时）
帕利耶密码系统（及其历史渊源）
YAK（公钥认证密钥协商协议）
使用非对称密码的车载计算机系统（大多数都这样做）
几乎所有其他使用PerkinElmer和数字证书的应用程序
可以说，量子计算很可能会打破互联网安全所依赖的大部分东西。找到不太可能坏的东西要比找到已经坏的东西容易得多。

数字签名

数字签名使用PerkinElmer、非对称密码和散列，来验证内容（文档、程序、数据、身份等）。目前所有流行的应用，包括数字签名算法（DSA）和椭圆曲线数字签名算法（EDSA），使用量子敏感的密码。数字签名的最大用途之一，是对来自开源和商业供应商的内容和下载进行签名。量子密码破解可以让对手生成相同的公私密钥对，然后允许他们签署新修改的或纯粹的恶意内容，并发送给不知情的消费者。

历史真实世界中的非对称攻击

2012年发生了一次攻击，攻击对象是公共加密数字签名证书，这些证书随着时间的推移已被显著削弱。名为Flame的高级恶意软件（https://en.wikipedia.org/wiki/Flame_(malware))创建了一个伪造的微软数字签名证书（见图5.2），来签署恶意软件程序。锻造之所以成功，是因为一些弱点，包括以下几点：
所涉及的非对称密钥只有512位长。
它被易受的MD-5散列加密了。
父CA允许子证书包含数字签名的目的，即使没有任何理由允许该特定目的用于CA颁发的任何证书。一旦原始的非对称密钥对被破解，攻击者就可以创建新的数字签名证书。
所有这些密码弱点，都允许恶意对手重新创建真实世界的Microsoft CA，用来签署附加(流氓)数字证书的合法公钥对。对手创建了一个新的流氓数字签名证书，然后用它来签署他们的恶意软件。恶意软件可能会被发送给可能的受害者，他们很容易被欺骗，相信所涉及的程序是来自微软的合法程序。在某些情况下，数字签名将允许安装恶意软件，而无需用户同意安装。
[插图]
图5.2假冒微软的伪造数字证书用于签署恶意软件
这是已知的第一个流行供应商的CA公私密钥对被对手破解，从而允许恶意签署未经授权的内容的实例。恶意软件创作者以前曾从合法供应商窃取公私密钥对，然后使用偷来的证书来签署他们的恶意软件创作（如在Stuxnet恶意软件程序中所做的），但这是第一次使用加密破解来创建一个全新的（流氓）数字签名证书。见https://arstechnica.com/information-technology/2012/06/flame-malware-hijacks-windows-update-to-propogate/Flame恶意软件程序的优秀讨论，并访问https://blogs.technet.microsoft.com/msrc/2012/06/03/microsoft-releases-security-advisory-2718704/如果你想阅读微软的官方警告问题。
作为回应，微软(以许多不同的方式)撤销了流氓数字证书，并对每个尚未过期或撤销的公开颁发的Microsoft数字证书进行了全面审查。其他几个弱数字证书被发现，删除，并撤销之前，他们可以恶意使用。微软还更新了微软Windows和其他相关软件，不再接受非对称密钥低于1,024位的数字证书。教训是，被削弱或破坏的非对称密码很容易被敌人恶意使用。

