随着量子计算机的功率和可靠性不断提高，我们HashiCorp公司被问到了一系列关于我们如何计划保护金库免受量子威胁的问题。量子计算有可能严重改变我们对密码安全的看法。通过利用量子力学，如纠缠和量子并行，量子计算机可以运行密码分析算法，这些算法能够简化保护许多常用加密形式的数学运算。借助现代计算能力，用数字筛攻击rsa2048比我们银河系的预期寿命要长几个数量级。有了足够强大的量子计算机，我们可以预期在大约30分钟内破解相同的加密。在本文撰写之时，公众所知的量子计算机无法用量子密码分析攻击现代密码学；现代公开的量子计算机的功能比上述机器低两个数量级。但是，光子物理和纠错技术的迅速发展使我们能够以双倍指数的速度提高量子计算机的能力——比数字计算机在摩尔定律下的进化速度快几个数量级。量子计算技术的飞速发展确保了如果一个人打算保护未来的秘密，他们必须从今天开始考虑量子威胁。在过去的几年里，跳马队一直在悄悄地这样做。»围绕量子安全的社区努力自2016年以来，国家标准与技术研究所（NIST）领导了后量子密码标准化过程（PQCSP）。PQCSP的目标是审查和认可新的算法，以抵御已知的量子密码分析，并停止支持已知易受量子威胁的算法。密码学界已经团结在这些努力的周围，许多安全供应商正准备实施PQCSP的输出，以保护他们的产品在未来免受先进对手的攻击。在2022-2024年对NIST SP800文件（以及相应的法规，如FIPS 140-2）进行修改草案之前，我们金库团队一直密切关注NIST在后量子安全方面的工作，并计划实施NIST的指导。但并非所有保险库用户都遵循NIST的指南或FIPS 140-2。Vault是一个全球性的项目，Vault和Vault Enterprise目前都被用于保护世界各地的机密—即使是在低地球轨道上！因此，在每个版本的设计和开发过程中，我们在Vault中全面处理量子安全问题。»保险库中的量子安全当我们在保险库中引入对保险库的安全性有影响或涉及加密的功能时，我们还将审查此更改是否会使保险库暴露于已知的量子密码分析中。我们特别考虑了两种量子算法：Shor算法和Grover算法。Shor的算法（或简单的Shor算法）利用量子力学，通过使用量子傅立叶变换来显著降低分解大素数的难度。Shor的方法降低了这项任务的计算难度，因此依赖于素数分解难度的算法（例如RSA和Diffie-Hellman）容易受到足够强大的量子计算机的攻击。Grover的算法（或简单的Grover算法）利用量子并行性来快速搜索黑盒操作的统计上可能的输入值。Grover的攻击不会像Shor那样导致整个加密领域失效，但它确实降低了通过暴力搜索智能搜索对称密钥加密密钥的难度。当在保险库中实施新的加密技术，并审查保护保险库中现有关键安全参数的加密技术时，我们将审查Shor和Grover的算法是否对该加密技术的安全性产生影响，以防拥有足够强大的量子计算机的对手。»金库中的后量子密码术量子计算并不总是破坏安全。现在有许多新的（在某些情况下更新的）密码和密码技术正在被引入来处理量子计算机所提供的威胁。当这种加密技术的同行评审实现可用时，我们希望在Vault中支持它们。一个例子就是chacha20-poly1305密码。Chacha20-poly1305是一种流密码，它作为AES的替代方案引入，以应对未来的密码分析攻击。Grover提出了未来量子计算机可能攻击对称密钥加密的可能性，从而将破解AES的某些模式的难度降低了一半。作为回应，chacha20-poly1305已经开始被认可为未来量子密码分析的替代品。几年来，我们一直在追踪关于AES和chacha20-poly1305的对话。自Vault 0.9.4（2018年）以来，我们在运输秘密引擎中支持了chacha20-poly1305。这允许Vault用户使用chacha20-poly1305进行所有传输加密/解密操作，包括聚合加密和密钥派生。我们还在保险库中实现了处理海豹迁移的机制。虽然表面上这是为了支持从Shamir的密钥共享迁移到不同形式的自动解封，但我们认为，这可能会在将来用于允许Vault将其密码屏障密钥与未来的后量子加密技术结合起来。我们对AES 256-GCM的实现，我们使用它来构成保险库静态数据的密码屏障，能够抵抗大多数已知的量子攻击。但我们认为，在未来几十年，随着量子计算越来越成为主流，这种情况可能会发生变化。»后量子密钥分配与熵保护量子计算为增强系统安全性提出了许多有趣的新技术。量子密钥分配（QKD）等技术允许量子纠缠和叠加，从而提供在远距离安全分发密钥的机制，从而突出篡改或窃听通信的企图。虽然QKD的实现已经存在——最显著的是中国的"米丘斯"QKD卫星——但实施QKD来保护商业数据目前是站不住脚的。尽管如此，我们现在在Vault中有能力采用QKD的实现，以便在将来可用时自动解封和传输。现代量子计算机中可用的是大量随机数据或熵。即使是今天有限的量子计算机，在正常运行中也会产生极其随机的熵集。这种熵在密码学中非常有价值，因为像AES这样的对称密钥加密的密钥生成或SSH/TLS的临时会话密钥生成等操作都需要用于随机数生成的健壮的熵源。在未来版本的Vault Enterprise中，我们将发布允许Vault从外部源中采样熵的功能。其中一些外部资源将包括量子计算源，包括使用量子密码数字生成器的硬件安全模块。»前面的路Vault的任务是为任何基础设施保护任何类型的信息。随着量子计算成为基础设施堆栈的一部分，量子威胁成为威胁模型的一部分，我们随时准备采用新技术来支持我们正在进行的任务。