密碼學(xué)（Cryptography）是一門古老而年輕的科學(xué)，它的起源可以追溯到古羅馬時(shí)代約公元110年的愷撒（Caesar）加密。然而，直到1949年Claude Elwood Shannon發(fā)表了《保密系統(tǒng)的通信理論》這篇?jiǎng)潟r(shí)代的論文，才標(biāo)志著現(xiàn)代密碼學(xué)的誕生。經(jīng)典密碼學(xué)所使用的密碼設(shè)計(jì)和分析方法不是基于數(shù)學(xué)推理而是依賴密碼學(xué)家的直覺和靈感。

凱撒密碼盤

　　1976 年，Diffie 和Hellman 發(fā)表了一篇影響力巨大的“密碼學(xué)新方向”的文章。它標(biāo)志著公鑰密碼學(xué)的誕生，從此密碼學(xué)走出秘密領(lǐng)域，進(jìn)入公開研究領(lǐng)域。在此之前，人們完全依靠彼此共享的秘密密鑰來實(shí)現(xiàn)秘密通信，而公鑰密碼技術(shù)使得通信雙方在沒有事先共享任何秘密信息的情況下能夠通信。在對(duì)稱密鑰加密情況下，兩方同意共享一個(gè)可同時(shí)用于（任何一方）加密和解密的秘密密鑰k。公鑰加密在這個(gè)意義上是非對(duì)稱的，具體來說，接收方產(chǎn)生一對(duì)密鑰（pk，sk），被分別稱為公鑰和私鑰，發(fā)送方用公鑰將消息加密后發(fā)送給接收方，接收方用自己的私鑰解密收到的密文。

　　公鑰pk可以是通信發(fā)生之前，接收方以明文形式發(fā)給發(fā)送方。需要強(qiáng)調(diào)的是：兩方之間的通信信道可以是公開的，但假設(shè)是認(rèn)證的，即敵手無法修改接收方發(fā)給發(fā)送方的公鑰（特別是敵手不能用自己產(chǎn)生的密鑰去替換），這個(gè)問題可以用數(shù)字簽名解決；也可以是接收方廣泛地傳播它的公鑰pk，比方說通過她的個(gè)人網(wǎng)頁，將公鑰放置在她的名片中，公布在報(bào)紙上面，或者是放在某個(gè)公共目錄使得任何想和接收方秘密通信的人都可以查到她的公鑰。這種應(yīng)用模型中，所有通信中多個(gè)發(fā)送方可以利用同樣的pk與接收方多次通信。

　　由于公鑰pk是公開的，因此公鑰加密的安全不依賴于公鑰的安全性，而僅僅依賴于私鑰的安全性。與之相比，對(duì)稱密鑰加密假設(shè)了所有密鑰的完全保密性，即通信雙方必須共享密鑰，并且不允許第三方獲得此密鑰。公鑰加密方案可使多個(gè)發(fā)送者與單個(gè)接受者秘密通信，與之不同的是，依靠雙方共享密鑰的對(duì)稱密鑰加密只能讓兩方進(jìn)行秘密通信。公鑰加密體制的最主要的缺點(diǎn)是較對(duì)稱密鑰加密而言要慢至少2~3個(gè)數(shù)量級(jí)，因此，如果對(duì)稱密鑰加密是一種選擇（換言之，如果雙方能夠事先安全地共享一個(gè)密鑰），它就應(yīng)當(dāng)被使用。

公鑰加密體制

　　不同種類的公鑰加密算法

　　自公鑰密碼體制問世以來，密碼學(xué)家們提出了多種公鑰加密方案，它們的安全性都是基于數(shù)學(xué)基礎(chǔ)問題的計(jì)算困難性。對(duì)于這些數(shù)學(xué)問題，如果利用已知的求解算法由公開信息計(jì)算出私鑰的時(shí)間越長，那么基于這一數(shù)學(xué)問題的公鑰加密系統(tǒng)被認(rèn)為是越安全。

　　傳統(tǒng)的公鑰加密算法，根據(jù)所基于的數(shù)學(xué)困難問題來分類，有以下三類系統(tǒng)目前被認(rèn)為是安全高效的（不考慮具有量子計(jì)算能力的敵手）：1。大整數(shù)分解系統(tǒng)（代表性的有RSA）；2。離散對(duì)數(shù)系統(tǒng)（代表性的有DSA）；3。橢圓曲線離散對(duì)數(shù)系統(tǒng)（ECC）。