Wi-Fi网络安全

大多数Wi-Wi-Fi无线网络使用称为Wi-Fi保护访问（WPA）的无线安全协议进行保护。目前有三个版本：WPA、WPA2和WPA3。大多数Wi-Fi网络目前使用WPA2；WPA3版本于2018年首次使用，尚未广泛部署。
在许多企业场景中，WPA2无线安全使用数字证书、802.1X端口安全和对称加密。在大多数实现(家庭或企业)中，即使不使用非对称密码，对称密码也是如此。在大多数情况下，对称密码是密钥大小为128位的AES。一些较新的实现（使用WPA3）使用192位对称密钥，仍然远远低于256位的最小对称密钥大小，建议长期抗量子的位数为256位。
许多Wi-Fi路由器使用预共享密钥（PSK）作为初始值，以允许新节点加入网络。这是大多数人给客人的“Wi-Fi密码”，这样他们就可以加入他们的Wi-Fi网络。今天，PSK应该是随机生成的，并且应该至少有16到20个字符或更长，尽管在实践中很少有Wi-Fi实现遵循这一安全建议。传统的Wi-Fi网络破解工具通常会猜测PSK，并一遍又一遍地尝试加入和重新加入网络，直到找到正确的PSK。
注意:大多数Wi-Fi无线集线器允许PSK最多为63个字符。
在客户端提供正确的PSK（或802.1X数字证书）后，WPA2创建一个称为成对主密钥（PMK）的共享会话密钥，并使用量子敏感密钥大小的PBKDF2-SHA1哈希算法对其进行哈希。量子计算机加速可以让量子计算机更快地破解散列并猜测PMK。
因此，无论是通过攻击psk、pmk、散列还是对称来获得未经授权的访问。/非对称算法和密钥，今天的传统Wi-Fi网络为量子计算机提供了许多机会，来获得网络访问或窃听没有加密保护的通信。
附注：有动机的对手可能已经在记录目前保护他们的对手的Wi-Fi网络流量，等待有一天，当他们可以使用量子计算解密的流量。量子密码破解对无线网络和其他类型窃听的威胁已经是一个风险。

微软视窗

与当今大多数流行的操作系统一样，Microsoft Windows也包含了大量的量子敏感密码学，包括散列、对称密码、非对称密码和rngs。Windows的主要身份验证协议(Kerberos和NT[New Technology]LAN Manager[NTLM])是量子敏感的。两者都使用NT哈希，它使用128位MD-5哈希值.NT散列不仅用于网络和本地登录身份验证方案，而且用于本地和ActiveDirectory域控制器的密码哈希存储。本地缓存的密码使用PBKDF 2哈希，它具有更强的抵抗力，但仍然容易受到攻击。
微软的新身份验证协议Windows Hello for Business在后台使用硬件或软件公钥加密和/或数字证书来支持允许的身份验证机制。Windows 10（及更高版本）支持FIDO（快速ID Online）2.0标准（https://fidoalliance.org/fido2/),它基于数字证书和公钥密码。
微软确实使用SHA-2（128位）进行散列，尽管出于向后兼容的目的，许多文件也（或仅）使用SHA-1进行散列。Windows目前使用AES 128位密码进行对称加密，默认情况下使用2,048位RSA密钥进行非对称加密，尽管支持更大的密钥大小，但可以轻松启用。
大多数微软应用程序，包括其旗舰产品perkin elmer,active directory certificate services（adcs），默认情况下使用量子敏感密码。微软已经成功地使用抗量子密码对ADCS进行了测试，以确保ADCS能够在需要时使用它们。
因为Windows默认情况下不包括抗量子的非对称密码，所以任何使用非对称密码的微软应用程序也可以被认为是量子敏感的。任何微软功能或应用程序使用较小的对称密钥和哈希（特别是如果不使用较大的密钥大小，如192位或更大），也容易受到长期影响。如第2章“量子计算机介绍”所述，微软是一个主要的量子研究者，并且已经在大量研究和投资于学习如何在需要时，将其所有产品转换为抗量子形式，这比任何其他流行的操作系统供应商都要多。注意微软对其密码推荐的说法。当微软说是时候行动了，就行动吧！

加密货币

量子圈中一个常见的问题是，加密货币是否对量子敏感。是的。其中的大部分，包括比特币和所有最流行的应用，在某种程度上都是一些涉及的基础密码学至少在某种程度上是量子敏感的，许多最关键的组件绝对是量子敏感的。大多数加密货币至少涉及四个主要领域：区块链、个人用户的公私密钥、所涉及网络的安全性以及个人用户的加密货币钱包。 

