后量子密码理论与应用

后量子环境下进行数据的计算、分析与处理需要新的理论与技术。本书以后量子密码分析为核心，系统阐述相关关键技术，符合信息安全国家战略。

本书在深入阐述密码学基础及相关技术的各种理论的同时，对新的对称密码算法安全性分析及相关设计发展成果和未来发展方向有较全的介绍，可为网络空间安全领域的科研人员和工程技术人员，以及相关专业的本科生和研究生提供后量子密码相关的理论与实践指导。

量子技术具有重大科学意义和战略价值，是一项对传统技术体系产生冲击、进行重构的重大颠覆性技术创新，将引领新一轮科技革命和产业变革方向。由于传统对称密码在设计与分析时并未考虑量子并行等量子性质，在面对量子密码算法时可能存在未知的安全漏洞与隐患。本书从现有对称密码算法面临的量子挑战出发，从理论模型到实际应用，系统阐述了当前量子技术对于密码算法的安全挑战及其量子电路构造方案。

本书可供密码学、信息安全、网络空间安全领域科研人员和企业研发人员参考，可以作为网络空间安全一级学科博士生、硕士生的参考书，也可以作为计算机相关专业高年级本科生的补充读物。

邹剑，福州大学副教授，网络系统信息安全福建省高校重点实验室学术骨干，福建省引进人才。主要从事杂凑函数、分组密码等方面的研究。作为主要参与人参加了国家自然基金项目、973计划等多项国家级、省部级科研项目。

刘西蒙，博士，现任长安汽车副总工，长安汽车智能汽车安全技术全国重点实验室副总工，曾任福州大学正高级研究员，博士生导师，曾担任国家自然基金委员会信息中心流动项目主管，网络与信息系统安全福建省高校重点实验室主任，工业领域数据保护与安全测评工信部重点实验室青工委主任。获批福建省“闽江学者”特聘教授，福建省“雏鹰计划”青年拔尖人才，福建省“百千万人才工程”省级人选，福州大学“旗山学者”奖励支持计划。研究成果在CCF-A类期刊和会议发表论文一百余篇，出版中文专著三部，谷歌被引一万八千余次。研究成果获国自然面上、青年项目，科技部重点研发课题、福建省杰青项目，教育部装发联合基金青年人才基金等项目资助。获ACMSIGSAC中国新星奖、贵州省自然科学二等奖、江西省科技进步二等奖，科睿唯安2025年度“全球高被引科学家”。

