2022年的量子密码学挑战和应对策略：全球努力、性能分析和可行性探讨.

阵列15（2022）100242后量子密码算法马尼什·库马尔计算机应用硕士系，M S Ramaiah理工学院，班加罗尔，54，印度A R T I C L EI N FO保留字：量子密码学基于多元二次方程的密码学基于哈希的密码学基于同构的密码学基于格的密码学A B S T R A C T量子计算机不再是一个假设的想法。它是世界上最重要的技术，各国之间都在争夺量子技术的优势。它是将计算时间从数年减少到数小时甚至数分钟的技术。量子计算的力量将为科学界提供巨大的支持。然而，它对网络安全构成了严重威胁。从理论上讲，所有的密码算法都是易受攻击的.实用的量子计算机，当具有数百万量子比特的容量时，将能够破解几乎所有的现代公钥密码系统。在量子计算机具有足够的“量子位”容量之前，我们必须准备好量子安全的加密算法、工具、技术和部署策略，以保护ICT基础设施。本文详细讨论了各种量子安全密码算法的设计，开发和标准化的全球努力，以及一些潜在的量子安全算法的性能分析。大多数量子安全算法需要更多的CPU周期、更高的运行时内存和更大的密钥大小。本文的目的是分析各种量子安全密码算法的可行性1. 介绍密码学是网络安全最重要的支柱之一。密码学是一种呈现技术的艺术和保护信息的科学，其中信息只能由发送者和预期的接收者解释。大多数现代密码算法都是基于复杂的数学函数。密码算法的设计是基于计算难度的假设。这些都是不对称的问题，例如整数因式分解：两个整数相乘很简单，但分解一个1000位的整数是困难的。一种使用两个相关密钥（公钥和私钥）的密码学形式;这两个密钥具有这样的性质，即给定公钥，在计算上无法导出私钥。目前的公钥加密依赖于这样一个事实，即经典计算机可以很容易地将大素数相乘，但需要数千年才能将这样的计算逆转。量子计算将加速解密受当前公钥加密技术保护的信息的能力。量子计算是一种基于量子理论原理的技术，它比经典计算技术快得多。经典的密码算法是完全脆弱的到量子计算机。过渡到量子计算机将使现有的IT基础设施完全不安全，它需要设计和开发量子安全或抗量子密码算法。本文的目的是讨论各种密码技术和潜在的量子安全密码算法以及算法的性能分析。全文共分八个部分。第2节给出了密码学的一般信息，第3节介绍了量子计算机。第4节讨论后量子加密问题。许多国家和专业组织正在努力标准化量子安全算法，这将在第5节中讨论。美国国家标准与技术研究院（NIST）已经启动了一个密集的过程，以标准化后量子加密算法。第6节讨论了NIST在第三轮选择过程中宣布的一些潜在的量子安全算法，以及基于开放量子安全（OQS）项目实现的算法的性能分析。第7节讨论了总体观察结果、实施可行性和迁移挑战，第8节给出了结论性意见。电子邮件地址：manishkumarjsr@yahoo.com。https://doi.org/10.1016/j.array.2022.100242接收日期：2022年4月2日;接收日期：2022年8月4日;接受日期：2022年8月4日2022年8月18日在线提供2590-0056/© 2022作者。爱思唯尔公司出版这是一篇基于CC BY-NC-ND许可证（http://creativecommons.org/licenses/by-nc-nd/4.0/）的开放获取文章。可在ScienceDirect上获得目录列表阵列期刊主页：www.sciencedirect.com/journal/arrayM. Kumar阵列15（2022）1002422图1.一、1998年至2021年间量子比特的量子计算增长。是定义明确的程序或规则或步骤的序列，或者是用于描述加密过程（例如加密/解密、密钥生成、认证、签名等）的一系列数学方程。[31 ]第30段。密码算法大致分为两类：例如，对称密码算法和非对称密码算法。i) 对称加密算法：在对称加密算法中，发送方和接收方使用相同的密钥来加密和解密数据。对称密钥算法非常有效且易于实现。然而，对称加密中的密钥管理，图二. Qubit时间轴估计（来源Gartner [83]）。2. 密码学今天，没有密码学的信息安全是不可想象的。密码学以各种方式用于保护信息的机密性和完整性。信息安全硬件和软件产品以许多创造性的方式实现密码学，其唯一目的是提供安全性。密码算法地形学是一个具有挑战性的问题。密钥必须在发起通信之前在双方之间共享。对称密码主要易受选择明文攻击、已知明文攻击、线性密码分析和差分密码分析。ii）非对称密码算法：在非对称密码算法中，发送方和接收方使用一对密钥。其中一个密钥是保密的，即，一个密钥称为私钥，另一个密钥称为公钥。非对称加密算法也称为公钥算法。发送方使用公钥加密数据，接收方使用图3. 密码学分支及相 关 的数学问题。M. Kumar阵列15（2022）1002423见图4。素数分解的经典算法与量子算法的性能。图五、Shor 和Grover算法对密码算法的 影响。见图6。 Mosca定理。表1量子计算对常用密码算法的影响安全服务。