区块链易感性  

让我们从区块链开始，它可能是所有涉及的组件中最易受量子影响的部分。区块链是一个分布式、去中心化的账本（即记录数据库），用于跟踪和验证个人交易。每个单独跟踪的交易可以存储在单独的交易“块”中，或者多个交易可以一起存储在单个块中。每个块存储的事务数取决于应用。单个块包含交易信息（它可以是由应用程序定义的任何信息，仅包括所需交易信息的散列）和至少一个密码散列，以及任何其他所需信息。
常见的区块链块格式如图5.3所示。区块链的“链”指的是前一个区块的哈希值被存储在下一个区块中，然后被哈希并存储在下一个区块，以此类推。这使得每一个随后的块通过散列到前一个块的方式“挂钩”，区块链中的所有块都彼此加密链接。您不能轻易地篡改任何块而不同时修改后面的每个块（因为被篡改块的哈希值会改变）。这是一个相当强的保护-只要你能保护哈希。
[插图]
图5.3:区块链中区块的格式
在大多数块链中，哈希具有量子抵抗性，它使用256位哈希摘要保护。虽然从长远来看512位将更安全和更好，但至少其中大多数要做到不是128位。还有更多的固有预测。首先，正如前面所述，为了恶意地操作块链中的任何单个块，您需要修改所有后续块的信息和散列，这样做的方式不会被所有(或至少一半)底层参与者检测和恢复。这是一种非常强大的内在保护。这就是为什么区块链在需要长期完整性保护的交易中变得如此流行的原因。
所谓的“51%的攻击”已经在现实世界中成功，对不太流行的加密货币完成了攻击。见https://www.ccn.com/ethereum-classic-51-attack-blockchain-security-researchers-reveal-full-implications/为例。
其次，尽管散列摘要可能只有256位长，但它经常被一次多次使用和/或与附加散列一起使用。例如，比特币使用SHA-256和RIPEMD-160。RIPEMD-160单独被认为是弱量子敏感的，但当与SHA-256结合时，尤其是与多轮SHA-256组合时，它变得不那么敏感。

其他加密货币易感性

加密货币变得更加量子敏感的地方，是他们使用量子敏感的公共密码的地点和时间。个人参与者和加密货币区块链之间的互联网连接受TLS保护，每个用户使用量子敏感公钥加密，来修改区块链并保护他们的个人钱包。任何知道用户的公私密钥对的人都可以从用户的钱包中窃取，或在通往区块链的途中恶意操纵用户的交易。
自从比特币让一群人瞬间成为百万富翁后，个人用户的钱包就一次又一次地被黑掉。数亿美元，甚至可能是数十亿美元，已经被盗，甚至在量子密码破解被认为是潜在风险的一部分之前。区块链和加密货币不仅受到个人黑客和团体的攻击，也受到民族国家的攻击。众所周知，一些流氓国家，如朝鲜，通过窃取数亿美元的加密货币来资助他们的国家。
与密码货币的量子黑客有关，有两种大的储蓄方式。首先，一旦量子突破发生，整个世界的货币体系也将受到攻击（其中大部分现在受到TLS和其他量子敏感密码的保护），因此加密货币将只是我们众多担忧之一。其次，大多数加密货币可以“分叉”（即分裂）它们的应用，以满足更抗量子的要求。这种方法会产生它自己的问题，但是在过去，对于其他安全问题，这样做已经做过很多次了。
也有一些已经存在的抗量子加密货币，但它们是少数。大多数现有的加密货币指导机构认为，提前切换到抗量子密码的加密开销不值得过早行动。大多数流行的加密货币计划迁移到量子敏感性较低的加密，因为他们听到了即将到来的量子密码破解的消息。
如果你有兴趣阅读更多关于加密货币及其量子敏感性的信息，有很多很好的资源，包括
https://en.bitcoin.it/wiki/Quantum_computing_and_Bitcoin
www.youtube.com/watch?v=Uy5zHAwo43o
http://diyhpl.us/~bryan/papers2/bitcoin/On%20Bitcoin%20security%20in%20the%20presence%20of%20broken%20crypto%20primitives%20-%202016.pdf