　　自從1978年RSA體制提出來以后，人們對(duì)大整數(shù)分解問題的研究產(chǎn)生了強(qiáng)烈的興趣，并取得了豐富的成果。在1985年，ElGamal型公鑰密碼體制提出以后，學(xué)術(shù)界又對(duì)有限域上離散對(duì)數(shù)的計(jì)算問題產(chǎn)生了濃厚的興趣。值得注意的是，大整數(shù)分解問題的求解和有限域上離散對(duì)數(shù)問題的求解在本質(zhì)上具有某種一致性，因而基于RSA假設(shè)的RSA和基于有限域上離散對(duì)數(shù)假設(shè)的DSA的安全強(qiáng)度幾乎一致。

　　經(jīng)過人們的不斷努力，隨著計(jì)算機(jī)運(yùn)算效率的迅速提升，目前人們對(duì)于這兩類問題的求解能力大大地提高，使得基于大整數(shù)分解的RSA體制受到很大的沖擊，密鑰長度為512比特的RSA不再認(rèn)為是安全的（對(duì)于DSA也是如此），這就迫使RSA體制中使用的模數(shù)和基于有限域上離散對(duì)數(shù)問題的公鑰密碼體制中有限域的規(guī)模越來越大，同時(shí)需要更長的密鑰來保證系統(tǒng)安全，這造成運(yùn)算速度的降低，如DSA體制的運(yùn)算速度隨著其密鑰長度的增加將以指數(shù)級(jí)下降。

　　橢圓曲線密碼體制（Elliptic Curve Cryptography，ECC）是1985年由Koblitz和Miller分別提出的，利用基于有限域上橢圓曲線上點(diǎn)組成的加法群構(gòu)造基于橢圓曲線離散對(duì)數(shù)問題的密碼體制，二十多年來人們對(duì)橢圓曲線離散對(duì)數(shù)問題的經(jīng)典求解算法的研究幾乎沒有本質(zhì)進(jìn)展。

　　橢圓曲線密碼體制的安全性是建立在求橢圓曲線離散對(duì)數(shù)問題（Elliptic Curve Discrete Logarithm Problem，ECDLP）難解的基礎(chǔ)上。ECC與RSA、DSA相比有很多技術(shù)優(yōu)點(diǎn)：橢圓曲線離散對(duì)數(shù)問題目前只存在指數(shù)時(shí)間的經(jīng)典算法，而大整數(shù)分解和有限域上離散對(duì)數(shù)問題存在亞指數(shù)級(jí)的經(jīng)典算法，這就體現(xiàn)在ECC比RSA的每比特密鑰的安全性能更高，密鑰長度160比特的ECC與1024比特的RSA、DSA有相同的安全強(qiáng)度，而210比特ECC與2048比特的 RSA、DSA具有相同的安全強(qiáng)度，即達(dá)到相同安全強(qiáng)度的ECC的密鑰大小和系統(tǒng)參數(shù)與RSA、DSA相比要小得多，意味著它所占的存儲(chǔ)空間較小，且ECC的運(yùn)算速率比RSA、DSA快得多。ECC的上述特點(diǎn)使得它在許多領(lǐng)域已經(jīng)取代RSA，成為通用的公鑰加密算法，包括作為輕量密碼算法模塊和應(yīng)用于網(wǎng)絡(luò)傳輸層協(xié)議TLS等。

　　必須注意實(shí)際工程中實(shí)現(xiàn)的密碼不同于教科書式密碼。下面我們將介紹“教科書式RSA”加密和“教科書式ElGamal”加密，并分析其不安全性。

　　“教科書式RSA”加密方案

　　KeyGen：輸入1^n，隨機(jī)選擇兩個(gè)n比特的素?cái)?shù)p，q，N=pq，∅（N）=（p-1）（q-1），選擇滿足gcd（e，∅（N））=1的e，計(jì)算d=e^（-1） mod∅（N），輸出公鑰pk=（N，e），私鑰sk=（N，d）。

　　“教科書式ElGamal”加密方案

　　KeyGen：輸入1^n，執(zhí)行多項(xiàng)式時(shí)間算法輸出一個(gè)循環(huán)群G，其階為q（其中‖q‖=n），生成元為g。然后選擇隨機(jī)的x←Z_q并且計(jì)算h≔g^x。公鑰是（G，q，g，h），私鑰是（G，q，g，x）。