公钥密码主要容易受到选择密文攻击、中间人攻击以及一些与底层硬问题相关的特定攻击。对称和非对称，这两种算法都容易受到蛮力攻击[35，75]。在暴力攻击中，攻击者尝试所有可能的密钥。算法的抵抗力取决于生成和应用所有可能的密钥以破解加密所需的密钥大小和计算能力[22，81，84]。加密技术不仅保护数据，而且还用于机密性，身份验证，完整性和可访问性。在我们的日常生活中有各种各样的密码算法的实现。例如，使用SSL/TLS来提供安全的互联网浏览、用于认证和验证的数字签名、电子货币交易、安全的数据存储等。[26、55、58]。“计算安全方案”的概念这种平衡很容易理解：如果破坏一个系统的成本超过它所保护的价值，那么这样做是毫无意义的。任何加密算法的强度都取决于破解算法所需的计算时间密码分析和暴力破解技术通常用于破解密码算法。密码分析是一门利用数学和算法破解密码学的科学暴力意味着你列举所有的可能性，直到你找到你正在寻找的解决方案。如果在数学上证明破解该算法需要巨大的计算资源和时间，则密码学算法被认为是安全的，这实际上是不可行的。计算能力持续增长，因此，密码算法也被修改以保持强度。今天使用的大多数密码算法对经典计算机都是有弹性的。量子计算机是一种新的计算技术，与经典计算机完全不同。量子计算机比传统计算机快得多量子计算是下一个革命性的技术。它是一种能够将计算时间从数年减少到数小时甚至数分钟的技术。量子计算的力量将为科学界提供巨大的支持。然而，它带来了严重的网络安全威胁。现有的大多数密码算法在理论上对量子计算是脆弱的。一台具有足够数量量子比特的实用量子计算机将能够破解所有现代公钥密码系统[16]。3. 量子计算量子计算机不再是一个假设的想法。正如许多专家所引用的那样，它是世界上最重要的技术，各国之间存在着一场争夺量子技术霸权的密码算法大规模量子计算机的类型和用途足够数量的量子比特和容错的量子计算机美国、中国、法国、英国、德国和俄罗斯是这场竞赛的领跑者，而其他国家正在尽最大努力加入这场竞赛。AES对称关键加密需要更大的密钥大小联赛争夺对“量子计算”技术的控制权SHA-2，SHA-3 -像微软、IBM、谷歌、D-Wave、东芝等科技巨头RSA公钥签名，密钥需要量子计算在文章发表后流行起来不再安全建立“Simulating Physics with Computer” by American theoreticalECDSA、ECDH（椭圆曲线密码学）有限域密码公钥签名，密钥EX变化公钥签名，密钥EX变化不再安全不再安全费曼[41]。在这篇文章中，费曼建议使用量子态进行计算。量子计算是使用量子现象来执行计算的量子机制的应用。量子计算机是执行量子计算的设备。它以受控的方式操纵量子比特的状态来执行算法。私钥。通常，非对称密码算法是资源密集型的，并且需要更多的处理时间和功率。非对称加密算法满足数字签名、密钥建立等方面量子比特（qubit）是量子力学中经典比特的类似物。在经典计算机中，信息被编码为一个位，其中每个位可以是0或1。在量子计算中，信息被编码在量子比特中。量子比特的状态被写为：|M. Kumar阵列15（2022）1002424见图7。 NIST PQC标准开发和采用的合理时间轴。表2基于代码的量子安全密码算法。SL. 号算法名称当前状态用于量子安全加密算法的开源C库（liboqs）用法古典-McEliece-348864 f 261，120 64523古典-麦克利切-460，896 524，160 13，568Classic-McEliece-460896 f 524，160 13，5685古典-McEliece- 6688，128经典-McEliece-6688128 f经典-McEliece-6960，119经典-McEliece-6960119 f经典-McEliece-8192，128经典-McEliece-8192128 f1，044，9921，044，9921，047，3191，047，3191 357 824 14 0801 357 824 14 0802 BIKE替代品1 BIKE-L1 1541 5223钥匙封装机构3 BIKE-L3 3083 10，105表3基于开放量子安全代码的密码算法（密钥封装机制）的分析算法注册机/秒注册机（周期）Encaps/s封装（循环）Decaps/s开盖（循环）自行车-L1（X86_64）4256.67587,17729,60284,2911866.671,339,145自行车-L3（X86_64）1345.331,858,21114276.33174,8895584,480,077经典-McEliece-348，864（X86_64）7.2347,293,15955104.6745,24218448.67135,429经典-McEliece-348864 f（X86_64）9.24270,597,95454,88345,42617712.67141,044经典-McEliece-460，896（X86_64）2.421,032,268,24031683.6778,7707228.33345,779经典-McEliece-460896 