抗量子密碼學算法的核心目標是抵抗量子計算機（尤其是能運行Shor算法、Grover算法的大規模量子計算機）的攻擊，其安全性不依賴于傳統的“大整數分解”“離散對數”等易被量子算法破解的數學問題，而是基于量子計算機難以高效求解的新型困難問題。目前國際上（如NIST抗量子密碼標準化項目）已明確幾類主流算法：

一、格基密碼學（Lattice-Based Cryptography）

格基密碼是目前最成熟、應用場景最廣的抗量子密碼類別，其安全性基于“格上的困難問題”——例如最短向量問題（SVP） 、學習有誤差問題（LWE） ，這些問題被證明即使在量子計算機上也難以高效求解。格基算法不僅抗量子，還具備“后量子+同態加密”“后量子+零知識證明”等擴展能力，是當前標準化的核心方向。
代表算法
1.CRYSTALS-Kyber
地位：NIST抗量子密碼標準化項目（第三輪）選定的首個通用密鑰封裝機制（KEM） ，也是目前國際推薦的“后量子TLS”核心算法（已被Chrome、Firefox等瀏覽器支持測試）。
功能：用于“密鑰交換”（如HTTPS連接中服務器與客戶端協商會話密鑰），屬于非對稱加密的“密鑰封裝”場景。
優勢：效率高（公鑰僅800字節，私鑰1632字節）、安全性證明嚴謹，支持不同安全級別（Kyber-512/768/1024，對應傳統RSA-2048/3072/4096的安全強度）。
2.CRYSTALS-Dilithium
地位：NIST選定的數字簽名算法（用于身份認證、數據完整性驗證，如證書簽名、軟件簽名）。
優勢：簽名體積小（約2.4KB~4.5KB）、驗證速度快，與Kyber同屬“CRYSTALS家族”，數學基礎一致（基于Ring-LWE），適合硬件實現（如芯片、物聯網設備）。
3.NTRU
特點：早期經典格基算法（基于“多項式環上的LWE變體”），公鑰/私鑰體積小、計算速度快，曾是NIST第二輪候選算法。
應用：適合資源受限場景（如物聯網傳感器、智能卡），但因后續Kyber在安全性和標準化支持上更優，目前更多作為“備選方案”。

二、基于哈希的數字簽名（Hash-Based Signatures）

這類算法的安全性完全依賴于哈希函數的抗碰撞性和抗原像性——而量子計算機目前尚無高效算法破解哈希函數（Grover算法僅能將哈希破解復雜度從O(2^n)降至O(2(n/2))，只需將哈希輸出長度翻倍即可抵抗）。因此，基于哈希的簽名是抗量子密碼中“安全性最可靠”的類別之一，尤其適合需要“長期安全”的場景（如證書根密鑰、區塊鏈資產簽名）。
代表算法
1.SPHINCS+
地位：NIST選定的無狀態哈希簽名算法（“無狀態”指無需記錄簽名次數，使用更靈活），是目前應用最廣的哈希簽名方案。
原理：基于“一次性簽名（OTS）+ 哈希樹（Merkle Tree）”的組合——用OTS生成單次簽名，再用哈希樹將多個OTS公鑰聚合，實現“多次簽名”能力。
優勢：安全性僅依賴哈希函數（如SHA-256、SHA-3），無數學假設漏洞；支持任意次數簽名（理論上無限次）。
劣勢：簽名體積較大（約41KB~131KB），不適合對帶寬敏感的場景（如實時通信）。
2.XMSS / XMSS^+
特點：“有狀態”哈希簽名（需記錄已使用的簽名次數，避免重復使用導致私鑰泄露），結構比SPHINCS+簡單，簽名體積更小（約6KB~10KB）。
應用：適合對簽名體積敏感、且能管理“狀態”的場景（如嵌入式設備、區塊鏈輕節點）。