　　上述兩個(gè)算法加解密的正確性能夠簡單地驗(yàn)證。在分析它們的安全性之前，我們必須明確攻擊場(chǎng)景。根據(jù)敵手的能力，主要有以下幾種攻擊類型：

　�。�1）唯密文攻擊（Ciphertext-only attack），這是最基本的攻擊方式，表示敵手只能觀察到密文，并且試圖確定相應(yīng)的明文；

　�。�2）已知明文攻擊（Known-plaintext attack），這里敵手學(xué)習(xí)一個(gè)或者多個(gè)使用相同密鑰加密的明密文對(duì)，目標(biāo)是確定其它密文對(duì)應(yīng)的明文；

　�。�3）選擇明文攻擊（Chosen-plaintext attack，CPA），這種攻擊中，敵手能夠選擇明文，并得到相應(yīng)的密文，試圖確定其它密文對(duì)應(yīng)的明文；

　�。�4）選擇密文攻擊（Chosen-ciphertext attack，CCA），這最后一種攻擊類型是指敵手甚至可以選擇密文并得到相應(yīng)的明文，目標(biāo)依然是確定其他密文的明文。

　　前兩種攻擊類型是被動(dòng)的，符合實(shí)際場(chǎng)景的，唯密文攻擊在實(shí)踐中最容易實(shí)現(xiàn)，敵手唯一要做的就是竊聽傳輸密文的公共信道；而已知明文攻擊符合實(shí)際是因?yàn)椴皇撬�有加密的消息都是保密的，至少不是無限期的保密，舉個(gè)例子，通信開始是雙方可能通常加密“hello”消息，又或者加密可用來保證某機(jī)密直到公開的那一天，任何竊聽并獲得密文的人，將在后來獲得相應(yīng)的明文。

　　相對(duì)而言，后兩種攻擊類型是主動(dòng)的，敵手能夠適應(yīng)性地有選擇地請(qǐng)求加密和解密，這是否代表了一個(gè)真正值得關(guān)注的現(xiàn)實(shí)的敵對(duì)威脅？針對(duì)選擇明文攻擊（CPA），有個(gè)二戰(zhàn)時(shí)期的軍事歷史說明了這一點(diǎn)。

　　在1942年的5月，美國海軍的密碼專家截獲了一份通信消息，該消息中包含了一份密文字段“AF”，他們相信這對(duì)應(yīng)著明文“中途島”，認(rèn)為日軍正計(jì)劃對(duì)中途島發(fā)動(dòng)攻擊，然而華盛頓的指揮者并不相信，通常認(rèn)為中途島不可能成為攻擊的目標(biāo)。于是海軍密碼專家命令在中途島的美軍軍隊(duì)發(fā)送一個(gè)明文消息，說他們的淡水供給不足。日軍截獲了該消息，立刻報(bào)告給其上級(jí)“AF”淡水不足。于是確信“AF”的確就是中途島，美軍迅速派三架運(yùn)輸機(jī)抵達(dá)該位置，結(jié)局就是中途島被解救了，日軍受到了重創(chuàng)，這里海軍密碼專家就完成了一次經(jīng)典的選擇明文攻擊。

　　至于選擇密文攻擊（CCA），我們可以設(shè)想一個(gè)用戶和他們的銀行通信的場(chǎng)景，其中所有的通信都是經(jīng)過加密的。如果該通信沒有被認(rèn)證，則敵手能夠代表用戶發(fā)送特定密文，銀行將解密這些密文，敵手可能能夠從結(jié)果中掌握某些信息。此外，加密經(jīng)常在高級(jí)別的協(xié)議中使用；比如，一個(gè)加密方案可能被作為認(rèn)證協(xié)議的一部分來使用，其中一方發(fā)送一份密文給對(duì)方，對(duì)方解密返回結(jié)果。在這種情況下，一個(gè)誠實(shí)方可能正好扮演了一個(gè)解密預(yù)言機(jī)的角色，所以該方案必須是CCA安全的。