f（X86_64）2.91858,376,39131720.3378,6867220.33346,146经典-McEliece-6688，128（X86_64）1.561,604,951,81517,170145,4256163.67405,515经典-McEliece-6688128 f（X86_64）2.21,137,319,22917034.67146,6126112.67408,895经典-McEliece-6960，119（X86_64）1.521,647,315,91217755.33140,6626705.67372,718经典-McEliece-6960119 f（X86_64）2.361,058,000,16217,750140,6966655.33375,498经典-McEliece-8192，128（X86_64）1.551,617,672,86014259.33175,1086128407,881经典-McEliece-8192128 f（X86_64）2.131,176,481,90914550.33171,6316146.67406,618HQC-128（X86_64）16412.33152,1219847.67253,7415710.67437,665HQC-192（X86_64）7453.33335,1604283583,5642422.331,032,052HQC-256（X86_64）4232.67590,28324301,028,7031435.331,741,7500次|1美元。量子比特可以同时处于0和1。量子力学是一种奇异的现象。量子计算机是利用量子态的以下特征i) 叠加：量子系统可以同时存在于两种状态。一个量子比特可以同时处于0和1。当测量被执行时，量子比特坍缩为零或一。ii) 纠缠：这是一种量子力学现象，其中纠缠粒子的状态可以相互参照来描述。对一个纠缠粒子进行的测量将立即影响另一个纠缠粒子，而与纠缠粒子之间的距离iii) 干涉：量子计算的基本思想是控制量子比特坍缩到特定测量状态的概率。量子干涉，1经典McEliece决赛选手NIST等级算法名称公钥大小（字节）私钥大小（字节）1Classic-McEliece-348，864261,1206452密钥封装机制3HQC交替1公司简介22492289关键封装机制3公司简介452245625公司简介72457285M. Kumar阵列15（2022）1002425表4基于开放量子安全代码的密码算法（密钥封装机制）的内存使用分析（每个算法的字节数）算法注册机（maxHeap）注册机（maxStack）Encaps（maxHeap）封装（maxStack）Decaps（maxHeap）Decaps（maxStack）自行车-L1（X86_64）11,42090,55212,54525,72012,57773,464自行车-L3（X86_64）17,844179,44820,51150,29620,543144,952经典-McEliece-348，864（X86_64）271,7482,205,032276,5563824271,94043,232经典-McEliece-348864 f（X86_64）271,7482,205,032276,5563824271,94043,232经典-McEliece-460，896（X86_64）541,9044,768,360546,7726528542,15680,256经典-McEliece-460896 f（X86_64）541,9044,768,360546,7726528542,15680,256经典-McEliece-6688，128（X86_64）1,063,0604,768,8401,067,98063201,063,36494,144经典-McEliece-6688128 f（X86_64）1,063,0604,768,8401,067,98063201,063,36494,144经典-McEliece-6960，119（X86_64）1,065,4034,768,8081,070,30962241,065,69380,896经典-McEliece-6960119 f（X86_64）1,065,4034,768,8081,070,30962241,065,69380,896经典-McEliece-8192，128（X86_64）1,376,0804,769,0001,376,0803841,376,384133,408经典-McEliece-8192128 f（X86_64）1,376,0804,769,0001,376,0803841,376,384133,408HQC-128（X86_64）871440,12013,25953,72013,32362,872HQC-192（X86_64）13,26079,64022,350107,00022,414125,304HQC-256（X86_64）18,706182,04033,239226,20033,303255,704图八、每种算法每秒的注册机操作（使用基于代码的算法的密钥封装机制）。