蓝牙和NFC

蓝牙是一种非常常见的短距离（通常为15英尺或更短）无线标准，通常用于两个设备之间传输信息，并使用超高频射频连接无线耳机和扬声器。近场通信（NFC）用于在很短的距离内传输信息，通常以几英寸为单位。NFC通常用于无线支付系统、非接触式身份验证和两个设备之间的信息传输，如手机。
蓝牙和大多数NFC协议都是基于弱量子敏感密码的.例如，根据所使用的协议版本，蓝牙安全性有各种级别和模式。但即使是最好和最高级别的安全性也会受到量子的影响。蓝牙安全级别2支持AES 128位密钥。级别4，最高的安全级别，支持椭圆曲线Diffie-Hellman P-256。可悲的是，大多数蓝牙用户并不知道在其使用蓝牙的产品中使用了哪些版本或安全功能。有关蓝牙安全的更多信息，请参阅https://en.wikipedia.org/wiki/Bluetooth#安全问题和https://duo.com/decipher/understanding-bluetooth-security.
安全功能方面，NFC要差得多。它的创造者大多认为，它被创造用于短距离将会有安全保护。的确如此。但与任何无线技术一样，黑客可能会学习如何与其无线交易接口，其数量级比创建者的意图要高出许多倍。大多数NFC实现除了使用NFC作为无线传输手段的应用程序中内置的安全性之外，没有其他安全性。那些具有一定传输安全性的协议通常使用较弱的密码，如AES-128或易受量子影响的公钥加密实现。综上所述，NFC是量子敏感的。
注：射频识别（RFID）是NFC的一种。虽然RFID经常被信用卡用于无线交易，但它没有内置的传输安全性。任何有读取器的人，只要能在适当的距离内，就可以读取两个节点之间传输的内容。你可以在互联网上找到RFID窃听视频。尽管如此，RFID犯罪的风险是非常低的，而且一直在降低。要了解更多信息，请阅读作者关于这一主题的文章：www.csoonline.com/article/3243089/cyber-attacks-espionage/the-truth-about-rfid-credit-card-fraud.html.

物联网和硬件设备

大多数现有的物联网（IoT）和其他计算硬件设备（如手机、电视、相机和电器）包含量子敏感的加密形式。许多物联网和其他主流硬件设备的风险高于平均水平的原因是，大多数消费者不知道他们使用的是什么安全措施，他们的设备通常很难升级。因此，一旦量子密码被破解，可能会有数十亿量子易受影响的物联网和硬件设备，其中许多将出现在我们的家中。
许多硬件设备（如蓝光播放器、音响和扬声器）都无法升级。它们可能包含今天的安全缺陷，并且它们包含的每个未来漏洞将永远不会被修复。一些设备包含内置的更新方式，但出于多种原因，许多设备所有者将永远不会更新它们。许多所有者不知道他们的设备可能需要安全更新。大多数消费者在初次安装后从不进入设备的管理控制台来检查是否需要应用补丁。他们的设备正在等待他们的所有者检查和应用新的补丁，但他们的所有者永远不会看到提示。很大一部分消费者意识到他们购买的设备在未来可能需要安全更新，但他们并不关心足够的风险来更新它们。这是一个可悲的事实。
附注：包含升级功能的设备将由其所有者更新的百分比因设备类型而异。计算设备和手机的升级比例较高（可能达到70%或更高）。几乎所有其他类型得设备都具有非常小得升级遵从性。Wi-Fi路由器和联网安全摄像头的合规率通常低于10%。有些型号的修补率在1%左右。如果每一个硬件设备都能在没有所有者交互的情况下定期自我更新，世界将会变得更加安全。

当心轻易的诺言

要警惕那些声称更新他们当前的量子敏感标准和应用程序在需要时并不困难的组织。我经常在加密货币论坛和物联网供应商那里读到这些类型的声明。毫无疑问，这些组织的大多数参与者从未参与过大规模的更新工作。他们是从一个缺乏经验的方面讲的。他们认为升级过程就像提供更新的代码和让大众应用一样简单。他们并不真正了解现实世界的挑战，如以下几点：
他们的用户群中有多少人甚至不会听到有必要更新
他们的用户群中有多少人在使用他们产品的旧的、不受支持的形式
即使用户尝试做正确的事情，他们的“大量测试”补丁也无法正确地应用于某些受影响设备的百分比
有多少产品的所有者不能简单地立即应用更新，即使是需要更新的
升级将有多难，以及所涉及的人类心理学的力量和挑战
没有一个参与过上一次大规模更新的人会声称下一次更新会是平稳有序的。当心那些声称升级到抗量子软件的过程会很容易的人。光是这句话就足以让他们无视所谓的“专业知识。”任何经历过大规模升级项目的人都会因为这种经历而变得谦卑，并降低他们的远大期望。升级总是比我们想象的要难。
我们的计算世界和我们大多数的智能设备都包含了量子敏感密码学。与抗量子攻击的计算设备和服务相比，更多的计算设备和服务更容易受到未来量子攻击的影响。当时机成熟时，它们中的许多可以升级到抗量子算法。其他人将永远对量子敏感。第九章将告诉你，你和你的组织应该如何为这种可能性做准备和计划。