　　公式詳解“教科書式RSA加密”方案

　　明顯可以看出“教科書式RSA加密”方案是確定性加密，因此不是CPA安全的。盡管“教科書式ElGamal加密“在判定Diffie-Hellman（DDH）假設(shè)下被嚴(yán)格證明是CPA安全的，卻容易受到選擇密文攻擊。選擇密文攻擊（CCA）安全的一個(gè)密切的相關(guān)問題就是密文的可延展性，直觀上來解釋，即一個(gè)加密方案擁有這樣一個(gè)屬性：給定未知消息m的密文c，可以得到未知消息m_1的密文c_1，其中m和m_1具有某種已知的關(guān)聯(lián)。“教科書式RSA”加密就容易出現(xiàn)上面的攻擊，比方說敵手觀察到使用公鑰〈N，e〉加密的密文c=m^e mod N，則有密文c_1=2^e c mod N，解密為2m mod N，因?yàn)椤糲_1〗^d≡〖（2^e m^e ） 〗^d≡2^ed m^ed≡2m mod N。對(duì)于“教科書式ElGamal加密”，比如說敵手A攔截了使用公鑰pk=（G，q，g，h）加密消息m的密文c=〈c_1，c_2 〉，這意味著c_1=g^y，c_2=h^y∙m。一些隨機(jī)選擇的y←Z_q對(duì)敵手來說是未知的，但敵手可以計(jì)算〖c_2〗^/=c_2∙m^/，則很容易知道密文c^/=〈c_1，〖c_2〗^/ 〉是消息m∙m^/的密文，這個(gè)觀察結(jié)果就容易引起選擇密文攻擊。有人可能會(huì)反對(duì)：如果接收者收到兩個(gè)密文c、c^/，并且密文的前一個(gè)元素相同，將產(chǎn)生懷疑（確實(shí)，對(duì)于正常生成的密文，密文的第一個(gè)元素相同的概率是可忽略的）。然而，敵手很容易避免其發(fā)生，令c_1，c_2，m，m^/如上面所述，敵手可以選擇隨機(jī)的y^/←Z_q，并且設(shè)〖c_1〗^（（2））=c_1∙g^（y^/ ），〖c_2〗^（（2））=c_2∙h^（y^/ ）∙m^/，容易驗(yàn)證c^（（2））=〈〖c_1〗^（（2）），〖c_2〗^（（2）） 〉是消息m∙m^/的密文，且密文的第一個(gè)元素是完全隨機(jī)的。

　　依據(jù)上述分析，“教科書式RSA加密”形式簡單高效，但是不滿足密碼的安全要求。事實(shí)上，RSA實(shí)驗(yàn)室公鑰加密標(biāo)準(zhǔn)PKCS#1v1.5版本，利用了填充加密的原理，對(duì)于一個(gè)常見形式的公鑰pk=〈N，e〉，令k為N的字節(jié)長度，即k是一個(gè)滿足2^8（k-1） ≤N<2^8k的整數(shù)，假設(shè)要加密的消息m是一個(gè)8比特長的倍數(shù)，并且長度最長可以達(dá)到k-11字節(jié)，現(xiàn)加密一個(gè)D字節(jié)的消息計(jì)算如下：（00000000‖00000010‖├ r┤‖├ 00000000┤‖m）^e mod N，其中r是隨機(jī)生成的（k-D-3）字節(jié)的字符串，這些字節(jié)均不為0（該條件使得消息在解密的時(shí)候沒有歧義）。注意到m的最大允許長度能保證r的長度至少為8個(gè)字節(jié)，這樣對(duì)于所有隨機(jī)填充的r值的蠻力搜素是不可行的（復(fù)雜度≥2^64）。

　　盡管至今還沒有基于RSA假設(shè)的證明，PKCS#1v1.5仍然被認(rèn)為是CPA安全的，但是對(duì)該方案的選擇密文攻擊已被證實(shí)。因?yàn)闃?biāo)準(zhǔn)中的填充部分是以特別的方式完成（且不由任意比特組成），如果密文沒有正確的格式，將會(huì)返回一個(gè)錯(cuò)誤消息，這些錯(cuò)誤消息的存在足以發(fā)起選擇密文攻擊：給定一個(gè)正確生成的密文c，攻擊者可以恢復(fù)出明文m，方法是通過提交多個(gè)密文并且觀察哪個(gè)密文能成功解密，哪個(gè)會(huì)產(chǎn)生錯(cuò)誤。由于這類信息可以來源于當(dāng)接收到不正確格式的消息時(shí)，發(fā)出錯(cuò)誤消息的服務(wù)器，因此在實(shí)踐中是可行的。

　　也就是說，基于RSA假設(shè)的高效且CCA安全的方案還不存在。密碼學(xué)家們?yōu)榱颂岣攥F(xiàn)有方案的效率，提出新的假設(shè)，并且探索使用現(xiàn)有的假設(shè)，能夠達(dá)到的最高效率上界。在實(shí)際中獲得很大成功的一種方法，是在“完全嚴(yán)格的安全性證明”和“沒有證明”之間提供一個(gè)“中間地帶”。該方法就是在證明密碼學(xué)方案的安全性中，引入了一個(gè)理想模型，最流行的例子就是隨機(jī)預(yù)言機(jī)（Random Oracle，RO）模型。

