主要观点：

• 介绍了“crypto right answers”博客文章，旨在为工程师提供选择最佳加密方案的指南，随着后量子密码学（PQC）的发展，需要更新加密建议。
• 阐述了推荐 PQC 的挑战，如与传统密码学不同、有更多权衡、部分系统被证明不可行等，因此将文章拆分，提供更多解释。
• 解释了为何现在需要关注 PQC，量子计算机可能在未来 20 年内对当前加密算法构成威胁，各国政府已开始推动迁移到抗量子密码系统，NIST 也在开展相关竞赛和标准化工作。
• 介绍了量子计算机与传统计算机的区别，量子计算机基于量子比特，能同时编码 0 和 1，实现并行处理，虽存在非理想问题，但仍具有强大计算能力。
• 提及量子算法，如 Shor 算法和 Grover 算法，分别对经典密码学的公钥和对称密码学构成威胁，NIST 竞赛已带来一些新的后量子算法。
• 详细介绍了后量子算法，包括 Dilithium、Falcon、SPHINCS+和 Kyber 等，以及它们的特点和应用场景，同时指出 PQ 算法的产物较大，需要处理迁移问题，如丢失 Diffie-Hellman 特性等。
• 介绍了混合加密方案，包括混合签名协议和混合密钥交换协议，展示了它们的工作原理和安全性。
• 提供了关于迁移到 PQC 的建议，包括识别依赖公钥密码学的地方、考虑设备性能和带宽等因素，以及不同加密领域的具体建议，如加密数据、对称密钥长度、哈希算法等。
• 列举了一些实际应用 PQC 的例子，如 OpenSSH、Chrome、Firefox Nightly 等。
• 总结了 PQC 的正确答案，包括加密数据、对称密钥长度、哈希算法、对称“签名”、随机 ID、密码处理、密钥交换、不对称签名、不对称加密、网站安全、客户端 - 服务器应用安全和在线备份等方面的建议。

关键信息：

• 量子计算机可能在 20 年内对当前加密算法构成威胁，各国政府已开始推动迁移到抗量子密码系统。
• PQC 与传统密码学不同，有更多权衡和挑战，需要更复杂的讨论和推荐。
• 后量子算法包括 Dilithium、Falcon、SPHINCS+和 Kyber 等，各有特点和应用场景。
• 混合加密方案结合了传统和后量子加密技术，提高了安全性。
• 迁移到 PQC 需要考虑设备性能、带宽等因素，不同加密领域有不同的建议。

重要细节：

• NIST 标准化了 Kyber 为 ML-KEM、Dilithium 为 ML-DSA 和 SPHINCS+为 SLH-DSA。
• 混合签名协议结合了椭圆曲线签名和后量子签名，混合密钥交换协议结合了椭圆曲线加密和后量子加密。
• 不同后量子算法在密钥大小、签名大小等方面有所不同，如 ML-DSA-44 的密钥大小为 2528 位，签名大小为 2420 位。
• 一些应用已经开始使用 PQC 混合协议，如 OpenSSH、Chrome 等。
• 在密码处理方面，推荐使用 argon2id、scrypt 等，避免使用普通密码哈希函数。
• 在密钥交换方面，推荐使用 X25519+ML-KEM-768 或 P256+ML-KEM-768，避免使用纯 ML-KEM 实现。
• 在不对称签名方面，推荐使用 Ed25519+ML-DSA-65 或 P256+ML-DSA-65，避免使用纯 ML-DSA 实现。