第1章 绪论1

1.1 分组密码 2

1.1.1 分组密码的理论模型 2

1.1.2 分组密码的攻击成本 3

1.1.3 分组密码的工作模式 4

1.2 量子技术 9

1.3 全书结构 10

参考文献 11



第2章 量子力学线性代数基础 12

2.1 量子力学与Hilbert空间 12

2.1.1 线性空间与向量空间 13

2.1.2 内积空间 14

2.1.3 算符 18

2.1.4 张量积 22

2.1.5 对易式和反对易式 24

2.2 量子比特与量子系统 25

2.2.1 量子比特 25

2.2.2 量子系统 26

2.3 量子比特的数学性质 27

2.4 量子比特的物理性质 28

2.4.1 叠加性与相干性 28

2.4.2 测不准性 28

2.4.3 不可克隆性 29

2.4.4 量子隐形传态 29

2.5 量子比特的信息量 31

2.5.1 信息熵 31

2.5.2 信息量 32

2.6 本章小结 32

参考文献 33



第3章 对称密码的量子算法 34

3.1 量子攻击模型和存储模型 34

3.2 Simon算法的应用 36

3.2.1 Simon算法 36

3.2.2 对3轮Feistel结构的量子区分攻击 37

3.2.3 对EM结构的量子密钥恢复攻击 38

3.2.4 Simon算法的攻击策略及其他应用 39

3.2.5 Simon攻击的传统化工作 40

3.3 Grover算法与Simon算法的结合 40

3.3.1 Grover算法及其推广 40

3.3.2 对FX结构的量子密钥恢复攻击 41

3.3.3 对Feistel结构的量子密钥恢复攻击 47

3.3.4 其他应用 51

3.4 离线的Simon算法 53

3.4.1 Q2模型下的Simon算法 54

3.4.2 Q1模型下的Simon算法 57

3.4.3 降低查询复杂度的Q2攻击 59

3.4.4 对EM结构的Q1攻击 60

3.4.5 对FX结构的Q1攻击 62

3.4.6 小结 63

3.5 其他量子算法 63

3.5.1 Deutsch算法 63

3.5.2 Deutsch-Jozsa算法 64

3.5.3 Bernstein-Vazirani算法 65

3.6 量子碰撞 多碰撞搜索算法 66

3.6.1 量子碰撞搜索 66

3.6.2 多碰撞搜索 69

3.6.3 量子多碰撞搜索 70

3.7 量子爪查找算法 73

3.7.1 量子爪查找问题 73

3.7.2 Q1模型下量子爪查找算法 75

3.7.3 Q1模型下量子爪查找算法的变体 76

3.8 量子算法 76

3.9 本章小结 91

参考文献 92



第4章 量子算法与经典密码算法的结合 97

4.1 量子差分攻击和线性攻击 97

4.1.1 经典环境下的高概率差分路径搜索 97

4.1.2 差分攻击量子化 102

4.1.3 量子截断差分攻击 104

4.1.4 量子线性攻击 106

4.2 反弹攻击量子化 107

4.2.1 反弹攻击 107

4.2.2 量子碰撞攻击问题的几点观察 108

4.2.3 攻击目标 109

4.2.4 现有对于类AES的碰撞攻击 110

4.2.5 对7轮AES-MMO的量子碰撞攻击 112

4.2.6 小结 118

4.3 量子存储资源受限条件下的量子反弹攻击 118

4.3.1 非完全活跃超级S盒 119

4.3.2 用MILP在传统和量子攻击中查找可利用的差分 122

4.3.3 量子存储资源受限条件下对7轮AES-MMO的量子碰撞攻击 123

4.3.4 小结 127

4.4 量子多碰撞区分器 128

4.4.1 基础知识 128

4.4.2 攻击框架与技术 130

4.4.3 对8轮AES-128的量子区分攻击 133

4.4.4 小结 135

4.5 约减SHA-256的量子碰撞攻击 135

4.5.1 基础知识 135

4.5.2 对31步SHA-256碰撞攻击的回顾 137

4.5.3 关于量子环境下碰撞攻击界的观察和思考 138

4.5.4 对38步SHA-256的量子碰撞攻击 140

4.5.5 应用到其他Hash函数的限制 141

4.5.6 小结 143

4.6 量子不可能差分密钥恢复攻击 143

4.6.1 传统不可能差分攻击 143

4.6.2 量子碰撞搜索与量子明密文对的生成 147

4.6.3 量子明密文对的过滤方法 148

4.7 量子飞去来器密钥恢复攻击 149

4.7.1 传统飞去来器区分器构造 149

4.7.2 基于飞去来器的密钥恢复攻击 150

4.7.3 基于飞去来器的量子密钥恢复攻击 152

4.8 量子在线——离线中间相遇攻击 153

4.9 量子中间相遇攻击 156

4.9.1 MITM攻击的一般化描述 156

4.9.2 基于合并的MITM攻击 156

4.9.3 量子二表合并的MITM攻击 159

4.9.4 对中间相遇攻击的MILP建模方法 162

4.10 量子Demiric-Sel uk中间相遇攻击 163

4.10.1 DS-MITM攻击 164

4.10.2 对6轮Misty L-KF结构的传统DS-MITM攻击 165

4.10.3 对6轮Feistel结构的量子DS-MITM攻击 167

4.10.4 对6轮Misty L-KF结构的量子DS-MITM攻击 169

4.10.5 对4分支16轮压缩Feistel结构的量子DS-MITM攻击 171

4.10.6 对4分支13轮扩张Feistel-F结构的量子DS-MITM攻击 174

4.10.7 对4分支16轮扩张Feistel-FL结构的量子DS-MITM攻击 176

4.11 本章小结 181

参考文献 181



第5章 量子电路 186

5.1 量子门 187

5.1.1 单量子门 187

5.1.2 多量子门 189

5.2 量子态的测量 192

5.3 通用量子门 193

5.3.1 经典量子门 193

5.3.2 通用可逆量子门 194

5.3.3 量子算法的特殊性 195

5.4 经典量子算法的电路 195

5.4.1 Simon算法的量子电路 195

5.4.2 Shor算法的量子电路 196

5.4.3 Grover算法的量子电路 197

5.5 对称密码算法的量子电路 199

5.5.1 SM3密码杂凑算法的量子电路 199

5.5.2 SM4分组密码算法的量子电路 209

5.5.3 AES分组密码算法的量子电路 228

5.6 基于椭圆曲线加密算法的量子电路 249

5.6.1 基本运算 249

5.6.2 二元域上的求逆与除法 254

5.6.3 点加运算 259

5.6.4 新型点加运算 262

5.6.5 椭圆曲线加密算法的量子电路 264

5.7 本章小结 265



参考文献 265