量子计算

我不希望这本书充满悲观和悲观。尽管这本书的重点是量子计算对我们计算机安全的威胁，但量子计算将给我们带来比我们目前所能想象的，或者带来我们在第二章中提到的更多积极的东西。下面是一些比较详细的预测。

量子计算机

截至2019年，我们已经有几十台量子计算机，如果没有超过一百台的话。即使在量子霸权之前，这一数字也在稳步向北发展。一旦达到量子霸权，量子计算机的数量将呈指数级爆炸。每一家观望量子霸权是否真的会出现的大公司都会加入进来。没有一家大公司希望自己的利益被拥有更好计算能力的竞争对手超越。没有人想拥有速度更慢、技术更“老”的电脑。即使是那些并不真正理解量子是什么以及它的好处是什么的公司和供应商也会想要它。它将像云计算和人工智能一样成为推动市场营销的“流行语”。
正如第二章所介绍的，有十几种主要类型的量子计算机。预计随着时间的推移，随着行业进入具有最有效效益的类型，类型的数量会减少。在二进制个人计算机的早期，有几十家不同的 PC 厂商（其中包括苹果、 IBM 、 Altair 、 Micral 、 Wang 、 Tandy 、 Sinclair 、日本电气公司【 NEC 】、数字设备公司【 DEC 】、 Commodore 和 Sun ），其中许多都包含个性化的厂商芯片。最终，苹果和IBM风格的Linux PC成为了主流机型（Sun Microsystems也在几十年中占据了主导地位）。随着量子计算机的成熟，同样的整合也可能发生。
无论哪种类型和供应商胜出，量子计算机都有可能随着时间的推移变得更小、更便宜。在20世纪80年代，一台PC的平均价格为几千美元，这还是一个单色屏幕、两张软盘和一个非常小的硬盘驱动器（10到20兆字节），RAM不到1兆字节。它们通常重15到30磅，占据了放置它们的桌面的大部分空间。早期的外部硬盘驱动器重达一百多磅，大小相当于一个文件柜。今天，你可以发现几十台重量小于2磅的计算机，只要几百美元，性能参数就相当于上世纪80年代的超级计算机。
同样类型的物理和性能整合很可能发生在量子计算领域。人类擅长把东西做得更小。预计量子计算机将变得更快、更便宜、外形尺寸更小。最大的外形限制之一是大多数量子计算机需要冷却到接近0开尔文。预计即使是超冷量子计算机也会变得更小，尽管至少有一些量子计算机设计（如离子阱）不需要那些极低的温度。也许其中一个模型会胜出，让量子计算机的外形尺寸立刻大幅缩小。
量子计算机是否能缩小到我们今天习惯的外形尺寸（例如，台式电脑、笔记本电脑、平板设备和智能手机）还有待观察。但我们已经缩小了几乎所有其他计算设备的尺寸和成本，同时显著降低了成本。为什么量子计算会有什么不同？

