量子前沿

后量子密码学（英语：Post-quantum cryptography，缩写：PQC），又称抗量子计算密码学，是密码学的一个研究领域，专门研究能够抵抗量子计算机的加密算法，特别是公钥加密（非对称加密）算法。不同于量子密码学，后量子密码学使用现有的电子计算机，不依靠量子力学，它依靠的是密码学家认为无法被量子计算机有效解决的计算难题。

时至2021年，计算机与互联网领域广泛使用的公钥加密算法均基于三个计算难题：整数分解问题、离散对数问题或椭圆曲线离散对数问题，如DH、ECDH、RSA、ECDSA。然而，这些难题均可使用量子计算机并应用秀尔算法破解。虽然人类目前还不具备建造如此大型量子计算机的科学技术，但其安全隐患已经引起了学术研究者和政府机构的担忧。许多密码学家都在未雨绸缪，研发全新的公钥加密算法以应对将来的威胁。自第一届后量子密码学大会（PQCrypto）于2006年开办以来，本领域的研究工作愈发活跃，已成为学术和业界的关注焦点。目前，许多学术机构、政府机构、互联网公司都在开展研究，例如美国国家标准技术研究所（NIST）、欧洲电信标准机构（ETSI）、滑铁卢大学量子计算研究所、谷歌、微软等。

在公钥加密方面，后量子密码学的研究方向包括了格密码学、容错学习问题（LWE）、多变量密码学、散列密码学、编码密码学（Code-based Cryptography）与超奇异椭圆曲线同源密码学。密码学家认为，基于这些计算难题有望构建出不受量子计算机的威胁的公钥加密系统，替代现有的方案。

除了公钥加密，量子计算机也威胁对称加密算法和散列函数的安全，如AES、SHA等。但相比公钥加密面临的威胁而言，这一问题并不严重。借助量子计算机，格罗弗算法（Grover's algorithm）可将暴力破解的难度从次尝试降低到次尝试。这样，128位加密（密钥空间）的安全性就变为64位。但只需将密钥长度提升一倍（如使用256位加密）即可抵抗这类攻击。因此面临量子计算机的威胁，公钥加密需要重新设计，对称加密则并不需要大幅度的修改。

为了推动标准化，NIST在2017年向公众征集后量子密码方案，并最终收到了各学者提交的共69个设计。