量子计算对经典密码安全性的威胁

• Shor 量子算法可以在多项式时间内分解大整数和求解离散对数 等复杂数学问题，因此可以对广泛使用的 RSA、ECC、DSA、ElGamal 等 公钥密码体制进行快速破解。 RSA、ECC、DSA 等公钥密码体系 --> 不再安全
• Grover 量子算法能够将无序数据库的搜索时间降为平方根时间 比传统计算机更快地破解，并非无效 AES、DES 等为代表的对称密码 --> 增加密钥长度 SHA 家族 --> 增加输出长度

量子安全

• 量子安全：指即使面对量子计算的挑战也能得到保证的信息安全
• 量子安全密码学：寻找和确认确认可抵御经典计算机和量子计算机攻击的算法和协议，即使在大型量子计算机出现之后也能确保信息资产的安全
• 能够抵御量子计算的攻击 --> 量子安全的 能够在一定操作（如增加密钥长度）后抵御攻击的也可以被认为是量子安全的（如 AES）

实现量子安全的方法

可以抵御已知量子计算攻击的经典密码算法

• 安全性基于计算困难性，这类算法或协议通常称为抗量子计算密码（Quantum Resist Cryptography，QRC）或后量子密码（Post Quantum Cryptography， PQC）。
• 其中主要包括基于哈希的密码、格密码、基于编码理论的密码、多变量密码、超奇异椭圆曲线以及大部分对称密钥密码。
• 能抵御已知的量子攻击，对于新出现的攻击可能并不免疫。
• 尚未找到高效的量子算法（以及传统算法）

以量子物理原理为依托的量子密码（Quantum Cryptography）

• 最具代表性的协议是量子密钥分发（Quantum Key Distribution，QKD）。QKD 具备信息论安全性，意味着 QKD 即使在攻击者拥有无限强的计算资源下也仍然安全，同时包含了面对经典和量子计算的安全性。QKD 结合“一次一密”可实现信息加密的信息论安全性，而结合量子安全的对称密码算法实现的是量子安全。
• “信息论安全”在密码学领域也被称为“无条件安全”，这里的“条件”特指计算能力的限制，即安全性没有基于攻击者计算能力的假设。QKD 的功能是实现对称密钥的协商，需要与应用对称密码的算法结合以实现加解密功能。
• 需要设备支持，量子设备的工程技术实现难度较大、成本较高，且会量子器件及设备制造工艺的不完美会对 QKD 设备的安全性带来影响

量子安全面临的挑战

• 量子安全技术的可信度 不同的 PQC 方案在 NIST 标准征集中是否通过遴选，将一定程度上影响其实战考验及推广进度 QKD 的物理器件性能偏差或缺陷所导致的安全漏洞缺乏评估研究及标准化
• 量子安全技术的效能和成本 迁移和维护成本（QKD >>PQC）
• 单一解决方案的完整性 同一方案是否同时支持加密和认证、数字签名等问题
• 应用适应性 量子技术 ---- 电信网络
• 国际化竞争