三、基于碼的密碼學（Code-Based Cryptography）

這類算法的安全性基于線性糾錯碼的 Syndrome 解碼問題——即“已知線性碼的校驗矩陣和 Syndrome，求對應的錯誤向量”，這是一個被證明的NP難問題，量子計算機無法高效求解。基于碼的密碼是“最早提出的抗量子密碼類別”（1978年McEliece算法），安全性經過數十年驗證。
代表算法
1.McEliece
地位：最早的抗量子密碼算法（1978年提出），安全性從未被有效破解，是基于碼密碼的“標桿”。
原理：使用“Goppa碼”（一種高效的線性糾錯碼）作為核心，公鑰是Goppa碼的“偽裝校驗矩陣”，私鑰是Goppa碼的原始參數（用于快速解碼）。
優勢：加密/解密速度快，安全性極高（依賴的Goppa碼解碼問題無已知量子加速算法）。
劣勢：公鑰體積巨大（標準參數下公鑰約1MB~5MB），難以用于帶寬受限場景（如移動網絡）。
2.BIKE（Bit Flipping Key Encapsulation）
地位：NIST選定的密鑰封裝機制（KEM） ，是McEliece的“輕量化改進版”。
優化：改用“二元不可約循環碼”替代Goppa碼，公鑰體積大幅縮小（約1.3KB~2.6KB），同時保留基于碼的高安全性。
應用：適合需要高安全性、且對帶寬要求不極端的場景（如企業級VPN、云加密）。
3.HQC（Hybrid Quantum-Classical）
特點：另一種NIST選定的KEM，通過“混合經典-量子設計”進一步優化公鑰體積（約688字節~1.3KB），加密效率接近格基算法，同時具備基于碼的安全性優勢。

四、基于多變量多項式的密碼學（MPKC）

這類算法的安全性基于有限域上多變量多項式方程組的難解性（即“多變量方程求解問題”，MQ問題）——即使在量子計算機上，MQ問題也無已知高效求解算法。MPKC的核心優勢是“簽名速度極快”，適合資源受限設備。
代表算法
Rainbow
地位：NIST選定的數字簽名算法，是MPKC類別中最成熟、安全性最穩定的方案（避免了早期MPKC算法的“線性代數攻擊”漏洞）。
原理：基于“分層多變量二次多項式”（類似“彩虹層”，每層對應一組多項式），簽名時通過“反向代入”快速生成簽名，驗證時直接代入多項式驗證。
優勢：簽名速度極快（比格基簽名快10_{100倍），簽名體積小（約64字節}128字節），適合硬件資源受限的場景（如RFID標簽、智能卡、物聯網傳感器）。
劣勢：私鑰體積較大（約10KB~40KB），且設計復雜度高（需嚴格避免代數攻擊），目前應用場景不如格基和哈希簽名廣泛。

五、主流抗量子算法對比總結

類別	代表算法	核心安全假設	典型應用場景	優勢	劣勢
格基密碼	Kyber、Dilithium	格上LWE/Ring-LWE問題	TLS密鑰交換、證書簽名	效率高、支持擴展（同態加密）	數學假設較復雜，硬件實現需優化
基于哈希的簽名	SPHINCS+、XMSS	哈希函數抗碰撞/抗原像性	根證書、區塊鏈資產簽名	安全性最可靠，無數學漏洞	簽名體積大
基于碼的密碼	McEliece、BIKE	線性碼Syndrome解碼問題	高安全級加密（如軍工、金融）	安全性久經考驗，加密快	傳統方案公鑰體積大
多變量多項式密碼	Rainbow	有限域MQ問題	物聯網、智能卡簽名	簽名速度極快，簽名體積小	私鑰體積大，設計復雜度高
目前抗量子密碼的應用已進入“標準化落地階段”，其中格基密碼（Kyber/Dilithium） 因“效率與安全性平衡”成為通用場景的首選，基于哈希的簽名（SPHINCS+） 適合長期安全需求，多變量密碼（Rainbow） 則在資源受限設備中具備優勢。實際應用中，通常會采用“抗量子算法與傳統算法混合”的過渡方案（如TLS 1.3同時支持Kyber和RSA），以確保在量子計算機到來前完成安全升級。