见图9。 每种算法每秒封装的操作（使用基于代码的算法的关键封装机制）。M. Kumar阵列15（2022）1002426图10. 每种算法每秒的解压缩操作（使用基于 代码的算法的密钥封装机制）。图十一岁 内存消耗（每个算法的字节数）（使用基于代码的算法的密钥封装机制）。叠加允许控制朝向期望状态或状态集合的量子位的测量。3.1. 量子计算发展的时间尺度量子计算领域正在迅速发展。在全球范围内，这一领域呈指数增长。建造一台具有更高量子比特和精确错误控制的量子计算机是研究人员的唯一目标。在过去的22年里，这一领域取得了显著的成就（图1）。麻省理工学院、牛津大学、伯克利和IBM可能在1998年初开发出一台2量子比特的量子计算机。谷歌在2018年开发了一台72量子比特的量子计算机。Rigetti在2019年宣布在一年内开发出128量子比特的量子计算机[45，52，57]。量子计算机的发展可以分为三代。i) 第一代：第一代量子计算机在早期阶段开发用于非商业用途。这些模型是为低到中等复杂度的概念验证而构建的。ii) 第二代：许多在最初的研究中取得突破并拥有必要硬件基础设施的组织可以开发具有更高数量量子比特和复杂性的量子计算机。第二代量子计算机是专门为商业应用和高端研究而设计和开发的，重点是提高可扩展性和速度。这些量子计算机M. Kumar阵列15（2022）1002427表5基于多元二次方程的量子安全密码算法。SL.算法电流用于量子安全加密算法（liboqs）的（字节）Rainbow-V-Compressed 536，136 642 GeMSS替代品1 N/A（Open Quantum Safe 352，180 32数字签名（3个项目）5算法表6基于开放量子安全的多元二次方程的密码算法（数字签名算法）的可扩展性分析算法密钥对/s密钥对（循环）签名/s签名（循环）验证/s验证（循环）Rainbow-I-Circumzenithal（X86_64）Rainbow-I-Classic（X86_64）Rainbow-I-Compressed（X86_64）Rainbow–III–CircumzenithalRainbow-V-Compressed（X86_64）6.06 412，509，871 530.3 4714，048 445.7 5609，6196.77 369，413，745 506 4，940，751 500.7 4，993，92313.77 181，591，225 445.9 5，607，0010.43 1，535，117，154 54.95 45，496，023 49.06 50，968，4360.49 815，304，452 54.82 45，599，192 50.58 49，426，1070.43 1，526，552，696 0.92 2，709，509，453 49.2 50，814，3660.15 3，612，623，138 24.87 100，519，687 22.36 111，796，7280.17 1，503，271，522 23.78 105，150，930 24.24 103，104，6860.15 3，653，272，908 0.32 3，503，174，534 21.43表7开放量子安全的基于多元二次方程的密码算法（数字签名算法）的内存使用分析（每个算法的字节数）算法注册机注册机签名验证验证（maxHeap）（maxStack）（maxHeap）（maxStack）（maxHeap）（maxStack）Rainbow-I-Circumzenithal（X86_64）Rainbow-I-Classic（X86_64）Rainbow-I-Compressed（X86_64）Rainbow–III–CircumzenithalRainbow-V-Compressed（X86_64）142，440 172，822 912 168，174 324，056269，416 178，680 274，230 912 274，230 91264，424 64，590 224，504 64，590 324，056894，824 946，696 895，088 13，464 895，088 1，765，1441，512，296 1，512，832 15，008 1，512，296 384268，840 1，572，760 269，104 1，302，104 269，104 1，765，1441，949，040 2，208，248 1，949，352 22，024 1949352 38622963，343，504 2193512 3343504 384540，368 3617000 540，680 2901304 540，680 3862296见图12。 每种算法每秒的密钥对操作（使用基于多变量二次方程的算法的数字签名）。