量子处理器

我们已经有几十种不同类型的量子处理器。随着时间的推移，其类型、可用性和可承受性将增加。许多预测模型都指向量子协处理器的思想。在个人电脑的早期，大多数计算机都可以通过在主板的插槽上添加一个单独的数学“协处理器”芯片来升级。数学协处理器是专门为比PC的常规处理器更快地完成复杂的数学运算而创建的。需要使用浮点运算、复杂数学运算的程序可以将这些运算“卸载”到协处理器，协处理器会执行所需的计算，然后将结果交给主处理器，这样程序可以比没有数学协处理器的程序完成得更快。
性能测试经常显示，使用数学协处理器的计算机比不使用数学协处理器的计算机的性能要好得多。很快，消费者坚持认为，他们购买的任何计算机都安装了“可选的”数学协处理器。从营销的角度来看，它开始不是那么可有可无。对数学协处理器的需求是如此之大，以至于最终主要的PC处理器制造商只是在常规处理器中添加了高级数学例程。大约在Intel推出其486系列处理器的时候，需要一个单独的数学协处理器的想法自然消亡了。今天，每一个购买计算机的人都能得到一台内置高级数学组件的计算机。
许多量子计算机科学家预计，同样的事情也会发生在量子计算机上。在未来，很可能大多数计算机应用将不需要量子计算来完成它们的所有工作。量子专家预计，在一段时间内，量子协处理器将成为一种东西。我们的计算机将进行正常的（例如，二进制）计算，这是其大部分功能所需要的，而将复杂的量子计算卸载到量子协处理器。量子协处理器将从计算机的主处理器获取输入，执行其量子魔法，然后解码结果并将其交给计算机的主处理器。随着时间的推移，独立量子协处理器的概念可能会像昨天的数学协处理器一样成为历史。许多量子专家认为，总有一天，我们的每一台台式机和每一台设备上都有一台量子计算机，尽管这可能是十年或几十年之后的事情。

量子云

目前已经有近12种量子云存在，其中一些可以（免费）公开使用。当量子霸权发生时，预计免费和商业量子云的数量将成倍增长。量子云很可能被用作“虚拟量子协处理器”，任何繁重的量子计算都从主计算机的处理器上卸载，完成后返回量子答案。这个模型有很大的意义，尤其是在早期，当量子计算机是昂贵的，需要显着的环境控制（即，接近0开尔文度）。
也许量子计算的中期模型是将大多数传统计算机（以编程方式）连接到基于云的量子计算机，使量子计算对那些买不起量子计算机的人更具成本效益。即使是需要大量量子计算机的组织，当他们没有足够的个人量子资源时，也可以根据需要动态地附加额外的量子计算资源。无论哪种方式，量子计算机和云都将与我们同在，并在未来很长一段时间内为每个人所用。

量子密码学将被使用

量子计算机的大规模实现将带来许多新的抗量子密码算法和基于量子的密码算法。在未来五年内，组织将转向抗量子和基于量子的算法。抗量子算法将在第6章详细介绍，基于量子的密码和设备将在第7章和第8章详细介绍。

量子完美隐私

一个特殊的量子密码增益是量子密码学将如何更好地允许创建更多的完全同态加密（FHE）系统（https://en.wikipedia.org/wiki/Homomorphic_encryption),保证完美的隐私。FHE是指一个组织可以将加密内容发送给第三方，并允许第三方系统以某种授权和预期的方式有目的地操纵加密内容，而加密文本不被第三方解密。
一个简单的示例，假设一家公司希望将大量销售线索记录发送到“清理”信息交换所，以查找并删除重复记录和其他类型的无效记录。这是许多组织与数以万计的销售线索做定期。今天，即使原来的组织可能有一个安全需求，所有的记录都是加密的，他们可能不得不解密（或共享解密密钥）在某个时候，使处理器可以搜索数据，并删除适当的记录。
在一个完美的保密系统中，记录可以保持加密，并仍然成功地由铅清除处理器处理，而不透露明文内容或共享原始密钥。同态密码系统的另一个很好的未来应用示例是允许医疗数据共享，可能在全球范围内与任何从事研究的人共享（例如，谷歌正在众包医疗信息，以解决现有的具有挑战性的疾病），而不会向研究人员泄露任何个人数据信息。
大多数同态密码系统都包含一个附加的计算算法，该算法与原始密码有密码学上的联系，第三方处理器可以使用该算法来完成它们的工作。同态密码系统将允许必要的交易发生而不泄露私人信息。这将更好地保护原始主机公司、处理器公司和客户免受未经授权的数据泄露。
自20世纪70年代公钥密码术发明以来，同态密码系统一直被假设和创建，结果各不相同。大多数的尝试，导致在中途的解决方案，这不能用于所有的情况下，被称为部分同态。在前量子世界中，已经有十几个FHE系统被提出，但它们更多的是理论而不是实现。量子计算，特别是纠缠的量子特性，允许更多，更好，实际实施的解决方案。量子纠缠是FHE一直在等待的关键部件。世界上有一部分量子密码学家专门研究这个问题，他们使用的是量子同态加密（QHE）。QHE的净结果可能是更少的数据妥协。如果数据从未解密，就很难在您的手表上发生恶意数据泄漏。