　　依此，密碼學(xué)家們構(gòu)造了隨機(jī)預(yù)言機(jī)模型下的CCA安全的RSA加密，進(jìn)一步，為了消除最初版本方案中密文比Z_N^*中的單個(gè)元素要長（即使是加密一個(gè)短消息時(shí)）的缺陷，結(jié)合最優(yōu)非對(duì)稱填充（OAEP）技術(shù)，構(gòu)造了RSA-OAEP加密方案，修訂了之前的PKCS#1v1.5標(biāo)準(zhǔn)。盡管舊版本由于兼容性仍然被廣泛使用，但現(xiàn)在新的實(shí)現(xiàn)系統(tǒng)應(yīng)該傾向于這個(gè)更新后的版本。

　　相對(duì)來說，“教科書式ElGamal”加密方案不僅有效并且能夠基于DDH假設(shè)證明是安全的，卻沒有在實(shí)踐中得到廣泛采用，或許因?yàn)橛邢抻蛏洗嬖趤喼笖?shù)算法求解離散對(duì)數(shù)問題。而工程實(shí)現(xiàn)ElGamal式加密時(shí)，出于安全和效率的考慮，現(xiàn)在廣泛使用ECC，至于實(shí)現(xiàn)的標(biāo)準(zhǔn)可以參考商用密碼算法標(biāo)準(zhǔn)-SM2橢圓曲線公鑰密碼算法或者美國國家標(biāo)準(zhǔn)與技術(shù)研究所（National Institute of Standards and Technology，NIST）頒布的ECC標(biāo)準(zhǔn)。

　　抗量子計(jì)算機(jī)攻擊的公鑰密碼方案提上日程？

　　前面介紹了網(wǎng)絡(luò)時(shí)代為了保護(hù)被傳輸數(shù)據(jù)的機(jī)密性（Confidentiality）而廣泛使用的公鑰加密體制，它們的安全性或者基于大整數(shù)分解問題的困難性，或者基于離散對(duì)數(shù)問題的困難性。然而，1994年美國數(shù)學(xué)家Peter Shor在量子計(jì)算模型下提出一個(gè)算法使得解決以上數(shù)學(xué)困難問題成為可能。Shor算法在量子計(jì)算機(jī)上可以在多項(xiàng)式時(shí)間內(nèi)解決大整數(shù)分解與離散對(duì)數(shù)問題。這意味著，一旦量子計(jì)算機(jī)或者針對(duì)大整數(shù)分解問題或者離散對(duì)數(shù)問題的專用量子計(jì)算機(jī)被制造出來，將會(huì)完全破解基于這些困難問題的公鑰加密算法。二零一七年三月三日，谷歌量子AI實(shí)驗(yàn)室三名科學(xué)家Mohseni、Read和Neven在《自然》雜志上宣稱“量子計(jì)算機(jī)五年內(nèi)將實(shí)現(xiàn)商用化”。雖然文章同時(shí)指出，真正的量子計(jì)算機(jī)所需要的技術(shù)還需要十年左右的時(shí)間才能完成，但這已經(jīng)使得傳統(tǒng)的公鑰密碼系統(tǒng)的安全性存在巨大的風(fēng)險(xiǎn)。因此，迫切需要設(shè)計(jì)下一代的抗量子計(jì)算機(jī)攻擊的公鑰密碼方案。

　　對(duì)于某些問題，經(jīng)研究表明量子算法相對(duì)于傳統(tǒng)算法并沒有明顯的優(yōu)勢(shì)。目前，主要的抗量子計(jì)算機(jī)攻擊的公鑰密碼方案的候選有基于格的、基于編碼的、基于哈希函數(shù)的、基于多變量的密碼系統(tǒng)等。其中，格上的若干困難問題，如最短向量問題（Shortest Vector Problem，SVP）、獨(dú)立最短向量問題（Shortest Independent Vector Problem，SIVP）等，還沒有發(fā)現(xiàn)能夠在多項(xiàng)式時(shí)間內(nèi)解決的量子算法，因此被認(rèn)為其可以抵抗量子計(jì)算攻擊。