号名称地位NIST水平算法名称公钥大小（字节）私钥大小1彩虹决赛选手1Rainbow-I-Classic161,600103,648数字签名环天顶彩虹60,192103,648算法彩虹-I-压缩60,192643Rainbow-III-Classic882,080626,048彩虹-III-环天顶264,608626,048彩虹-III-压缩264,608645彩虹-V-经典1,930,6001,408,736环天顶彩虹536,1361,408,736M. Kumar阵列15（2022）1002428图13岁每种算法每秒的签名操作数（使用基 于 多元二次方程的 算法的数字签名）。图14个。 验证每种算法每 秒的 操 作 （使用基 于 多元二次方程的 算法的数字签名）。图15个。存储器消耗（每个算法的字节数）（使用基 于 多元二次方程的 算法的数字签名）。M. Kumar表9阵列15（2022）1002429基于散列的量子安全密码算法。SL.算法电流用于量子安全加密算法（liboqs）的（字节）SPHINCS+-Haraka-128f-simple 32 64SPHINCS+-Haraka-128s-robust 32 64SPHINCS+-Haraka-128s-simple 32 64SPHINCS+-SHA256-128f-robust 32 64SPHINCS+-SHA256-128f-simple 32 64SPHINCS+-SHA256-128s-robust 32 64SPHINCS+-SHA256-128s-simple 32 64算法SPHINCS+-SHAKE256-128f-鲁棒SPHINCS+-SHAKE256-128f-简单SPHINCS+-SHAKE256-128s-鲁棒SPHINCS+-SHAKE256-128s-简单32 6432 6432 6432 643 SPHINCS+-Haraka-192f-robust 48 96SPHINCS+-Haraka-192f-simple 48 96SPHINCS+-Haraka-192s-robust 48 96SPHINCS+-Haraka-192s-simple 48 96SPHINCS+-SHA256-192f-robust 48 96SPHINCS+-SHA256-192f-simple 48 96SPHINCS+-SHA256-192s-robust 48 96SPHINCS+-SHA256-192s-simple 48 96SPHINCS+-SHAKE256-192f-鲁棒SPHINCS+-SHAKE256-192f-简单SPHINCS+-SHAKE256-192s-鲁棒SPHINCS+-SHAKE256-192s-简单48 9648 9648 9648 965 SPHINCS+-Haraka-256f-robust 64 128SPHINCS+-Haraka-256f-simple 64 128SPHINCS+-Haraka-256s-robust 64 128SPHINCS+-Haraka-256s-simple 64 128SPHINCS+-SHA256-256f-robust 64 128SPHINCS+-SHA256-256f-simple 64 128SPHINCS+-SHA256-256s-robust 64 128SPHINCS+-SHA256-256s-simple 64 128鲁棒简单可以像云计算一样，根据需求提供服务，用于更高的计算需求。iii) 第三代：第三代将是真正的量子超级，因为指数增长和发展将降低硬件成本。量子计算机将是大众负担得起的，也是容易获得的。第三代量子计算机将为各种非商业应用带来可行的解决方案，它将超越经典计算机和应用。具有更高数量量子比特的量子计算机的发展面临许多技术挑战。最初，量子计算的突破性研究相当缓慢，需要大量时间才能实现工作模型。然而，在过去的几年里，有一个前所未有的发展。世界各地的科学家正在解决各种具有挑战性的问题，以开发一种负担得起的具有更高精度的量子计算机[11，48，61]。Gartner在2018年发布了物理量子比特容量和量子计算机在现实生活中应用的估计时间轴（图10）。 2）。如果Gartner的时间轴是可信的，社会将很快见证量子超级。虽然展望未来显示了计算领域的一个很好的成就，但它是网络安全风暴的标志。量子技术的发展对人类来说是个好消息，因为它将提升我们的生活。然而，它也对网络安全构成了严重威胁，需要改变我们加密数据的方式。根据麻省理工学院技术评论的亮点，2000万量子比特的量子计算机可以在短短8小时内打破2048比特的数字[8]。虽然目前还不存在2000万量子比特的量子计算机，但我们需要做好准备，领先于威胁。我们不能等到那些强大的量子计算机开始破解我们的加密，那就太晚了。现在是批判性地分析后量子威胁并做好相应准备的时候了[85，87，90]。我们需要找出研究的差距，并制定一个战略计划来突破这一差距。4. 