量子网络的到来

目前，量子网络行业还处于萌芽阶段。供应商正在测试并成功生产第一代设备。量子网络具有很大的潜力，因为它可以跨越很远的距离使用，并且具有很强的隐私性。量子特性使得未经授权的行为者更难窃听受保护的网络通信流，而不提醒授权的有关各方。预计将看到量子网络在高安全性网络中使用，然后在正常的隐私要求环境中更普遍地使用。量子网络在第八章“量子网络”中有详细的讨论。
量子计算和密码学的广泛应用将威胁或破坏现有的量子敏感密码术，并将迎来一个提供更好安全性的量子保护的新时代。

量子应用

除了量子密码学，量子计算机正在准备产生全新的产业，并从根本上改变现有的技术。使用量子属性和算法(如Grover的算法、纠缠和叠加)可以受益的应用程序将通过量子计算得到增强。有数以千计的计算机问题，不能回答或优化，因为传统的计算机没有速度或能力来回答他们。下面是量子计算将改进的一些应用程序。

更好的化学品和药品

量子进展的首要任务是化学品和药物的改进。这已经是量子计算机被开发的首要原因之一。我们知道原子是由电子、质子和中子组成的。质子和中子是由其他元素粒子组成的，称为夸克。都在量子层面上工作和反应。单个的元素原子经常与同类型和不同类型的其他原子形成化学键，形成更大的分子。例如，两个氢原子与一个氧原子结合生成H2O，即水。
我们每天每时每刻都在接触的几乎所有物质都是由分子组成的。这些分子通常是由几百到几千亿个原子和化学键组成的。每个键都能以无数种方式与其他原子和分子相互作用。理解和预测原子和分子如何相互作用是化学和医学研究的基石。更好的化学和医学可以预测分子反应，更好的化学和药物化合物可以产生。
传统的经典计算机可以在失去信息和预测能力之前正确地追踪两把分子键。因为使我们的生活更美好的大多数分子都有更多的键，这意味着我们目前对制造更好的化学物质和药物的理解和能力是有限的。量子计算将使我们不仅能够跟踪、理解和预测更多的分子相互作用，而且能够在更长的时间尺度上在量子水平上（比使用量子模拟的经典计算机容易得多）这样做。这意味着更好的化学品和药物。量子计算机很可能会让我们有更好的药物，副作用更少，并定制与我们特定的医疗或DNA结构（即生物医学）。
量子效应已经应用在一些最好的诊断医疗设备中，比如核磁共振成像，但它将可能让我们更早地诊断出不好的遗传标记，更好地识别疾病。有一个更大的可能性，我们将能够更好地弄清楚人类的记忆和意识是如何工作的，它是如何失败的，以及如何减轻相关的弱点和疾病。应用疗法，如放射治疗，可以更集中和更短的持续时间。可以更好地预测药物相互作用的不良副作用。总而言之，量子计算将可能带来显著改进的化学品和药物，造福人类。如果你听过“通过化学更好地生活”这种令人厌烦的谩骂，它当然也适用于量子计算。

更好的电池

电池储存能量的科学几十年来没有发生过巨大的变化。随着时间的推移，我们的笔记本电脑和手机的电池寿命仍然在逐渐恶化。什么时候我们得到的改进更多的来自设备能源使用的改进，而不是来自电池。电池永远不会有足够的电量来满足我们的自然使用，它们会引起火灾，并且含有危险的化学物质。在电动汽车中，电池是汽车中最重和最昂贵的部件，降低了电动汽车的整体碳效益。数百家公司正在努力制造更好的电池--更持久、更轻。
为了现这一目标，许多汽车公司和电池制造商已经在使用当今新兴的量子计算机，以便在分子水平上更好地了解电池，特别是锂氢和碳分子链是如何工作和消耗（请参阅此处的示例文章:https://insideevs.com/news/338440/volkswagen-turns-to-quantum-computing-for-electric-car-batteries/).其他研究人员正在利用量子纠缠来制造更快充电的电池(www.extremetech.com/extreme/211580-quantum-batteries-could-allow-for-super-fast-charging-thanks-to-entanglement). 很可能量子计算将是我们寻找新的化学分子相互作用的核心，它将在更小的空间中存储更多的能量，这有利于所有的电池应用。

