问NSA加密算法的替代方案

EN

超晶态等价物是后量子安全的一种新尝试。您将很难找到一个高效和安全的实现，即使您自己编写了一个实现，算法还没有看到那么多的密码分析。(尽管这是主观判断。)

如果后量子安全不是一个问题，你可以选择从任何数量的非国安局椭圆曲线。然而，量子计算机，如果实用，可以打破椭圆曲线(使用Shor的算法)。

与其他答案注意到的一样，NTRU是一种更实用、更成熟的后量子密码技术的替代方案。不过，它不一定是高效率，也不一定是椭圆曲线。作为一个实际问题，主要的实现是在GPLv2之下。

对于密钥交换，也有"新希望“格算法，它是由Google现场测试作为TLS中ECC的可能继承者。(就我个人而言，我发现这是最有可能看到使用的算法之一，但我不会单独使用它来做任何重要的事情。)

对于文件加密或任何与秘密密钥一起工作的内容，您可以使用现有的对称算法。不过，您可能希望选择至少256位的密钥大小来解释量子Grover的攻击。由于这个原因，斯诺3G尤其不是后量子安全--它有128位的密钥。其他标准化的通用密码，如AES-256或电子表格投资组合上的某些东西(Salsa20至少有一个256位的密钥)会工作得很好。

如果您需要防范量子攻击，那么没有那么多选择。我会选择一种基于格的加密，比如NTRU或者其他基于环学习的错误加密。不涉及“神奇数字”，它们所依据的假设也已受到学术界的仔细审查。

NTRU已经存在了十年，并且已经有了相当好的实现。如果您想使用RLWE，它基于稍微好一些的密码假设，有一个开源项目实现了一些更成熟的思想，称为HElib (除了具有量子抗性之外，它们还因为它们的同态特性而有趣)。然而，没有一个实现像您使用EC密码时所得到的那样完整。

有一些软件可用于等价键交换。它是由密钥交换(DeFeo)的设计者之一开发的。它可在GitHub her上获得：

https://github.com/defeo/ss-isogeny-software/

关键证券交易所于2011年底首次发布，自那以来，其安全性一直在分析之中。来自Indocrypt的2014年的一篇论文支持该计划的安全性。

http://cacr.uwaterloo.ca/techreports/2014/cacr2014-24.pdf

路易斯