　　另一方面，格上的困難問題之間存在平均情形困難性（Average-case Hardness）與最差情形困難性（Worst-case Hardness）之間的歸約關(guān)系（簡單來說，Worst-case Hardness屬于計(jì)算復(fù)雜性理論范疇，密碼方案直接使用的密碼學(xué)原語（cryptographic Primitive）我們希望是Average-case Hardness），且在格上的數(shù)學(xué)運(yùn)算主要是矩陣向量乘法，計(jì)算簡單高效，可并行實(shí)現(xiàn)。此外，相比于基于編碼、哈希函數(shù)、多變量等其他的抗量子計(jì)算攻擊的公鑰方案，以格為基礎(chǔ)的數(shù)學(xué)結(jié)構(gòu)，不僅可以構(gòu)造加密方案，也可以構(gòu)造簽名方案、密鑰協(xié)商方案。這意味著，基于格的公鑰系統(tǒng)可以部署多個(gè)公鑰密碼方案模塊，有利于整個(gè)公鑰密碼系統(tǒng)在通信網(wǎng)絡(luò)系統(tǒng)上的功能整合。綜合上述諸多優(yōu)勢(shì)，基于格的加密方案已經(jīng)成為抗量子計(jì)算攻擊的最有希望的候選算法之一。

　　目前，已有的基于格的加密方案主要分為兩大類，一類是NTRU密碼系統(tǒng)，其方案的實(shí)現(xiàn)效率較高，但缺乏可證明安全性。另一類是基于格上平均情形下的困難問題如帶誤差學(xué)習(xí)問題（Learning with Errors， LWE），環(huán)上帶誤差學(xué)習(xí)問題（Ring Learning with Errors， RLWE）等的加密方案，也是基于格的加密體制的一個(gè)熱門研究領(lǐng)域。基于平均情形下困難問題的主要加密方案包括基于一般格的最早的Regev 加密方案、對(duì)偶Regev（dual-Regev）加密方案以及基于理想格的RLWE的加密方案等。在這里，我們就不深入介紹了。

　　截止2017年11月30日，NIST已經(jīng)完成了第一輪后量子密碼（Post-Quantum Cryptography，PQC）（也被稱為是抗量子的或量子安全的密碼）算法的征集。到目前為止，23個(gè)PKE/KEM的格密碼提案，有3個(gè)方案（Compact-LWE，HILA5，Odd Mantattan）已經(jīng)被攻破，4個(gè)方案被攻擊候已提出解決辦法，還有2個(gè)方案存在其它問題；5個(gè)Signature的格簽名提案的Comments較少，目前沒有被攻破。

　　正如NIST所說：“后量子標(biāo)準(zhǔn)化的發(fā)展過程不應(yīng)該被視為競爭，某些情況下，也許不可能作出一個(gè)候選方案優(yōu)于另一個(gè)方案的具有良好支撐的判斷。相反，NIST將以公開和透明的方式對(duì)提交的算法進(jìn)行深入全面的分析，并鼓勵(lì)密碼團(tuán)隊(duì)共同進(jìn)行分析和評(píng)估。這種結(jié)合的分析方式將影響NIST對(duì)后量子標(biāo)準(zhǔn)化的后續(xù)發(fā)展的決策。

　　NIST預(yù)計(jì)將進(jìn)行多輪評(píng)估，為期3至5年，而且由于目前科學(xué)對(duì)于量子計(jì)算能力的認(rèn)知還遠(yuǎn)遠(yuǎn)不夠全面，這個(gè)評(píng)估過程將比SHA-3和AES的評(píng)選更為復(fù)雜。此外，一些候選后量子密碼系統(tǒng)可能有完全不同的設(shè)計(jì)屬性和數(shù)學(xué)基礎(chǔ)，不同類型之間的候選算法的比較將是困難甚至不可能的。雖然距離大規(guī)模地應(yīng)用量子計(jì)算機(jī)還有一段路要走，但由于從傳統(tǒng)公鑰密碼體制到后量子密碼的過渡不太可能是一個(gè)簡單的“drop in”，開發(fā)、規(guī)范和部署新的后量子密碼系統(tǒng)將需要付出極大的努力。因此，應(yīng)當(dāng)及早地進(jìn)行這個(gè)過渡。”

　　現(xiàn)在到未來幾年時(shí)間，正是后量子密碼標(biāo)準(zhǔn)化的黃金階段，感興趣的研究人員應(yīng)當(dāng)抓住這個(gè)機(jī)遇，踴躍地參與其中！