真正的人工智能

在计算机世界中最被滥用的短语之一是人工智能（以及相关的机器学习领域）。人工智能的概念是，计算机可以被编程为这样一种方式，即它们可以像人类一样自我学习，并通过这种能力和它们固有的超快做事的能力，解决人类无法解决的问题。人工智能是计算机的圣杯。关于人类极其复杂的思维过程是否能被计算机模拟，有很多争论。
今天，我们离真正的人工智能还很远，尽管这并不能阻止成千上万的电脑供应商声称他们已经达到了某种程度的人工智能。量子计算在量子层面上更准确地预测所有物质，或许能够让我们更接近真正的人工智能。更好的人工智能应该在很多方面改善我们的世界，就像量子（没有人工智能）一样。真正的人工智能应该是一个游戏规则的改变者，在那里，一台计算机应该可以用人脑的所有复杂性来思考。据称，我们所做的几乎所有事情都将得到改进和优化。
一个常见的例子是自动驾驶车辆。汽车已经可以自动驾驶了。我们可能在不到10年的时间里，自动驾驶汽车将超过人类驾驶汽车。我们的孩子，当然还有我们的孙子孙女，都不会有驾照，也不会有自己的车。社会将简单地让人们租用车辆，当他们需要去工作，办事和旅行时就可以租车。
量子计算很可能有助于改善涉及自动驾驶汽车的交通管理。量子计算机可以消耗所有相关的自动驾驶汽车，它们的位置和速度，并找出如何修改它们的速度和转弯，以最大限度地提高所有汽车的速度和方向。我们的目标是使无人驾驶汽车永远不需要停在十字路口。汽车只会修改速度和路径，这样就可以继续通过十字路口，而不必在停车标志或交通灯前停车，这将成为过去的事情。这将节省能源，减少污染，并节省每个人的时间。
网络安全也将受到人工智能的极大影响。我们已经看到机器学习的早期实现，用于转移攻击者通过防御，或在攻击者转移攻击时阻止恶意行为者。计算机安全的未来可能会由自主的人工智能学习安全和基于高级算法进行攻击和防御的攻击机器人驱动。我不确定我们是否会看到《终结者》电影中复杂的天网变得有自我意识，并攻击它的人类创造者，但许多聪明人都担心这种情况，包括埃隆·马斯克(www.theguardian.com/technology/2014/oct/27/elon-musk-artificial-intelligence-ai-biggest-existential-threat). 无论人工智能最终在哪里，量子很可能就在它旁边。

供应链管理

长期以来，企业一直希望优化供应链，以便他们能够在需要的时候准确地获得货物，不早于他们与客户开展业务所需的时间，当然也不晚于他们需要的时间。库存只是浪费了金钱、空间和其他资源。今天，我们有许多公司似乎已经接近完美的供应链管理，包括亚马逊、联邦快递和美国邮政。每个零售商都跟随他们的领导，试图优化和更好地保护他们的供应链。甚至非零售商也在努力优化收集和分配。例如，下一代能源电网管理是世界减少能源浪费，降低成本，防止停电，使消费者满意的关键。许多世界上最大的零售商和能源公司正为此投资量子计算。

量子金融学

不用说，如果有人能从量子计算中赚到钱，他们会的。量子计算将使投资者能够更好地管理他们的投资组合，更好地理解影响金融的众多因素。它将影响股票交易，衍生品的创造和交易，市场预测，商品交易，以及当今世界上任何其他交易。和网络安全预测一样，大部分工作将由自动算法机器人来完成，它们试图找到其他公司的机器人尚未发现和采取行动的技术优势。我们有自动化高频交易的前兆，它占所有股票交易的40%。量子计算只会加速这些趋势。目前已经有一家专注于量子的金融网站，名为Quantum for Quants（Quantum for Quants）。http://www.quantumforquants.org/).