节选自文章 Google's Threat model for Post-Quantum Cryptography

在这篇文章中，我们将更深入地探讨量子威胁的优先次序的主要考虑因素是：

• 有关量子攻击的可行性。

• 存在存储-现在-解密-稍后攻击模式。

• 需要几十年寿命的固定公钥的用例。

• 需要对可能需要大量重新设计以使用后量子算法的系统进行探索性研究，特别是在需要更广泛的行业合作的情况下。

背景

量子计算机主要通过两种算法威胁密码学：肖尔的整数分解和解离散对数的算法，以及格罗弗的搜索，它可以反转黑匣子函数。 如前所述，优先排序的一个主要考虑因素是，如果对手将来可以访问量子计算机，今天的系统是否已经面临风险。 现在存储密文并稍后解密就是一个典型的例子，在量子计算机出现之前就需要进行PQC部署。

在此基础上，我们可以大致将密码学分为四种不同的技术：

• 非对称加密和密钥协议，使用私钥/公钥对来建立密钥，然后可用于对称加密。 受到Shor算法的影响，容易受到存储-现在-解密-稍后的攻击。

• 数字签名，使用私钥/公钥对来验证数据并提供不可重视。 受到Shor算法的影响，但不容易受到存储-现在-解密-稍后的攻击。

• “花式”密码学：此类别取决于特定的算法和用例，但许多隐私保护技术（例如盲签名、ORPF......）将受到Shor算法的影响，并且部分容易受到现在存储-解密-稍后。 其中许多技术需要进一步研究。 我们建议仔细评估量子威胁对这些计划的影响。

• 对称密码学，使用单个密钥对数据进行加密和身份验证：根据我们目前的理解，就所有实际目的而言，对称密码学不会受到量子计算机的影响。 Grover的算法可以在这里用作攻击，但目前甚至被认为对中期量子计算机来说也是不可行的。 （见“重新评估格罗弗算法，2017年”）