后量子加密问题加密算法以这样一种方式转换信息，号名称地位NIST水平算法名称公钥大小（字节）私钥大小1SPHINCS+交替1SPHINCS+-Haraka-128f-robust3264数字签名SPHINCS+-SHAKE256-256f-64128SPHINCS+-SHAKE256-256f-64128简单SPHINCS+-SHAKE256-256s-64128鲁棒SPHINCS+-SHAKE256-256s-64128M. Kumar表10阵列15（2022）10024210̅±̅̅̅̅̅̅基于开放量子安全散列的密码算法（数字签名算法）的可扩展性分析。Algorithm Keypair/s Keypair Sign/s Sign Verify/s Verify（cycles）（cycles）（cycles）（cycles）SPHINCS +-Haraka-128f-robust（x 86_64）SPHINCS +-Haraka-128f-simple（x 86_64）SPHINCS +-Haraka-128s-robust（x 86_64）SPHINCS +-Haraka-128s-simple（x 86_64）SPHINCS +-Haraka-192f-robust（x 86_64）SPHINCS +-Haraka-192f-simple（x 86_64）SPHINCS +-Haraka-192s-robust（x 86_64）SPHINCS +-Haraka-192s-simple（x 86_64）SPHINCS +-Haraka-256f-robust（x 86_64）SPHINCS +-Haraka-256f-simple（x 86_64）SPHINCS +-Haraka-256s-robust（x 86_64）SPHINCS +-Haraka-256s-simple（x 86_64）SPHINCS +-SHA256 - 128f-robust（x86_64）SPHINCS +-SHA256 - 128f-simple（x 86_64）SPHINCS +-SHA256 - 128s-robust（x 86_64）SPHINCS +-SHA256 -128s-simple（x 86_64）SPHINCS +-SHA256- 192f-robust（x 86_64）SPHINCS +-SHA256 - 192f-simple（x 86_64）SPHINCS+-SHA256 - 192s-robust（x 86_64）SPHINCS +-SHA256 - 192s-simple（x86_64）SPHINCS +-SHA256 - 256f-robust（x 86_64）SPHINCS +-SHA256 - 256f-simple（x 86_64）SPHINCS +-SHA256 -256s-robust（x 86_64）SPHINCS +-SHA256- 256s-simple（x 86_64）SPHINCS +-SHAKE256 - 128f-robust（x 86_64）SPHINCS +-SHAKE256 - 128f-simple（x86_64）SPHINCS +-SHAKE256 - 128s-robust（x 86_64）SPHINCS +-SHAKE256 -128s-simple（x 86_64）SPHINCS +-SHAKE256 - 192f-robust（x 86_64）SPHINCS +-SHAKE256 - 192f-simple（x86_64）SPHINCS +-SHAKE256 - 192s-robust（x 86_64）SPHINCS +-SHAKE256 -192s-simple（x 86_64）SPHINCS +-SHAKE256 - 256f-robust（x 86_64）SPHINCS +-SHAKE256 - 256f-simple（x86_64）SPHINCS +-SHAKE256 - 256s-robust（x 86_64）SPHINCS +-SHAKE256 -256s-simple（x 86_64）3305.33 756，217 130.25 19193087 1841.3 1，357，6683021.67 827，241 126.75 19720897 2389.7 104618049.8 50，199，666 6.26 399193532 5109 489，22653.95 46336950 6.88 363，156，129 7042 354，9262491 1003522 78.92 31672906 1248 2，003，3182850 877，072 99.34 25163368 1754.7 142486026.88 92，991，222 2.63 950449292 2971.7 841，26830.68 81486323 3.15 794，443，486 3977.3 628，454802.67 3114999 36.18 