后量子密码简介

1、什么是量子计算机

  1.1量子计算机的概念

  量子计算机是一类遵循量子力学规律进行高速数学和逻辑运算、存储及处理量子信息的物理装置，某个装置处理和计算的是量子信息，运行的是量子算法时，就是量子计算机。(#摘抄自百度百科，说的也不太明白，只要阿爸阿爸就是没太懂。)

  1.2传统计算机与量子计算机的不同

  传统计算机是通过集成电路中电路通断来实现0和1的区分，基本单元是硅晶片。

  量子计算机是通过量子力学规律实现数学和逻辑运算，处理和存储信息能力的系统，其硬件原件的尺寸可达到原子或分子的量级。量子计算机的基本单位是昆比特（qubit），又称量子比特，通过量子的两态的量子力学体系来表示0和1。量子计算机的硬件包括量子晶体管、量子存储器、量子效应器等；软件包括量子算法、量子编码等。

  每个量子比特不仅能设置为1或0，还可以设置为1和0。

  1.3量子计算机的原理

  量子比特、态叠加原理(#阿爸阿爸)、量子纠缠、量子并行原理

  量子计算机以指数形式储存数字，通过将量子位增至300个量子位就能储存比宇宙中所有原子还多的数字，并能同时进行运算。函数计算不通过经典循环方法，可直接通过幺正变换(#阿爸阿爸)得到，大大缩短工作损耗能量，真正实现可逆计算。

  量子计算机有着强大的并行运算能力和不可克隆的量子原理，使得入侵者不能在不被发现的情况下进行破译和窃听等。

2、为什么量子计算机对公钥密码算法有很大威胁？

  这些算法的安全性，依赖于有没有可以快速求解其底层数学问题或直接对算法本身的高效攻击算法。

3、后量子密码 Post-quantum Cryptography (PQC)

  由于量子计算的出现，现有的大多数不对称密码（公钥与私钥不等，如RSA、椭圆曲线等安全性较高的密码算法）都能被破解密码，而能够在抵抗量子计算机“攻击”的密码算法就叫做“后量子密码”，也称“抗量子密码”，英文为“Quantum-resistant cryptography”。

  后量子密码是能够抵抗量子计算机对现有密码算法攻击的新一代密码算法。目前，美国国家标准技术研究所 (NIST) 正在制定的新一代密码技术标准，就是后量子密码技术标准。

下图是 NIST 总结的后量子密码技术和应用栈：

 

 

 4、实现后量子密码的4个途径

  后量子密码主要的关注点在公钥密码上。下面4类途径是最能构造出公钥密码学中已有的各类算法的后量子版本，甚至还能超越（例如基于格的(全)同态加密）等。

参考链接：后量子密码（抗量子密码） - xdyixia - 博客园 (cnblogs.com)

1、基于哈希:主要用于构造数字签名

  基于哈希的签名算法的安全性依赖哈希函数的抗碰撞性。由于没有有效的量子算法能快速找到哈希函数的碰撞，因此（输出长度足够长的）基于哈希的构造可以抵抗量子计算机攻击。基于哈希的数字签名算法的安全性不依赖某一个特定的哈希函数。即使目前使用的某些哈希函数被攻破，则可以用更安全的哈希函数直接代替被攻破的哈希函数。

                                            Merkle 的哈希树认证机制

                          

 

 

 

 

2、基于编码：主要用于构造加密算法

 McEliece使用随即二进制的不可约Goppa码作为私钥，公钥是对私钥进行变换后的一般线性码。

 Courtois、Finiasz 和Sendrier 使用 Niederreiter 公钥加密算法构造了基于编码的签名方案 。

3、基于多变量：主要用于构造数字签名、加密、密钥交换等

  多变量密码的安全性依赖于求解非线性方程组的困难程度，即多变量二次多项式问题。该问题被证明为非确定性多项式时间困难。目前没有已知的经典和量子算法可以快速求解有限域上的多变量方程组。与经典的基于数论问题的密码算法相比，基于多变量的算法的计算速度快，但公钥尺寸较大，因此适用于无需频繁进行公钥传输的应用场景，例如物联网设备等。

               

 

 

 

 

4、基于格：主要用于构造加密、数字签名、密钥交换，以及众多高级密码学应用

  基于格的算法由于在安全性、公私钥尺寸、计算速度上达到了更好的平衡，被认为是最有前景的后量子密码算法之一。与基于数论问题的密码算法构造相比，基于格的算法可以实现明显提升的计算速度、更高的安全强度和略微增加的通信开销。与其他几种实现后量子密码的方式相比，格密码的公私钥尺寸更小，并且安全性和计算速度等指标更优。此外，基于格的算法可以实现加密、数字签名、密钥交换、属性加密、函数加密、全同态加密等各类现有的密码学构造。基于格的算法的安全性依赖于求解格中问题的困难性。在达到相同（甚至更高）的安全强度时，基于格的算法的公私钥尺寸比上述三种构造更小，计算速度也更快，且能被用于构造多种密码学原语，因此更适用于真实世界中的应用。 

  从效率的角度来看，基于格的密码体制中涉及的运算主要是矩阵和向量乘积运算，在实现的过程中效率更好.从安全性的角度来看，基于格的密码体制的安全性大多可以归结到格上的计算困难问题，而这些困难问题在很多情况下已经被证明是NP-hard的.由于目前还不存在解决格上计算困难问题的多项式时间的量子算法，因此基于格的密码体制被猜测为是可以抵抗量子攻击的，从而使其成为后量子时代密码体制的重要候选者。

5、还有超奇异椭圆曲线、量子随机漫步等技术的后量子密码构造方法

  当对称密码在密钥长度较大时（AES-256），也可被认为是后量子安全的。