<div dir="ltr">On Fri, Sep 6, 2013 at 6:13 AM, Jaap-Henk Hoepman <span dir="ltr"><<a href="mailto:jhh@cs.ru.nl" target="_blank" onclick="window.open('https://mail.google.com/mail/?view=cm&tf=1&to=jhh@cs.ru.nl&cc=&bcc=&su=&body=','_blank');return false;">jhh@cs.ru.nl</a>></span> wrote:<br>

<div class="gmail_extra"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="auto"><div><span></span></div><div><div>Bruce Schneier writes: "<span style="background-color:rgba(255,255,255,0)">Prefer symmetric cryptography over public-key cryptography." The only reason I can think of is that for public key crypto you typically use an American (and thus subverted) CA to get the recipients public key.</span></div>

</div></div></blockquote><div><br></div><div>As soon as someone builds a large quantum computer (probably at least 10 years away, even for the NSA) most of the public key cryptosystems we use today will be easily breakable with e.g. Shor's algorithm. Symmetric algorithms will take a hit as well, with their keyspace cut in half, but that's the equivalent of going from 256-bit keys to 255-bit keys, so symmetric crypto will weather the post-quantum era just fine.</div>

<div><br></div><div>In order to beat quantum computers, we need to use public key systems with no (known) quantum attacks, such as lattice-based (NTRU) or code-based (McEliece/McBits) algorithms. ECC and RSA will no longer be useful.</div>

<div><br></div><div>--</div><div>Tony Arcieri</div></div>
</div></div>