69108207 1203.6 2，076，672823.73 3035014 38.42 65055419 1592.1 156982247.11 53，060，953 3.34 748586944 2257.3 110743451.25 48787641 3.93 636，871，172 3061.7962.35 2，597，396 34.83 71789115 216.64 11，537，9091833.33 1363722 65.69 38055893 410.73 608700815.42 162114391 1.94 1289794883 574.14 435473827.71 90，208，011 3.64 687556446 1228.3 2035202676.11 3697467 22.13 112，975，498 144.19 173387551200.33 2082895 38.49 64952624 250.42 998343010.41 240，149，708 1.08 2317742108 399.4 625871518.74 133365900 1.88 1，331，847，740 730.33 3423401140.24 17824497 6.67 374615844 108.67 23007612450.85 5，544，896 20.81 120145814 272.91 91595888.73 286251953 0.75 3，329，041，447 207.26 1206204230.34 82391795 2.4 1043537732 530.33 4，714，332462.36 5，406，859 18.56 134699425 154.69 16161667844 2962241 32.16 77，738，565 301.8 82834397.81 320,032,253 1.02 2460642112 543.49 459920113.66 183，072，418 1.71 1463603275 915.67 2730203331.89 7532419 11.55 216，435，158 119.17 20977226580.14 4309068 20.11 124327976 229.26 109053475.2 480506759 0.58 46486796 319.23 78313429.35 267,514,170 1 2498600938 655.33 3814860123.63 20220286 5.92 422，251，215 108.78 22981847220.11 11，357，895 10.37 241136741 209.39 11，937，6567.5 333331669 0.66 3783521422 227.85 1097373813.28 188，315，722 1.08 2311104060 427.19 5852661除非使用解密密钥对其进行解密，否则难以对其进行解释[27，33，86]。大多数加密算法都是基于复杂的数学函数（图3），在一个方向上很容易计算，但在相反的方向上很难计算[23，28]。这些算法被称为单向函数。RSA是最常用的加密算法之一，它利用了单向函数。RSA算法的核心优势是基于素因子分解作为单向加密的方法。发送方使用加密密钥，该密钥是使用两个随机生成的大素数相乘生成的。只有当接收者知道确切的素因子时，才能解密这个问题在一个方向上很容易求解，但在另一个方向上很难计算。假设我们想用d个十进制数字分解一个整数N。强力算法遍历所有素数p直到N，p是否能整除 N 。蛮力算法的最坏情况时间复杂度是 APPROXiqv-grafikziel=“PIWIS10048888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888数字D.二次筛选算法，构造整数a，b使得a2-b2是N的倍数. 一旦找到a、b的这种组合，则检查是否具有a b与N的公共因子。二次滤网非常有效的，它具有渐近的运行时复杂度在pwd。通用数域筛是最有效的经典因子分解技术，在B1/ 3中实现了渐近运行时指数。传统的因式分解方法另一方面，Shor的因子分解算法在运行时有一个d（位数）多项式。经典算法与量子算法对素数分解的性能如图所示。 4 [53]。4.1. 算法的效果1994年，Peter Shor开发了一种多项式时间量子计算机算法，用于整数因式分解。这是证明量子计算机优于经典计算机的重大突破Shor所有的加密算法都是建立在现有计算资源条件下提取私钥是计算上不可行的假设Shor算法的成功实现可以轻松破解使用最广泛的密码算法，如RSA，椭圆曲线密码（ECC）和Diffie-Hellman。这些算法在数据保护和隐私方面发挥着至关重要的作用。任何可能打破这些铝出租是一个严重的威胁，可能是毁灭性的[15，21，73]。它将直接威胁到个人、政府和商业组织的信息和通信安全。1996年